Akira Abuses Wbadmin to Obtain a Copy of NTDS.dit
🛡 شکار تکنیک Akira برای استخراج NTDS.dit با استفاده از Wbadmin
🔍 اخیراً گروه باجافزاری Akira در یک حمله واقعی، از ابزار قانونی ویندوز **wbadmin.exe برای گرفتن بکاپ از فایلهای حساس Active Directory استفاده کرده است؛ از جمله:
* NTDS.dit (شامل همه هشهای پسورد دامین)
* فایلهای رجیستری SYSTEM و SECURITY
این تکنیک در چارچوب MITRE ATT\&CK تحت T1003.003 – NTDS.dit Extraction شناخته میشود.
نکته جالب اینجاست که
📌 نمونه دستور استفادهشده توسط مهاجم:
💡 مهاجم مقصد بکاپ را در مسیرهایی مثل ProgramData یا Shareهای مدیریتی (مثل
تیم سورین
🛡 شکار تکنیک Akira برای استخراج NTDS.dit با استفاده از Wbadmin
🔍 اخیراً گروه باجافزاری Akira در یک حمله واقعی، از ابزار قانونی ویندوز **wbadmin.exe برای گرفتن بکاپ از فایلهای حساس Active Directory استفاده کرده است؛ از جمله:
* NTDS.dit (شامل همه هشهای پسورد دامین)
* فایلهای رجیستری SYSTEM و SECURITY
این تکنیک در چارچوب MITRE ATT\&CK تحت T1003.003 – NTDS.dit Extraction شناخته میشود.
نکته جالب اینجاست که
wbadmin یک ابزار پیشفرض ویندوز برای بکاپ قانونی است و همین باعث میشود خیلی وقتها از دید تیم دفاعی پنهان بماند.📌 نمونه دستور استفادهشده توسط مهاجم:
```powershell
wbadmin.exe start backup -backupTarget:\\localhost\c$\ProgramData\ -include:C:\Windows\NTDS\NTDS.dit C:\Windows\System32\config\SYSTEM C:\Windows\System32\config\SECURITY -quiet
```
💡 مهاجم مقصد بکاپ را در مسیرهایی مثل ProgramData یا Shareهای مدیریتی (مثل
\\localhost\c$) میگذارد تا بعداً راحت خارج کند.تیم سورین
www.knowyouradversary.ru
223. Akira Abuses Wbadmin to Obtain a Copy of NTDS.dit
Hello everyone! Today the technique we are going to look at is OS Credential Dumping: NTDS (T1003.003). I'm sure you've seen adversaries abu...
🙏1
😈 Awesome Linux Software
😈 نرمافزارهای شگفتانگیز لینوکس
📌 لیستی از برنامهها، نرمافزارها، ابزارها و منابع کاربردی (از دستهی Awesome) برای توزیعهای مختلف لینوکس.
➖ این مخزن شامل مجموعهای از برنامهها و ابزارهای فوقالعاده لینوکس است که برای تمام کاربران و توسعهدهندگان میتواند مفید باشد.
➡️https://github.com/luong-komorebi/Awesome-Linux-Software
#Tool #Linux
تیم سورین
😈 نرمافزارهای شگفتانگیز لینوکس
📌 لیستی از برنامهها، نرمافزارها، ابزارها و منابع کاربردی (از دستهی Awesome) برای توزیعهای مختلف لینوکس.
➖ این مخزن شامل مجموعهای از برنامهها و ابزارهای فوقالعاده لینوکس است که برای تمام کاربران و توسعهدهندگان میتواند مفید باشد.
➡️https://github.com/luong-komorebi/Awesome-Linux-Software
#Tool #Linux
تیم سورین
GitHub
GitHub - luong-komorebi/Awesome-Linux-Software: 🐧 A list of awesome Linux softwares
🐧 A list of awesome Linux softwares . Contribute to luong-komorebi/Awesome-Linux-Software development by creating an account on GitHub.
👍1
Mapping MITRE ATT&CK with Window Event Log IDs
🔍 برای نگاشت Windows Event IDها به تاکتیکها و تکنیکهای MITRE ATT&CK یه مرجع فوقالعاده منتشر شده.
این جدول میتونه توی Threat Hunting و طراحی رول های SIEM خیلی کاربردی باشه :
🔏مطالعه در SOC Investigation
تیم سورین
🔍 برای نگاشت Windows Event IDها به تاکتیکها و تکنیکهای MITRE ATT&CK یه مرجع فوقالعاده منتشر شده.
