چگونگی ایجاد یک برنامه و بستر Threat Intelligence کارآمد 👇👇
How To Build an Effective Intelligence Program
In this post, I want to explain the common definition of Threat Intelligence and 5 steps we should take as implementing an Intelligence program.
Threat Intelligence:
The collection, classification, and exploitation of knowledge about adversaries, usually with the intent of turning that Intelligence into actionable steps to find, limit, stop, and/or remove the attackers from the victim’s environment.
An effective threat intelligence program is one that is built to specifically address the organization needs. Below are five guidelines security teams should consider as they implement their program.
1: Consider the organization’s threat profile and like adversaries.
Tune selected intel sources to match your expected threat actors. It can’t hurt to evaluate a wide range of intel sources, but these should be carefully evaluated in the light of the organization’s needs before activating. For example, a financial organization would not have much use for intelligence about threat groups that primarily steal medical records.
2: Check the integration with the infrastructure within the environment.
This may include a technical integration to the SIEM, or simply ensuring the team can search available evidence for the specific types intelligence indicators (IP address, hostname, traffic signatures, etc.) Related to this point, consider the longevity for an item of threat intelligence and whether the organization’s data retention policies match the expected use case.
3: Continuously evaluate effectiveness.
Is a particular intel indicator creating an excessive number of false positive events? That may require re-evaluating the indicator or potentially the entire intelligence source. The indicator may require fine tuning or modification to best suit its intended purpose.
4: Remove when no longer useful to the operations process.
In the case of an indicator that is no longer useful, it should be removed. There is rarely value to alerting on tactical intelligence from several years ago. This is closely related to the re-evaluating point above, but many organizations fail to implement cleanup processes. Doing so minimizes the chance of false positives, but also ensures real-time detection platforms are seeking out only the most valuable events.
5: Generate internal intelligence as a result of investigation processes.
Solely consuming threat intelligence is not enough to create a viable threat intel program. Operations teams behind the most effective programs include an input from the DFIR processes through which locally-generated threat intel is consumed. As the DFIR teams learn more about an attacker or campaign, context is added and those indicators become intelligence. By establishing a feedback loop to security operations, the threat intel can yield quick and specific detections.
How To Build an Effective Intelligence Program
In this post, I want to explain the common definition of Threat Intelligence and 5 steps we should take as implementing an Intelligence program.
Threat Intelligence:
The collection, classification, and exploitation of knowledge about adversaries, usually with the intent of turning that Intelligence into actionable steps to find, limit, stop, and/or remove the attackers from the victim’s environment.
An effective threat intelligence program is one that is built to specifically address the organization needs. Below are five guidelines security teams should consider as they implement their program.
1: Consider the organization’s threat profile and like adversaries.
Tune selected intel sources to match your expected threat actors. It can’t hurt to evaluate a wide range of intel sources, but these should be carefully evaluated in the light of the organization’s needs before activating. For example, a financial organization would not have much use for intelligence about threat groups that primarily steal medical records.
2: Check the integration with the infrastructure within the environment.
This may include a technical integration to the SIEM, or simply ensuring the team can search available evidence for the specific types intelligence indicators (IP address, hostname, traffic signatures, etc.) Related to this point, consider the longevity for an item of threat intelligence and whether the organization’s data retention policies match the expected use case.
3: Continuously evaluate effectiveness.
Is a particular intel indicator creating an excessive number of false positive events? That may require re-evaluating the indicator or potentially the entire intelligence source. The indicator may require fine tuning or modification to best suit its intended purpose.
4: Remove when no longer useful to the operations process.
In the case of an indicator that is no longer useful, it should be removed. There is rarely value to alerting on tactical intelligence from several years ago. This is closely related to the re-evaluating point above, but many organizations fail to implement cleanup processes. Doing so minimizes the chance of false positives, but also ensures real-time detection platforms are seeking out only the most valuable events.
5: Generate internal intelligence as a result of investigation processes.
