✍️ یوزکیس اسپلانک برای باج افزار Clop
https://www.linkedin.com/posts/aliahangari_threathunting-ransomware-clop-activity-6795462507826884608-TSIo
#یوزکیس
https://www.linkedin.com/posts/aliahangari_threathunting-ransomware-clop-activity-6795462507826884608-TSIo
#یوزکیس
Linkedin
Ali Ahangari on LinkedIn: #threathunting #ransomware #clop
Clop Ransomware
رول شناسایی با اسپلانک
sourcetype="xmlwineventlog:microsoft-windows-sysmon/operational" EventCode=1 ParentImage IN ("*cmd.exe" "*powershell.exe...
رول شناسایی با اسپلانک
sourcetype="xmlwineventlog:microsoft-windows-sysmon/operational" EventCode=1 ParentImage IN ("*cmd.exe" "*powershell.exe...
✍️ نحوه راه اندازی پلتفرم MISP (جمع آوری، ذخیره و انتشار Threat Intelligence)
MISP is an open-source Threat intelligence and sharing platform (formerly known as Malware Information Sharing Platform) that is used for collecting, storing distributing and sharing cybersecurity indicators and threats about cybersecurity incidents & malware analysis.
https://lnkd.in/eaYz8s7
#هوش_تهدید
MISP is an open-source Threat intelligence and sharing platform (formerly known as Malware Information Sharing Platform) that is used for collecting, storing distributing and sharing cybersecurity indicators and threats about cybersecurity incidents & malware analysis.
https://lnkd.in/eaYz8s7
#هوش_تهدید
Hacking Articles
Threat Intelligence: MISP Lab Setup
MISP is an open-source Threat intelligence and sharing platform (formerly known as Malware Information Sharing Platform) that is used for collecting, storing distributing and sharing
✍ سه فرمت پرکاربرد برای نوشتن قوانین تشخیص تهدیدات
فرمت YARA: برای فایل
فرمت Snort: برای ترافیک شبکه
فرمت Sigma: برای لاگ
برای تشخیص یک حمله:
1) نشانه های فایل های مخرب مهاجم (مثلا یک بخش از String خاص موجود در فایل) رو به فرمت Yara بنویسید و سیستم های مشکوک رو با ابزاری که میتونه yara بخونه (و یا ابزاری که خودتون مینویسید) اسکن کنید.
2) الگوی ترافیکی حمله رو به فرمت Snort بنویسید و بزارید داخل IDS (سوریکاتا، فایرپاور و ...).
3) به ازای لاگهای تولید شده برای حمله، یک قانون در SIEM بنویسید. خیلی اوقات این قوانین توسط سایرین نوشته و با فرمت Sigma منتشر میشود. میتونید اونها رو دریافت و از سیگما به زبان SIEM خودتون تبدیل کنید (مثلا Splunk SPL).
#شکار_تهدید
♻️ @HyperSec
فرمت YARA: برای فایل
فرمت Snort: برای ترافیک شبکه
فرمت Sigma: برای لاگ
برای تشخیص یک حمله:
1) نشانه های فایل های مخرب مهاجم (مثلا یک بخش از String خاص موجود در فایل) رو به فرمت Yara بنویسید و سیستم های مشکوک رو با ابزاری که میتونه yara بخونه (و یا ابزاری که خودتون مینویسید) اسکن کنید.
2) الگوی ترافیکی حمله رو به فرمت Snort بنویسید و بزارید داخل IDS (سوریکاتا، فایرپاور و ...).
3) به ازای لاگهای تولید شده برای حمله، یک قانون در SIEM بنویسید. خیلی اوقات این قوانین توسط سایرین نوشته و با فرمت Sigma منتشر میشود. میتونید اونها رو دریافت و از سیگما به زبان SIEM خودتون تبدیل کنید (مثلا Splunk SPL).