این جدول میتونه توی Threat Hunting و طراحی رول های SIEM خیلی کاربردی باشه :
🔏مطالعه در SOC Investigation
تیم سورین
Security Investigation - Be the first to investigate
Mapping MITRE ATT&CK with Window Event Log IDs - Security Investigation
Author/Credits: mdecrevoisier MITRE Att@ck is known for its Tactics & Techniques. Each and every attack is mapped with MITRE Att@ck. ATT&CK stands for adversarial tactics, techniques, and common knowledge. The tactics are a modern way of looking at cyberattacks.…
❤2👍2
💢سرفصل های دوره :
Splunk Clustering & Administrator
زمان دوره :۴۸ ساعت
1. Introduction
2. Deploying Splunk
3. Splunk Installation
4. Secure Splunk Enterprise
5. Manage Users & Roles
6. Monitoring Splunk
7. Licensing Splunk
8. Configuration File & Directory Structure
9. Manage indexes
10. Manage ClusterMaster & indexers
11. Create indexes.conf
12. Customize Limits.conf & Servers.conf & …
13. Introduction of Buckets
14. Manage Deployment
Server
15. Configure Basic Forwarding
16. Configure data inputs
17. Configure Search head Cluster & Deployer
18. Install Splunk App & addons in cluster Structure
19. Add Users and Configure
Roles in Cluster Structure
20. Configure Heavy
Forwarder HA
21. Install & Configure
Stream App
22. Splunk Multisite Structure
23. Splunk SmartStore Structure
مدرس : احمرضا نوروزی
تیم سورین
Splunk Clustering & Administrator
زمان دوره :۴۸ ساعت
1. Introduction
2. Deploying Splunk
3. Splunk Installation
4. Secure Splunk Enterprise
5. Manage Users & Roles
6. Monitoring Splunk
7. Licensing Splunk
8. Configuration File & Directory Structure
9. Manage indexes
10. Manage ClusterMaster & indexers
11. Create indexes.conf
12. Customize Limits.conf & Servers.conf & …
13. Introduction of Buckets
14. Manage Deployment
Server
15. Configure Basic Forwarding
16. Configure data inputs
17. Configure Search head Cluster & Deployer
18. Install Splunk App & addons in cluster Structure
19. Add Users and Configure
Roles in Cluster Structure
20. Configure Heavy
Forwarder HA
21. Install & Configure
Stream App
22. Splunk Multisite Structure
23. Splunk SmartStore Structure
مدرس : احمرضا نوروزی
تیم سورین
🔍 کارگاه Silence & Kill EDR – DEF CON 33
در این پروژه عملی از DEF CON 33 یاد میگیرید چطور Agentهای EDR را شناسایی کرده
(هوکها، لاگها، ارتباطات) و با تکنیکهای واقعی آنها را Kill یا Silencing کنید.
همچنین آموزش توسعه ابزار سفارشی (C/C++، BYOVD) در محیط امن و کنترلشده ارائه شده است.
مناسب برای Red/Blue Team و Threat Hunters
لینک پروژه:
https://github.com/arosenmund/defcon33_silence_kill_edr
تیم سورین
در این پروژه عملی از DEF CON 33 یاد میگیرید چطور Agentهای EDR را شناسایی کرده
(هوکها، لاگها، ارتباطات) و با تکنیکهای واقعی آنها را Kill یا Silencing کنید.
همچنین آموزش توسعه ابزار سفارشی (C/C++، BYOVD) در محیط امن و کنترلشده ارائه شده است.
مناسب برای Red/Blue Team و Threat Hunters
لینک پروژه:
https://github.com/arosenmund/defcon33_silence_kill_edr
تیم سورین
GitHub
GitHub - arosenmund/defcon33_silence_kill_edr
Contribute to arosenmund/defcon33_silence_kill_edr development by creating an account on GitHub.
