✍️معرفی پروژه Splunk-Ansible
اسپلانک جهت فرآیندهای خودکارسازی نصب، از ابزار Ansible استفاده می کند.
پروژه Splunk-Ansible مجموعه ای از بهترین پیکربندی های Splunk بوده که با اسکریپت های Ansible ساخته شده است.
نام این اسکریپت ها Playbook می باشد که به وسیله آن می توان Splunk Enterprise و Universal Forwarder ها را پیکربندی و نصب نمود.
به وسیله Playbook می توان رویه ها و فرآیندهای Administratorی Splunk را در سازمان به راحتی مدیریت کرد و تمامی نیازهای یک سازمان جهت راه اندازی SIEM را برآورده نمود.
با کمک این پروژه میتوان تمامی فرآیندهای نصب واجرای ساختار SIEM را پیاده سازی کرد.
جهت نصب و راه اندازی Splunk-Ansible نیاز به موارد ذیل می باشد:
• Linux OS (Debian,CentOS,etc)
• Python2
• System Utilities (net-tools package )
• PyPI Packages (pip, requests)
جهت دانلود این پروژه به آدرس URL ذیل مراجعه نمایید:
https://github.com/splunk/splunk-ansible
♻️@hypersec
اسپلانک جهت فرآیندهای خودکارسازی نصب، از ابزار Ansible استفاده می کند.
پروژه Splunk-Ansible مجموعه ای از بهترین پیکربندی های Splunk بوده که با اسکریپت های Ansible ساخته شده است.
نام این اسکریپت ها Playbook می باشد که به وسیله آن می توان Splunk Enterprise و Universal Forwarder ها را پیکربندی و نصب نمود.
به وسیله Playbook می توان رویه ها و فرآیندهای Administratorی Splunk را در سازمان به راحتی مدیریت کرد و تمامی نیازهای یک سازمان جهت راه اندازی SIEM را برآورده نمود.
با کمک این پروژه میتوان تمامی فرآیندهای نصب واجرای ساختار SIEM را پیاده سازی کرد.
جهت نصب و راه اندازی Splunk-Ansible نیاز به موارد ذیل می باشد:
• Linux OS (Debian,CentOS,etc)
• Python2
• System Utilities (net-tools package )
• PyPI Packages (pip, requests)
جهت دانلود این پروژه به آدرس URL ذیل مراجعه نمایید:
https://github.com/splunk/splunk-ansible
♻️@hypersec
GitHub
GitHub - splunk/splunk-ansible: Ansible playbooks for configuring and managing Splunk Enterprise and Universal Forwarder deployments
Ansible playbooks for configuring and managing Splunk Enterprise and Universal Forwarder deployments - splunk/splunk-ansible
👍1
✍️برنامه ی Splunk Dashboard Studio
این APP ابزاری جهت سفارشی سازی داشبوردهای اسپلانک میباشد که قابلیت های متعددی از جمله طرح بندی ، رنگ آمیزی ، استفاده از تصاویر پس زمینه و سایر موارد دلخواه را به کاربران میدهد.با استفاده از Dashboard Studio میتوان از انواع امکانات بصری متعددی که اسپلانک در اختیار گذاشته است بهره برد. نکته حائز اهمیت این است که در ساخت داشبوردها به راحتی میتوان از زبان قدرتمند SPL استفاده نمود. همچنین قابلیت ساخت گزارش های بصری با استفاده از کدهای Json را دارد. از دیگر ویژگی های این App میتوان به قابلیت استفاده از DrillDown به عنوان یک لینک جهت انتقال به URL مورد نظر اشاره کرد.
#Splunk
#Splunk_Dashboard_Studio
♻️@Hypersec
این APP ابزاری جهت سفارشی سازی داشبوردهای اسپلانک میباشد که قابلیت های متعددی از جمله طرح بندی ، رنگ آمیزی ، استفاده از تصاویر پس زمینه و سایر موارد دلخواه را به کاربران میدهد.با استفاده از Dashboard Studio میتوان از انواع امکانات بصری متعددی که اسپلانک در اختیار گذاشته است بهره برد. نکته حائز اهمیت این است که در ساخت داشبوردها به راحتی میتوان از زبان قدرتمند SPL استفاده نمود. همچنین قابلیت ساخت گزارش های بصری با استفاده از کدهای Json را دارد. از دیگر ویژگی های این App میتوان به قابلیت استفاده از DrillDown به عنوان یک لینک جهت انتقال به URL مورد نظر اشاره کرد.