#شکار_تهدید
♻️ @HyperSec
✍️ بررسی حادثه باج افزاری
در این ماه، برای دو حادثه باج افزاری از ما کمک خواسته شد. باج افزار از آن دسته تهدیدات، کلافه کننده است!
معمولا یک بخشی از عملیات به رمزنگاری نامتقارن وصل میشود.
بنابراین شانس زیادی برای بازگرداندن فایل های رمزشده وجود ندارد و از این رو در خیلی از موارد فایل ها به کلی از دست میروند. فایل هایی که ممکن است نتیجه زحمات چند ماهه یک تیم باشد.
منشا حادثه را پیدا کردیم و معماری شبکه درحال بازطراحی است. بخش کمی از اطلاعات نیز ریکاوری شد.
ولی چه فایده! از یک طرف فایل های بسیار مهم شرکت در حال حاضر در دسترس نیست و نیاز فوری به آنها وجود دارد و از یک طرف مبلغ زیاد باج و عدم اطمینان به مهاجم...
مطمئن باشید هزینه ای که برای تامین امنیت میپردازید از پرداخت باج و امثالهم خیلی کمتر و مطمئن تر است. نکات زیادی در این دسته از حوادث وجود دارد. لطفا موارد زیر را درنظر بگیرید:
1) به هیچ عنوان از RDP برای اتصال از راه دور (اینترنت) استفاده نکنید. راه های مطمئن تری وجود دارد. حداقل OpenVPN راه اندازی کنید (AnyDesk گزینه ی مناسبی نیست).
2) تغییر پورت RDP تاثیر زیادی در کاهش سطح ریسک ندارد.
3) تجربه ثابت کرده که Iran-Access کردن (مسدودسازی IPهای غیر ایران) مانع از حمله نمیشود. در موارد متعدد، حمله از سوی IP ایرانی انجام شده که خود قربانی است.
4) وجود آنتی ویروس تقریبا کمکی به این نوع حمله نمیکند (مهاجم بعد از ورود به سیستم، با دسترسی ادمین، خودش آنتی ویروس را پاک یا غیرفعال میکند).
5) با درصد اطمینان بالایی می توان گفت که قبل از شروع مراحل رمزنگاری توسط باج افزار، ابتدا Shadow copy و یا هر چیزی که در فرآیند بازیابی اطلاعات کمک میکند، توسط مهاجم از بین می رود. بنابراین داشتن Backup از فایل ها ضروری است. البته خود فرایند Backup گیری هم باید به طور صحیح طراحی و اجرا شود، در غیر اینصورت فایل های Backup نیز در خطر رمز شدن توسط باج افزار قرار می گیرند.
#پاسخ_به_حادثه
♻️ @HyperSec
در این ماه، برای دو حادثه باج افزاری از ما کمک خواسته شد. باج افزار از آن دسته تهدیدات، کلافه کننده است!
معمولا یک بخشی از عملیات به رمزنگاری نامتقارن وصل میشود.
بنابراین شانس زیادی برای بازگرداندن فایل های رمزشده وجود ندارد و از این رو در خیلی از موارد فایل ها به کلی از دست میروند. فایل هایی که ممکن است نتیجه زحمات چند ماهه یک تیم باشد.
منشا حادثه را پیدا کردیم و معماری شبکه درحال بازطراحی است. بخش کمی از اطلاعات نیز ریکاوری شد.
ولی چه فایده! از یک طرف فایل های بسیار مهم شرکت در حال حاضر در دسترس نیست و نیاز فوری به آنها وجود دارد و از یک طرف مبلغ زیاد باج و عدم اطمینان به مهاجم...
مطمئن باشید هزینه ای که برای تامین امنیت میپردازید از پرداخت باج و امثالهم خیلی کمتر و مطمئن تر است. نکات زیادی در این دسته از حوادث وجود دارد. لطفا موارد زیر را درنظر بگیرید:
1) به هیچ عنوان از RDP برای اتصال از راه دور (اینترنت) استفاده نکنید. راه های مطمئن تری وجود دارد. حداقل OpenVPN راه اندازی کنید (AnyDesk گزینه ی مناسبی نیست).