❤2👍1
📢✨ برگزاری دوره تخصصی Splunk Enterprise Security
با تدریس مهندس آهنگری در آموزشگاه نورانت
🔹 یادگیری کامل مفاهیم SIEM و Splunk ES
🔹 پیادهسازی یوزکیسها و قوانین امنیتی پیشرفته
🔹 تحلیل رخدادها براساس چارچوب MITRE ATT&CK
🔹 مناسب برای کارشناسان SOC، مدیران امنیت و علاقهمندان به حوزه مانیتورینگ و تهدیدیابی
📅 برای مشاهده جزئیات دوره و ثبتنام:
🔗 مشاهده دوره در سایت نورانت
تیم سورین
با تدریس مهندس آهنگری در آموزشگاه نورانت
🔹 یادگیری کامل مفاهیم SIEM و Splunk ES
🔹 پیادهسازی یوزکیسها و قوانین امنیتی پیشرفته
🔹 تحلیل رخدادها براساس چارچوب MITRE ATT&CK
🔹 مناسب برای کارشناسان SOC، مدیران امنیت و علاقهمندان به حوزه مانیتورینگ و تهدیدیابی
📅 برای مشاهده جزئیات دوره و ثبتنام:
🔗 مشاهده دوره در سایت نورانت
تیم سورین
Nooranet
موسسه نورانت | دوره آموزشی اسپلانک ES
آموزش دوره های امنیت سایبری - تست نفوذ - فارنزیک به عنوان یکی از موسسات پیشرو در زمینه أموزش دوره های امنیت سایبری
👍5🤩1
مدل سنتی PICERL (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned) سالها بهعنوان چارچوب اصلی پاسخ به حوادث استفاده شده.
مزیتش سادگی و نظم خطی بود، اما در عمل ضعفهای جدی دارد:
خطی و خشک بودن مراحل (عدم تطابق با واقعیت پویا)
فاصله بین “آنچه روی کاغذ است” و “آنچه در میدان اجرا میشود”
ضعف در انعطافپذیری هنگام کشف شواهد جدید یا تغییر دامنه حمله
📌 در مقاله، مدل DAIR (Dynamic Approach to Incident Response) معرفی شده؛ رویکردی پویا، چرخهای و نتیجهمحور:
مراحل پاسخ میتوانند همزمان یا بازگشتی باشند (Detection ↔️ Triage ↔️ Scoping ↔️ Containment …)
تمرکز اصلی روی اولویت کسبوکار و کاهش زمان پاسخ است
امکان بهبود مداوم و اصلاح فرآیندها در طول چرخه فراهم میشود
Threat Hunting، تحلیل مداوم و اصلاح سیاستها بخشی از فرایند هستند، نه فقط یک “Lessons Learned” در پایان
✅ جمعبندی:
مدل DAIR نسبت به PICERL انعطافپذیرتر و واقعگراتر است و برای محیطهای پیچیده، حملات پیشرفته و تیمهای SOC بالغ پاسخگویی سریعتر و دقیقتر ارائه میدهد.
https://medium.com/@cyberengage.org/rethinking-incident-response-from-picerl-to-dair-expanded-edition-7d309f00d43a
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Rethinking Incident Response — From PICERL to DAIR (Expanded Edition)
If you guys remember, I had written a post a while back about the DAIR model — and honestly, the response was wild. I got so many messages…
Golden dMSA: What Is dMSA Authentication Bypass?
🚨 چالش جدید در Active Directory ( Golden dMSA Attack)
پژوهش Semperis: نقص طراحی در dMSA/gMSA که ManagedPasswordId فقط ۱۰۲۴ ترکیب ممکن دارد؛ در صورت دسترسی به KDS root key میتوان رمز همهی dMSA/gMSAها را آفلاین تولید کرد.
پیشنیاز حمله: استخراج KDS root key (دسترسی Tier-0: Domain/Enterprise Admin یا SYSTEM).
ابزار PoC: GoldenDMSA — اثبات قابلیت عملی تولید رمز و سوءاستفاده.
🔎 شاخصهای مهم برای تشخیص (بهسرعت در SIEM پیاده شود):
Windows Security: EventID 4662 با اشاره به msDS-ManagedPassword (Directory Service Access).
Logon events: EventID 4624 / 4625 برای سرویساکانتها (dMSA/gMSA) — لاگین از میزبان/Workstation نامتعارف.
Sysmon: EventID 17 (PipeEvent) نامپایپهایی مثل \lsarpc، EventID 10 (ProcessAccess) علیه lsass.exe و EventID 1 (ProcessCreate) برای ابزارهای شناختهشده (PoC/secretsdump).
RPC/LSA calls: فراخوانیهایی مانند LsaLookupSids که برای فهرستگیری dMSA استفاده میشوند.
🛡 فوری برای کاهش ریسک:
محدودسازی و بازنگری دسترسیهای Tier-0 و فعالسازی JIT/PIM.