Solely consuming threat intelligence is not enough to create a viable threat intel program. Operations teams behind the most effective programs include an input from the DFIR processes through which locally-generated threat intel is consumed. As the DFIR teams learn more about an attacker or campaign, context is added and those indicators become intelligence. By establishing a feedback loop to security operations, the threat intel can yield quick and specific detections.
Windows Registry Monitoring Using Splunk
I'm going to share one of the most interesting use cases for any SIEM, Registry Monitoring. It's simple but worth monitoring.
Use Case:
Registry Monitoring
Denoscription:
Registry Monitoring Usually whenever an executable install it made some changes to registry. So it is worth monitoring registry events/actions like set, delete etc.
Log Source:
Windows Registry Logs
Splunk Query:
index=main sourcetype=WinRegistry | stats values(data) by key_path,registry_type,host | rename host as "Machine Name" registry_type as Action values(data) as "New Value" key_path as "Path to Subkey"
As other use cases, you can develop the query or even use it in other SIEMs by doing a simple change. For instance, you can compare the results of the query with ones in next day/week and raise an alert if the given modification done.
I'm going to share one of the most interesting use cases for any SIEM, Registry Monitoring. It's simple but worth monitoring.
Use Case:
Registry Monitoring
Denoscription:
Registry Monitoring Usually whenever an executable install it made some changes to registry. So it is worth monitoring registry events/actions like set, delete etc.
Log Source:
Windows Registry Logs
Splunk Query:
index=main sourcetype=WinRegistry | stats values(data) by key_path,registry_type,host | rename host as "Machine Name" registry_type as Action values(data) as "New Value" key_path as "Path to Subkey"
As other use cases, you can develop the query or even use it in other SIEMs by doing a simple change. For instance, you can compare the results of the query with ones in next day/week and raise an alert if the given modification done.
What is the ATT&CK Matrix?
One of these innovative solutions is MITRE’s ATT&CK Matrix. The ATT&CK Matrix (Adversarial Tactics, Techniques, and Common Knowledge) is a carefully comprised knowledge base used to describe how adversaries penetrate networks and move laterally across them by escalating privileges, and often evade an organization’s defenses for extended periods of time.
The ATT&CK Matrix looks at these actions from the perspective of an adversary, the goals they may look to achieve, and the methods they may use to achieve them. These methods are broken down by techniques, tactics, and procedures (TTPs) observed during MITRE’s research as well as penetration testing and red team engagements. The information gathered during these engagements provides a model for network defenders to use to better categorize and understand post-exploitation activities.
The organization of the TTPs found within the ATT&CK Matrix may be familiar to most as they coincide with the later stages of the Lockheed Martin Cyber Kill Chain.
One of these innovative solutions is MITRE’s ATT&CK Matrix. The ATT&CK Matrix (Adversarial Tactics, Techniques, and Common Knowledge) is a carefully comprised knowledge base used to describe how adversaries penetrate networks and move laterally across them by escalating privileges, and often evade an organization’s defenses for extended periods of time.
The ATT&CK Matrix looks at these actions from the perspective of an adversary, the goals they may look to achieve, and the methods they may use to achieve them. These methods are broken down by techniques, tactics, and procedures (TTPs) observed during MITRE’s research as well as penetration testing and red team engagements. The information gathered during these engagements provides a model for network defenders to use to better categorize and understand post-exploitation activities.
The organization of the TTPs found within the ATT&CK Matrix may be familiar to most as they coincide with the later stages of the Lockheed Martin Cyber Kill Chain.
Why is the ATT&CK Matrix Important?
Cybersecurity is a “game of inches” and every inch covered has proved to be no small feat for network defenders. As adversaries evolve their tactics and techniques, the security community works tirelessly to evolve their detection and remediation methods to bring their organizations and the community one step closer to closing the gap faced when battling these elusive actors.
One of the detection and remediation methods that has gained a lot of momentum is Cyber Threat Intelligence (CTI). Since its conception, some of the mysticism surrounding its definition and applicable use has begun to reveal itself. However, as with any new school of thought, there is still a lot of knowledge to be gained and work to be done.
