برخی ابزارهای مفید جهت جمع آوری و استفاده از Threat Intelligence
https://inteltechniques.com/
http://osintframework.com/
Recon-NG
Maltego
Datasploit
TinEye
Onion Scan
Imagga
PyimageSearch
Tinfoleak
OpenCV
hunch.ly
Have I been pwned?
Google Hacking Database on Exploit-DB
https://inteltechniques.com/
http://osintframework.com/
Recon-NG
Maltego
Datasploit
TinEye
Onion Scan
Imagga
PyimageSearch
Tinfoleak
OpenCV
hunch.ly
Have I been pwned?
Google Hacking Database on Exploit-DB
معرفی کتابی در خصوص راهکارهای نوین تشخیص تهدیدات سایبری
این کتاب که Intrusion Detection Guide نام دارد با همکاری جمعی از کارشناسان امنیت سایبری از کشورهای مختلف تالیف و آماده شده است.
امیدوارم این کتاب به ارتقای دانش در حوزه مذکور کمک کند.
لطفا در اشتراک گذاری این کتاب پیشقدم باشید.
زبان کتاب: انگلیسی
تعداد فصل: ۱۱
تعداد صفحه: ۱۳۹
قیمت: رایگان
سرفصل مطالب
فصل یک: مروری بر شکار تهدیدات سایبری
فصل دوم: مروری بر مفاهیم پاسخگویی به رخداد
فصل سوم: شکار تهدیدات با استفاده از لاگ های ویندوز
فصل چهارم: ایجاد تیم پاسخگویی به رخداد سایبری
فصل پنجم: روشهای حمله روی زیرساخت های کنترل صنعتی
فصل ششم: دفاع سایبری در شبکه های کننرل صنعتی
فصل هفتم: شکار Lateral Movement - نوشته شده توسط مهدی صیاد
فصل هشتم: شکار سوءاستفاده از PowerShell - نوشته شده توسط علی آهنگری
فصل نهم: بکارگیری یادگیری ماشین در شکار تهدیدات
فصل دهم: استانداردها و فریم ورک های تطابقی در امنیت سایبری
فصل یازدهم: راهنمای کسب تخصص در حوزه دیجیتال فارنزیک
این کتاب که Intrusion Detection Guide نام دارد با همکاری جمعی از کارشناسان امنیت سایبری از کشورهای مختلف تالیف و آماده شده است.
امیدوارم این کتاب به ارتقای دانش در حوزه مذکور کمک کند.
لطفا در اشتراک گذاری این کتاب پیشقدم باشید.
زبان کتاب: انگلیسی
تعداد فصل: ۱۱
تعداد صفحه: ۱۳۹
قیمت: رایگان
سرفصل مطالب
فصل یک: مروری بر شکار تهدیدات سایبری
فصل دوم: مروری بر مفاهیم پاسخگویی به رخداد
فصل سوم: شکار تهدیدات با استفاده از لاگ های ویندوز
فصل چهارم: ایجاد تیم پاسخگویی به رخداد سایبری
فصل پنجم: روشهای حمله روی زیرساخت های کنترل صنعتی
فصل ششم: دفاع سایبری در شبکه های کننرل صنعتی
فصل هفتم: شکار Lateral Movement - نوشته شده توسط مهدی صیاد
فصل هشتم: شکار سوءاستفاده از PowerShell - نوشته شده توسط علی آهنگری
فصل نهم: بکارگیری یادگیری ماشین در شکار تهدیدات
فصل دهم: استانداردها و فریم ورک های تطابقی در امنیت سایبری
فصل یازدهم: راهنمای کسب تخصص در حوزه دیجیتال فارنزیک
معرفی پلتفرم تحلیل تهدیدات و دادههای امنیتی - SOF-ELK
توضیح: SOF-ELK پلتفرم تحلیل بیگ دیتاست که با تمرکز روی تحلیل و بررسی تهدیدات و جرم شناسی (فارنزیک) طراحی شده است. مخاطبان این پلتفرم کارشناسان مرکز عملیات امنیت، تحلیلگران امنیتی و شکارچیان تهدید است. در حقیقت پلتفرم مذکور، ترکیبی از ElasticSearch، Logstash و Kibiana است که پروسه نصب زمان بر و طولانی ELK را ساده کرده و آن را در قالب یک ماشین مجازی آماده ارایه داده است.