فعالسازی Audit: Directory Service Access (برای msDS-* attrs) روی DCها.
نصب/تنظیم Sysmon روی DCها: ProcessCreate, ProcessAccess, PipeEvent + CommandLine.
استخراج لیست dMSA/gMSA (Get-ADServiceAccount) → آپلود به SIEM بهعنوان lookup → هشدار برای ورود یا استفاده از این حسابها روی میزبانهای غیرمجاز.
آمادهسازی playbook واکنش: قرنطینه میزبان، snapshot حافظه، چک تغییرات KDS/LSA، ریست رمزهای سرویس (در صورت نیاز با کنترل دقیق).
⚠️ نکته نهایی: حمله نیازمند امتیازات بالا است ولی در صورت افشای KDS root key اثر آن گسترده و پایدار خواهد بود — اولویت با محافظت Tier-0، لاگینگ دقیق و correlation در SIEM است.
https://www.semperis.com/blog/golden-dmsa-what-is-dmsa-authentication-bypass/
تیم سورین
پژوهش Semperis: نقص طراحی در dMSA/gMSA که ManagedPasswordId فقط ۱۰۲۴ ترکیب ممکن دارد؛ در صورت دسترسی به KDS root key میتوان رمز همهی dMSA/gMSAها را آفلاین تولید کرد.
پیشنیاز حمله: استخراج KDS root key (دسترسی Tier-0: Domain/Enterprise Admin یا SYSTEM).
ابزار PoC: GoldenDMSA — اثبات قابلیت عملی تولید رمز و سوءاستفاده.
🔎 شاخصهای مهم برای تشخیص (بهسرعت در SIEM پیاده شود):
Windows Security: EventID 4662 با اشاره به msDS-ManagedPassword (Directory Service Access).
Logon events: EventID 4624 / 4625 برای سرویساکانتها (dMSA/gMSA) — لاگین از میزبان/Workstation نامتعارف.
Sysmon: EventID 17 (PipeEvent) نامپایپهایی مثل \lsarpc، EventID 10 (ProcessAccess) علیه lsass.exe و EventID 1 (ProcessCreate) برای ابزارهای شناختهشده (PoC/secretsdump).
RPC/LSA calls: فراخوانیهایی مانند LsaLookupSids که برای فهرستگیری dMSA استفاده میشوند.
🛡 فوری برای کاهش ریسک:
محدودسازی و بازنگری دسترسیهای Tier-0 و فعالسازی JIT/PIM.
فعالسازی Audit: Directory Service Access (برای msDS-* attrs) روی DCها.
نصب/تنظیم Sysmon روی DCها: ProcessCreate, ProcessAccess, PipeEvent + CommandLine.
استخراج لیست dMSA/gMSA (Get-ADServiceAccount) → آپلود به SIEM بهعنوان lookup → هشدار برای ورود یا استفاده از این حسابها روی میزبانهای غیرمجاز.
آمادهسازی playbook واکنش: قرنطینه میزبان، snapshot حافظه، چک تغییرات KDS/LSA، ریست رمزهای سرویس (در صورت نیاز با کنترل دقیق).
⚠️ نکته نهایی: حمله نیازمند امتیازات بالا است ولی در صورت افشای KDS root key اثر آن گسترده و پایدار خواهد بود — اولویت با محافظت Tier-0، لاگینگ دقیق و correlation در SIEM است.
https://www.semperis.com/blog/golden-dmsa-what-is-dmsa-authentication-bypass/
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Semperis
Golden dMSA: What Is dMSA Authentication Bypass? | Semperis Research
The Golden dMSA attack enables attackers to bypass authentication and generate passwords for managed service accounts in AD. Understand the risks.
❤4
فرآيند Protected Process Light (PPL) یکی از مکانیزمهای امنیتی ویندوزه که برای حفاظت از سرویسهای حیاتی (مثل AV/EDR) طراحی شده است .
اما محققها نشون دادن همین مکانیزم میتونه بر علیه خودش استفاده بشه: اگر مهاجم بتونه یک باینری امضاشده رو با سطح PPL اجرا کنه و ورودی/پارامترها رو کنترل کنه، قادر خواهد بود در مسیرهای محافظتشدهی AV بنویسه یا حتی فایل اجرایی EDR رو در زمان بوت جایگزین کنه.
