Forwarded from Splunk> Knowledge Base (Saeed)
Splunk’s Security Suite
آیا بدون نقشه و کولهپشتی مجهز و مناسب، می توانید به یک سفر بروید؟ البته که نه!
درست همانطور که هیچ سفری بدون تجهیزات مناسب نمیتواند موفقیتآمیز باشد، هیچ سفر امنیتی بدون داشتن تکنولوژی مناسب نمیتواند موفق باشد.
«مجموعه امنیتی Splunk» به تیمهای امنیتی سازمانها کمک می کند در محیطهای پویا و دیجیتال، به سرعت تهدیدات را شناسایی، بررسی و پاسخگویی مناسب با تهدیدها را انجام دهند.
راهکارهای Splunk می تواند توسط یک تحلیلگر سطح ۱ برای انجام تحقیقات پایه در یک بازه زمانی، با کلمات کلیدی، آدرس IP یا نام دستگاه استفاده شود.
و همین محصولات تحلیلگران پیشرفته ردیف ۲ و ردیف ۳ را قادر می سازند تا همبستهسازیهای پیشرفتهای را انجام و بررسی کنند، مدلهای تحلیلی بسازند یا جرمشناسی دیجیتال پیشرفته را انجام دهند.
🔸 @splunk_kb
آیا بدون نقشه و کولهپشتی مجهز و مناسب، می توانید به یک سفر بروید؟ البته که نه!
درست همانطور که هیچ سفری بدون تجهیزات مناسب نمیتواند موفقیتآمیز باشد، هیچ سفر امنیتی بدون داشتن تکنولوژی مناسب نمیتواند موفق باشد.
«مجموعه امنیتی Splunk» به تیمهای امنیتی سازمانها کمک می کند در محیطهای پویا و دیجیتال، به سرعت تهدیدات را شناسایی، بررسی و پاسخگویی مناسب با تهدیدها را انجام دهند.
راهکارهای Splunk می تواند توسط یک تحلیلگر سطح ۱ برای انجام تحقیقات پایه در یک بازه زمانی، با کلمات کلیدی، آدرس IP یا نام دستگاه استفاده شود.
و همین محصولات تحلیلگران پیشرفته ردیف ۲ و ردیف ۳ را قادر می سازند تا همبستهسازیهای پیشرفتهای را انجام و بررسی کنند، مدلهای تحلیلی بسازند یا جرمشناسی دیجیتال پیشرفته را انجام دهند.
🔸 @splunk_kb
چرا تشخیص تهدیدات کار سختی به نظر میاد؟
تو این پست به این سوال جواب داده شده
به طور خیلی خلاصه دلایل زیر ذکر شده:
شلخته بودن مکانیزم های امنیتی در سازمان ها
نیاز به نیروی انسانی متخصص
نیاز به داده های متنوع
چالش های اولویت بندی و عملکرد گاها منفی در سیستم های تشخیص خودکار
https://lnkd.in/eSM8AVd
تو این پست به این سوال جواب داده شده
به طور خیلی خلاصه دلایل زیر ذکر شده:
شلخته بودن مکانیزم های امنیتی در سازمان ها
نیاز به نیروی انسانی متخصص
نیاز به داده های متنوع
چالش های اولویت بندی و عملکرد گاها منفی در سیستم های تشخیص خودکار
https://lnkd.in/eSM8AVd
Medium
Why is Threat Detection Hard?
While creating a recent presentation, I needed a slide on “threat detection is hard.” And it got me thinking, why is threat detection so…
رول اسپلانک جهت تشخیص حمله مبتنی بر آسیب پذیری
Zerologon
شناسه آسیب پذیری
CVE-2020-1472
شرح آسیب پذیری
با سواستفاده از این آسیب پذیری، مهاجم می تواند دامین کنترلر را به جهت دسترسی به حساب کاربری ادمین هدف قرار دهد و کنترل سیستم های متصل به شبکه هدف را در اختیار گیرد. در این حمله از ضعف موجود در مکانیزم احراز هویتی که سیستم های متصل به دامین کنترلر را اعتبارسنجی می کند سو استفاده شده است. به بیانی جزیی تر، مهاجم با تکیه بر ضعف موجود در پیاده سازی الگوریتم AES قادر به جعل هویت سیستم های دامین هدف بوده و قادر به تغییر پسورد اکانت قربانی خواهد بود.
