Hypersec
✍️ استفاده از قابلیت Routing در اسپلانک در پیاده سازی اسپلانک گاهی نیاز میشود داده ها را به سمت یک مقصد خاص بفرستیم که با توجه به سناریوهای موجود از دو روش Selective Indexing و Selective Forwarding میتوان استفاده کرد. حالت Selective Indexing زمانی اتفاق…
Splunk-Routing-V1.2-00.4.19.pdf
234.4 KB
✍️ارزیابی SOC به کمک SOC-CMM
یکی از مهمترین فرآیندهایی که توصیه میشود در دستور کار مراکز امنیت قرار بگیرد، ارزیابی SOC است که به بالا بردن کیفیت و کارایی یک مرکز عملیات امنیت کمک بسیاری میکند. SOC-CMM استانداردی میباشد که به کمک آن میتوان یک مرکز عملیات امنیت را از ابعاد مختلف ارزیابی کرد.
این فرآیند، بلوغ امنیت سازمان را از 5 دیدگاه بررسی میکند که شامل Business سازمان، نفرات موجود(People) ، فرآیندها و ارتباطات(Process) ، تکنولوژی های مورد استفاده (Technology) و سرویس هایی که در یک SOC ارائه میشود(Services) میباشد.
تمام این بررسی ها به صورت پرسشهای چند گزینه ای بوده که در هر کدام از 5 دامنه، جزئیات تحلیل میگردد. در پست بعد، جزییات بیشتری از SOC-CMM آورده شده است.
#SOC_CMM
♻️@HyperSec
یکی از مهمترین فرآیندهایی که توصیه میشود در دستور کار مراکز امنیت قرار بگیرد، ارزیابی SOC است که به بالا بردن کیفیت و کارایی یک مرکز عملیات امنیت کمک بسیاری میکند. SOC-CMM استانداردی میباشد که به کمک آن میتوان یک مرکز عملیات امنیت را از ابعاد مختلف ارزیابی کرد.
این فرآیند، بلوغ امنیت سازمان را از 5 دیدگاه بررسی میکند که شامل Business سازمان، نفرات موجود(People) ، فرآیندها و ارتباطات(Process) ، تکنولوژی های مورد استفاده (Technology) و سرویس هایی که در یک SOC ارائه میشود(Services) میباشد.
تمام این بررسی ها به صورت پرسشهای چند گزینه ای بوده که در هر کدام از 5 دامنه، جزئیات تحلیل میگردد. در پست بعد، جزییات بیشتری از SOC-CMM آورده شده است.
#SOC_CMM
♻️@HyperSec
✍ وبینار شکار تهدیدات با اسپلانک
هدف از این وبینار، آشنایی مخاطبان با Splunk و همچنین آشنایی با تکنیک ها و روش های شناسایی و تحلیل تهدیدات سایبری با Splunk است.
در این وبینار، به برخی تکنیک های بررسی و تحلیل تهدیدات سایبری از نگاه یک شکارچی تهدید پرداخته میشود و مخاطبین آن، تمام علاقه مندان به حوزه امنیت، کارشناسان SOC، متخصصین حوزه Forensic و Hunting و همچنین مدیران امنیتی میباشد.
#وبینار #اسپلانک #شکار_تهدید
https://evnd.co/8BEtu
♻️ @HyperSec
هدف از این وبینار، آشنایی مخاطبان با Splunk و همچنین آشنایی با تکنیک ها و روش های شناسایی و تحلیل تهدیدات سایبری با Splunk است.
در این وبینار، به برخی تکنیک های بررسی و تحلیل تهدیدات سایبری از نگاه یک شکارچی تهدید پرداخته میشود و مخاطبین آن، تمام علاقه مندان به حوزه امنیت، کارشناسان SOC، متخصصین حوزه Forensic و Hunting و همچنین مدیران امنیتی میباشد.
#وبینار #اسپلانک #شکار_تهدید
https://evnd.co/8BEtu
♻️ @HyperSec
✍️ طرح جامع امن سازی زیرساخت های حیاتی
طرح جامع امن سازی مرکز افتا، سازمان های کشور را در 10 دامنه بررسی کرده و سطح بلوغ آنها را در 4 سطح میسنجد.
سازمان ها میتوانند با کمک این طرح، سطح بلوغ امنیت خود را اندازه گیری کنند. در ادامه خلاصه ای از دامنه ها و سطوح بلوغ این طرح آورده شده است.
#طرح_جامع_امن_سازی_مرکز_افتا
♻️@HyperSec
طرح جامع امن سازی مرکز افتا، سازمان های کشور را در 10 دامنه بررسی کرده و سطح بلوغ آنها را در 4 سطح میسنجد.