2) تغییر پورت RDP تاثیر زیادی در کاهش سطح ریسک ندارد.
3) تجربه ثابت کرده که Iran-Access کردن (مسدودسازی IPهای غیر ایران) مانع از حمله نمیشود. در موارد متعدد، حمله از سوی IP ایرانی انجام شده که خود قربانی است.
4) وجود آنتی ویروس تقریبا کمکی به این نوع حمله نمیکند (مهاجم بعد از ورود به سیستم، با دسترسی ادمین، خودش آنتی ویروس را پاک یا غیرفعال میکند).
5) با درصد اطمینان بالایی می توان گفت که قبل از شروع مراحل رمزنگاری توسط باج افزار، ابتدا Shadow copy و یا هر چیزی که در فرآیند بازیابی اطلاعات کمک میکند، توسط مهاجم از بین می رود. بنابراین داشتن Backup از فایل ها ضروری است. البته خود فرایند Backup گیری هم باید به طور صحیح طراحی و اجرا شود، در غیر اینصورت فایل های Backup نیز در خطر رمز شدن توسط باج افزار قرار می گیرند.
#پاسخ_به_حادثه
♻️ @HyperSec
✍️معرفی چند دیتاست از حملات شبیهسازی شده
به منظور صحتسنجی Use Caseهای موجود در یک SIEM و یا تولید Use Caseهای جدید، نیاز به دیتاستهایی واقعی که از شبیهسازی حملات مختلف به وجود آمدهاند، داریم. این دیتاستها میتوانند شامل لاگ تولید شده از اجرای حمله در قالبهای مختلف، ترافیک جمعآوریشده و غیره باشند. در ادامه سه نمونه از این موارد آورده شده است:
1) دیتاست Boss of the SOC (BOTS):
این دیتاست که در سه نسخه مختلف عرضه شده است، دادههای ارزشمند از منابع مختلف را در اختیار متخصصان امنیتی قرار میدهد. این دیتاست برای استفاده در محیط Splunk جمعآوری شده است و به راحتی قابلیت بهرهبرداری در این ابزار را دارد.
https://github.com/splunk/botsv1
https://github.com/splunk/botsv2
https://github.com/splunk/botsv3
2) دیتاست Attack data:
از ویژگیهای این دیتاست، انطباق با پروژه Atomic Red Team است که فرآیند تولید و یا ارزیابی Use Caseهای امنیتی منطبق با مدل MITRE ATT&CK را تسهیل میکند.
https://github.com/splunk/attack_data
3) دیتاست Mordor:
طرفداران سری فیلمهای ارباب حلقهها، واژه Mordor را به خاطر دارند. دیتاست Mordor شامل رخدادهای تولیدشده از شبیهسازی حملات مختلف بوده که در قالب فایلهای JSON و PCAP و براساس دستهبندیهای مختلف نظیر تکنیکها و تاکتیکهای MITRE ATT&CK، قابل استفاده است.
https://github.com/OTRF/mordor
#یوزکیس
#دیتاست
♻️ @HyperSec
به منظور صحتسنجی Use Caseهای موجود در یک SIEM و یا تولید Use Caseهای جدید، نیاز به دیتاستهایی واقعی که از شبیهسازی حملات مختلف به وجود آمدهاند، داریم. این دیتاستها میتوانند شامل لاگ تولید شده از اجرای حمله در قالبهای مختلف، ترافیک جمعآوریشده و غیره باشند. در ادامه سه نمونه از این موارد آورده شده است:
1) دیتاست Boss of the SOC (BOTS):
این دیتاست که در سه نسخه مختلف عرضه شده است، دادههای ارزشمند از منابع مختلف را در اختیار متخصصان امنیتی قرار میدهد. این دیتاست برای استفاده در محیط Splunk جمعآوری شده است و به راحتی قابلیت بهرهبرداری در این ابزار را دارد.