The traditional approach to CTI has proven to be a cumbersome process. The ways and means of collecting threat intelligence data is oftentimes delivered through thorough reporting efforts which can leave analysts scrambling to extract meaningful information, and in turn, they must also be able to apply this information in a manner that proves to be an effective means of defense.
Other unforeseen obstacles organizations face are the overwhelming number of indicators these reports produce. These indicators, more times than not, provide a little context and must be vetted before they can be consumed. This can be a daunting process which if not done correctly, can contaminate an organization’s intelligence data causing an even greater increase of false positives than are already being observed. To make matters worse, even if the above-mentioned obstacles are overcome, these indicators are constantly evolving creating stale data in their wake which must be continuously reviewed and re-prioritized.
Now that we have stated some of the obvious issues, what can be done about it? That is where the ATT&CK Matrix comes in. ATT&CK provides structure to this chaos by allowing analysts and network defenders to gather greater context around adversary groups, how they compare to other groups, and what TTPs they are using. This invaluable information will help organizations begin to gain value from their threat intelligence while remaining sane in the process.
Cybersecurity is a “game of inches” and every inch covered has proved to be no small feat for network defenders. As adversaries evolve their tactics and techniques, the security community works tirelessly to evolve their detection and remediation methods to bring their organizations and the community one step closer to closing the gap faced when battling these elusive actors.
One of the detection and remediation methods that has gained a lot of momentum is Cyber Threat Intelligence (CTI). Since its conception, some of the mysticism surrounding its definition and applicable use has begun to reveal itself. However, as with any new school of thought, there is still a lot of knowledge to be gained and work to be done.
The traditional approach to CTI has proven to be a cumbersome process. The ways and means of collecting threat intelligence data is oftentimes delivered through thorough reporting efforts which can leave analysts scrambling to extract meaningful information, and in turn, they must also be able to apply this information in a manner that proves to be an effective means of defense.
Other unforeseen obstacles organizations face are the overwhelming number of indicators these reports produce. These indicators, more times than not, provide a little context and must be vetted before they can be consumed. This can be a daunting process which if not done correctly, can contaminate an organization’s intelligence data causing an even greater increase of false positives than are already being observed. To make matters worse, even if the above-mentioned obstacles are overcome, these indicators are constantly evolving creating stale data in their wake which must be continuously reviewed and re-prioritized.
Now that we have stated some of the obvious issues, what can be done about it? That is where the ATT&CK Matrix comes in. ATT&CK provides structure to this chaos by allowing analysts and network defenders to gather greater context around adversary groups, how they compare to other groups, and what TTPs they are using. This invaluable information will help organizations begin to gain value from their threat intelligence while remaining sane in the process.
SOC or MSSP?!!
Below are the most important advantages of a SOC as comapred to an MSSP:
Below are the most important advantages of a SOC as comapred to an MSSP:
What is an Incident Response Playbook?
A playbook is defined as a set of rules, describing at least one action to be executed with input data and triggered by one or more events. It is a critical component of cybersecurity—especially in relation to security automation and orchestration (SAO). It’s meant to represent a basic security process in a generalized way that can be used across a variety of organizations.
A playbook is defined as a set of rules, describing at least one action to be executed with input data and triggered by one or more events. It is a critical component of cybersecurity—especially in relation to security automation and orchestration (SAO). It’s meant to represent a basic security process in a generalized way that can be used across a variety of organizations.