#Splunk
#Splunk_Dashboard_Studio
♻️@Hypersec
✍️مزایای Splunk Dashboard Studio نسبت به داشبوردهای کلاسیک
#Splunk
#Splunk_Dashboard_Studio
♻️@Hypersec
#Splunk
#Splunk_Dashboard_Studio
♻️@Hypersec
Splunk Insights for Ransomware برنامه✍️
این اپ که توسط اسپلانک ارائه شده است میتواند به سرعت ریسک باجافزارها را ارزیابی کند. همچنین به کاربران Splunk جهت شناسایی، مدیریت و پاسخگویی به باجافزارها (به ویژه باجافزار WannaCry) کمک میکند. Splunk Insights for Ransomware نقطه شروعی را در اختیار کاربران قرار میدهد که آنها میتوانند بسته به محیط خود این برنامه را سفارشیسازی کنند.
این اپلیکیشن بیش از ده Use case در اختیار کاربران خود قرار میدهد که همین امر باعث میشود تا میزان قابلتوجهی از سو استفادهها در مقابل باجافزار WannaCry و موارد مشابه به آن کاهش یابد .کاربران توسط این اپلیکیشن میتوانند تاثیراتی را که باج افزار روی سازمان آنها داشته است را اندازه گیری کنند.
این Application نمونههای عملیاتی برای تشخیص دادن و همچنین بهترین راهکار برای جلوگیری از آلوده شدن سازمان به باجافزار را به کاربران ارائه دهد.
در واقع Splunk Insights for Ransomware برای کمک به سازمانهای کوچک با رویکردی گسترده و مبتنی بر تحلیل و هزینه کم طراحی شده است و برای سازمانهای با تعداد حداکثر 1000 کاربر قابل استفاده میباشد.
#Splunk
#Splunk_Insights_for_ransomware
♻️@Hypersec
این اپ که توسط اسپلانک ارائه شده است میتواند به سرعت ریسک باجافزارها را ارزیابی کند. همچنین به کاربران Splunk جهت شناسایی، مدیریت و پاسخگویی به باجافزارها (به ویژه باجافزار WannaCry) کمک میکند. Splunk Insights for Ransomware نقطه شروعی را در اختیار کاربران قرار میدهد که آنها میتوانند بسته به محیط خود این برنامه را سفارشیسازی کنند.
این اپلیکیشن بیش از ده Use case در اختیار کاربران خود قرار میدهد که همین امر باعث میشود تا میزان قابلتوجهی از سو استفادهها در مقابل باجافزار WannaCry و موارد مشابه به آن کاهش یابد .کاربران توسط این اپلیکیشن میتوانند تاثیراتی را که باج افزار روی سازمان آنها داشته است را اندازه گیری کنند.
این Application نمونههای عملیاتی برای تشخیص دادن و همچنین بهترین راهکار برای جلوگیری از آلوده شدن سازمان به باجافزار را به کاربران ارائه دهد.
در واقع Splunk Insights for Ransomware برای کمک به سازمانهای کوچک با رویکردی گسترده و مبتنی بر تحلیل و هزینه کم طراحی شده است و برای سازمانهای با تعداد حداکثر 1000 کاربر قابل استفاده میباشد.
#Splunk
#Splunk_Insights_for_ransomware
♻️@Hypersec
✍️مروری بر Splunk ITSI Application
اپ IT Service Intelligence در اسپلانک، یک راهکار مانیتورینگ و تحلیل داده می باشد که با بهرهگیری از امکانات هوش مصنوعی، عملیات بخش IT را تسهیل میکند.
به واسطه این ابزار میتوان از صحت عملکرد سرویس های IT، سرویسهای حیاتی زیرساخت و سرویسهای مرتبط با کسب و کار سازمان، اطمینان حاصل کرد.