https://github.com/splunk/botsv1
https://github.com/splunk/botsv2
https://github.com/splunk/botsv3
2) دیتاست Attack data:
از ویژگیهای این دیتاست، انطباق با پروژه Atomic Red Team است که فرآیند تولید و یا ارزیابی Use Caseهای امنیتی منطبق با مدل MITRE ATT&CK را تسهیل میکند.
https://github.com/splunk/attack_data
3) دیتاست Mordor:
طرفداران سری فیلمهای ارباب حلقهها، واژه Mordor را به خاطر دارند. دیتاست Mordor شامل رخدادهای تولیدشده از شبیهسازی حملات مختلف بوده که در قالب فایلهای JSON و PCAP و براساس دستهبندیهای مختلف نظیر تکنیکها و تاکتیکهای MITRE ATT&CK، قابل استفاده است.
https://github.com/OTRF/mordor
#یوزکیس
#دیتاست
♻️ @HyperSec
👍1
✍️ انواع add-on در Splunk Enterprise Security
در اسپلانک ES میتوان از افزونههای مختلفی جهت سهولت در جستجو و شکار تهدیدات استفاده نمود. این افزونهها در سه دسته domain add-ons , supporting add-ons و technology add- ons تقسیم میشوند.
نصب و راهاندازی افزونههای "-SA" و "-DA" که در واقع فریمورک ES را تشکیل میدهند، همراه با نصب اسپلانک ES انجام میشوند. افزونه "-TA" که خاص تکنولوژی است، دانش سازگار با CIM برای تلفیق دادهها را فراهم میکند.
#splunk_enterprise_security
#add_on
♻️ @HyperSec
در اسپلانک ES میتوان از افزونههای مختلفی جهت سهولت در جستجو و شکار تهدیدات استفاده نمود. این افزونهها در سه دسته domain add-ons , supporting add-ons و technology add- ons تقسیم میشوند.
نصب و راهاندازی افزونههای "-SA" و "-DA" که در واقع فریمورک ES را تشکیل میدهند، همراه با نصب اسپلانک ES انجام میشوند. افزونه "-TA" که خاص تکنولوژی است، دانش سازگار با CIM برای تلفیق دادهها را فراهم میکند.
#splunk_enterprise_security
#add_on
♻️ @HyperSec
❤1
✍️ یوزکیس اسپلانک برای شناسایی نسخه ایرانی بدافزار Agent Tesla
طبق گزارش منتشرشده از سوی مرکز افتا در تاریخ 5 تیرماه 1400، سازمانهای زیادی در ایران، هدف بدافزار Agent Tesla قرار گرفتهاند. معمولا منشا آلودگی، ایمیلهای جعلی با ظاهر و محتوای قابل باور و حتی محتوای فارسی میباشد که خود احتمال به دام افتادن کاربران ایرانی را افزایش میدهد.
قابلیتهای مختلف این بدافزار به تکنیکهای MITRE ATT&CK نگاشت شده است که از طریق پیادهسازی Use Caseهای مرتبط با این تکنیک، میتوان شناسایی دقیقتری از این بدافزار داشت.
در مستند پیوست شده سعی بر آن بوده که یوزکیس اسپلانک متناسب با شواهد متنوع این بدافزار آورده شود. لازم به ذکر است که برای کاهش False Positive، بهتر است بازه زمانی جستجو را از نیمه ی خرداد به بعد درنظر بگیرید.
نمونه قوانین شناسایی اسپلانک:
index="stream-index" sourcetype="stream:smtp" attach_filename{}="KAS-970800-pdf.7z" | table src_ip,sender,receiver{}
index="windows-index" sourcetype="wineventlog*" EventCode=7045 service_name="*tor*" | stats values(service_Name),values(Service_File_Name) by ComputerName
برای دریافت توضیحات و قوانین بیشتر به فایل پیوستی مراجعه نمایید.