این مقاله سناریوی عملی و PoC استفاده از ClipUp.exe بهعنوان یک ابزار PPL برای نوشتن در مسیر Defender رو توضیح داده.
برای SOC تیمها، این یعنی نیاز فوری به:
مانیتورینگ اجرای Process با حالت PPL
بررسی تغییرات غیرمجاز در فایلهای AV/EDR
سختگیری در سیاستهای Code Signing و WDAC
📰 متن کامل
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Zerosalarium
Countering EDRs With The Backing Of Protected Process Light (PPL)
Abusing the Clipup.exe program by using the CreateProcessAsPPL.exe tool to destroy the executable file of the EDRs, Antivirus.
❤1🤩1
یک مخزن کاربردی و متمرکز برای راهاندازی یا تقویت «برنامه مقابله با تهدیدات داخلی» (Insider Threat).
🔎 چی داخل مخزن هست؟
- ماتریس بلوغ (Maturity Matrix) برای ارزیابی وضعیت کنونی برنامه
- فهرست TTPها (رفتارها و تکنیکهای مرتبط با تهدید داخلی)
- لینکها و منابع عملی برای مستندسازی و هماهنگی با بخشهای HR/Legal
💡 چرا برای SOC مفیده؟
- سریع بهعنوان قالب: ماتریس بلوغ رو برای شناسایی شکافهای مانیتورینگ، DLP و کنترل دسترسی استفاده کنید.
- منبع TTP برای ساخت Hunt/Alert: رفتارهای فهرستشده را به قواعد SIEM/Splunk/EDR نگاشت کنید.
- مرجع هماهنگی: موادِ Helpful Links کمک میکنند تا playbookها و فرآیندهای پاسخدهی با HR و Legal هماهنگ شود.
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Insider-Threat/Insider-Threat: Creating a resource to help build and manage an Insider Threat program.
Creating a resource to help build and manage an Insider Threat program. - GitHub - Insider-Threat/Insider-Threat: Creating a resource to help build and manage an Insider Threat program.
👍2❤1
Part 4: Building Effective Detection Rules
این مقاله (Part 4: Building Effective Detection Rules) دربارهی چگونگی طراحی و نوشتن ;کوئری های شناسایی مؤثر در SOC است. نویسنده توضیح میدهد که یک قاعده خوب باید:
▪️ بر رفتار مهاجم تمرکز کند نه شاخصهای تغییرپذیر (مثل IP و هش).
▪️ با چارچوب MITRE ATT&CK نگاشت شود تا جایگاهش در زنجیره حمله مشخص شود.
▪️ تعداد False Positiveها را به حداقل برساند با استفاده از whitelisting و threshold.
همچنین با مثالهایی در Sigma، Splunk (SPL) و KQL نشان میدهد چطور این قواعد نوشته میشوند.
💻 نمونه کوئری Splunk برای شناسایی دسترسی مشکوک به lsass.exe:
⚠️ این کوئری تلاشهای متعدد برای دسترسی به lsass.exe را نشان میدهد که میتواند نشانهی Credential Dumping (T1003) باشد.
تیم سورین
این مقاله (Part 4: Building Effective Detection Rules) دربارهی چگونگی طراحی و نوشتن ;کوئری های شناسایی مؤثر در SOC است. نویسنده توضیح میدهد که یک قاعده خوب باید:
همچنین با مثالهایی در Sigma، Splunk (SPL) و KQL نشان میدهد چطور این قواعد نوشته میشوند.
💻 نمونه کوئری Splunk برای شناسایی دسترسی مشکوک به lsass.exe:
index=windows EventCode=4656 ObjectName="\\Device\\HarddiskVolume*\\lsass.exe"
| stats count by Account_Name, Process_Name, Source_IP
| where count > 5
⚠️ این کوئری تلاشهای متعدد برای دسترسی به lsass.exe را نشان میدهد که میتواند نشانهی Credential Dumping (T1003) باشد.
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Part 4: Building Effective Detection Rules
Introduction to Detection Rule Creation
❤2👍1
From a Single Click: How Lunar Spider Enabled a Near Two-Month Intrusion
📌 از یک کلیک تا نفوذ دو ماهه — گزارش جدید DFIR Report
یک کلیک روی یک فایل ظاهراً بیخطر کافی بود: مهاجمان با ترکیبی از BruteRatel / Latrodectus / Cobalt Strike وارد شدند، credentialها (از جمله unattend.xml و LSASS) را سرقت کردند و با rclone/FTP دادهها را خارج کردند — تقریباً دو ماه در شبکه ماندند.
