🔎🔎یه نکته درباره SYSMON:
قطعا خیلی از دوستان با sysmon اشنایی دارند و خیلی از مباحث مانیتورینگ سیستم عامل رو به وسیله sysmon انجام میدن.
همونجوری که خودتون میدونید sysmon قابل کانفیگه
یعنی یه فایل xml در کنارشه که تنظیمات رو توی اون ذخیره میکنم و بعد سرویس رو نصب میکنیم.
توی این تنظیمات چیه؟ توی فایل xml باید چی بنویسیم؟
توی این فایل میایم میگیم چه چیز هایی رو میخوایم برای ما لاگ بگیری.
مثلا process create یا network connection ها.
این Event Log ها ۱۸ تاشو ماکروسافت به صورت رسمی منتشر کرده اما ایا فقط همین ۱۸ تاس؟
جواب منفیه
ما ۳ تا Event دیگه هم داریم که مربوط به wmi هست.
به چه دردی میخوره؟
میتونیم Query های WMI که تو شبکه میخوره رو رهگیری کنیم.
رهگیری wmi چه چیزایی به ما میده؟
تشخیص persist
تشخیص اجرای دستور از راه دور
تشخیص جمع اوری اطلاعات از راه دور
و...
پس حواسمون باشه از این به بعد Event ID های 19,20,21 رو هم بگیریم
با ارزوی موفقیت
قطعا خیلی از دوستان با sysmon اشنایی دارند و خیلی از مباحث مانیتورینگ سیستم عامل رو به وسیله sysmon انجام میدن.
همونجوری که خودتون میدونید sysmon قابل کانفیگه
یعنی یه فایل xml در کنارشه که تنظیمات رو توی اون ذخیره میکنم و بعد سرویس رو نصب میکنیم.
توی این تنظیمات چیه؟ توی فایل xml باید چی بنویسیم؟
توی این فایل میایم میگیم چه چیز هایی رو میخوایم برای ما لاگ بگیری.
مثلا process create یا network connection ها.
این Event Log ها ۱۸ تاشو ماکروسافت به صورت رسمی منتشر کرده اما ایا فقط همین ۱۸ تاس؟
جواب منفیه
ما ۳ تا Event دیگه هم داریم که مربوط به wmi هست.
به چه دردی میخوره؟
میتونیم Query های WMI که تو شبکه میخوره رو رهگیری کنیم.
رهگیری wmi چه چیزایی به ما میده؟
تشخیص persist
تشخیص اجرای دستور از راه دور
تشخیص جمع اوری اطلاعات از راه دور
و...
پس حواسمون باشه از این به بعد Event ID های 19,20,21 رو هم بگیریم
با ارزوی موفقیت
Hypersec
Photo
نحوه استفاده از مدل MITRE ATT@CK در مبحث Threat Intelligence
https://www.elastic.co/blog/introducing-elastic-siem
عرضه نسخه جدیدی از Elastic Search
گامی بزرگ در راستای بهبود قابلتهای تحلیل تهدیدات و تبدیل شدن به یک SIEM بالغ
عرضه نسخه جدیدی از Elastic Search
گامی بزرگ در راستای بهبود قابلتهای تحلیل تهدیدات و تبدیل شدن به یک SIEM بالغ
Elastic Blog
Introducing Elastic SIEM
The new Elastic SIEM app in Kibana enables threat hunting and exploration of host- and network-related events within your existing Elasticsearch data — all from an intuitive, collaborative interface....
Hypersec
https://www.elastic.co/blog/introducing-elastic-siem عرضه نسخه جدیدی از Elastic Search گامی بزرگ در راستای بهبود قابلتهای تحلیل تهدیدات و تبدیل شدن به یک SIEM بالغ
با این عرضه جدید، تحلیلگران تهدید میتوانند فعالیت های شکار تهدیدات و بررسی رویدادهای مبتنی بر شبکه و مبتنی بر host را بیش از پیش با این پلتفرم محبوب انجام دهند.
Forwarded from امنیت سایبری | Cyber Security (Saeed)
Media is too big
VIEW IN TELEGRAM
بریده ای از کلاس SEC555 - SANS
تشخیص تهدیدات با SIEM
موسسه کاریار ارقام
تشخیص تهدیدات با SIEM
موسسه کاریار ارقام