#یوزکیس
#شکار_تهدید
♻️ @HyperSec
طبق گزارش منتشرشده از سوی مرکز افتا در تاریخ 5 تیرماه 1400، سازمانهای زیادی در ایران، هدف بدافزار Agent Tesla قرار گرفتهاند. معمولا منشا آلودگی، ایمیلهای جعلی با ظاهر و محتوای قابل باور و حتی محتوای فارسی میباشد که خود احتمال به دام افتادن کاربران ایرانی را افزایش میدهد.
قابلیتهای مختلف این بدافزار به تکنیکهای MITRE ATT&CK نگاشت شده است که از طریق پیادهسازی Use Caseهای مرتبط با این تکنیک، میتوان شناسایی دقیقتری از این بدافزار داشت.
در مستند پیوست شده سعی بر آن بوده که یوزکیس اسپلانک متناسب با شواهد متنوع این بدافزار آورده شود. لازم به ذکر است که برای کاهش False Positive، بهتر است بازه زمانی جستجو را از نیمه ی خرداد به بعد درنظر بگیرید.
نمونه قوانین شناسایی اسپلانک:
index="stream-index" sourcetype="stream:smtp" attach_filename{}="KAS-970800-pdf.7z" | table src_ip,sender,receiver{}
index="windows-index" sourcetype="wineventlog*" EventCode=7045 service_name="*tor*" | stats values(service_Name),values(Service_File_Name) by ComputerName
برای دریافت توضیحات و قوانین بیشتر به فایل پیوستی مراجعه نمایید.
#یوزکیس
#شکار_تهدید
♻️ @HyperSec
✍️ حمله Path Traversal
شکل فوق بخشی از رویداد ثبت شده از حمله path traversal در اسپلانک را نشان میدهد. حمله path traversal از جمله حملات تحت وبی است که هدف آن دستیابی به فایلها و دایرکتوریهای ذخیره شده در خارج از پوشه root وب است که با دستکاری متغیرهای ارجاع داده شده به فایلها از طریق توالی "/.." یا آدرسدهی مطلق به مسیر فایلها صورت میگیرد. این حمله با نامهای دیگری چون dot-dot-slash، directory traversal، directory climbing و backtracking نیز شناخته میشود.
در مجموعه قوانین ET Pro، چندین قواعد برای شناسایی این حمله وجود دارد که یک نمونه از آنها در زیر مشاهده میشود:
alert http $EXTERNAL_NET any -> $HTTP_SERVERS any (msg:"GPL EXPLOIT unicode directory traversal attempt"; flow:to_server,established; content:"/..%c0%af../"; http_raw_uri; nocase; reference:bugtraq,1806; reference:cve,2000-0884; reference:nessus,10537; classtype:web-application-attack; sid:2100981; rev:14;)
#path_traversal_attack
♻️ @HyperSec
شکل فوق بخشی از رویداد ثبت شده از حمله path traversal در اسپلانک را نشان میدهد. حمله path traversal از جمله حملات تحت وبی است که هدف آن دستیابی به فایلها و دایرکتوریهای ذخیره شده در خارج از پوشه root وب است که با دستکاری متغیرهای ارجاع داده شده به فایلها از طریق توالی "/.." یا آدرسدهی مطلق به مسیر فایلها صورت میگیرد. این حمله با نامهای دیگری چون dot-dot-slash، directory traversal، directory climbing و backtracking نیز شناخته میشود.
