✍️معرفی ابزار پرکاربرد osquery
osquery سیستم عامل را به عنوان یک Data base با کارایی بالا در نظر گرفته و این امکان را فراهم میآورد تا به منظور بررسی بخشهای مختلف یک سیستمعامل، از کوئریهای SQL استفاده کرد. این ابزار قابلیت اجرا بر روی تمام سیستم عامل ها اعم از
Windows, linux و mac
را دارد.
با osquery، میتوان پروسههای در حال اجرا، ماژول های کرنل ، Connectionهای باز شبکه ، پلاگین های مرورگر، هش فایل ها و ... را در سطح سیستم عامل مورد بررسی قرار داد. این ابزار امکان یکپارچگی با Splunk را از طریق نصب TA مربوطه دارد و قابلیتهای زیر را در اختیار کاربر قرار میدهد:
1. قابلیب Parse کردن و Extract فیلدها در لاگهای زیر :
• osqueryd.INFO، osqueryd.WARNING، osqueryd.ERROR
• osqueryd.results.log
• osqueryd.snapshots.log
2. سازگاری به CIM و قابلیت ذخیرهسازی دادهها در قالب دیتامدلهای Alerts، Changes و Endpoint
و ...
#OSquery
#Splunk
♻️@Hypersec
osquery سیستم عامل را به عنوان یک Data base با کارایی بالا در نظر گرفته و این امکان را فراهم میآورد تا به منظور بررسی بخشهای مختلف یک سیستمعامل، از کوئریهای SQL استفاده کرد. این ابزار قابلیت اجرا بر روی تمام سیستم عامل ها اعم از
Windows, linux و mac
را دارد.
با osquery، میتوان پروسههای در حال اجرا، ماژول های کرنل ، Connectionهای باز شبکه ، پلاگین های مرورگر، هش فایل ها و ... را در سطح سیستم عامل مورد بررسی قرار داد. این ابزار امکان یکپارچگی با Splunk را از طریق نصب TA مربوطه دارد و قابلیتهای زیر را در اختیار کاربر قرار میدهد:
1. قابلیب Parse کردن و Extract فیلدها در لاگهای زیر :
• osqueryd.INFO، osqueryd.WARNING، osqueryd.ERROR
• osqueryd.results.log
• osqueryd.snapshots.log
2. سازگاری به CIM و قابلیت ذخیرهسازی دادهها در قالب دیتامدلهای Alerts، Changes و Endpoint
و ...
#OSquery
#Splunk
♻️@Hypersec
👌1
Splunk vs Wazuh.pdf
2.2 MB
✍️اسلایدهای وبینار بررسی قابلیت های Wazuh و Splunk
♻️@Hypersec
♻️@Hypersec
✍️یکپارچگی wazuh با API های خارجی
Daemon Integrator
ابزاری است که به Wazuh اجازه می دهد تا با API های خارجی و ابزارهای هشدار مانند Slack، PagerDuty و VirusTotal یکپارچه شود. در این پست به نحوه یک پارچگی Wazuh با VirusTotal پرداخته می شود
وازو قابلیت این را دارد که فایل های مانیتور شده را اسکن کند و محتوای آن را مورد بررسی قرار دهد و در صورت محتوای مخرب این فایل ها، هشداری را صادر کند که این عمل با یکپارچه سازی از طریق VirusTotal قابل انجام است.
یکپارچگی VirusTotal با موتور FIM این Total Solution قدرتمند یعنی Wazuh ، ابزار سادهای برای اسکن فایلهای تحت نظارت برای بررسی محتوای مخرب فراهم میکند.
فایل پیکربندی این یکپارچه سازی در مسیر var/ossec/etc/ قرار دارد که پیکربندی آن در تصویر بالا آمده است.
#Wazuh #VirusTotal
♻️@Hypersec
Daemon Integrator
ابزاری است که به Wazuh اجازه می دهد تا با API های خارجی و ابزارهای هشدار مانند Slack، PagerDuty و VirusTotal یکپارچه شود. در این پست به نحوه یک پارچگی Wazuh با VirusTotal پرداخته می شود
وازو قابلیت این را دارد که فایل های مانیتور شده را اسکن کند و محتوای آن را مورد بررسی قرار دهد و در صورت محتوای مخرب این فایل ها، هشداری را صادر کند که این عمل با یکپارچه سازی از طریق VirusTotal قابل انجام است.