⚠️ نکات عملی — مناسب برای SOC :
🟠 وجود پراسس هایی شبیه به lsassa.exe یا sihosts.exe با رفتارهایی مشابه rclone یا rclone-rename (sihosts.exe, sihosts/sihosts.exe)
🔵 مشاهده Scheduled Task یا Run key جدید با مسیرهای غیرمعمول (%ALLUSERSPROFILE%\USOShared\lsassa.exe)
🟢 دسترسی/dump به LSASS / اجرای ابزارهایی مثل Veeam-Get-Creds یا rclone
🔴 ارتباطات HTTP/FTP نامتعارف به دامنهها یا IPهای خارجی و الگوهای beacon با دورهٔ ثابت
تیم سورین
📌 از یک کلیک تا نفوذ دو ماهه — گزارش جدید DFIR Report
یک کلیک روی یک فایل ظاهراً بیخطر کافی بود: مهاجمان با ترکیبی از BruteRatel / Latrodectus / Cobalt Strike وارد شدند، credentialها (از جمله unattend.xml و LSASS) را سرقت کردند و با rclone/FTP دادهها را خارج کردند — تقریباً دو ماه در شبکه ماندند.
⚠️ نکات عملی — مناسب برای SOC :
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
The DFIR Report
From a Single Click: How Lunar Spider Enabled a Near Two-Month Intrusion
Key Takeaways The intrusion began with a Lunar Spider linked JavaScript file disguised as a tax form that downloaded and executed Brute Ratel via a MSI installer. Multiple types of malware were dep…
❤1
Non-Malware and Living-off-the-Land Tactics in Modern Cyber Operations
«حملات بدون بدافزار و بهرهبرداری از ابزارهای سیستمی در عملیات سایبری مدرن
مهاجمان گاهی از ابزارهای قانونی سیستم (مثل PowerShell, certutil, regsvr32, mshta, PsExec, ProcDump) برای انجام کارهای مخرب استفاده میکنند تا ردپای بدافزار جدید نگذارند.
مهاجمها ممکن است بدافزار نسازند و بهجای آن از ابزارهای قانونی سیستم استفاده کنند. تمرکز ما باید روی «رفتار غیرعادی» این ابزارها باشد.
تیم سورین
«حملات بدون بدافزار و بهرهبرداری از ابزارهای سیستمی در عملیات سایبری مدرن
مهاجمان گاهی از ابزارهای قانونی سیستم (مثل PowerShell, certutil, regsvr32, mshta, PsExec, ProcDump) برای انجام کارهای مخرب استفاده میکنند تا ردپای بدافزار جدید نگذارند.
مهاجمها ممکن است بدافزار نسازند و بهجای آن از ابزارهای قانونی سیستم استفاده کنند. تمرکز ما باید روی «رفتار غیرعادی» این ابزارها باشد.
تیم سورین
Medium
Non-Malware and Living-off-the-Land Tactics in Modern Cyber Operations
The strategic risk of attackers using your own environment against you
(Threat Hunting With Splunk)
🔹 مدت دوره: ۲۴ ساعت
🔹 سطح: پیشرفته
🔹 پیشنیاز: آشنایی با شبکه، سرویسها، لاگها و حملات پایه
🔹 مدرس: مهندس آهنگری
🔹 هزینه: ۷,۰۰۰,۰۰۰ تومان
– کارشناسان SOC
– مدیران فنی SOC
– کارشناسان پاسخ به تهدید
– شکارچیان تهدید
– مشاوران امنیت سایبری
📝 ثبتنام
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
🔹 Module 1 – Introduction, Installation & Configuration of Splunk ES
آشنایی مقدماتی با Splunk ES، نصب، تنظیمات اولیه و Data Normalization
🔹 Module 2 – Threat Analysis & Security Content in ES
تحلیل تهدیدات، کار با Detection Rules، و ساخت Use Caseهای امنیتی
🔹 Module 3 – Advanced Threat Analysis & Threat Hunting with ES
شکار تهدیدات پیشرفته، تحلیل رفتار مهاجم و طراحی Dashboardهای حرفهای
🎓 مدرس: مهندس علی آهنگری
📍 جهت ثبتنام :
ارتباط با ادمین (@Fze01) و یا شماره تماس 09028990150
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4
Hypersec
Module 1 – Introduction, Installation & Configuration of Splunk ES
1. Introduction to Splunk ES
○ Splunk ES overview
○ Splunk ES architecture and key modules
○ Splunk ES requirements
2. Installation and Configuration of Splunk ES
○ Installing Splunk Enterprise Security
○ General Settings
○ Data Normalization
○ CIM (Common Information Model)
○ Datamodel and Datasets
○ Data Validation
3. Exploring Splunk ES
○ Incident Review Dashboard
○ Security Posture Dashboard
○ Threat Intelligence Framework
○ Identity and Asset Framework
○ Risk-based Analytics Framework
Module 2 – Threat Analysis & Security Content in ES
1. Working with Security Content (Detection Rules)
○ Understanding use cases in ES
○ Enabling ES detection rules
○ Out-of-the-box detection rules
○ Customizing and developing new detection rules
○ Notable Events and Incident Workflow
○ Notable Event investigation scenarios
2. Threat Intelligence in Splunk ES
○ Introduction to the Threat Intelligence Management framework
○ Importing/Exporting TI feeds (STIX, TAXII, etc.)