این پلتفرم در ابتدا برای افرادی که دوره های FOR507 و SEC555 موسسه SANS را می گذرانند طراحی شد اما به تدریج برای سایر کاربران و مخاطبان نیز در دسترس قرار گرفت. می توانید پلتفرم
مذکور را از لینک زیر دانلود کرده و از آن استفاده کنید.
https://lnkd.in/gSF8dS6
توضیح: SOF-ELK پلتفرم تحلیل بیگ دیتاست که با تمرکز روی تحلیل و بررسی تهدیدات و جرم شناسی (فارنزیک) طراحی شده است. مخاطبان این پلتفرم کارشناسان مرکز عملیات امنیت، تحلیلگران امنیتی و شکارچیان تهدید است. در حقیقت پلتفرم مذکور، ترکیبی از ElasticSearch، Logstash و Kibiana است که پروسه نصب زمان بر و طولانی ELK را ساده کرده و آن را در قالب یک ماشین مجازی آماده ارایه داده است.
این پلتفرم در ابتدا برای افرادی که دوره های FOR507 و SEC555 موسسه SANS را می گذرانند طراحی شد اما به تدریج برای سایر کاربران و مخاطبان نیز در دسترس قرار گرفت. می توانید پلتفرم
مذکور را از لینک زیر دانلود کرده و از آن استفاده کنید.
https://lnkd.in/gSF8dS6
GitHub
philhagen/sof-elk
Configuration files for the SOF-ELK VM, used in SANS FOR572 - philhagen/sof-elk
شواهد مجازی و نشانگرهای آلودگی✍
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec
Publicly Availables Tools Seen In Cyber Incident Worldwide
According To US-CERT Report
1. Remote Access Trojan: JBiFrost
2. Webshell: China Chopper
3. Credential Stealer: Mimikatz
4. Lateral Movement Framework: PowerShell Empire
5. C2 Obfuscation and Exfiltration: HUC Packet Transmitter
According To US-CERT Report
1. Remote Access Trojan: JBiFrost
2. Webshell: China Chopper
3. Credential Stealer: Mimikatz
4. Lateral Movement Framework: PowerShell Empire
5. C2 Obfuscation and Exfiltration: HUC Packet Transmitter
📝 Introducing Some Popular OSINT Tools:
1⃣ Shodan:
Shodan provides you a lot of information about the assets that have been connected to the network. Google is the search engine for all but shodan is the search engine for hackers. The devices can vary from computers, laptops, webcams, traffic signals, and various IOT devices. This can help security analysts to identify the target and test it for various vulnerabilities, default settings or passwords, available ports, banners, and services etc.
2⃣ Google Dorks:
Google Dorks can help a user to target the search or index the results in a better and more efficient way.
<Filetype: searches for a particular string in a pdf file>
Some of the other indexing options are:
Inurl: search for a string in URL of the page.
Innoscript: To search the noscript for a keyword.
Ext: To search for a particular extension.
Intext: Search for a particular text in a page.
Sometimes it is also referred to as Google hacking.
3⃣ Metagoofile:
Metagoofil is written by Christian Martorella and is a command line tool that is used to gather metadata of public documents. The tool is pre-bundled in Kali Linux and has a lot of features searching for the document type on the target, local download, extraction of metadata and reporting the results.
For example: Users can scan for a particular kind of documents on a particular domain. Metagoofil –d nmap.org –t pdf.
4⃣ Check Usernames:
Social networking websites hold a lot of information but it will be really boring and time taking task if you need to check whether a particular username is present on any social media website. To get such information there is a website www.checkusernames.com. It will search for the presence of a particular username on more than 150 websites. The users can check for the presence of a target on a particular website so as to make the attack more targeted.
A more advanced version of the website is knowem.com which has a more wide database of more than 500 websites along with a few more services
5⃣ TinEye:
Tineye is used to perform an image related search on the web. It has various products like tineye alert system, color search API, mobile engine etc. You can search if an image has been available online and where that image has appeared. Tineye uses neural networks, machine learning, and pattern recognition to get the results. It uses image matching, watermark identification, signature matching and various other parameters to match the image rather than keyword matching.