یکپارچگی VirusTotal با موتور FIM این Total Solution قدرتمند یعنی Wazuh ، ابزار سادهای برای اسکن فایلهای تحت نظارت برای بررسی محتوای مخرب فراهم میکند.
فایل پیکربندی این یکپارچه سازی در مسیر var/ossec/etc/ قرار دارد که پیکربندی آن در تصویر بالا آمده است.
#Wazuh #VirusTotal
♻️@Hypersec
✍️کشف آسیب پذیری Zero-Day بر روی فایروال Sophos
این آسیب پذیری تحت عنوان CVE-2022-1040 شناخته شده و امتیاز 9.8 را به خود اختصاص داده است که باعث bypass شدن احراز هویت شده و مهاجم با استفاده از آن میتواند کد دلخواه خود را از راه دور اجرا کند. همچنین فایروال های Sophos که از نسخه های 18.5 MR3 (18.5.3) و قدیمی تر استفاده میکنند دارای این آسیب پذیری میباشند.
وبسايت Volexity در گزارشی اعلام نمود که هکر پس از سواستفاده از این آسیب پذیری میتواند به کمک یک backdoor، وب شل مورد علاقه خود را آپلود کرده که این امر باعث انجام عمل Persistence در شبکه میشود و در نهایت مهاجم، حملات خود علیه سازمان را پیاده سازی میکند. هدف از این حملات، رخنه و نقض بیشتر سرورهای وب در فضای ابری است که میزبان وبسایتهای عمومی سازمان هستند.
همچنین محققان معتقد اند که مهاجم میتواند از دسترسی به فایروال برای انجام حملات Man-in-the-Middle (MITM) استفاده نموده و از دادههای جمعآوریشده، برای به خطر انداختن سیستمهای دیگر شبکه که فایروال در آن قرار دارد، استفاده کند.
♻️@Hypersec
این آسیب پذیری تحت عنوان CVE-2022-1040 شناخته شده و امتیاز 9.8 را به خود اختصاص داده است که باعث bypass شدن احراز هویت شده و مهاجم با استفاده از آن میتواند کد دلخواه خود را از راه دور اجرا کند. همچنین فایروال های Sophos که از نسخه های 18.5 MR3 (18.5.3) و قدیمی تر استفاده میکنند دارای این آسیب پذیری میباشند.
وبسايت Volexity در گزارشی اعلام نمود که هکر پس از سواستفاده از این آسیب پذیری میتواند به کمک یک backdoor، وب شل مورد علاقه خود را آپلود کرده که این امر باعث انجام عمل Persistence در شبکه میشود و در نهایت مهاجم، حملات خود علیه سازمان را پیاده سازی میکند. هدف از این حملات، رخنه و نقض بیشتر سرورهای وب در فضای ابری است که میزبان وبسایتهای عمومی سازمان هستند.
همچنین محققان معتقد اند که مهاجم میتواند از دسترسی به فایروال برای انجام حملات Man-in-the-Middle (MITM) استفاده نموده و از دادههای جمعآوریشده، برای به خطر انداختن سیستمهای دیگر شبکه که فایروال در آن قرار دارد، استفاده کند.
♻️@Hypersec
✍️URL Tools BOX APP
اپ URL Tool Box یکی از اپلیکیشن های کاربردی اسپلانک است که به آسانی بر روی کامپوننت Search Head نصب می شود. یکی از ویژگی های مهم این برنامه تجزیه ی urlها و TLDهای پیچیده است. به عنوان مثال اگر کارشناسان و تحلیلگران امنیتی قصد جداکردن مقدار دامین از sub domin را در کوئری خود در فیلد url داشته باشند، این اپلیکشن به آنها کمک می کند تا راحت تر به هدف خود برسند.
اطلاعات بیشتر و آموزش کار با این اپ به زودی بر روی پلتفرم اختصاصی سورین با نام Sector در دسترس خواهد بود.
#Splunk
#Sector #Soorin
♻️@Hypersec
اپ URL Tool Box یکی از اپلیکیشن های کاربردی اسپلانک است که به آسانی بر روی کامپوننت Search Head نصب می شود. یکی از ویژگی های مهم این برنامه تجزیه ی urlها و TLDهای پیچیده است. به عنوان مثال اگر کارشناسان و تحلیلگران امنیتی قصد جداکردن مقدار دامین از sub domin را در کوئری خود در فیلد url داشته باشند، این اپلیکشن به آنها کمک می کند تا راحت تر به هدف خود برسند.