در مجموعه قوانین ET Pro، چندین قواعد برای شناسایی این حمله وجود دارد که یک نمونه از آنها در زیر مشاهده میشود:
alert http $EXTERNAL_NET any -> $HTTP_SERVERS any (msg:"GPL EXPLOIT unicode directory traversal attempt"; flow:to_server,established; content:"/..%c0%af../"; http_raw_uri; nocase; reference:bugtraq,1806; reference:cve,2000-0884; reference:nessus,10537; classtype:web-application-attack; sid:2100981; rev:14;)
#path_traversal_attack
♻️ @HyperSec
✍️ یوزکیس اسپلانک برای شناسایی اکسپلویت CVE-2021-1675
آسیب پذیری PrintNightmare با شناسه CVE-2021-1675 این اجازه را به مهاجم میدهد که با داشتن یک اکانت با سطح دسترسی عادی، بر روی ماشینی که سرویس "Windows Print Spooler" فعال است دسترسی در سطح System بگیرد. Print Spooler یک سرویس ویندوزی است که مدیریت jobهای پرینت را برعهده دارد و بطور پیش فرض بر روی تمام کلاینت و سرورهای ویندوزی (به عنوان مثال Domain Controller) فعال است.
به عبارت دیگر اگر در حال حاضر این سرویس را در شبکه ی خود غیرفعال نکرده باشید هر کدام از کاربران عادی موجود در دامنه، میتوانند سرور DC را بطور کامل در اختیار بگیرد. بنابراین فقط کافیست مهاجم به سیستم یکی از کاربران نفوذ کند (دسترسی فیزیکی، فیشینگ و ...)!
متاسفانه کد اکسپلویت این آسیب پذیری بصورت عمومی در دسترس بوده و مایکروسافت هنوز این آسیب پذیری را وصله نکرده است. بطوریکه بر اساس آزمایش انجام شده، ویندوز سرور 2019 بروزرسانی شده، تحت تاثیر حمله قرار گرفت. بنابراین بهترین راهکار در حال حاضر غیرفعال کردن (disabled نه stopped) این سرویس در کل شبکه مخصوصا سرور و کلاینت های مهم است.
ادامه ...
#CVE_2021_1675 #یوزکیس #اسپلانک
♻️ @HyperSec
آسیب پذیری PrintNightmare با شناسه CVE-2021-1675 این اجازه را به مهاجم میدهد که با داشتن یک اکانت با سطح دسترسی عادی، بر روی ماشینی که سرویس "Windows Print Spooler" فعال است دسترسی در سطح System بگیرد. Print Spooler یک سرویس ویندوزی است که مدیریت jobهای پرینت را برعهده دارد و بطور پیش فرض بر روی تمام کلاینت و سرورهای ویندوزی (به عنوان مثال Domain Controller) فعال است.
به عبارت دیگر اگر در حال حاضر این سرویس را در شبکه ی خود غیرفعال نکرده باشید هر کدام از کاربران عادی موجود در دامنه، میتوانند سرور DC را بطور کامل در اختیار بگیرد. بنابراین فقط کافیست مهاجم به سیستم یکی از کاربران نفوذ کند (دسترسی فیزیکی، فیشینگ و ...)!
متاسفانه کد اکسپلویت این آسیب پذیری بصورت عمومی در دسترس بوده و مایکروسافت هنوز این آسیب پذیری را وصله نکرده است. بطوریکه بر اساس آزمایش انجام شده، ویندوز سرور 2019 بروزرسانی شده، تحت تاثیر حمله قرار گرفت. بنابراین بهترین راهکار در حال حاضر غیرفعال کردن (disabled نه stopped) این سرویس در کل شبکه مخصوصا سرور و کلاینت های مهم است.
ادامه ...
#CVE_2021_1675 #یوزکیس #اسپلانک
♻️ @HyperSec
Soorin_UseCase_PrintNightmare_v2.2.pdf
174.1 KB
✍️ شناسایی سواستفاده از آسیب پذیری Print Spooler _ نسخه دوم
در مستند پیوست شده، نسخه دوم قوانین اسپلانک برای کمک به شناسایی PrintNightmare مبتنی بر لاگ های Sysmon و همچنین لاگ های غیر Sysmon آورده شده است.
