معرفی پلتفرم تحلیل تهدیدات و دادههای امنیتی - SOF-ELK
توضیح: SOF-ELK پلتفرم تحلیل بیگ دیتاست که با تمرکز روی تحلیل و بررسی تهدیدات و جرم شناسی (فارنزیک) طراحی شده است. مخاطبان این پلتفرم کارشناسان مرکز عملیات امنیت، تحلیلگران امنیتی و شکارچیان تهدید است. در حقیقت پلتفرم مذکور، ترکیبی از ElasticSearch، Logstash و Kibiana است که پروسه نصب زمان بر و طولانی ELK را ساده کرده و آن را در قالب یک ماشین مجازی آماده ارایه داده است.
این پلتفرم در ابتدا برای افرادی که دوره های FOR507 و SEC555 موسسه SANS را می گذرانند طراحی شد اما به تدریج برای سایر کاربران و مخاطبان نیز در دسترس قرار گرفت. می توانید پلتفرم
مذکور را از لینک زیر دانلود کرده و از آن استفاده کنید.
https://lnkd.in/gSF8dS6
توضیح: SOF-ELK پلتفرم تحلیل بیگ دیتاست که با تمرکز روی تحلیل و بررسی تهدیدات و جرم شناسی (فارنزیک) طراحی شده است. مخاطبان این پلتفرم کارشناسان مرکز عملیات امنیت، تحلیلگران امنیتی و شکارچیان تهدید است. در حقیقت پلتفرم مذکور، ترکیبی از ElasticSearch، Logstash و Kibiana است که پروسه نصب زمان بر و طولانی ELK را ساده کرده و آن را در قالب یک ماشین مجازی آماده ارایه داده است.
این پلتفرم در ابتدا برای افرادی که دوره های FOR507 و SEC555 موسسه SANS را می گذرانند طراحی شد اما به تدریج برای سایر کاربران و مخاطبان نیز در دسترس قرار گرفت. می توانید پلتفرم
مذکور را از لینک زیر دانلود کرده و از آن استفاده کنید.
https://lnkd.in/gSF8dS6
GitHub
philhagen/sof-elk
Configuration files for the SOF-ELK VM, used in SANS FOR572 - philhagen/sof-elk
شواهد مجازی و نشانگرهای آلودگی✍
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec
حملات سایبری چیزی جز تلاش مهاجمان برای ورود به سیستم نیستند. افزایش پیچیدگی و تعداد حملات سایبری باعث سردرگمی بسیاری از مدافعان امنیت و کسب و کار ها شده است. برای شناسایی تهدیدات سایبری پیشرفته، تحلیلگران امنیت نیازمند شناسایی و بررسی انواع داده هایی هستند که بیانگر حمله یا حضور مهاجم در زیرساخت شبکه یا سامانه است. شواهد مجازی و نشان های نفوذ مهاجم از جمله عناصر حیاتی در تشخیص تهدیدات و هوشمندی امنیتی هستند. کارشناسان هوشمندی تهدید و شکار باید با انواع شناسه های تهدید و عناصر اطلاعاتی تحلیل آشنا بوده و قدرت تفکیک هر یک را داشته باشند. در این نوشته عناصر اطلاعاتی قابل مشاهده یک رفتار مخرب تعریف شده و انواع نشان های تهدید برای شناسایی تهدیدات سایبری را مورد بررسی قرار می دهیم .
شواهد مجازی، عنصر قابل مشاهده(observable) و نشانگرها(Indicators)
شواهد مجازی(Artifacts) داده های تولید شده بواسطه فعالیت یک شی یا فرد در یک سیستم یا فضای اطلاعاتی هستند که ممکن از دربردارنده اطلاعات مرتبط با تهدید باشند(یا نباشند). به طور خاص در فضای سایبری، عنصر قابل مشاهده(Observable) نوعی از شواهد مجازی است که اساس کار هوشمندی تهدیدات را تشکیل می دهد. برای درک بهتر انواع نشانه های تهدید ابتدا لازم است با واژه Observable یا عنصر قابل مشاهده آشنا شویم.