سازمان ها میتوانند با کمک این طرح، سطح بلوغ امنیت خود را اندازه گیری کنند. در ادامه خلاصه ای از دامنه ها و سطوح بلوغ این طرح آورده شده است.
#طرح_جامع_امن_سازی_مرکز_افتا
♻️@HyperSec
✍️ جدول ترکیب چند ماژول مدیریتی در یک Instance اسپلانک
گاهی اوقات در محیط کلاستر شرایط به گونهای است که نیاز است روی یک instance از اسپلانک دو ماژول مدیریتی یا یک ماژول مدیریتی و یک ماژول پردازشی به طور همزمان راهاندازی شوند. حتی ممکن است بیش از دو ماژول با هم ترکیب شوند، هر چند این روش توصیه نمیشود. با این حال اگر لزومی به استفاده ترکیبی از چند ماژول در یک instance شد، بهتر است بطور دائم منابع مصرفی مانیتور گردند تا overload رخ ندهد.
جدول فوق ماژولهایی که میتوانند با هم ترکیب شوند را نشان میدهد. همانطور که مشاهده میشود لایسنس سرور، میتواند با هر نود دیگری ترکیب شود ولی مستر نود باید مستقل از کلاستر search headها و ایندکسرها راهاندازی گردد و همچنین نباید با ماژول deployment server ترکیب شود.
از طرفی deployment server و cluster manager هم باید روی دو instance مختلف اجرا گردند.
#اسپلانک
♻️ @HyperSec
گاهی اوقات در محیط کلاستر شرایط به گونهای است که نیاز است روی یک instance از اسپلانک دو ماژول مدیریتی یا یک ماژول مدیریتی و یک ماژول پردازشی به طور همزمان راهاندازی شوند. حتی ممکن است بیش از دو ماژول با هم ترکیب شوند، هر چند این روش توصیه نمیشود. با این حال اگر لزومی به استفاده ترکیبی از چند ماژول در یک instance شد، بهتر است بطور دائم منابع مصرفی مانیتور گردند تا overload رخ ندهد.
جدول فوق ماژولهایی که میتوانند با هم ترکیب شوند را نشان میدهد. همانطور که مشاهده میشود لایسنس سرور، میتواند با هر نود دیگری ترکیب شود ولی مستر نود باید مستقل از کلاستر search headها و ایندکسرها راهاندازی گردد و همچنین نباید با ماژول deployment server ترکیب شود.
از طرفی deployment server و cluster manager هم باید روی دو instance مختلف اجرا گردند.
#اسپلانک
♻️ @HyperSec
SplunkWebinar(HowToDetectThreats).pdf
950.1 KB
✍ اسلاید وبینار نحوه شناسایی تهدیدات با اسپلانک
♻️ @HyperSec
♻️ @HyperSec
✍ فیلم وبینار نحوه شناسایی تهدیدات با اسپلانک
https://aparat.com/v/RTHNV
دوستان میتونن از طریق این لینک، ویدیوی وبینار نحوه شناسایی تهدیدات با اسپلانک رو مشاهده و دانلود کنند.
♻️ @HyperSec
https://aparat.com/v/RTHNV
دوستان میتونن از طریق این لینک، ویدیوی وبینار نحوه شناسایی تهدیدات با اسپلانک رو مشاهده و دانلود کنند.
♻️ @HyperSec
آپارات - سرویس اشتراک ویدیو
نحوه بررسی و تحلیل تهدیدات با اسپلانک - Splunk
در این ویدیو، ضمن آشنایی اولیه با اسپلانک، با تکنیک های تحلیل تهدیدات سایبری نیز آشنا خواهید شد.
✍️ تجزیه URL از طریق ابزار URL Toolbox
یکی از فیلدهای مهم که در لاگهای وب اسپلانک همواره مورد توجه تحلیلگران قرار میگیرد فیلد URL است. گاهی تجزیه و تحلیل دقیق دامنهها به دلیل پیچیده بودن URLها و نیاز به داشتن دانش در مورد تمامی TLDها کار دشواری است.
ابزارهای مختلفی جهت تسهیل در تجزیه و تحلیل URL وجود دارند. یکی از این ابزارها URL Toolbox میباشد که در قالب app در اسپلانک قابل نصب است.
یکی از دستورات پرکاربرد در این app، ماکروی ut_parse_extended(2) است.