#CVE_2021_34527 #CVE_2021_1675 #Use_Case #Splunk #print_spooler #PrintNightmare
♻️ @HyperSec
در مستند پیوست شده، نسخه دوم قوانین اسپلانک برای کمک به شناسایی PrintNightmare مبتنی بر لاگ های Sysmon و همچنین لاگ های غیر Sysmon آورده شده است.
#CVE_2021_34527 #CVE_2021_1675 #Use_Case #Splunk #print_spooler #PrintNightmare
♻️ @HyperSec
✍️ شناسایی سواستفاده از آسیب پذیری Print Spooler _ براساس ترافیک
شرکت های مختلف امنیتی قوانین خود را در چند روز گذشته منتشر کرده اند. در ادامه یکی از قوانین IDS نوشته شده توسط Proofpoint برای Suricata آورده شده است (مجموعه قوانین تجاری ET Pro):
alert tcp any any -> $Home_NET any (msg:'ETPRO POLICY Observed Windows Printer Spooler Activity Add Printer Driver'; flow:established,to_server; content:'|02|'; content:'|03|'; distance:0; within:5; content:'W|00|i|00|n|00|d|00|o|00|w|00|s|00|'; distance:0; content:'.|00|d|00|l|00|l|00|'; distance:0; content:'|00 00 00 10|'; distance:0; content:'|00 00 80 00|'; distance:0; within:20; content'|00 5c 00|s|00|p|00|o|00|o|00|l|00 5c 00|d|00|r|00|i|00|v|00|e|00|r|00|s|00 5c|'; fast_pattern; classtype:bad-unknown; sid:2849129; rev:2;)
#CVE_2021_34527 #CVE_2021_1675 #IDS #Print_Spooler #PrintNightmare
♻️ @HyperSec
شرکت های مختلف امنیتی قوانین خود را در چند روز گذشته منتشر کرده اند. در ادامه یکی از قوانین IDS نوشته شده توسط Proofpoint برای Suricata آورده شده است (مجموعه قوانین تجاری ET Pro):
alert tcp any any -> $Home_NET any (msg:'ETPRO POLICY Observed Windows Printer Spooler Activity Add Printer Driver'; flow:established,to_server; content:'|02|'; content:'|03|'; distance:0; within:5; content:'W|00|i|00|n|00|d|00|o|00|w|00|s|00|'; distance:0; content:'.|00|d|00|l|00|l|00|'; distance:0; content:'|00 00 00 10|'; distance:0; content:'|00 00 80 00|'; distance:0; within:20; content'|00 5c 00|s|00|p|00|o|00|o|00|l|00 5c 00|d|00|r|00|i|00|v|00|e|00|r|00|s|00 5c|'; fast_pattern; classtype:bad-unknown; sid:2849129; rev:2;)
#CVE_2021_34527 #CVE_2021_1675 #IDS #Print_Spooler #PrintNightmare
♻️ @HyperSec
✍️فیلتر کردن لاگ های نویزی در اسپلانک
یکی از مهم ترین بخش های راه اندازی یک SIEM بحث Tuning و کم کردن لاگ های نویزی میباشد زیرا که با انجام ندادن این کار، هم منابع زیادی از زیرساخت سازمان مصرف شده و هم کارشناسان و متخصصین واحد مرکز عملیات امنیت (SOC) با حجم زیادی از لاگ های کم اهمیت و بعضاً بی اهمیت مواجه میشوند که باعث کاهش تمرکز شده و False Positive ها را افزایش میدهد.
پس بهتر است برای بالا بردن دقت Splunk سازمان خود و همچنین بهبود وضعیت امنیت موجود، فرآیند Tuning جدی گرفته شود. یکی از بخش هایی که میتوان این تغییرات را انجام داد و لاگ های نویزی را دور ریخت، کامپوننت HF یا Heavy Forwarder اسپلانک میباشد. مستند حاضر به بررسی این موضوع می پردازد.