موارد قابل مشاهده پایین ترین سطح اطلاعات مورد استفاده در هوشمندی تهدیدات هستند. این اصلاح شامل هر رویداد قابل سنجش(measurable events) یا صفات حالتمند(Stateful properties) است که در فضای سایبری قابل شناسایی است. حذف یک فایل، ایجاد یک کلید رجیستری و فعال شدن یک قانون(Rule) در سامانه تشخیص نفوذ، نمونه هایی از موارد قابل مشاهده مبتنی بر رویداد هستند(قابل اندازه گیری هستند). تغییر مقدار کلید رجیستری یا تغییر در مقدار هش فایل موجود بر روی یک سیستم، مثال هایی از موارد قابل مشاهده ی وابسته به صفات حالت هستند(ویژگی های حالت هستند). پس عناصر قابل مشاهده را می توان دو نوع رویداد یا صفات حالت یک چیز توصیف نمود.
نشانگرها
نشانگر(Indicator): یک نشانگر عنصر قابل مشاهده ای است که بر یکی از موارد زیر دلالت دارد:
یک حمله سایبری قریب الوقوع
یک حمله سایبری در حال وقوع در سامانه
مورد نفوذ قرار گرفتن سامانه در زمان گذشته
به عبارت دیگر می توان گفت: نشانگر، حالت یا رویداد قابل سنجش در سیستم است که یک رفتار مخرب را توصیف می کند.
تغییر مقدار هش یک فایل می تواند مثالی از نشانگر مخرب باشد(بیانگر فایل بدافزار). همچنین، هشدار یک سامانه تشخیص نفوذ را نیز میتوان نشانگر یک رفتار ناخواسته یا فعالیت مخرب در شبکه دانست.
دو دسته کلی از نشانگرها وجود دارند: نشانگرهای نفوذ(Indicator of Compromise) و نشانگرهای حمله(Indicator of Attack). در ادامه هر یک از این نشانگرها و تفاوت های آن ها را بیان می کنیم.
به طور خلاصه، نشانگرها(indicators) رویدادها یا حالت های قابل مشاهده ای هستند که بر وجود یک حمله سایبری(در حال وقوع یا پایان یافته)، آلودگی سیستم یا رفتار غیر متعارف دلالت می کنند. دو نوع نشانگر مهم در تحلیل نفوذ و شناسایی حملات سایبری وجود دارد: نشانگرهای نفوذ و نشانگر حمله. نشانگر نفوذ از وجود حمله پس از وقوع اشاره می کند. نشانگر حمله پیش کنشانه عمل می کند و با مشاهده رفتار سیستم، حمله را قبل از وقوع یا در حین انجام تشخیص می دهد.
در نوشته های بعدی به تشریح انواع نشانگرهای حمله و نفوذ، بیان تفاوت ها، مزایا و مثال هایی از هر کدام می پردازیم.
http://www.hypersec.ir/?p=629🌎
@hypersec
t.me/hypersec
Publicly Availables Tools Seen In Cyber Incident Worldwide
According To US-CERT Report
1. Remote Access Trojan: JBiFrost
2. Webshell: China Chopper
3. Credential Stealer: Mimikatz
4. Lateral Movement Framework: PowerShell Empire
5. C2 Obfuscation and Exfiltration: HUC Packet Transmitter
According To US-CERT Report
1. Remote Access Trojan: JBiFrost
2. Webshell: China Chopper
3. Credential Stealer: Mimikatz
4. Lateral Movement Framework: PowerShell Empire
5. C2 Obfuscation and Exfiltration: HUC Packet Transmitter
📝 Introducing Some Popular OSINT Tools:
1⃣ Shodan:
Shodan provides you a lot of information about the assets that have been connected to the network. Google is the search engine for all but shodan is the search engine for hackers. The devices can vary from computers, laptops, webcams, traffic signals, and various IOT devices. This can help security analysts to identify the target and test it for various vulnerabilities, default settings or passwords, available ports, banners, and services etc.