به طور کلی ITSI میتواند به منظور حل چالش های مرتبط با IT از جمله چالش های موجود در سرویس ها از طریق تحلیل رویدادها، متریک ها و لاگها مورد استفاده قرار گیرد.
ویژگی های Splunk ITSI به شرح زیر می باشد:
1. جمع آوری انواع دادههای سازمان به منظور کاهش پیچیدگی استفاده از ابزارهای مختلف حوزه IT
2. سازماندهی و همبسته سازی رویدادها به منظور آمادگی جهت تحلیل و بررسی یک واقعه در کوتاه ترین زمان
3. استفاده از تکنولوژی Machine Learning جهت شناسایی رفتارهای غیرعادی در شکبه
4. بهبود فرآیند خدمات دهی و افزایش کارایی تیم های در حال فعالیت در واحد IT
#Splunk
#ITSI_App
♻️@Hypersec
فناوری راه نو سورین
اپ IT Service Intelligence در اسپلانک، یک راهکار مانیتورینگ و تحلیل داده می باشد که با بهرهگیری از امکانات هوش مصنوعی، عملیات بخش IT را تسهیل میکند.
به واسطه این ابزار میتوان از صحت عملکرد سرویس های IT، سرویسهای حیاتی زیرساخت و سرویسهای مرتبط با کسب و کار سازمان، اطمینان حاصل کرد.
به طور کلی ITSI میتواند به منظور حل چالش های مرتبط با IT از جمله چالش های موجود در سرویس ها از طریق تحلیل رویدادها، متریک ها و لاگها مورد استفاده قرار گیرد.
ویژگی های Splunk ITSI به شرح زیر می باشد:
1. جمع آوری انواع دادههای سازمان به منظور کاهش پیچیدگی استفاده از ابزارهای مختلف حوزه IT
2. سازماندهی و همبسته سازی رویدادها به منظور آمادگی جهت تحلیل و بررسی یک واقعه در کوتاه ترین زمان
3. استفاده از تکنولوژی Machine Learning جهت شناسایی رفتارهای غیرعادی در شکبه
4. بهبود فرآیند خدمات دهی و افزایش کارایی تیم های در حال فعالیت در واحد IT
#Splunk
#ITSI_App
♻️@Hypersec
فناوری راه نو سورین
✍️ابزارهای حوزه SOC
در حوزه SOC هنوز یک نرم افزار کامل وجود ندارد که بتواند تمام جزئیات بخشهای کاربردی
را ادغام کند؛ بنابراین باید سخت افزارها، نرم افزارها و ابزارهای زیادی به گونه های یکپارچه به کار
گرفته شود تا نیازهای این بخشها پوشش داده شود. نکته حائز اهمیت در انتخاب این محصولات،
در نظر گرفتن نحوه یکپارچه سازی داده هایی است که توسط آنها تولید میشود. نکته مهم دیگر
توجه به معماری امنیتی است که توسط این ابزارها شکل میگیرد.معماری امنیتی مستلزم طبقه
بندی و تقسیم بندی درست داده ها است به شکلی که توانایی تحمل خطاهای احتمالی در مواقع
بحرانی مانند حملات داخلی و یا خارجی را از طریق مکانیسم هایی مانند افزونگی داشته باشد.
#ادامه_مطلب_درـPDF
#SOC
#Tools
♻️@Hypersec
فناوری راه نو سورین
👇👇👇👇👇
در حوزه SOC هنوز یک نرم افزار کامل وجود ندارد که بتواند تمام جزئیات بخشهای کاربردی
را ادغام کند؛ بنابراین باید سخت افزارها، نرم افزارها و ابزارهای زیادی به گونه های یکپارچه به کار
گرفته شود تا نیازهای این بخشها پوشش داده شود. نکته حائز اهمیت در انتخاب این محصولات،
در نظر گرفتن نحوه یکپارچه سازی داده هایی است که توسط آنها تولید میشود. نکته مهم دیگر
توجه به معماری امنیتی است که توسط این ابزارها شکل میگیرد.معماری امنیتی مستلزم طبقه
بندی و تقسیم بندی درست داده ها است به شکلی که توانایی تحمل خطاهای احتمالی در مواقع
بحرانی مانند حملات داخلی و یا خارجی را از طریق مکانیسم هایی مانند افزونگی داشته باشد.