Incident Response Playbook Example
The following is an example of a phishing playbook that an organization may utilize:
The following is an example of a phishing playbook that an organization may utilize:
مراحل آلوده سازی سیستم ها توسط باج افزارها (Ransomeware Kill Chain) و راهکارهای مقابله✍
۱. غالبا باج افزارها با یکی از روش های زیر وارد سیستم قربانی می شوند:
– ضمیمه یا لینک وبی مخرب در یک ایمیل فیشینگ
راهکار مقابله: مسدود کردن ایمیل های ورودی روی سرور SMTP، حذف ایمیل ها از Inbox کاربران و اطلاع رسانی به کاربر نسبت به بازنکردن لینک ها و ضمیمه هایی با الگوهای مشخص
– انتشار باج افزار از طریق صفحات وب مخرب (صفحاتی که کاربر با مرور و دانلود از آنها آلوده به باج افزار می شود – این تکنیک به Malvertizing شهرت دارد)
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)
– تکنیک Drive-by Download
در این روش برنامه های مخرب نظیر آنتی ویروس های جعلی کاربر را مجاب به دانلود فایل (در واقع دانلود باج افزار) می کنند.
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)، نوشتن Rule های سفارشی جهت مسدود کردن دانلود فایل های مشخص و مشکوک
۲. پیلود ( Payload ) روی سیستم قربانی اجرا شده و باج افزار نصب می شود
راهکار مقابله: ایجاد Whitelist از برنامه های قابل نصب روی سیستم کاربر، شناسایی سیستم هایی که فایل های مشخص (یا با الگوی مشخص) را دانلود کرده اند (اینکار با استفاده از تحلیل لاگ های HIDS میسر می شود)
۳. باج افزار نصب شده یک زوج کلید رمزگذاری و رمزگشایی تولید می کند.
۴. باج افزار با سرور کنترل و فرمان مربوطه ( C&C Server ) ارتباط برقرار می کند تا بدین طریق کلید رمزگشایی را به سرور مذکور ارسال کند
راهکار مقابله: شناسایی و مسدود کردن الگوهای ترافیکی غیرعادی (الگوهایی که تا به حال مشاهده نشده) روی NIDS و سرور پراکسی
۵. باج افزار با استفاده از کلید رمزگذاری مربوطه، اقدام به رمز کردن فایل های قربانی روی هارد دیسک می کند.
راهکار تشخیص: مانیتور کردن سیستم کاربران و فایل های اشتراکی با هدف یافتن پسوندهای مشکوک نظیر .abc، .xxx و …
۶. پس از اتمام عملیات مخرب باج افزار، فایل ها از دسترس خارج می شوند. باج افزار فایلی متنی را در دسکتاپ یا مسیرهای دلخواه قرار می دهد که در آن دستور العمل پرداخت و بازیابی فایل های اصلی ذکر شده است.
راهکار تشخیص: مانیتور کردن سیستم کاربر با هدف یافتن فایل های متنی مرتبط با باج افزار یا فایل های HTML روی دسکتاپ کاربر
http://www.hypersec.ir/?p=652🌎
@hypersec
t.me/hypersec
۱. غالبا باج افزارها با یکی از روش های زیر وارد سیستم قربانی می شوند:
– ضمیمه یا لینک وبی مخرب در یک ایمیل فیشینگ
راهکار مقابله: مسدود کردن ایمیل های ورودی روی سرور SMTP، حذف ایمیل ها از Inbox کاربران و اطلاع رسانی به کاربر نسبت به بازنکردن لینک ها و ضمیمه هایی با الگوهای مشخص
– انتشار باج افزار از طریق صفحات وب مخرب (صفحاتی که کاربر با مرور و دانلود از آنها آلوده به باج افزار می شود – این تکنیک به Malvertizing شهرت دارد)
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)
– تکنیک Drive-by Download
در این روش برنامه های مخرب نظیر آنتی ویروس های جعلی کاربر را مجاب به دانلود فایل (در واقع دانلود باج افزار) می کنند.
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)، نوشتن Rule های سفارشی جهت مسدود کردن دانلود فایل های مشخص و مشکوک
۲. پیلود ( Payload ) روی سیستم قربانی اجرا شده و باج افزار نصب می شود
راهکار مقابله: ایجاد Whitelist از برنامه های قابل نصب روی سیستم کاربر، شناسایی سیستم هایی که فایل های مشخص (یا با الگوی مشخص) را دانلود کرده اند (اینکار با استفاده از تحلیل لاگ های HIDS میسر می شود)
۳. باج افزار نصب شده یک زوج کلید رمزگذاری و رمزگشایی تولید می کند.