○ Creating and managing threat artifacts
3. Dashboard-Based Analysis
○ Reviewing security indicators in ES dashboards
○ Using Kill Chain and MITRE ATT&CK mappings
○ Building custom dashboards for SOC teams
Module 3 – Advanced Threat Analysis & Threat Hunting with ES
1. Analyzing Common Attacks in ES
○ Advanced SPL queries for hunting
○ Detecting and analyzing privilege escalation
○ Detecting and analyzing lateral movement
○ Detecting and analyzing data exfiltration
○ Identifying suspicious user behavior
2. Threat Hunting with MLTK (Machine Learning Toolkit)
○ Introduction to MLTK and concepts
○ Using Machine Learning (ML) to threat detection
○ training and applying MLTK models
3. Automation and Integration
○ Integrating Splunk ES with SOAR (e.g., Phantom)
○ Designing playbooks for automated response
○ APIs and integrations with other security tools
1. Introduction to Splunk ES
○ Splunk ES overview
○ Splunk ES architecture and key modules
○ Splunk ES requirements
2. Installation and Configuration of Splunk ES
○ Installing Splunk Enterprise Security
○ General Settings
○ Data Normalization
○ CIM (Common Information Model)
○ Datamodel and Datasets
○ Data Validation
3. Exploring Splunk ES
○ Incident Review Dashboard
○ Security Posture Dashboard
○ Threat Intelligence Framework
○ Identity and Asset Framework
○ Risk-based Analytics Framework
Module 2 – Threat Analysis & Security Content in ES
1. Working with Security Content (Detection Rules)
○ Understanding use cases in ES
○ Enabling ES detection rules
○ Out-of-the-box detection rules
○ Customizing and developing new detection rules
○ Notable Events and Incident Workflow
○ Notable Event investigation scenarios
2. Threat Intelligence in Splunk ES
○ Introduction to the Threat Intelligence Management framework
○ Importing/Exporting TI feeds (STIX, TAXII, etc.)
○ Creating and managing threat artifacts
3. Dashboard-Based Analysis
○ Reviewing security indicators in ES dashboards
○ Using Kill Chain and MITRE ATT&CK mappings
○ Building custom dashboards for SOC teams
Module 3 – Advanced Threat Analysis & Threat Hunting with ES
1. Analyzing Common Attacks in ES
○ Advanced SPL queries for hunting
○ Detecting and analyzing privilege escalation
○ Detecting and analyzing lateral movement
○ Detecting and analyzing data exfiltration
○ Identifying suspicious user behavior
2. Threat Hunting with MLTK (Machine Learning Toolkit)
○ Introduction to MLTK and concepts
○ Using Machine Learning (ML) to threat detection
○ training and applying MLTK models
3. Automation and Integration
○ Integrating Splunk ES with SOAR (e.g., Phantom)
○ Designing playbooks for automated response
○ APIs and integrations with other security tools
⚡1❤1
Media is too big
VIEW IN TELEGRAM
در این ویدیو، نگاهی اجمالی خواهیم داشت به سرفصلها، مباحث کلیدی و همچنین گروه مخاطبانی که این دوره برای آنها طراحی شده است.
اگر در مسیر حرفهای مدیریت و نگهداری Splunk هستید، این دوره دقیقاً برای شماست.
👩💻 مدرس: احمدرضا نوروزی
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2