#ادامه_مطلب_درـPDF
#SOC
#Tools
♻️@Hypersec
فناوری راه نو سورین
👇👇👇👇👇
دعوت به همکاری
کارآموز امنیت شبکه و دفاع سایبری
تحصیلات :کارشناسی کامپیوتر/IT
ساعت کاری: ۹:۰۰ صبح الی۵:۰۰ بعد از ظهر شنبه تا چهارشنبه
بیمه
محل کار: جردن
شرایط: آشنایی با مفاهیم پایه شبکه و امنیت
ارسال رزومه به آدرس: info@soorinsec.ir
کارآموز امنیت شبکه و دفاع سایبری
تحصیلات :کارشناسی کامپیوتر/IT
ساعت کاری: ۹:۰۰ صبح الی۵:۰۰ بعد از ظهر شنبه تا چهارشنبه
بیمه
محل کار: جردن
شرایط: آشنایی با مفاهیم پایه شبکه و امنیت
ارسال رزومه به آدرس: info@soorinsec.ir
✍️قابلیتهای اسپلانک در شبکههای کنترل صنعتی
سیستمهای کنترل صنعتی، سیستمهای بلادرنگ پیچیدهای هستند که وظیفه نظارت وکنترل داراییهایی مانندخطوط لوله نفت وگاز،خطوط تولید،عملیات معدن وسایرفرآیندهای صنعتی رابرعهده دارند.
مانیتورینگ امنیتی این سیستم هاتوسط اپ
Splunk Essentials for ICS Security and Compliance
انجام میشود.
این برنامه به سازمان هاکمک میکند درک واضحي ازتأثیرات حوادث امنیتی برسیستم های کنترل صنعتی(ICS)وکاربرد Splunkبرای مشاهده وپاسخ سریع به تهدیدات دنیای واقعی به دست آورند.
اپ ICS،اغلب وظیفه نظارت ومدیریت فرآیندهای بسیار حساس مرتبط بامحیط های تولیدی و صنعتی را برعهده دارد. فناوریهای ICS شامل سیستمهایی مانندکنترل نظارتی و جمعآوری دادهها(SCADA)، سیستمهای کنترل توزیعشده(DCS)وکنترلکنندههای منطقی قابل برنامهریزی (PLC) هستند.این دستگاه هاشبکه فناوری عملیاتی(OT)راتشکیل میدهند.
درادامه به برخی ازتوانایی های این ابزارپرداخته میشود:
تشخیص دسترسی به صورت دوره های زمانی
تشخیص تغییردرتنظیماتRouterوSwitchها
تشخیص دسترسی شبکه هایOTبه شبکه هايIT
تشخیص رفتاردستگاه های متصل شده جدید
♻️@Hypersec
سیستمهای کنترل صنعتی، سیستمهای بلادرنگ پیچیدهای هستند که وظیفه نظارت وکنترل داراییهایی مانندخطوط لوله نفت وگاز،خطوط تولید،عملیات معدن وسایرفرآیندهای صنعتی رابرعهده دارند.
مانیتورینگ امنیتی این سیستم هاتوسط اپ
Splunk Essentials for ICS Security and Compliance
انجام میشود.
این برنامه به سازمان هاکمک میکند درک واضحي ازتأثیرات حوادث امنیتی برسیستم های کنترل صنعتی(ICS)وکاربرد Splunkبرای مشاهده وپاسخ سریع به تهدیدات دنیای واقعی به دست آورند.
اپ ICS،اغلب وظیفه نظارت ومدیریت فرآیندهای بسیار حساس مرتبط بامحیط های تولیدی و صنعتی را برعهده دارد. فناوریهای ICS شامل سیستمهایی مانندکنترل نظارتی و جمعآوری دادهها(SCADA)، سیستمهای کنترل توزیعشده(DCS)وکنترلکنندههای منطقی قابل برنامهریزی (PLC) هستند.این دستگاه هاشبکه فناوری عملیاتی(OT)راتشکیل میدهند.