رول تشخیص حمله مذکور
index="your windows index name" sourcetype="wineventlog:security" EventCode IN (4742 4624) (src_user="*anonymous*" OR member_id="*S-1-0*")
| eval Target=mvindex(upper(split(user,"$")),0)
| where host=Target
| table EventCode dest host _time ComputerName src_user Account_Name Target member_id src_nt_domain dest_nt_domain
Zerologon
شناسه آسیب پذیری
CVE-2020-1472
شرح آسیب پذیری
با سواستفاده از این آسیب پذیری، مهاجم می تواند دامین کنترلر را به جهت دسترسی به حساب کاربری ادمین هدف قرار دهد و کنترل سیستم های متصل به شبکه هدف را در اختیار گیرد. در این حمله از ضعف موجود در مکانیزم احراز هویتی که سیستم های متصل به دامین کنترلر را اعتبارسنجی می کند سو استفاده شده است. به بیانی جزیی تر، مهاجم با تکیه بر ضعف موجود در پیاده سازی الگوریتم AES قادر به جعل هویت سیستم های دامین هدف بوده و قادر به تغییر پسورد اکانت قربانی خواهد بود.
رول تشخیص حمله مذکور
index="your windows index name" sourcetype="wineventlog:security" EventCode IN (4742 4624) (src_user="*anonymous*" OR member_id="*S-1-0*")
| eval Target=mvindex(upper(split(user,"$")),0)
| where host=Target
| table EventCode dest host _time ComputerName src_user Account_Name Target member_id src_nt_domain dest_nt_domain
Forwarded from امنیت سایبری | Cyber Security
کمپ یکروزه شکار تهدیدات سایبری با sysmon
هدف از برگزاری این دوره آموزشی یکروزه، تسلط کارشناسان و تحلیلگران امنیت سایبری بر تشخیص تهدیدات سایبری توسط #sysmon میباشد.
سرفصل مطالب:
آشنایی با مفاهیم Threat Hunting
آشنایی با ابزار محبوب Sysmon
پیکربندی Sysmon
بررسی لاگ های Sysmon
بررسی حملات مختلف و شناسایی حملات با Sysmon
آشنایی با Powershell و حملات مبتنی بر آن
زمان: هشتم آبان ماه از ساعت 9 الی 17
🧑💻👩💻 لینک ثبتنام
👁 @intsec
#همایش_نمایشگاه_رویداد
هدف از برگزاری این دوره آموزشی یکروزه، تسلط کارشناسان و تحلیلگران امنیت سایبری بر تشخیص تهدیدات سایبری توسط #sysmon میباشد.
سرفصل مطالب:
آشنایی با مفاهیم Threat Hunting
آشنایی با ابزار محبوب Sysmon
پیکربندی Sysmon
بررسی لاگ های Sysmon
بررسی حملات مختلف و شناسایی حملات با Sysmon
آشنایی با Powershell و حملات مبتنی بر آن
زمان: هشتم آبان ماه از ساعت 9 الی 17
🧑💻👩💻 لینک ثبتنام
👁 @intsec
#همایش_نمایشگاه_رویداد
Forwarded from NooraNet (A Z)
📢برگزاری دوره فشرده تشخیص تهدیدات با Splunk
📖مدرس: مهندس آهنگری
🗓 8 الی 10 بهمن ماه
🕰8:30 الی 18:30
☎️ تماس: 88503730
🖊 برای کسب اطلاعات بیشتر به لینک زیر مراجعه فرمایید:
http://www.nooranet.com/courses/defence/threat-detection-with-splunk
📖مدرس: مهندس آهنگری
🗓 8 الی 10 بهمن ماه
🕰8:30 الی 18:30
☎️ تماس: 88503730
🖊 برای کسب اطلاعات بیشتر به لینک زیر مراجعه فرمایید:
http://www.nooranet.com/courses/defence/threat-detection-with-splunk
Introduction to Wazuh (3).pdf
988.4 KB
فایل ارایه وبینار رایگان
Wazuh
Wazuh
✍️ یوزکیس اسپلانک برای وبشل Supernova
https://www.linkedin.com/posts/aliahangari_threathunting-supernova-splunk-activity-6762707735692816384-TCgV
#یوزکیس
https://www.linkedin.com/posts/aliahangari_threathunting-supernova-splunk-activity-6762707735692816384-TCgV
#یوزکیس
Linkedin
#threathunting #supernova #splunk #rules | Ali Ahangari
Detecting Supernova Web Shell Using Splunk
Ref: https://lnkd.in/eqAsSBS
#threathunting #supernova #splunk #rules
Ref: https://lnkd.in/eqAsSBS
#threathunting #supernova #splunk #rules
✍️ یوزکیس اسپلانک برای باج افزار Clop
https://www.linkedin.com/posts/aliahangari_threathunting-ransomware-clop-activity-6795462507826884608-TSIo
#یوزکیس
https://www.linkedin.com/posts/aliahangari_threathunting-ransomware-clop-activity-6795462507826884608-TSIo
#یوزکیس
Linkedin
Ali Ahangari on LinkedIn: #threathunting #ransomware #clop
Clop Ransomware
رول شناسایی با اسپلانک
sourcetype="xmlwineventlog:microsoft-windows-sysmon/operational" EventCode=1 ParentImage IN ("*cmd.exe" "*powershell.exe...