همانطور که در شکل فوق مشاهده میشود این دستور شامل دو ورودی میباشد؛ دامنه و کاتالوگی از TLDهای مختلف که در این مثال از کاتالوگ Mozilla استفاده شده است. پس از اجرای این دستور، تمامی بخشهای مختلف URL تجزیه شده و هر کدام در قالب فیلدهای مختلف در خروجی قرار میگیرند.
#اسپلانک
#url_toolbox
♻️ @HyperSec
یکی از فیلدهای مهم که در لاگهای وب اسپلانک همواره مورد توجه تحلیلگران قرار میگیرد فیلد URL است. گاهی تجزیه و تحلیل دقیق دامنهها به دلیل پیچیده بودن URLها و نیاز به داشتن دانش در مورد تمامی TLDها کار دشواری است.
ابزارهای مختلفی جهت تسهیل در تجزیه و تحلیل URL وجود دارند. یکی از این ابزارها URL Toolbox میباشد که در قالب app در اسپلانک قابل نصب است.
یکی از دستورات پرکاربرد در این app، ماکروی ut_parse_extended(2) است.
همانطور که در شکل فوق مشاهده میشود این دستور شامل دو ورودی میباشد؛ دامنه و کاتالوگی از TLDهای مختلف که در این مثال از کاتالوگ Mozilla استفاده شده است. پس از اجرای این دستور، تمامی بخشهای مختلف URL تجزیه شده و هر کدام در قالب فیلدهای مختلف در خروجی قرار میگیرند.
#اسپلانک
#url_toolbox
♻️ @HyperSec
Wazuh-V2.pdf
403.3 KB
✍️معرفي Wazuh
راهکار Wazuh یک پلتفرم رایگان و متن باز بوده که دارای قابلیتهای مختلفی نظیر پیشگیری، شناسایی و پاسخگویی به تهدیدات است.
این پلتفرم توانایی محافظت از محیطهای مختلفی مانند شبکههای داخلی، شبکههای مجازی سازی شده (Virtualization)، کانتینرهای داکر و محیطهای ابری را در خود دارد.
#wazuh
♻️@Hypersec
راهکار Wazuh یک پلتفرم رایگان و متن باز بوده که دارای قابلیتهای مختلفی نظیر پیشگیری، شناسایی و پاسخگویی به تهدیدات است.
این پلتفرم توانایی محافظت از محیطهای مختلفی مانند شبکههای داخلی، شبکههای مجازی سازی شده (Virtualization)، کانتینرهای داکر و محیطهای ابری را در خود دارد.
#wazuh
♻️@Hypersec
✍️معرفي راهكار Splunk Phantom
خودکار سازی کارهای تکراری منجر به رسیدگی سریعتر به رخدادهای امنیتی با کمک تشخیص، تنظیم و پاسخ از پیش تعیین شده خواهد شد.
با کمک Splunk Phantom می توانید بار کاری تیم SOC را کم کرده و بسیاری از عملیات تکراری را خودکار نمود. بنابراین تیم SOC صرفا وظیفه رسیدگی به تهدیدات جدید و یا تایید و پیگیری بخشی از مهم ترین تهدیدات تکراری را برعهده دارد.
فانتوم با خودکار سازی، تنظیم و پاسخ سریع به تهدیدات به کمک تیم SOC آمده و آن را تقویت می کند. به کمک فانتوم، تیم SOC میتواند به جای اقدامات طاقت فرسا به کارهای هوشمندانه تر بپردازد.
برای دریافت اطلاعات تکمیلی به این لینک در وبلاگ سورین مراجعه نمایید.
#Phantom #اسپلانک #SOAR
♻️@Hypersec
خودکار سازی کارهای تکراری منجر به رسیدگی سریعتر به رخدادهای امنیتی با کمک تشخیص، تنظیم و پاسخ از پیش تعیین شده خواهد شد.
با کمک Splunk Phantom می توانید بار کاری تیم SOC را کم کرده و بسیاری از عملیات تکراری را خودکار نمود. بنابراین تیم SOC صرفا وظیفه رسیدگی به تهدیدات جدید و یا تایید و پیگیری بخشی از مهم ترین تهدیدات تکراری را برعهده دارد.
فانتوم با خودکار سازی، تنظیم و پاسخ سریع به تهدیدات به کمک تیم SOC آمده و آن را تقویت می کند. به کمک فانتوم، تیم SOC میتواند به جای اقدامات طاقت فرسا به کارهای هوشمندانه تر بپردازد.
برای دریافت اطلاعات تکمیلی به این لینک در وبلاگ سورین مراجعه نمایید.