اطلاعات بیشتر و آموزش کار با این اپ به زودی بر روی پلتفرم اختصاصی سورین با نام Sector در دسترس خواهد بود.
#Splunk
#Sector #Soorin
♻️@Hypersec
sector.soorinsec.ir
سکتور
Web site created using create-react-app
آموزش SPL اسپلانک (بخش اول) – پلتفرم آموزش تعاملی سکتور
آموزش چند رسانه ای و تعاملی جستجو در اسپلانک با زبان محبوب SPL بر روی پلتفرم سکتور قرار گرفت.
برای استفاده از این آموزش، با سیستم شخصیتون (هنوز نسخه موبایل آماده نشده متاسفانه) اول توی پلتفرم سکتور به آدرس sector.soorinsec.ir یه ثبت نام ساده انجام بدید و بعد به بخش آموزش تعاملی برید و آموزش Splunk SPL رو انتخاب کنید. امیدواریم خوشتون بیاد.
این آموزش هنوز کامل تکمیل نشده و دستورات بیشتر و پیشرفته ترای از SPL اضافه میشه و البته اطلاع رسانی میشه.
لطفا نظراتتون رو هم بگید که چه جوری میتونیم بهترش کنیم.
آموزش چند رسانه ای و تعاملی جستجو در اسپلانک با زبان محبوب SPL بر روی پلتفرم سکتور قرار گرفت.
برای استفاده از این آموزش، با سیستم شخصیتون (هنوز نسخه موبایل آماده نشده متاسفانه) اول توی پلتفرم سکتور به آدرس sector.soorinsec.ir یه ثبت نام ساده انجام بدید و بعد به بخش آموزش تعاملی برید و آموزش Splunk SPL رو انتخاب کنید. امیدواریم خوشتون بیاد.
این آموزش هنوز کامل تکمیل نشده و دستورات بیشتر و پیشرفته ترای از SPL اضافه میشه و البته اطلاع رسانی میشه.
لطفا نظراتتون رو هم بگید که چه جوری میتونیم بهترش کنیم.
آموزش نصب و پیکربندی اولیه اپ Splunk Enterprise Security به پلتفرم سکتور اضافه شد.
برای دسترسی به این آموزش، به آدرس Sector.soorinsec.ir مراجعه کنید.
بعد از ثبت نام یا ورود، به قسمت آموزش تعاملی مراجعه کنید و در نهایت آموزش Enterprise Security رو انتخاب کنید. امیدواریم جذاب باشه براتون.
@hypersec
#sector
برای دسترسی به این آموزش، به آدرس Sector.soorinsec.ir مراجعه کنید.
بعد از ثبت نام یا ورود، به قسمت آموزش تعاملی مراجعه کنید و در نهایت آموزش Enterprise Security رو انتخاب کنید. امیدواریم جذاب باشه براتون.
@hypersec
#sector
صفر تا صد لایسنس های اسپلانک
آموزش و معرفی لایسنس های اسپلانک به همراه نحوه فعال کردن اونها روی پلتفرم سکتور قرار گرفت
برای این آموزش با سیستم شخصیتون (هنوز نسخه موبایل تکمیل نشده) به لینک زیر مراجعه و بعد از ثبت نام/ورود به بخش آموزش تعاملی مراجعه و در نهایت آموزش لایسنس اسپلانک رو انتخاب کنید
https://sector.soorinsec.ir
@hypersec
#sector
آموزش و معرفی لایسنس های اسپلانک به همراه نحوه فعال کردن اونها روی پلتفرم سکتور قرار گرفت
برای این آموزش با سیستم شخصیتون (هنوز نسخه موبایل تکمیل نشده) به لینک زیر مراجعه و بعد از ثبت نام/ورود به بخش آموزش تعاملی مراجعه و در نهایت آموزش لایسنس اسپلانک رو انتخاب کنید
https://sector.soorinsec.ir
@hypersec
#sector
آموزش SPL اسپلانک (بخش دوم _اضافه شدن دستوراتStats و eval) – پلتفرم آموزش تعاملی سکتور
آموزش چند رسانه ای و تعاملی جستجو در اسپلانک با زبان محبوب SPL بر روی پلتفرم سکتور قرار گرفت.