رول شناسایی با اسپلانک
sourcetype="xmlwineventlog:microsoft-windows-sysmon/operational" EventCode=1 ParentImage IN ("*cmd.exe" "*powershell.exe...
✍️ نحوه راه اندازی پلتفرم MISP (جمع آوری، ذخیره و انتشار Threat Intelligence)
MISP is an open-source Threat intelligence and sharing platform (formerly known as Malware Information Sharing Platform) that is used for collecting, storing distributing and sharing cybersecurity indicators and threats about cybersecurity incidents & malware analysis.
https://lnkd.in/eaYz8s7
#هوش_تهدید
MISP is an open-source Threat intelligence and sharing platform (formerly known as Malware Information Sharing Platform) that is used for collecting, storing distributing and sharing cybersecurity indicators and threats about cybersecurity incidents & malware analysis.
https://lnkd.in/eaYz8s7
#هوش_تهدید
Hacking Articles
Threat Intelligence: MISP Lab Setup
MISP is an open-source Threat intelligence and sharing platform (formerly known as Malware Information Sharing Platform) that is used for collecting, storing distributing and sharing
✍ سه فرمت پرکاربرد برای نوشتن قوانین تشخیص تهدیدات
فرمت YARA: برای فایل
فرمت Snort: برای ترافیک شبکه
فرمت Sigma: برای لاگ
برای تشخیص یک حمله:
1) نشانه های فایل های مخرب مهاجم (مثلا یک بخش از String خاص موجود در فایل) رو به فرمت Yara بنویسید و سیستم های مشکوک رو با ابزاری که میتونه yara بخونه (و یا ابزاری که خودتون مینویسید) اسکن کنید.
2) الگوی ترافیکی حمله رو به فرمت Snort بنویسید و بزارید داخل IDS (سوریکاتا، فایرپاور و ...).
3) به ازای لاگهای تولید شده برای حمله، یک قانون در SIEM بنویسید. خیلی اوقات این قوانین توسط سایرین نوشته و با فرمت Sigma منتشر میشود. میتونید اونها رو دریافت و از سیگما به زبان SIEM خودتون تبدیل کنید (مثلا Splunk SPL).
#شکار_تهدید
♻️ @HyperSec
فرمت YARA: برای فایل
فرمت Snort: برای ترافیک شبکه
فرمت Sigma: برای لاگ
برای تشخیص یک حمله:
1) نشانه های فایل های مخرب مهاجم (مثلا یک بخش از String خاص موجود در فایل) رو به فرمت Yara بنویسید و سیستم های مشکوک رو با ابزاری که میتونه yara بخونه (و یا ابزاری که خودتون مینویسید) اسکن کنید.
2) الگوی ترافیکی حمله رو به فرمت Snort بنویسید و بزارید داخل IDS (سوریکاتا، فایرپاور و ...).
3) به ازای لاگهای تولید شده برای حمله، یک قانون در SIEM بنویسید. خیلی اوقات این قوانین توسط سایرین نوشته و با فرمت Sigma منتشر میشود. میتونید اونها رو دریافت و از سیگما به زبان SIEM خودتون تبدیل کنید (مثلا Splunk SPL).
#شکار_تهدید
♻️ @HyperSec
✍️ بررسی حادثه باج افزاری
در این ماه، برای دو حادثه باج افزاری از ما کمک خواسته شد. باج افزار از آن دسته تهدیدات، کلافه کننده است!