#Phantom #اسپلانک #SOAR
♻️@Hypersec
✍ وبینار خودکارسازی، هماهنگ سازی و پاسخ به رخدادهای امنیتی با Splunk Phantom
هدف از این وبینار، آشنایی مخاطبان با اپلیکیشن Splunk Phantom به عنوان یک راهکار SOAR (پاسخگویی خودکار و هماهنگ سازی عملیات امنیت) است.
هدف از این وبینار، ارایه راهکاری است که بتوان به واسطه آن فعالیت های تکراری و روتین در مرکز عملیات امنیت را حذف و مولفه های مختلف را جهت بهره وری بیشتر با هم هماهنگ کرد.
مخاطبین این وبینار، تمام علاقه مندان به حوزه امنیت، مدیران و کارشناسان SOC و همچنین مدیران بخش های امنیت شبکه سازمان ها و شرکت ها است.
#وبینار #اسپلانک
#Phantom #SOAR
https://evnd.co/fqDrx
♻️ @HyperSec
هدف از این وبینار، آشنایی مخاطبان با اپلیکیشن Splunk Phantom به عنوان یک راهکار SOAR (پاسخگویی خودکار و هماهنگ سازی عملیات امنیت) است.
هدف از این وبینار، ارایه راهکاری است که بتوان به واسطه آن فعالیت های تکراری و روتین در مرکز عملیات امنیت را حذف و مولفه های مختلف را جهت بهره وری بیشتر با هم هماهنگ کرد.
مخاطبین این وبینار، تمام علاقه مندان به حوزه امنیت، مدیران و کارشناسان SOC و همچنین مدیران بخش های امنیت شبکه سازمان ها و شرکت ها است.
#وبینار #اسپلانک
#Phantom #SOAR
https://evnd.co/fqDrx
♻️ @HyperSec
✍🏻معرفی ماژول FIM (File Integrity Monitoring) در Wazuh
همانطور که از نام آن مشخص است، این ماژول وظیفهی نظارت بر یکپارچگی فایل ها را دارد و با بررسی مداوم فایل ها و مسیرهای مختلف به محققان و کارشناسان امنیتی کمک میکند تا اگر تغییری بر روی یک سیستم اعم از تغییر محتوای یک فایل، حذف یک فایل و ... رخ دهد، آنرا شناسایی و بررسی نمایند.
راهكار Wazuh به این صورت عمل میکند که در ابتدا، سایز فایل، مجوزها، مالک، زمان آخرین تغییر و هش ها (MD5، SHA1، SHA256) را با Scan اولیه در خود ذخیره میکند و هر بار تغییری رخ دهد، با بررسی دوباره، مواردی را که مقدار آنها عوض شده باشد را شناسایی کرده و گزارش میدهد.
برای دریافت اطلاعات بیشتر درباره ی زير ماژول هایی که FIM در Wazuh از آنها بهره میبرد به وبلاگ سورین مراجعه نمایید.
#Wazuh
#FIM
#File_Integrity_Monitoring
♻️@HyperSec
همانطور که از نام آن مشخص است، این ماژول وظیفهی نظارت بر یکپارچگی فایل ها را دارد و با بررسی مداوم فایل ها و مسیرهای مختلف به محققان و کارشناسان امنیتی کمک میکند تا اگر تغییری بر روی یک سیستم اعم از تغییر محتوای یک فایل، حذف یک فایل و ... رخ دهد، آنرا شناسایی و بررسی نمایند.
راهكار Wazuh به این صورت عمل میکند که در ابتدا، سایز فایل، مجوزها، مالک، زمان آخرین تغییر و هش ها (MD5، SHA1، SHA256) را با Scan اولیه در خود ذخیره میکند و هر بار تغییری رخ دهد، با بررسی دوباره، مواردی را که مقدار آنها عوض شده باشد را شناسایی کرده و گزارش میدهد.
برای دریافت اطلاعات بیشتر درباره ی زير ماژول هایی که FIM در Wazuh از آنها بهره میبرد به وبلاگ سورین مراجعه نمایید.