۴. باج افزار با سرور کنترل و فرمان مربوطه ( C&C Server ) ارتباط برقرار می کند تا بدین طریق کلید رمزگشایی را به سرور مذکور ارسال کند
راهکار مقابله: شناسایی و مسدود کردن الگوهای ترافیکی غیرعادی (الگوهایی که تا به حال مشاهده نشده) روی NIDS و سرور پراکسی
۵. باج افزار با استفاده از کلید رمزگذاری مربوطه، اقدام به رمز کردن فایل های قربانی روی هارد دیسک می کند.
راهکار تشخیص: مانیتور کردن سیستم کاربران و فایل های اشتراکی با هدف یافتن پسوندهای مشکوک نظیر .abc، .xxx و …
۶. پس از اتمام عملیات مخرب باج افزار، فایل ها از دسترس خارج می شوند. باج افزار فایلی متنی را در دسکتاپ یا مسیرهای دلخواه قرار می دهد که در آن دستور العمل پرداخت و بازیابی فایل های اصلی ذکر شده است.
راهکار تشخیص: مانیتور کردن سیستم کاربر با هدف یافتن فایل های متنی مرتبط با باج افزار یا فایل های HTML روی دسکتاپ کاربر
http://www.hypersec.ir/?p=652🌎
@hypersec
t.me/hypersec
ترفندهای ساده برای شکار تهدیدات (بخش اول)✍
فرض کنید یکی از اعضای تیم تحلیلگر تهدیدات در سازمان (گاهاً تیم آبی نیز خوانده میشود) هستید و سازمان بودجه و افراد کافی برای شکار تهدیدات در اختیار ندارد؛ با این فرضیه و همچنین با دراختیار داشتن لاگ پراکسی سرور سازمان میتوانید به راحتی با استفاده از الگوهایی مشخص اقدام به شکار تهدیدات سایبری نمایید.
ترفند اول
بهعنوان نمونه، مهاجم از طریق یکی از آسیبپذیریهای وردپرس اقدام به آپلود فایلهای مخرب روی سرور وب سازمان میکند.
بهراحتی با استفاده از یک الگوی رجکس (Regular Expression) مانند زیر، میتوانید در لاگهای موجود این مورد را بررسی کنید.
/wp-(includes|admin|content)/.*.(exe|dll|scr)
به این ترتیب میتوان فایلهای مخربی را که روی مسیرهای مشکوکی نظیر مسیر زیر بارگذاری شده است را شناسایی کرد.
http://www.example.com/wp-content/uploads/2015/06/malicious.exe
میتوان از رجکسی مشابه رجکس فوق برای CMS هایی نظیر جوملا، دراپال و غیره نیز استفاده کرد.
ترفند دوم
باج افزارها امروزه به یکی از تهدیدات رایج و بعضا خسارتبار در سازمان ها تبدیل شده است. بسیاری از آنها در هنگام نصب اقدام به برقراری ارتباط با سرور C2 خود میکنند. این ارتباط از طرق مختلفی نظیر استفاده از پروتکل HTTP، سرویسهای Tor و … قابل انجام است.
با زدن یک رجکس بسیار ساده روی لاگهای پراکسی سرور موجود در سازمان میتوان چنین ارتباطات مخربی را شناسایی کرد.
به عنوان نمونه، جهت شناسایی ارتباطات TOR میتوان از رجکس ساده زیر استفاده کرد.
[a-z0–۹]{۱۶}.(onion|tor2web|torlink).
با استفاده از رجکس فوق، ارتباط با آدرسهایی نظیر آدرس زیر بهراحتی قابل شناسایی خواهد بود.
https://duskgytldkxiuqc6.onion.to/
http://www.hypersec.ir/?p=655🌎
@hypersec
t.me/hypersec
فرض کنید یکی از اعضای تیم تحلیلگر تهدیدات در سازمان (گاهاً تیم آبی نیز خوانده میشود) هستید و سازمان بودجه و افراد کافی برای شکار تهدیدات در اختیار ندارد؛ با این فرضیه و همچنین با دراختیار داشتن لاگ پراکسی سرور سازمان میتوانید به راحتی با استفاده از الگوهایی مشخص اقدام به شکار تهدیدات سایبری نمایید.