6⃣ SearchCode:
Search code offers you a feature to search for a line of code which could have been present in various code sharing websites like Github etc. Users can search for functions or methods, variables, operations, security flaws and anything that can constitute a code segment. Users can search for strings as simple as "a++" too complex methods. The search results can be further filtered basis a particular repository or language.
📰 @hypersec
1⃣ Shodan:
Shodan provides you a lot of information about the assets that have been connected to the network. Google is the search engine for all but shodan is the search engine for hackers. The devices can vary from computers, laptops, webcams, traffic signals, and various IOT devices. This can help security analysts to identify the target and test it for various vulnerabilities, default settings or passwords, available ports, banners, and services etc.
2⃣ Google Dorks:
Google Dorks can help a user to target the search or index the results in a better and more efficient way.
<Filetype: searches for a particular string in a pdf file>
Some of the other indexing options are:
Inurl: search for a string in URL of the page.
Innoscript: To search the noscript for a keyword.
Ext: To search for a particular extension.
Intext: Search for a particular text in a page.
Sometimes it is also referred to as Google hacking.
3⃣ Metagoofile:
Metagoofil is written by Christian Martorella and is a command line tool that is used to gather metadata of public documents. The tool is pre-bundled in Kali Linux and has a lot of features searching for the document type on the target, local download, extraction of metadata and reporting the results.
For example: Users can scan for a particular kind of documents on a particular domain. Metagoofil –d nmap.org –t pdf.
4⃣ Check Usernames:
Social networking websites hold a lot of information but it will be really boring and time taking task if you need to check whether a particular username is present on any social media website. To get such information there is a website www.checkusernames.com. It will search for the presence of a particular username on more than 150 websites. The users can check for the presence of a target on a particular website so as to make the attack more targeted.
A more advanced version of the website is knowem.com which has a more wide database of more than 500 websites along with a few more services
5⃣ TinEye:
Tineye is used to perform an image related search on the web. It has various products like tineye alert system, color search API, mobile engine etc. You can search if an image has been available online and where that image has appeared. Tineye uses neural networks, machine learning, and pattern recognition to get the results. It uses image matching, watermark identification, signature matching and various other parameters to match the image rather than keyword matching.
6⃣ SearchCode:
Search code offers you a feature to search for a line of code which could have been present in various code sharing websites like Github etc. Users can search for functions or methods, variables, operations, security flaws and anything that can constitute a code segment. Users can search for strings as simple as "a++" too complex methods. The search results can be further filtered basis a particular repository or language.
📰 @hypersec
درک دفاع فعال سایبری-بخش اول
یکی از مفاهیمی که شکارچیان تهدید لازم است بدانند، راهبرد دفاع فعال سایبری یا Cyber Active Defence در برنامه امنیت سایبری سازمان است. علیرغم رویکردهای سنتی و غیر فعال در امنیت، رویکردهای دفاعی فعال به شیوه ای موثر تر عمل کرده و توانایی توقف نمودن مهاجمان را در گاهم های اولیه حمله را دارند....
در مطلب زیر درباره دفاع فعال بیشتر بدانید
http://www.hypersec.ir/?p=537
یکی از مفاهیمی که شکارچیان تهدید لازم است بدانند، راهبرد دفاع فعال سایبری یا Cyber Active Defence در برنامه امنیت سایبری سازمان است. علیرغم رویکردهای سنتی و غیر فعال در امنیت، رویکردهای دفاعی فعال به شیوه ای موثر تر عمل کرده و توانایی توقف نمودن مهاجمان را در گاهم های اولیه حمله را دارند....
در مطلب زیر درباره دفاع فعال بیشتر بدانید
http://www.hypersec.ir/?p=537
یافتن تهدیدات محتمل از طریق بررسی ترافیک HTTP
تحلیلگران امنیت و به خصوص شکارچیان تهدیدات سایبری، می توانند با بررسی بسته های مربوط به پروتکل های شبکه نشانه های احتمالی تهدید را بیابند. به بیان دیگر، یکی از منابع داده ای بسیار ارزشمند در فرآیند شکار تهدیدات، ترافیک شبکه است. در این پست قصد داریم تا نقاط قابل جستجو و تهدیدات محتمل قابل تشخیص در ترافیک HTTP را به صورت فهرست تشریح کنیم.
