✍️پروژه Attack_Range

بررسی روزانه حملات سایبری و توسعه و ایجاد رول های شناسایی مرتبط با آن، یکی از وظایف اصلی هر مرکز عملیات امنیت می‌باشد.
این مهم، مستلزم داشتن یک آزمایشگاه مجهز است به شکلی که بتوان فرآیند آنالیز و تجزیه و تحلیل حملات و همچنین انطباق آن‌ها با مدل‌های مرجعی مانند MITRE ATT&CK را به صورت موثر و کارآمد انجام داد.

پروژه‌های متعددی به منظور ارائه این دسته از خدمات، به وجود آمده‌اند که در این میان می‌توان به Attack Range Local اشاره کرد.
در حقیقت Attack Range یک پلتفرم توسعه رول‌های شناسایی است که سعی می‌کند سه چالش اصلی در این فرآیند را تسهیل کند:

1. کاربر می تواند به سرعت یک زیرساخت آزمایشگاهی کوچک را در کنار محیط عملیاتی خود داشته باشد.
2. فرآیند شبیه سازی حملات را با استفاده از ابزارهای مختلفی مانند Atomic Red Team یا Caldera به منظور تولید داده‌های موردنیاز، انجام دهد.
3. فرآیند تست قوانین شناسایی را از طریق یکپارچه‌سازی با Pipelineهای CI/CD به صورت خودکار، انجام دهد.

این پروژه متشکل از ماشین های زیر می باشد که که به صورت یکپارچه با هم در ارتباط اند.

• Windows Domain Controller
• Windows Server
• Windows Workstation
• A Kali Machine
• Splunk Server
• Phantom Server
• Caldera Server

#Attack_Range #Laboratory
♻️@Hypersec

✍ هر هفته، یک آزمون

برگزاری آزمون های تخصصی امنیت سایبری

شرکت سورین هر هفته، باهدف ارزیابی و ارتقا سطح دانش مخاطبان خود ، بر روی پلتفرمی به نام سکتور، آزمون هایی با موضوعات متفاوت برگزار و به کسانی که حداقل نمره 70 از 100 را کسب می‌کنند گواهینامه ارائه می‌دهد.
در حال حاضر شما می توانید با مراجعه به آدرس سکتور به نشانی sector.soorinsec.ir با ایجاد یک حساب کاربری ساده، در قسمت ازمون های عمومی، در آزمون هایی که از قبل با موضوعات زیر برای شما عزیزان طراحی شده است شرکت کرده و گواهینامه این آزمون ها رو دریافت کنید. آزمون های طراحی شده تا کنون، عبارتند از:
- مقایسه Splunk و ELK
- مروری بر مقدمات مرکز عملیات امنیت
- اسپلانک SPL - سطح یک

برای دریافت گواهینامه، به پروفایل کاربری خود مراجعه و در قسمت گواهینامه ها،گواهی صادر شده خود را دریافت کنید.

@hypersec

با سکتور، مهارت خود در حوزه امنیت سایبری را، رایگان و سریع محک بزنید
😉😊

سورین برگزار می کند
✍️ وبینار رایگان مروری بر زبان SPL اسپلانک
(همراه با آزمون و ارائه گواهی)
لینک ثبت نام:
https://evand.com/events/splunksploverview

@hypersec
🌐 soorinsec.ir

✍️اسلاید وبینار بررسی قابلیت های دو پلتفرم Splunk و ELK

#وبینار
♻️@Hypersec

لینک آپارات وبینار مقایسه Splunk Vs ELk

🌐https://aparat.com/v/V52BR
#وبينار
♻️@Hypersec

✍️اسلاید وبینار مروری بر زبان SPL

#Splunk
♻️@Hypersec

ما در تیم سورین، نیاز به یک همکار در حوزه بازرگانی، آشنا به بازار امنیت سایبری و فناوری اطلاعات، داریم.
ساعت کاری:
شنبه تا چهارشنبه ۸ الی ۱۶
پنج شنبه ۸ الی ۱۳
محل کار: خ نلسون ماندلا
حقوق و مزایا: توافقی
آدرس ایمیل جهت ارسال رزومه:
info@soorinsec.ir