معمولا یک بخشی از عملیات به رمزنگاری نامتقارن وصل میشود.
بنابراین شانس زیادی برای بازگرداندن فایل های رمزشده وجود ندارد و از این رو در خیلی از موارد فایل ها به کلی از دست میروند. فایل هایی که ممکن است نتیجه زحمات چند ماهه یک تیم باشد.
منشا حادثه را پیدا کردیم و معماری شبکه درحال بازطراحی است. بخش کمی از اطلاعات نیز ریکاوری شد.
ولی چه فایده! از یک طرف فایل های بسیار مهم شرکت در حال حاضر در دسترس نیست و نیاز فوری به آنها وجود دارد و از یک طرف مبلغ زیاد باج و عدم اطمینان به مهاجم...
مطمئن باشید هزینه ای که برای تامین امنیت میپردازید از پرداخت باج و امثالهم خیلی کمتر و مطمئن تر است. نکات زیادی در این دسته از حوادث وجود دارد. لطفا موارد زیر را درنظر بگیرید:
1) به هیچ عنوان از RDP برای اتصال از راه دور (اینترنت) استفاده نکنید. راه های مطمئن تری وجود دارد. حداقل OpenVPN راه اندازی کنید (AnyDesk گزینه ی مناسبی نیست).
2) تغییر پورت RDP تاثیر زیادی در کاهش سطح ریسک ندارد.
3) تجربه ثابت کرده که Iran-Access کردن (مسدودسازی IPهای غیر ایران) مانع از حمله نمیشود. در موارد متعدد، حمله از سوی IP ایرانی انجام شده که خود قربانی است.
4) وجود آنتی ویروس تقریبا کمکی به این نوع حمله نمیکند (مهاجم بعد از ورود به سیستم، با دسترسی ادمین، خودش آنتی ویروس را پاک یا غیرفعال میکند).
5) با درصد اطمینان بالایی می توان گفت که قبل از شروع مراحل رمزنگاری توسط باج افزار، ابتدا Shadow copy و یا هر چیزی که در فرآیند بازیابی اطلاعات کمک میکند، توسط مهاجم از بین می رود. بنابراین داشتن Backup از فایل ها ضروری است. البته خود فرایند Backup گیری هم باید به طور صحیح طراحی و اجرا شود، در غیر اینصورت فایل های Backup نیز در خطر رمز شدن توسط باج افزار قرار می گیرند.
#پاسخ_به_حادثه
♻️ @HyperSec
در این ماه، برای دو حادثه باج افزاری از ما کمک خواسته شد. باج افزار از آن دسته تهدیدات، کلافه کننده است!
معمولا یک بخشی از عملیات به رمزنگاری نامتقارن وصل میشود.
بنابراین شانس زیادی برای بازگرداندن فایل های رمزشده وجود ندارد و از این رو در خیلی از موارد فایل ها به کلی از دست میروند. فایل هایی که ممکن است نتیجه زحمات چند ماهه یک تیم باشد.
منشا حادثه را پیدا کردیم و معماری شبکه درحال بازطراحی است. بخش کمی از اطلاعات نیز ریکاوری شد.
ولی چه فایده! از یک طرف فایل های بسیار مهم شرکت در حال حاضر در دسترس نیست و نیاز فوری به آنها وجود دارد و از یک طرف مبلغ زیاد باج و عدم اطمینان به مهاجم...
مطمئن باشید هزینه ای که برای تامین امنیت میپردازید از پرداخت باج و امثالهم خیلی کمتر و مطمئن تر است. نکات زیادی در این دسته از حوادث وجود دارد. لطفا موارد زیر را درنظر بگیرید:
1) به هیچ عنوان از RDP برای اتصال از راه دور (اینترنت) استفاده نکنید. راه های مطمئن تری وجود دارد. حداقل OpenVPN راه اندازی کنید (AnyDesk گزینه ی مناسبی نیست).
2) تغییر پورت RDP تاثیر زیادی در کاهش سطح ریسک ندارد.
3) تجربه ثابت کرده که Iran-Access کردن (مسدودسازی IPهای غیر ایران) مانع از حمله نمیشود. در موارد متعدد، حمله از سوی IP ایرانی انجام شده که خود قربانی است.