درادامه به برخی ازتوانایی های این ابزارپرداخته میشود:
تشخیص دسترسی به صورت دوره های زمانی
تشخیص تغییردرتنظیماتRouterوSwitchها
تشخیص دسترسی شبکه هایOTبه شبکه هايIT
تشخیص رفتاردستگاه های متصل شده جدید
♻️@Hypersec
✍️Threat Modeling
مدلسازی تهدید یا Threat Modeling روشی برای بهینهسازی امنیت سیستم است، که شامل شناسایی اهداف، روشهای نفوذ و نقاط آسیبپذیر، میباشد. در مدلسازی تهدید، اولین و مهم ترین گام، مشخص نمودن تمام مواردی است که نیاز به حفاظت دارند.
همچنین باید توجه کرد که مشخص نمودن ارزش آنچه قصد حفاظت از آن را داریم صرفاً یک مسئلهی یک طرفه نیست، به این معنا که در شناسایی داراییهای ارزشمند سیستم، تنها نباید به آنچه از دید خود (به عنوان توسعه دهنده و یا مصرفکننده) ارزشمند است توجه شود، بلکه باید آنچه برای یک مهاجم احتمالی هم ارزشمند است نیز ارزیابی شود.
در گام بعد، نیاز است مهاجمان احتمالی به سیستم، شناسایی و ارزیابی گردند. همچنین یکی دیگر از موارد مهم در مدل سازی تهدید، توجه به اشتباهات غیرعمدی مانند ضعفهای عملکرد سیستم میباشد.
درنهایت برای مدلسازی تهدید در ارتباط با برنامههای کاربردی میتوان از دو رویکرد STRIDE و DREAD برای ارزیابی، مقایسه و اولویتبندی مخاطرات بر مبنای شدت خطر آنها استفاده کرد.
#Threat_Modeling
♻️@Hypersec
مدلسازی تهدید یا Threat Modeling روشی برای بهینهسازی امنیت سیستم است، که شامل شناسایی اهداف، روشهای نفوذ و نقاط آسیبپذیر، میباشد. در مدلسازی تهدید، اولین و مهم ترین گام، مشخص نمودن تمام مواردی است که نیاز به حفاظت دارند.
همچنین باید توجه کرد که مشخص نمودن ارزش آنچه قصد حفاظت از آن را داریم صرفاً یک مسئلهی یک طرفه نیست، به این معنا که در شناسایی داراییهای ارزشمند سیستم، تنها نباید به آنچه از دید خود (به عنوان توسعه دهنده و یا مصرفکننده) ارزشمند است توجه شود، بلکه باید آنچه برای یک مهاجم احتمالی هم ارزشمند است نیز ارزیابی شود.
در گام بعد، نیاز است مهاجمان احتمالی به سیستم، شناسایی و ارزیابی گردند. همچنین یکی دیگر از موارد مهم در مدل سازی تهدید، توجه به اشتباهات غیرعمدی مانند ضعفهای عملکرد سیستم میباشد.
درنهایت برای مدلسازی تهدید در ارتباط با برنامههای کاربردی میتوان از دو رویکرد STRIDE و DREAD برای ارزیابی، مقایسه و اولویتبندی مخاطرات بر مبنای شدت خطر آنها استفاده کرد.
#Threat_Modeling
♻️@Hypersec
✍️اسپلانک در Business Analytics
تجزیهوتحلیل تجاری(Business Analytics)، به جمعآوری دادههای مهم و کلیدی سازمان با هدف تسریع تصمیمگیری به گونهای هوشمندانه و تسهیل فرآیند پاسخگویی به نیازهای سازمان اطلاق میشود.
به گفته گارتنر، Business Analytics شامل استخراج دادها، تحلیل دادههایی که میتوان آینده را پیشبینی کرد و تجزیهوتحلیل کاربردی و آماری است که بهعنوان یک برنامه کاربردی مناسب برای یک کاربر تجاری ارائه میشود.