خدمات اسپلانک:
نصب و راه اندازی
تامین لایسنس و ماژول های مختلف اسپلانک
ارایه محتوای امنیتی (Use Case)
پشتیبانی و میزان سازی اسپلانک

شرکت فناوری راه نو سورین
soorinsec.ir
@hypersec
#Splunk
#Soorin

آزمون جدیدی با نام ELK Fundamental به سکتور اضافه شد
در این آزمون مهارت علاقه مندان به Elastic Stack ارزیابی و در صورتی که نمره بالای ۷۰ کسب کنند برای آنها گواهی مربوطه صادر خواهد شد.
علاقه مندان جهت شرکت در این آزمون، با مراجعه به آدرس
Sector.soorinsec.ir
پس از ثبت نام/ لاگین وارد منوی آزمون های عمومی شده و سپس آزمون
ELK Fundamental 1
را انتخاب کنند.
در صورت موفقیت در آزمون، به پروفایل کاربری خود مراجعه و در قسمت گواهینامه، گواهی صادر شده خود را دریافت کنید.
تعداد سوالات: ۹
مدت آزمون: ۱۵ دقیقه
@hypersec

✍️ایندکس های داخلی Splunk

یکی از اهداف ساخت index، سرعت بخشیدن به فرایند جستجو در بین لاگ‌ها و داده‌ها است. علاوه بر ایندکس اصلی (Main)، اسپلانک دارای ایندکس‌های داخلی دیگری نیز می‌باشد. نام گذاری ایندکس‌های داخلی با علامت (_) شروع می‌شوند.

تعدادی از این ایندکس‌ها شامل موارد زیر میباشند:

main
این ایندکس به‌صورت پیش‌فرض در اسپلانک وجود دارد و تمام داده‌های دریافتی پردازش شده (درصورتی‌که تنظیمات مرتبط با indexing آن، تغییر داده نشده باشد) در این ایندکس ذخیره می‌شوند.

_Internal
این ایندکس محل ذخیره‌سازی گزارش‌های داخلی و پراسس های Splunk است که شامل رویدادهای مربوط به مانیتور تغییر سیستم فایل، حسابرسی و تمام سابقه کاربر است.

_audit
رویدادهای مرتبط با تغییرات فایل‌های سیستمی، auditing و تاریخچه تمام جستجوهای کاربر در این ایندکس ذخیره می‌شود.

_introspection
این ایندکس، حاوی داده‌های مربوط به سیستمی است که سرویس اسپلانک بر روی آن اجرا شده است. اطلاعات این ایندکس می‌تواند به منظور تشخیص مشکلات عملکردی اسپلانک، مورد استفاده قرار بگیرد.

_metrics
این ایندکس برای ذخیره‌سازی و تجزیه و تحلیل داده های متریک استفاده می شوند در این ایندکس داده ها با فرمتی که جستجو سریع‌تر و ذخیره‌سازی داده ها کار امدتر از داده های است که در باقی ایندکس ها وجود دارد، ذخیره می‌شوند.

#Splunk
#Indexing
♻️@hypersec

✍️معرفی پروژه Splunk-Ansible

اسپلانک جهت فرآیندهای خودکارسازی نصب، از ابزار Ansible استفاده می کند.
پروژه Splunk-Ansible مجموعه ای از بهترین پیکربندی های Splunk بوده که با اسکریپت های Ansible ساخته شده است.
نام این اسکریپت ها Playbook می باشد که به وسیله آن می توان Splunk Enterprise و Universal Forwarder ها را پیکربندی و نصب نمود.
به وسیله Playbook می توان رویه ها و فرآیندهای Administratorی Splunk را در سازمان به راحتی مدیریت کرد و تمامی نیازهای یک سازمان جهت راه اندازی SIEM را برآورده نمود.