ترفند اول
بهعنوان نمونه، مهاجم از طریق یکی از آسیبپذیریهای وردپرس اقدام به آپلود فایلهای مخرب روی سرور وب سازمان میکند.
بهراحتی با استفاده از یک الگوی رجکس (Regular Expression) مانند زیر، میتوانید در لاگهای موجود این مورد را بررسی کنید.
/wp-(includes|admin|content)/.*.(exe|dll|scr)
به این ترتیب میتوان فایلهای مخربی را که روی مسیرهای مشکوکی نظیر مسیر زیر بارگذاری شده است را شناسایی کرد.
http://www.example.com/wp-content/uploads/2015/06/malicious.exe
میتوان از رجکسی مشابه رجکس فوق برای CMS هایی نظیر جوملا، دراپال و غیره نیز استفاده کرد.
ترفند دوم
باج افزارها امروزه به یکی از تهدیدات رایج و بعضا خسارتبار در سازمان ها تبدیل شده است. بسیاری از آنها در هنگام نصب اقدام به برقراری ارتباط با سرور C2 خود میکنند. این ارتباط از طرق مختلفی نظیر استفاده از پروتکل HTTP، سرویسهای Tor و … قابل انجام است.
با زدن یک رجکس بسیار ساده روی لاگهای پراکسی سرور موجود در سازمان میتوان چنین ارتباطات مخربی را شناسایی کرد.
به عنوان نمونه، جهت شناسایی ارتباطات TOR میتوان از رجکس ساده زیر استفاده کرد.
[a-z0–۹]{۱۶}.(onion|tor2web|torlink).
با استفاده از رجکس فوق، ارتباط با آدرسهایی نظیر آدرس زیر بهراحتی قابل شناسایی خواهد بود.
https://duskgytldkxiuqc6.onion.to/
http://www.hypersec.ir/?p=655🌎
@hypersec
t.me/hypersec
Telegram
Hypersec
🔐🔏 تیم عملیات امنیت سورین
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
ارائه دهنده راهکارهای نوین مرکز عملیات امنیت (SOC)
Soorinsec.ir
۰۲۱-۲۲۰۲۱۷۳۴
instagram : sector_soorin
linkdin : https://www.linkedin.com/company/soorinsec/
Admin:
@Fze01
برخی منابع مفید در خصوص Open Source Threat Intelligence - OSINT
https://www.peerlyst.com/posts/blog-kim-kardashian-an-osint-cautionary-tale-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/so-you-wanna-osint-resources-and-reading-for-those-interested-in-osint-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/osint-framework-with-justin-nordine-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/how-are-you-using-osint-in-your-organization?trk=search_page_search_result
https://www.peerlyst.com/posts/open-source-intelligence-osint-reconnaissance-ian-barwise-m-s-cissp-ceh-cnda?trk=search_page_search_result
https://www.peerlyst.com/posts/open-source-intelligence-let-the-games-begin-infosectdk?trk=wall_page_activity_feed
https://www.peerlyst.com/posts/blog-kim-kardashian-an-osint-cautionary-tale-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/so-you-wanna-osint-resources-and-reading-for-those-interested-in-osint-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/osint-framework-with-justin-nordine-joe-gray?trk=search_page_search_result
https://www.peerlyst.com/posts/how-are-you-using-osint-in-your-organization?trk=search_page_search_result
https://www.peerlyst.com/posts/open-source-intelligence-osint-reconnaissance-ian-barwise-m-s-cissp-ceh-cnda?trk=search_page_search_result
https://www.peerlyst.com/posts/open-source-intelligence-let-the-games-begin-infosectdk?trk=wall_page_activity_feed
Peerlyst
[Blog] Kim Kardashian: An OSINT Cautionary Tale
KIM KARDASHIAN: AN OSINT CAUTIONARY TALE> As the name implies, this is based on my analysis of the sequence of events of Kim Kardashian's robbery in Paris, France. I have no insider information and my analysis hinges on what I have read from various
برخی ابزارهای مفید جهت جمع آوری و استفاده از Threat Intelligence
https://inteltechniques.com/
http://osintframework.com/
Recon-NG
Maltego
Datasploit
TinEye
Onion Scan
Imagga
PyimageSearch
Tinfoleak
OpenCV
hunch.ly
Have I been pwned?