#اسپلانک
#لاگ_نویزی
#Heavy_forwarder
♻️ @HyperSec
یکی از مهم ترین بخش های راه اندازی یک SIEM بحث Tuning و کم کردن لاگ های نویزی میباشد زیرا که با انجام ندادن این کار، هم منابع زیادی از زیرساخت سازمان مصرف شده و هم کارشناسان و متخصصین واحد مرکز عملیات امنیت (SOC) با حجم زیادی از لاگ های کم اهمیت و بعضاً بی اهمیت مواجه میشوند که باعث کاهش تمرکز شده و False Positive ها را افزایش میدهد.
پس بهتر است برای بالا بردن دقت Splunk سازمان خود و همچنین بهبود وضعیت امنیت موجود، فرآیند Tuning جدی گرفته شود. یکی از بخش هایی که میتوان این تغییرات را انجام داد و لاگ های نویزی را دور ریخت، کامپوننت HF یا Heavy Forwarder اسپلانک میباشد. مستند حاضر به بررسی این موضوع می پردازد.
#اسپلانک
#لاگ_نویزی
#Heavy_forwarder
♻️ @HyperSec
✍️ استفاده از قابلیت Routing در اسپلانک
در پیاده سازی اسپلانک گاهی نیاز میشود داده ها را به سمت یک مقصد خاص بفرستیم که با توجه به سناریوهای موجود از دو روش Selective Indexing و Selective Forwarding میتوان استفاده کرد.
حالت Selective Indexing زمانی اتفاق میافتد که به عنوان مثال لاگ ها در HF و یک ایندکس خاص مثل Main قرار دارد و ما میخواهیم Reindex کرده و این لاگ ها را در Indexer بر روی یک ایندکس دیگر مثل Test قرار دهیم.
حالت Selective Forwarding زمانی اتفاق میافتد که ما میخواهیم یک لاگ را با توجه به یک Source، SourceType یا Host فیلتر کرده و لاگ های فیلتر شده را به سمت Indexer های خاص بفرستیم.
در این بخش ما بر روی Selective Forward تمرکز میکنیم و در آینده به بخش Selective Indexing نیز اشاره خواهیم کرد.
#اسپلانک
#Routing
#Selective_Forwarding
♻️@HyperSec
در پیاده سازی اسپلانک گاهی نیاز میشود داده ها را به سمت یک مقصد خاص بفرستیم که با توجه به سناریوهای موجود از دو روش Selective Indexing و Selective Forwarding میتوان استفاده کرد.
حالت Selective Indexing زمانی اتفاق میافتد که به عنوان مثال لاگ ها در HF و یک ایندکس خاص مثل Main قرار دارد و ما میخواهیم Reindex کرده و این لاگ ها را در Indexer بر روی یک ایندکس دیگر مثل Test قرار دهیم.
حالت Selective Forwarding زمانی اتفاق میافتد که ما میخواهیم یک لاگ را با توجه به یک Source، SourceType یا Host فیلتر کرده و لاگ های فیلتر شده را به سمت Indexer های خاص بفرستیم.
در این بخش ما بر روی Selective Forward تمرکز میکنیم و در آینده به بخش Selective Indexing نیز اشاره خواهیم کرد.
#اسپلانک
#Routing
#Selective_Forwarding
♻️@HyperSec
Hypersec
✍️ استفاده از قابلیت Routing در اسپلانک در پیاده سازی اسپلانک گاهی نیاز میشود داده ها را به سمت یک مقصد خاص بفرستیم که با توجه به سناریوهای موجود از دو روش Selective Indexing و Selective Forwarding میتوان استفاده کرد. حالت Selective Indexing زمانی اتفاق…
Splunk-Routing-V1.2-00.4.19.pdf
234.4 KB