با نگاهی اجمالی به صنایع مختلف، میتوان متوجه شد که Business Analytics مزایای قابلتوجهی دارد که در ادامه به آن اشاره شده است:
سازمانهایی که خدمات مالی ارائه میدهند، میتوانند درک روشنی از نحوه تعامل مشتریان با پیشنهادات آنلاین خود مانند فرآیند درخواست وام بدست آورند تا درک کنند چگونه تجربه مشتریان خود را بهبود ببخشند
شرکتهای بهداشتی میتوانند راههای جدیدی مانند تشخیص تأخیر در حل مطالبات بیمهای به منظور کاهش هزینهها کشف کنند.
خردهفروشان نیز میتوانند درک بهتری از نحوه تعامل مشتریان با وبسایتهایشان داشته باشند که منجر به جلب مشتری با رضایت بالا میشود.
تولیدکنندگان میتوانند درک بهتری از زنجیره تأمین خود از نظر کیفیت، هزینه، بهموقع دردسترسبودن و ... داشته باشند. همچنین میتوانند روند تقاضا را بادقت بیشتری درک کنند تا فضای انبار خود را بهینه کنند و برای افزایش تقاضا آماده باشند.
اسپلانک در زمینه ی Business Analytics افزونه و اپلیکیشن های زیاد و مختلفی را ارائه داده است که در تصویر پایین به چند نوع از این موارد اشاره شده است.
♻️@Hypersec
تجزیهوتحلیل تجاری(Business Analytics)، به جمعآوری دادههای مهم و کلیدی سازمان با هدف تسریع تصمیمگیری به گونهای هوشمندانه و تسهیل فرآیند پاسخگویی به نیازهای سازمان اطلاق میشود.
به گفته گارتنر، Business Analytics شامل استخراج دادها، تحلیل دادههایی که میتوان آینده را پیشبینی کرد و تجزیهوتحلیل کاربردی و آماری است که بهعنوان یک برنامه کاربردی مناسب برای یک کاربر تجاری ارائه میشود.
با نگاهی اجمالی به صنایع مختلف، میتوان متوجه شد که Business Analytics مزایای قابلتوجهی دارد که در ادامه به آن اشاره شده است:
سازمانهایی که خدمات مالی ارائه میدهند، میتوانند درک روشنی از نحوه تعامل مشتریان با پیشنهادات آنلاین خود مانند فرآیند درخواست وام بدست آورند تا درک کنند چگونه تجربه مشتریان خود را بهبود ببخشند
شرکتهای بهداشتی میتوانند راههای جدیدی مانند تشخیص تأخیر در حل مطالبات بیمهای به منظور کاهش هزینهها کشف کنند.
خردهفروشان نیز میتوانند درک بهتری از نحوه تعامل مشتریان با وبسایتهایشان داشته باشند که منجر به جلب مشتری با رضایت بالا میشود.
تولیدکنندگان میتوانند درک بهتری از زنجیره تأمین خود از نظر کیفیت، هزینه، بهموقع دردسترسبودن و ... داشته باشند. همچنین میتوانند روند تقاضا را بادقت بیشتری درک کنند تا فضای انبار خود را بهینه کنند و برای افزایش تقاضا آماده باشند.
اسپلانک در زمینه ی Business Analytics افزونه و اپلیکیشن های زیاد و مختلفی را ارائه داده است که در تصویر پایین به چند نوع از این موارد اشاره شده است.
♻️@Hypersec
✍️معرفی ابزار پرکاربرد osquery
osquery سیستم عامل را به عنوان یک Data base با کارایی بالا در نظر گرفته و این امکان را فراهم میآورد تا به منظور بررسی بخشهای مختلف یک سیستمعامل، از کوئریهای SQL استفاده کرد. این ابزار قابلیت اجرا بر روی تمام سیستم عامل ها اعم از
Windows, linux و mac
را دارد.
با osquery، میتوان پروسههای در حال اجرا، ماژول های کرنل ، Connectionهای باز شبکه ، پلاگین های مرورگر، هش فایل ها و ... را در سطح سیستم عامل مورد بررسی قرار داد. این ابزار امکان یکپارچگی با Splunk را از طریق نصب TA مربوطه دارد و قابلیتهای زیر را در اختیار کاربر قرار میدهد:
1. قابلیب Parse کردن و Extract فیلدها در لاگهای زیر :
• osqueryd.INFO، osqueryd.WARNING، osqueryd.ERROR
• osqueryd.results.log
• osqueryd.snapshots.log
2. سازگاری به CIM و قابلیت ذخیرهسازی دادهها در قالب دیتامدلهای Alerts، Changes و Endpoint
و ...