Google Hacking Database on Exploit-DB
https://inteltechniques.com/
http://osintframework.com/
Recon-NG
Maltego
Datasploit
TinEye
Onion Scan
Imagga
PyimageSearch
Tinfoleak
OpenCV
hunch.ly
Have I been pwned?
Google Hacking Database on Exploit-DB
معرفی کتابی در خصوص راهکارهای نوین تشخیص تهدیدات سایبری
این کتاب که Intrusion Detection Guide نام دارد با همکاری جمعی از کارشناسان امنیت سایبری از کشورهای مختلف تالیف و آماده شده است.
امیدوارم این کتاب به ارتقای دانش در حوزه مذکور کمک کند.
لطفا در اشتراک گذاری این کتاب پیشقدم باشید.
زبان کتاب: انگلیسی
تعداد فصل: ۱۱
تعداد صفحه: ۱۳۹
قیمت: رایگان
سرفصل مطالب
فصل یک: مروری بر شکار تهدیدات سایبری
فصل دوم: مروری بر مفاهیم پاسخگویی به رخداد
فصل سوم: شکار تهدیدات با استفاده از لاگ های ویندوز
فصل چهارم: ایجاد تیم پاسخگویی به رخداد سایبری
فصل پنجم: روشهای حمله روی زیرساخت های کنترل صنعتی
فصل ششم: دفاع سایبری در شبکه های کننرل صنعتی
فصل هفتم: شکار Lateral Movement - نوشته شده توسط مهدی صیاد
فصل هشتم: شکار سوءاستفاده از PowerShell - نوشته شده توسط علی آهنگری
فصل نهم: بکارگیری یادگیری ماشین در شکار تهدیدات
فصل دهم: استانداردها و فریم ورک های تطابقی در امنیت سایبری
فصل یازدهم: راهنمای کسب تخصص در حوزه دیجیتال فارنزیک
این کتاب که Intrusion Detection Guide نام دارد با همکاری جمعی از کارشناسان امنیت سایبری از کشورهای مختلف تالیف و آماده شده است.
امیدوارم این کتاب به ارتقای دانش در حوزه مذکور کمک کند.
لطفا در اشتراک گذاری این کتاب پیشقدم باشید.
زبان کتاب: انگلیسی
تعداد فصل: ۱۱
تعداد صفحه: ۱۳۹
قیمت: رایگان
سرفصل مطالب
فصل یک: مروری بر شکار تهدیدات سایبری
فصل دوم: مروری بر مفاهیم پاسخگویی به رخداد
فصل سوم: شکار تهدیدات با استفاده از لاگ های ویندوز
فصل چهارم: ایجاد تیم پاسخگویی به رخداد سایبری
فصل پنجم: روشهای حمله روی زیرساخت های کنترل صنعتی
فصل ششم: دفاع سایبری در شبکه های کننرل صنعتی
فصل هفتم: شکار Lateral Movement - نوشته شده توسط مهدی صیاد
فصل هشتم: شکار سوءاستفاده از PowerShell - نوشته شده توسط علی آهنگری
فصل نهم: بکارگیری یادگیری ماشین در شکار تهدیدات
فصل دهم: استانداردها و فریم ورک های تطابقی در امنیت سایبری
فصل یازدهم: راهنمای کسب تخصص در حوزه دیجیتال فارنزیک