4) وجود آنتی ویروس تقریبا کمکی به این نوع حمله نمیکند (مهاجم بعد از ورود به سیستم، با دسترسی ادمین، خودش آنتی ویروس را پاک یا غیرفعال میکند).
5) با درصد اطمینان بالایی می توان گفت که قبل از شروع مراحل رمزنگاری توسط باج افزار، ابتدا Shadow copy و یا هر چیزی که در فرآیند بازیابی اطلاعات کمک میکند، توسط مهاجم از بین می رود. بنابراین داشتن Backup از فایل ها ضروری است. البته خود فرایند Backup گیری هم باید به طور صحیح طراحی و اجرا شود، در غیر اینصورت فایل های Backup نیز در خطر رمز شدن توسط باج افزار قرار می گیرند.
#پاسخ_به_حادثه
♻️ @HyperSec
✍️معرفی چند دیتاست از حملات شبیهسازی شده
به منظور صحتسنجی Use Caseهای موجود در یک SIEM و یا تولید Use Caseهای جدید، نیاز به دیتاستهایی واقعی که از شبیهسازی حملات مختلف به وجود آمدهاند، داریم. این دیتاستها میتوانند شامل لاگ تولید شده از اجرای حمله در قالبهای مختلف، ترافیک جمعآوریشده و غیره باشند. در ادامه سه نمونه از این موارد آورده شده است:
1) دیتاست Boss of the SOC (BOTS):
این دیتاست که در سه نسخه مختلف عرضه شده است، دادههای ارزشمند از منابع مختلف را در اختیار متخصصان امنیتی قرار میدهد. این دیتاست برای استفاده در محیط Splunk جمعآوری شده است و به راحتی قابلیت بهرهبرداری در این ابزار را دارد.
https://github.com/splunk/botsv1
https://github.com/splunk/botsv2
https://github.com/splunk/botsv3
2) دیتاست Attack data:
از ویژگیهای این دیتاست، انطباق با پروژه Atomic Red Team است که فرآیند تولید و یا ارزیابی Use Caseهای امنیتی منطبق با مدل MITRE ATT&CK را تسهیل میکند.
https://github.com/splunk/attack_data
3) دیتاست Mordor:
طرفداران سری فیلمهای ارباب حلقهها، واژه Mordor را به خاطر دارند. دیتاست Mordor شامل رخدادهای تولیدشده از شبیهسازی حملات مختلف بوده که در قالب فایلهای JSON و PCAP و براساس دستهبندیهای مختلف نظیر تکنیکها و تاکتیکهای MITRE ATT&CK، قابل استفاده است.
https://github.com/OTRF/mordor
#یوزکیس
#دیتاست
♻️ @HyperSec
به منظور صحتسنجی Use Caseهای موجود در یک SIEM و یا تولید Use Caseهای جدید، نیاز به دیتاستهایی واقعی که از شبیهسازی حملات مختلف به وجود آمدهاند، داریم. این دیتاستها میتوانند شامل لاگ تولید شده از اجرای حمله در قالبهای مختلف، ترافیک جمعآوریشده و غیره باشند. در ادامه سه نمونه از این موارد آورده شده است:
1) دیتاست Boss of the SOC (BOTS):
این دیتاست که در سه نسخه مختلف عرضه شده است، دادههای ارزشمند از منابع مختلف را در اختیار متخصصان امنیتی قرار میدهد. این دیتاست برای استفاده در محیط Splunk جمعآوری شده است و به راحتی قابلیت بهرهبرداری در این ابزار را دارد.
https://github.com/splunk/botsv1
https://github.com/splunk/botsv2
https://github.com/splunk/botsv3
2) دیتاست Attack data:
از ویژگیهای این دیتاست، انطباق با پروژه Atomic Red Team است که فرآیند تولید و یا ارزیابی Use Caseهای امنیتی منطبق با مدل MITRE ATT&CK را تسهیل میکند.
https://github.com/splunk/attack_data
3) دیتاست Mordor:
طرفداران سری فیلمهای ارباب حلقهها، واژه Mordor را به خاطر دارند. دیتاست Mordor شامل رخدادهای تولیدشده از شبیهسازی حملات مختلف بوده که در قالب فایلهای JSON و PCAP و براساس دستهبندیهای مختلف نظیر تکنیکها و تاکتیکهای MITRE ATT&CK، قابل استفاده است.
https://github.com/OTRF/mordor
#یوزکیس
#دیتاست
♻️ @HyperSec
👍1