#OSquery
#Splunk
♻️@Hypersec
osquery سیستم عامل را به عنوان یک Data base با کارایی بالا در نظر گرفته و این امکان را فراهم میآورد تا به منظور بررسی بخشهای مختلف یک سیستمعامل، از کوئریهای SQL استفاده کرد. این ابزار قابلیت اجرا بر روی تمام سیستم عامل ها اعم از
Windows, linux و mac
را دارد.
با osquery، میتوان پروسههای در حال اجرا، ماژول های کرنل ، Connectionهای باز شبکه ، پلاگین های مرورگر، هش فایل ها و ... را در سطح سیستم عامل مورد بررسی قرار داد. این ابزار امکان یکپارچگی با Splunk را از طریق نصب TA مربوطه دارد و قابلیتهای زیر را در اختیار کاربر قرار میدهد:
1. قابلیب Parse کردن و Extract فیلدها در لاگهای زیر :
• osqueryd.INFO، osqueryd.WARNING، osqueryd.ERROR
• osqueryd.results.log
• osqueryd.snapshots.log
2. سازگاری به CIM و قابلیت ذخیرهسازی دادهها در قالب دیتامدلهای Alerts، Changes و Endpoint
و ...
#OSquery
#Splunk
♻️@Hypersec
👌1
Splunk vs Wazuh.pdf
2.2 MB
✍️اسلایدهای وبینار بررسی قابلیت های Wazuh و Splunk
♻️@Hypersec
♻️@Hypersec
✍️یکپارچگی wazuh با API های خارجی
Daemon Integrator
ابزاری است که به Wazuh اجازه می دهد تا با API های خارجی و ابزارهای هشدار مانند Slack، PagerDuty و VirusTotal یکپارچه شود. در این پست به نحوه یک پارچگی Wazuh با VirusTotal پرداخته می شود
وازو قابلیت این را دارد که فایل های مانیتور شده را اسکن کند و محتوای آن را مورد بررسی قرار دهد و در صورت محتوای مخرب این فایل ها، هشداری را صادر کند که این عمل با یکپارچه سازی از طریق VirusTotal قابل انجام است.
یکپارچگی VirusTotal با موتور FIM این Total Solution قدرتمند یعنی Wazuh ، ابزار سادهای برای اسکن فایلهای تحت نظارت برای بررسی محتوای مخرب فراهم میکند.
فایل پیکربندی این یکپارچه سازی در مسیر var/ossec/etc/ قرار دارد که پیکربندی آن در تصویر بالا آمده است.
#Wazuh #VirusTotal
♻️@Hypersec
Daemon Integrator
ابزاری است که به Wazuh اجازه می دهد تا با API های خارجی و ابزارهای هشدار مانند Slack، PagerDuty و VirusTotal یکپارچه شود. در این پست به نحوه یک پارچگی Wazuh با VirusTotal پرداخته می شود
وازو قابلیت این را دارد که فایل های مانیتور شده را اسکن کند و محتوای آن را مورد بررسی قرار دهد و در صورت محتوای مخرب این فایل ها، هشداری را صادر کند که این عمل با یکپارچه سازی از طریق VirusTotal قابل انجام است.
یکپارچگی VirusTotal با موتور FIM این Total Solution قدرتمند یعنی Wazuh ، ابزار سادهای برای اسکن فایلهای تحت نظارت برای بررسی محتوای مخرب فراهم میکند.
فایل پیکربندی این یکپارچه سازی در مسیر var/ossec/etc/ قرار دارد که پیکربندی آن در تصویر بالا آمده است.