#Wazuh
#FIM
#File_Integrity_Monitoring
♻️@HyperSec
✍🏻بررسی یکی از Playbookهای Phantom (بخش اول)
📩 موضوع: وجود فایل پیوستی آلوده در ایمیل دریافتی
1) دریافت ایمیل (شامل Header و Attachment) از میل سرور به کمک فیلد message_id در دیتامدل Email اسپلانک
2) استخراج جزییات ایمیل همچون نام فایل پیوستی
3) بررسی فایل در سندباکس (بصورت پیش فرض cuckoo)
4) بررسی آلودگی URL احتمالی مرتبط (بصورت پیش فرض در Virustotal و Phishtank)
اگر امتیاز آلودگی از حد آستانه بیشتر شود (مثلا بیش از 3 منبع الودگی را تایید کنند):
بررسی ارتباط کاربران با URL آلوده بوسیله کوئری اسپلانک
| datamodel Web search | search Web.url="{0}"
تبدیل کردن HTTP به HxxP برای جلوگیری از کلیک اشتباه بر روی آدرس آلوده توسط تحلیلگر
#Phantom #SOAR #Splunk
♻️ @HyperSec
📩 موضوع: وجود فایل پیوستی آلوده در ایمیل دریافتی
1) دریافت ایمیل (شامل Header و Attachment) از میل سرور به کمک فیلد message_id در دیتامدل Email اسپلانک
2) استخراج جزییات ایمیل همچون نام فایل پیوستی
3) بررسی فایل در سندباکس (بصورت پیش فرض cuckoo)
4) بررسی آلودگی URL احتمالی مرتبط (بصورت پیش فرض در Virustotal و Phishtank)
اگر امتیاز آلودگی از حد آستانه بیشتر شود (مثلا بیش از 3 منبع الودگی را تایید کنند):
بررسی ارتباط کاربران با URL آلوده بوسیله کوئری اسپلانک
| datamodel Web search | search Web.url="{0}"
تبدیل کردن HTTP به HxxP برای جلوگیری از کلیک اشتباه بر روی آدرس آلوده توسط تحلیلگر
#Phantom #SOAR #Splunk
♻️ @HyperSec
✍🏻بررسی یکی از Playbookهای Phantom (بخش دوم)
5) بررسی آلودگی IP احتمالی مرتبط (بصورت پیش فرض در symantec_deepsight)
اگر IP در منابع داده ای آلوده پیدا شد:
بررسی وجود ارتباط کاربران با IP آلوده بوسیله کوئری اسپلانک
| datamodel Network_Resolution search | search DNS.answer="{0}"
6) مهلت 30 دقیقه ای به تحلیلگر برای تعیین اینکه آیا ایمیل آلوده از Mailbox پاک شود یا خیر
اگر پاسخ مثبت بود:
ایمیل پاک میشود
پیغام پاک شدن ایمیل برای دریافت کننده ارسال میشود
#Phantom #SOAR #Splunk
♻️ @HyperSec
5) بررسی آلودگی IP احتمالی مرتبط (بصورت پیش فرض در symantec_deepsight)
اگر IP در منابع داده ای آلوده پیدا شد:
بررسی وجود ارتباط کاربران با IP آلوده بوسیله کوئری اسپلانک
| datamodel Network_Resolution search | search DNS.answer="{0}"
6) مهلت 30 دقیقه ای به تحلیلگر برای تعیین اینکه آیا ایمیل آلوده از Mailbox پاک شود یا خیر
اگر پاسخ مثبت بود:
ایمیل پاک میشود
پیغام پاک شدن ایمیل برای دریافت کننده ارسال میشود
#Phantom #SOAR #Splunk
♻️ @HyperSec
✍️وبينار استفاده از WAZUH به عنوان EDR
هدف از برگزاری این وبینار بررسی راهکار Wazuh به عنوان یک EDR میباشد که به تحلیل ماژول های مختلف آن پرداخته میشود. در این وبینار ماژول های زیر مورد تست و بررسی قرار میگیرد.
1- Anomaly and Malware Detection
2- File Integrity Monitoring
3- Active Response
مخاطبین این وبینار، تمام علاقه مندان به حوزه امنیت، مدیران و کارشناسان SOC و همچنین مدیران بخش های امنیت شبکه سازمان ها و شرکت ها است.
#WAZUH #FIM #EDR
ثبت نام:
https://evnd.co/VcBXZ
♻️ @HyperSec
هدف از برگزاری این وبینار بررسی راهکار Wazuh به عنوان یک EDR میباشد که به تحلیل ماژول های مختلف آن پرداخته میشود. در این وبینار ماژول های زیر مورد تست و بررسی قرار میگیرد.
1- Anomaly and Malware Detection
2- File Integrity Monitoring
3- Active Response
مخاطبین این وبینار، تمام علاقه مندان به حوزه امنیت، مدیران و کارشناسان SOC و همچنین مدیران بخش های امنیت شبکه سازمان ها و شرکت ها است.
#WAZUH #FIM #EDR
ثبت نام:
https://evnd.co/VcBXZ
♻️ @HyperSec