از چه نوع دستگاه هایی چه لاگ هایی باید جمع آوری کرد و به دنبال چه تهدیداتی باید بود (بخش دوم)

در جدیدترین فعالیت انجام شده در پروژه Mordor، (پروژه آماده سازی لاگ ها و دیتاست مورد نیاز جهت تست زیرساخت امنیتی سازمان ها و Use Case های یک SIEM ) داده های مربوط به تهدید پیشرفته موسوم به APT3 با تلاش اعضای پروژه مذکور گردآوری شده و متخصصان امنیتی بدون نیاز به شبیه سازی چالش برانگیز و هزینه بر تهدید APT3، میتوانند از لاگ های آن استفاده کرده و زیرساخت سازمان خود را محک بزنند. به بیان ساده تر، بدون اینکه این تهدید را شبیه سازی کنند و تنها با ارسال لاگ های این تهدید، می توان میزان آمادگی زیرساخت امنیتی شبکه در برابر وقوع چنین تهدیدی را سنجید.
این دیتا ست رو می تونید از طریق لینک زیر دانلود کنید.
https://github.com/Cyb3rWard0g/mordor/tree/master/large_datasets/apt3

دیتاست تهدید پیشرفته APT3 رو (علاوه بر لینک فوق) می تونید مستقیما از همین جا هم دانلود کنید.
👇👇

🔎🔎یه نکته درباره SYSMON:

قطعا خیلی از دوستان با sysmon اشنایی دارند و خیلی از مباحث مانیتورینگ سیستم عامل رو به وسیله sysmon انجام میدن.
همونجوری که خودتون میدونید sysmon قابل کانفیگه
یعنی یه فایل xml در کنارشه که تنظیمات رو توی اون ذخیره میکنم و بعد سرویس رو نصب میکنیم.
توی این تنظیمات چیه؟ توی فایل xml باید چی بنویسیم؟
توی این فایل میایم میگیم چه چیز هایی رو میخوایم برای ما لاگ بگیری.
مثلا process create یا network connection ها.
این Event Log ها ۱۸ تاشو ماکروسافت به صورت رسمی منتشر کرده اما ایا فقط همین ۱۸ تاس؟
جواب منفیه
ما ۳ تا Event دیگه هم داریم که مربوط به wmi هست.
به چه دردی میخوره؟
میتونیم Query های WMI که تو شبکه میخوره رو رهگیری کنیم.
رهگیری wmi چه چیزایی به ما میده؟
تشخیص persist
تشخیص اجرای دستور از راه دور
تشخیص جمع اوری اطلاعات از راه دور
و...
پس حواسمون باشه از این به بعد Event ID های 19,20,21 رو هم بگیریم

با ارزوی موفقیت‌

#Hunt_Evil Poster By SANS

Linux Threat Detection Commands Cheat Sheet

معرفی ابزار osquery

نسخه ۱۰ ابزار Sysmon

مقایسه ای بین فعالیت های تیم قرمز و آبی

نحوه استفاده از مدل MITRE ATT@CK در مبحث Threat Intelligence