#Wazuh #VirusTotal
♻️@Hypersec
✍️کشف آسیب پذیری Zero-Day بر روی فایروال Sophos
این آسیب پذیری تحت عنوان CVE-2022-1040 شناخته شده و امتیاز 9.8 را به خود اختصاص داده است که باعث bypass شدن احراز هویت شده و مهاجم با استفاده از آن میتواند کد دلخواه خود را از راه دور اجرا کند. همچنین فایروال های Sophos که از نسخه های 18.5 MR3 (18.5.3) و قدیمی تر استفاده میکنند دارای این آسیب پذیری میباشند.
وبسايت Volexity در گزارشی اعلام نمود که هکر پس از سواستفاده از این آسیب پذیری میتواند به کمک یک backdoor، وب شل مورد علاقه خود را آپلود کرده که این امر باعث انجام عمل Persistence در شبکه میشود و در نهایت مهاجم، حملات خود علیه سازمان را پیاده سازی میکند. هدف از این حملات، رخنه و نقض بیشتر سرورهای وب در فضای ابری است که میزبان وبسایتهای عمومی سازمان هستند.
همچنین محققان معتقد اند که مهاجم میتواند از دسترسی به فایروال برای انجام حملات Man-in-the-Middle (MITM) استفاده نموده و از دادههای جمعآوریشده، برای به خطر انداختن سیستمهای دیگر شبکه که فایروال در آن قرار دارد، استفاده کند.
♻️@Hypersec
این آسیب پذیری تحت عنوان CVE-2022-1040 شناخته شده و امتیاز 9.8 را به خود اختصاص داده است که باعث bypass شدن احراز هویت شده و مهاجم با استفاده از آن میتواند کد دلخواه خود را از راه دور اجرا کند. همچنین فایروال های Sophos که از نسخه های 18.5 MR3 (18.5.3) و قدیمی تر استفاده میکنند دارای این آسیب پذیری میباشند.
وبسايت Volexity در گزارشی اعلام نمود که هکر پس از سواستفاده از این آسیب پذیری میتواند به کمک یک backdoor، وب شل مورد علاقه خود را آپلود کرده که این امر باعث انجام عمل Persistence در شبکه میشود و در نهایت مهاجم، حملات خود علیه سازمان را پیاده سازی میکند. هدف از این حملات، رخنه و نقض بیشتر سرورهای وب در فضای ابری است که میزبان وبسایتهای عمومی سازمان هستند.
همچنین محققان معتقد اند که مهاجم میتواند از دسترسی به فایروال برای انجام حملات Man-in-the-Middle (MITM) استفاده نموده و از دادههای جمعآوریشده، برای به خطر انداختن سیستمهای دیگر شبکه که فایروال در آن قرار دارد، استفاده کند.
♻️@Hypersec
✍️URL Tools BOX APP
اپ URL Tool Box یکی از اپلیکیشن های کاربردی اسپلانک است که به آسانی بر روی کامپوننت Search Head نصب می شود. یکی از ویژگی های مهم این برنامه تجزیه ی urlها و TLDهای پیچیده است. به عنوان مثال اگر کارشناسان و تحلیلگران امنیتی قصد جداکردن مقدار دامین از sub domin را در کوئری خود در فیلد url داشته باشند، این اپلیکشن به آنها کمک می کند تا راحت تر به هدف خود برسند.
اطلاعات بیشتر و آموزش کار با این اپ به زودی بر روی پلتفرم اختصاصی سورین با نام Sector در دسترس خواهد بود.
#Splunk
#Sector #Soorin
♻️@Hypersec
اپ URL Tool Box یکی از اپلیکیشن های کاربردی اسپلانک است که به آسانی بر روی کامپوننت Search Head نصب می شود. یکی از ویژگی های مهم این برنامه تجزیه ی urlها و TLDهای پیچیده است. به عنوان مثال اگر کارشناسان و تحلیلگران امنیتی قصد جداکردن مقدار دامین از sub domin را در کوئری خود در فیلد url داشته باشند، این اپلیکشن به آنها کمک می کند تا راحت تر به هدف خود برسند.
اطلاعات بیشتر و آموزش کار با این اپ به زودی بر روی پلتفرم اختصاصی سورین با نام Sector در دسترس خواهد بود.
#Splunk
#Sector #Soorin
♻️@Hypersec
sector.soorinsec.ir
سکتور
Web site created using create-react-app