برای استفاده از این آموزش، با سیستم شخصیتون (هنوز نسخه موبایل آماده نشده متاسفانه) اول توی پلتفرم سکتور به آدرس sector.soorinsec.ir یه ثبت نام ساده انجام بدید و بعد به بخش آموزش تعاملی برید و آموزش Splunk SPL رو انتخاب کنید. امیدواریم خوشتون بیاد.
این آموزش هنوز کامل تکمیل نشده و دستورات بیشتر و پیشرفته ترای از SPL اضافه میشه و البته اطلاع رسانی میشه.
لطفا نظراتتون رو هم بگید که چه جوری میتونیم بهترش کنیم.
https://sector.soorinsec.ir
@hypersec
#sector
آموزش چند رسانه ای و تعاملی جستجو در اسپلانک با زبان محبوب SPL بر روی پلتفرم سکتور قرار گرفت.
برای استفاده از این آموزش، با سیستم شخصیتون (هنوز نسخه موبایل آماده نشده متاسفانه) اول توی پلتفرم سکتور به آدرس sector.soorinsec.ir یه ثبت نام ساده انجام بدید و بعد به بخش آموزش تعاملی برید و آموزش Splunk SPL رو انتخاب کنید. امیدواریم خوشتون بیاد.
این آموزش هنوز کامل تکمیل نشده و دستورات بیشتر و پیشرفته ترای از SPL اضافه میشه و البته اطلاع رسانی میشه.
لطفا نظراتتون رو هم بگید که چه جوری میتونیم بهترش کنیم.
https://sector.soorinsec.ir
@hypersec
#sector
Wazuh – Architecture, Components and Basic Installation
آموزش راهکار جامع وازو شامل معماری، مولفه ها و نصب اولیه، به پلتفرم آموزش تعاملی سکتور اضافه شد.
برای دسترسی به این آموزش، به آدرس Sector.soorinsec.ir
مراجعه کنید.
بعد از ثبت نام یا ورود، به قسمت آموزش تعاملی مراجعه کنید و در نهایت آموزش
Wazuh
رو انتخاب کنید. امیدواریم جذاب باشه براتون.
@hypersec
#sector
آموزش راهکار جامع وازو شامل معماری، مولفه ها و نصب اولیه، به پلتفرم آموزش تعاملی سکتور اضافه شد.
برای دسترسی به این آموزش، به آدرس Sector.soorinsec.ir
مراجعه کنید.
بعد از ثبت نام یا ورود، به قسمت آموزش تعاملی مراجعه کنید و در نهایت آموزش
Wazuh
رو انتخاب کنید. امیدواریم جذاب باشه براتون.
@hypersec
#sector
Forwarded from Splunk> Knowledge Base
YouTube
Test Your SIEM with Splunk's Attack Data Repository
Tune in to this Tech Talk to learn how your organization can use attack datasets to evaluate the strengths and weaknesses of your SIEM correlation searches. Attack datasets consist of real datasets with real attacks generated by the attack_range. These datasets…
ابزار Sysmon که یک ابزار برای مانیتور و ثبت رخداد در ویندوز و لینوکس شناخته می شود اخیرا برای پلتفرم ویندوز از نسخه ی 14.0 رونمایی کرده و قابلیت های جدیدی به نسخه ی قبلی خود اضافه کرده است این قابلیت ها :
- ارائه ی ابزار پیشرفته برای مانیتورکردن
- انواع رخداد های جدی
- FileBlockExecutable
که این قابلیت این امکان را به شما می دهد تا از ایجاد فایل های اجرای در مکان های خاص جلو
گیری کنید و با شناسه رخداد27 نیز قابل شناسایی است.
وچندین مورد دیگر برای بهبود درعملکرد
#sysmon
#soorin
♻️@hypersec
- ارائه ی ابزار پیشرفته برای مانیتورکردن
- انواع رخداد های جدی
- FileBlockExecutable
که این قابلیت این امکان را به شما می دهد تا از ایجاد فایل های اجرای در مکان های خاص جلو
گیری کنید و با شناسه رخداد27 نیز قابل شناسایی است.
وچندین مورد دیگر برای بهبود درعملکرد
#sysmon
#soorin
♻️@hypersec