فیلدهایی از ترافیک http که باید درحین فرآیند شکار تهدیدات بررسی شوند عبارتند از:
• HTTP host header
• HTTP referrer header
• HTTP user-agent header
• HTTP request methods
• HTTP response status code
• HTTP number of requests
نشانه گرهایی که می توان از فیلدهای مذکور به دست آورد عبارتند از:
• Hosts not ending with .com | .net | .org & host length > 30 char
• Malicious referring domains
• Uncommon or non-existing User-Agents
• Methods other than GET/POST
• Abnormal increase in NON 2xx/3xx codes
• Clients sending increasing number of HTTP requests
و در نهایت، تهدیدات محتملی که از ترافیک HTTP قابل تشخیص است عبارتند از:
• Unauthorized communication channel
• DGA, suspicious domains (i.e. http:://bit .ly/2jKNAhi or HTTP traffic to an IP address instead of FQDN)
• Watering hole and JS exploit kits
• Uploads (PUT method), tunneling (CONNECT method) and injection
• Directory brute-forcing (404 errors), authorization bypass (401 errors), DOS (5xx errors)
• Beacons, tunneling, and data exfiltration
تحلیلگران امنیت و به خصوص شکارچیان تهدیدات سایبری، می توانند با بررسی بسته های مربوط به پروتکل های شبکه نشانه های احتمالی تهدید را بیابند. به بیان دیگر، یکی از منابع داده ای بسیار ارزشمند در فرآیند شکار تهدیدات، ترافیک شبکه است. در این پست قصد داریم تا نقاط قابل جستجو و تهدیدات محتمل قابل تشخیص در ترافیک HTTP را به صورت فهرست تشریح کنیم.
فیلدهایی از ترافیک http که باید درحین فرآیند شکار تهدیدات بررسی شوند عبارتند از:
• HTTP host header
• HTTP referrer header
• HTTP user-agent header
• HTTP request methods
• HTTP response status code
• HTTP number of requests
نشانه گرهایی که می توان از فیلدهای مذکور به دست آورد عبارتند از:
• Hosts not ending with .com | .net | .org & host length > 30 char
• Malicious referring domains
• Uncommon or non-existing User-Agents
• Methods other than GET/POST
• Abnormal increase in NON 2xx/3xx codes
• Clients sending increasing number of HTTP requests
و در نهایت، تهدیدات محتملی که از ترافیک HTTP قابل تشخیص است عبارتند از:
• Unauthorized communication channel
• DGA, suspicious domains (i.e. http:://bit .ly/2jKNAhi or HTTP traffic to an IP address instead of FQDN)
• Watering hole and JS exploit kits
• Uploads (PUT method), tunneling (CONNECT method) and injection
• Directory brute-forcing (404 errors), authorization bypass (401 errors), DOS (5xx errors)
• Beacons, tunneling, and data exfiltration
📝منابع مفید جهت مطالعه بر روی SIEM ها
http://hypersec.ir
1⃣IBM QRadar
DOCUMENTATION
https://ibm.biz/qradarknowledge
CONFERENCE
https://ibm.biz/qradaropenmic
LEARNING FREE VIDEOS
https://ibm.ent.box.com/s/ich0yyiw54y0ek6s9a66xvtjku8e42rc
(Download the Security Intelligence Toturial, Demos & Use Cases PDF)
LEARNING OFFICIAL PAID COURSES
https://www.securitylearningacademy.com/
APP MARKET PLACE
https://exchange.xforce.ibmcloud.com/
APP DEVELOPMENT
https://developer.ibm.com/qradar/
SUPPORT
https://ibm.biz/qradarsupport
https://ibm.biz/qradarlogs Getting logs Instructions
REQUEST FOR ENHANCEMENTS
https://ibm.biz/RFEQRadar
FREE or TRIAL DOWNLOAD
https://ibm.biz/qradarce
USER FORUM
https://ibm.biz/qradarforums
Public User Chat Groups (not endorsed by vendor)
https://news.1rj.ru/str/QRadarChat (Telegram)
https://news.1rj.ru/str/QRadarFEED (IBM Qradar RSS Feed group)
=============================================
2⃣ELK (Elasticsearch, Logstash, Kibana)
DOCUMENTATION
https://www.elastic.co/guide/index.html
CONFERENCE
https://www.elastic.co/elasticon
LEARNING FREE VIDEOS
https://www.youtube.com/results?search_query=elasticsearch+playlist
* There are alot of free introduction videos, but most full online training courses are paid.