با کمک این پروژه می‌توان تمامی فرآیندهای نصب واجرای ساختار SIEM را پیاده سازی کرد.
جهت نصب و راه اندازی Splunk-Ansible نیاز به موارد ذیل می باشد:
• Linux OS (Debian,CentOS,etc)
• Python2
• System Utilities (net-tools package )
• PyPI Packages (pip, requests)

جهت دانلود این پروژه به آدرس URL ذیل مراجعه نمایید:
https://github.com/splunk/splunk-ansible

♻️@hypersec

✍️برنامه ی Splunk Dashboard Studio

این APP ابزاری جهت سفارشی سازی داشبوردهای اسپلانک میباشد که قابلیت های متعددی از جمله طرح بندی ، رنگ آمیزی ، استفاده از تصاویر پس زمینه و سایر موارد دلخواه را به کاربران میدهد.با استفاده از Dashboard Studio میتوان از انواع امکانات بصری متعددی که اسپلانک در اختیار گذاشته است بهره برد. نکته حائز اهمیت این است که در ساخت داشبوردها به راحتی میتوان از زبان قدرتمند SPL استفاده نمود. همچنین قابلیت ساخت گزارش های بصری با استفاده از کدهای Json را دارد. از دیگر ویژگی های این App می‌توان به قابلیت استفاده از DrillDown به عنوان یک لینک جهت انتقال به URL مورد نظر اشاره کرد.
#Splunk
#Splunk_Dashboard_Studio
♻️@Hypersec

Splunk Insights for Ransomware برنامه✍️

این اپ که توسط اسپلانک ارائه شده است می‌تواند به سرعت ریسک باج‌افزارها را ارزیابی کند. همچنین به کاربران Splunk جهت شناسایی، مدیریت و پاسخگویی به باج‌افزارها (به ویژه باج‌افزار WannaCry) کمک می‌کند. Splunk Insights for Ransomware نقطه شروعی را در اختیار کاربران قرار می‌دهد که آنها می‌توانند بسته به محیط خود این برنامه را سفارشی‌سازی کنند.
این اپلیکیشن بیش از ده Use case در اختیار کاربران خود قرار می‌دهد که همین امر باعث می‌شود تا میزان قابل‌توجهی از سو استفاده‌ها در مقابل باج‌افزار WannaCry و موارد مشابه به آن کاهش یابد .کاربران توسط این اپلیکیشن می‌توانند تاثیراتی را که باج افزار روی سازمان آنها داشته است را اندازه گیری کنند.

این Application نمونه‌های عملیاتی برای تشخیص دادن و همچنین بهترین راهکار برای جلوگیری از آلوده شدن سازمان به باج‌افزار را به کاربران ارائه دهد.

در واقع Splunk Insights for Ransomware برای کمک به سازمان‌های کوچک با رویکردی گسترده و مبتنی بر تحلیل و هزینه کم طراحی شده است و برای سازمان‌های با تعداد حداکثر 1000 کاربر قابل ‌استفاده می‌باشد.

#Splunk
#Splunk_Insights_for_ransomware
♻️@Hypersec

✍️معرفی و بررسی مزایا و معایب پنج SIEM‌ متن باز

#SIEM
#Open_Source_SIEM
#سورین #Soorin

♻️@Hypersec

✍️مروری بر Splunk ITSI Application

اپ IT Service Intelligence در اسپلانک، یک راهکار مانیتورینگ و تحلیل داده‌ می باشد که با بهره‌گیری از امکانات هوش مصنوعی، عملیات بخش IT را تسهیل می‌کند.
به واسطه این ابزار می‌توان از صحت عملکرد سرویس های IT، سرویس‌های حیاتی زیرساخت و سرویس‌های مرتبط با کسب و کار سازمان، اطمینان حاصل کرد.

به طور کلی ITSI می‌تواند به منظور حل چالش های مرتبط با IT از جمله چالش های موجود در سرویس ها از طریق تحلیل رویدادها، متریک ها و لاگ‌ها مورد استفاده قرار گیرد.

ویژگی های Splunk ITSI به شرح زیر می باشد:
1. جمع آوری انواع داده‌های سازمان به منظور کاهش پیچیدگی استفاده از ابزارهای مختلف حوزه IT
2. سازماندهی و همبسته سازی رویدادها به منظور آمادگی جهت تحلیل و بررسی یک واقعه در کوتاه ترین زمان
3. استفاده از تکنولوژی Machine Learning جهت شناسایی رفتارهای غیرعادی در شکبه
4. بهبود فرآیند خدمات دهی و افزایش کارایی تیم های در حال فعالیت در واحد IT

#Splunk
#ITSI_App
♻️@Hypersec
فناوری راه نو سورین