LEARNING OFFICIAL PAID COURSES
https://www.elastic.co/training
APP MARKET PLACE
https://www.elastic.co/solutions
* ELK does not have a app store, but different "solutions"
APP DEVELOPMENT
ELK does not have a app store, but different products and solutions.
SUPPORT
https://www.elastic.co/support/welcome
REQUEST FOR ENHANCEMENTS
https://github.com/elastic/elasticsearch/issues
https://github.com/elastic/kibana/issues
https://github.com/elastic/logstash/issues
FREE or TRIAL DOWNLOAD
https://www.elastic.co/start
USER FORUM
https://discuss.elastic.co/
=========================================
3⃣Splunk
DOCUMENTATION
http://docs.splunk.com/Documentation
CONFERENCE
http://conf.splunk.com/
LEARNING FREE VIDEOS
https://www.splunk.com/en_us/training/free-courses/splunk-fundamentals-1.html
* Certification is also free of charge
LEARNING OFFICIAL PAID COURSES
https://www.splunk.com/en_us/training.html
APP MARKET PLACE
https://splunkbase.splunk.com/
APP DEVELOPMENT
http://dev.splunk.com/
SUPPORT
https://www.splunk.com/en_us/support-and-services.html
REQUEST FOR ENHANCEMENTS
http://www.splunk.com/index.php/submit_issue
FREE or TRIAL DOWNLOAD
https://www.splunk.com/en_us/download.html
USER FORUM
https://www.splunk.com/en_us/community.html
http://hypersec.ir
1⃣IBM QRadar
DOCUMENTATION
https://ibm.biz/qradarknowledge
CONFERENCE
https://ibm.biz/qradaropenmic
LEARNING FREE VIDEOS
https://ibm.ent.box.com/s/ich0yyiw54y0ek6s9a66xvtjku8e42rc
(Download the Security Intelligence Toturial, Demos & Use Cases PDF)
LEARNING OFFICIAL PAID COURSES
https://www.securitylearningacademy.com/
APP MARKET PLACE
https://exchange.xforce.ibmcloud.com/
APP DEVELOPMENT
https://developer.ibm.com/qradar/
SUPPORT
https://ibm.biz/qradarsupport
https://ibm.biz/qradarlogs Getting logs Instructions
REQUEST FOR ENHANCEMENTS
https://ibm.biz/RFEQRadar
FREE or TRIAL DOWNLOAD
https://ibm.biz/qradarce
USER FORUM
https://ibm.biz/qradarforums
Public User Chat Groups (not endorsed by vendor)
https://news.1rj.ru/str/QRadarChat (Telegram)
https://news.1rj.ru/str/QRadarFEED (IBM Qradar RSS Feed group)
=============================================
2⃣ELK (Elasticsearch, Logstash, Kibana)
DOCUMENTATION
https://www.elastic.co/guide/index.html
CONFERENCE
https://www.elastic.co/elasticon
LEARNING FREE VIDEOS
https://www.youtube.com/results?search_query=elasticsearch+playlist
* There are alot of free introduction videos, but most full online training courses are paid.
LEARNING OFFICIAL PAID COURSES
https://www.elastic.co/training
APP MARKET PLACE
https://www.elastic.co/solutions
* ELK does not have a app store, but different "solutions"
APP DEVELOPMENT
ELK does not have a app store, but different products and solutions.
SUPPORT
https://www.elastic.co/support/welcome
REQUEST FOR ENHANCEMENTS
https://github.com/elastic/elasticsearch/issues
https://github.com/elastic/kibana/issues
https://github.com/elastic/logstash/issues
FREE or TRIAL DOWNLOAD
https://www.elastic.co/start
USER FORUM
https://discuss.elastic.co/
=========================================
3⃣Splunk
DOCUMENTATION
http://docs.splunk.com/Documentation
CONFERENCE
http://conf.splunk.com/
LEARNING FREE VIDEOS
https://www.splunk.com/en_us/training/free-courses/splunk-fundamentals-1.html
* Certification is also free of charge
LEARNING OFFICIAL PAID COURSES
https://www.splunk.com/en_us/training.html
APP MARKET PLACE
https://splunkbase.splunk.com/
APP DEVELOPMENT
http://dev.splunk.com/
SUPPORT
https://www.splunk.com/en_us/support-and-services.html
REQUEST FOR ENHANCEMENTS
http://www.splunk.com/index.php/submit_issue
FREE or TRIAL DOWNLOAD
https://www.splunk.com/en_us/download.html
USER FORUM
https://www.splunk.com/en_us/community.html
📝 جهت بررسی یک رخداد یا بررسی event های مشکوک، معمولاْ چه نوع لاگ هایی را باید بررسی کرد؟
✔️ لاگ های سیستم عامل کاربر قربانی یا لاگ سیستم عامل سرور
✔️ لاگ اپلیکیشن ها (سرویس دهنده وب مانند آپاچی یا IIS، لاگ دیتابیس و ..)
✔️ لاگ تجهیزات و نرم افزارهای امنیتی (لاگ آنتی ویروس، لاگ سیستم های تشخیص نفوذ، لاگ فایروال و …)
✔️ لاگ ترافیک خروجی سرور پراکسی
📝 اما این لاگ ها در چه مسیری ذخیره شده اند؟
در سیستم عامل لینوکس لاگ های سیستم عامل و لاگ اپلیکیشن ها در مسیر /var/log ذخیره شده است. به عنوان نمونه در صورتی که بخواهید لاگ آپاچی را مشاهده کنید باید به مسیر زیر رجوع کرد
/var/log/apache2/access.log
در سیستم عامل ویندوز نیز این لاگ ها از طریق برنامه Event Viewer قابل مشاهده و دسترسی هستند
سایر دستگاه های موجود در شبکه (دستگاه های سخت افزاری) نیز لاگ های خود را از طریق پروتکل Syslog به یک سرور یا ذخیره ساز مرکزی ارسال می کنند
📝 با چه نرم افزارهایی می تواند لاگ های جمع آوری شده را تحلیل کرد؟
پس از جمع آوری لاگ های مورد نظر جهت بررسی یک رخداد یا Event های مشکوک، می توان با نرم افزارهایی نظیر موارد زیر لاگ ها را تحلیل و بررسی کرد
✔️ پلتفرم نرم افزاری ElK Stack
✔️ سیستم تحلیل داده Splunk
✔️ نرم افزار ساده LogParser
و …
✔️ لاگ های سیستم عامل کاربر قربانی یا لاگ سیستم عامل سرور
✔️ لاگ اپلیکیشن ها (سرویس دهنده وب مانند آپاچی یا IIS، لاگ دیتابیس و ..)
✔️ لاگ تجهیزات و نرم افزارهای امنیتی (لاگ آنتی ویروس، لاگ سیستم های تشخیص نفوذ، لاگ فایروال و …)
✔️ لاگ ترافیک خروجی سرور پراکسی
📝 اما این لاگ ها در چه مسیری ذخیره شده اند؟
در سیستم عامل لینوکس لاگ های سیستم عامل و لاگ اپلیکیشن ها در مسیر /var/log ذخیره شده است. به عنوان نمونه در صورتی که بخواهید لاگ آپاچی را مشاهده کنید باید به مسیر زیر رجوع کرد
/var/log/apache2/access.log
در سیستم عامل ویندوز نیز این لاگ ها از طریق برنامه Event Viewer قابل مشاهده و دسترسی هستند
سایر دستگاه های موجود در شبکه (دستگاه های سخت افزاری) نیز لاگ های خود را از طریق پروتکل Syslog به یک سرور یا ذخیره ساز مرکزی ارسال می کنند
📝 با چه نرم افزارهایی می تواند لاگ های جمع آوری شده را تحلیل کرد؟
پس از جمع آوری لاگ های مورد نظر جهت بررسی یک رخداد یا Event های مشکوک، می توان با نرم افزارهایی نظیر موارد زیر لاگ ها را تحلیل و بررسی کرد
✔️ پلتفرم نرم افزاری ElK Stack
✔️ سیستم تحلیل داده Splunk
✔️ نرم افزار ساده LogParser
و …
📝 وقتی صحبت از شکار تهدیدات به میان می آید، تحلیلگر امنیتی دقیقا باید دنبال چه موارد محتملی باشد؟
پس از جمع آوری داده های مورد نیاز در یک فرآیند شکار تهدیدات، تحلیلگر در داده های جمع آوری شده می تواند موارد محتمل زیر را جستجو کند:
✔️ Hunt for Network Beaconing
توضیح: Network Beaconing به معنای وقوع الگویی خاص در ترافیک شبکه، در بازه های زمانی معین است. مشاهده این الگو می تواند نشانه ای از ارتباط یک بدافزار با سرور کنترل و فرمان باشد.
✔️ Hunt for Unusual DNS requests
✔️ Hunt for Unusual Network Shares
✔️ Hunt for Network Reconnaissance
✔️ Hunt for mismatch windows services (parent/child processes)
توضیح: در این مورد تحلیلگر باید به دنبال سرویس هایی باشد که سرویس والد آنها یا وجود ندارد یا سرویسی ناشناخته است
✔️ Hunt for Privilege Escalation
✔️ Hunt for UAC Bypass
✔️ Hunt for Credential Dumping
✔️ Hunt for Covert Channels
✔️ Hunt for CnC traffics
✔️ Hunt for Suspicious Tunnels
توضیح: در این مورد تحلیل گر باید به دنبال داده هایی غیرمرتبط در پیلود بسته ها باشد. به عنوان نمونه در پیلود بسته های ICMP الگویی ناهنجار مشاهده کند
پس از جمع آوری داده های مورد نیاز در یک فرآیند شکار تهدیدات، تحلیلگر در داده های جمع آوری شده می تواند موارد محتمل زیر را جستجو کند:
✔️ Hunt for Network Beaconing
توضیح: Network Beaconing به معنای وقوع الگویی خاص در ترافیک شبکه، در بازه های زمانی معین است. مشاهده این الگو می تواند نشانه ای از ارتباط یک بدافزار با سرور کنترل و فرمان باشد.
✔️ Hunt for Unusual DNS requests
✔️ Hunt for Unusual Network Shares
✔️ Hunt for Network Reconnaissance
✔️ Hunt for mismatch windows services (parent/child processes)
توضیح: در این مورد تحلیلگر باید به دنبال سرویس هایی باشد که سرویس والد آنها یا وجود ندارد یا سرویسی ناشناخته است
✔️ Hunt for Privilege Escalation
✔️ Hunt for UAC Bypass
✔️ Hunt for Credential Dumping
✔️ Hunt for Covert Channels
✔️ Hunt for CnC traffics
✔️ Hunt for Suspicious Tunnels
توضیح: در این مورد تحلیل گر باید به دنبال داده هایی غیرمرتبط در پیلود بسته ها باشد. به عنوان نمونه در پیلود بسته های ICMP الگویی ناهنجار مشاهده کند
Forwarded from canyoupwn.me
Sputnik — An Open Source Intelligence Browser Extension
https://medium.com/bugbountywriteup/sputnik-an-open-source-intelligence-browser-extension-da2f2c22c8ec
https://medium.com/bugbountywriteup/sputnik-an-open-source-intelligence-browser-extension-da2f2c22c8ec
Medium
Sputnik — An Open Source Intelligence Browser Extension
Summary
Forwarded from OCCC.ir (Morteza Javan)
رویداد 80 جامعه آزاد رایانش ابری ایران
> سه شنبه 2 بهمن، ساعت 16:30 الی 19:30
> چهار راه کالج، کوچه سعیدی، پلاک5، پژوهشکده ICT جهاد دانشگاهی
http://occc.ir
#Openstack #OpenInfrastructure #Security
@occc_news
> سه شنبه 2 بهمن، ساعت 16:30 الی 19:30
> چهار راه کالج، کوچه سعیدی، پلاک5، پژوهشکده ICT جهاد دانشگاهی
http://occc.ir
#Openstack #OpenInfrastructure #Security
@occc_news