2⃣ Google Dorks:
Google Dorks can help a user to target the search or index the results in a better and more efficient way.
<Filetype: searches for a particular string in a pdf file>
Some of the other indexing options are:
Inurl: search for a string in URL of the page.
Innoscript: To search the noscript for a keyword.
Ext: To search for a particular extension.
Intext: Search for a particular text in a page.
Sometimes it is also referred to as Google hacking.
3⃣ Metagoofile:
Metagoofil is written by Christian Martorella and is a command line tool that is used to gather metadata of public documents. The tool is pre-bundled in Kali Linux and has a lot of features searching for the document type on the target, local download, extraction of metadata and reporting the results.
For example: Users can scan for a particular kind of documents on a particular domain. Metagoofil –d nmap.org –t pdf.
4⃣ Check Usernames:
Social networking websites hold a lot of information but it will be really boring and time taking task if you need to check whether a particular username is present on any social media website. To get such information there is a website www.checkusernames.com. It will search for the presence of a particular username on more than 150 websites. The users can check for the presence of a target on a particular website so as to make the attack more targeted.
A more advanced version of the website is knowem.com which has a more wide database of more than 500 websites along with a few more services
5⃣ TinEye:
Tineye is used to perform an image related search on the web. It has various products like tineye alert system, color search API, mobile engine etc. You can search if an image has been available online and where that image has appeared. Tineye uses neural networks, machine learning, and pattern recognition to get the results. It uses image matching, watermark identification, signature matching and various other parameters to match the image rather than keyword matching.
6⃣ SearchCode:
Search code offers you a feature to search for a line of code which could have been present in various code sharing websites like Github etc. Users can search for functions or methods, variables, operations, security flaws and anything that can constitute a code segment. Users can search for strings as simple as "a++" too complex methods. The search results can be further filtered basis a particular repository or language.
📰 @hypersec
1⃣ Shodan:
Shodan provides you a lot of information about the assets that have been connected to the network. Google is the search engine for all but shodan is the search engine for hackers. The devices can vary from computers, laptops, webcams, traffic signals, and various IOT devices. This can help security analysts to identify the target and test it for various vulnerabilities, default settings or passwords, available ports, banners, and services etc.
2⃣ Google Dorks:
Google Dorks can help a user to target the search or index the results in a better and more efficient way.
<Filetype: searches for a particular string in a pdf file>
Some of the other indexing options are:
Inurl: search for a string in URL of the page.
Innoscript: To search the noscript for a keyword.
Ext: To search for a particular extension.
Intext: Search for a particular text in a page.
Sometimes it is also referred to as Google hacking.
3⃣ Metagoofile:
Metagoofil is written by Christian Martorella and is a command line tool that is used to gather metadata of public documents. The tool is pre-bundled in Kali Linux and has a lot of features searching for the document type on the target, local download, extraction of metadata and reporting the results.
For example: Users can scan for a particular kind of documents on a particular domain. Metagoofil –d nmap.org –t pdf.
4⃣ Check Usernames:
Social networking websites hold a lot of information but it will be really boring and time taking task if you need to check whether a particular username is present on any social media website. To get such information there is a website www.checkusernames.com. It will search for the presence of a particular username on more than 150 websites. The users can check for the presence of a target on a particular website so as to make the attack more targeted.
A more advanced version of the website is knowem.com which has a more wide database of more than 500 websites along with a few more services
5⃣ TinEye:
Tineye is used to perform an image related search on the web. It has various products like tineye alert system, color search API, mobile engine etc. You can search if an image has been available online and where that image has appeared. Tineye uses neural networks, machine learning, and pattern recognition to get the results. It uses image matching, watermark identification, signature matching and various other parameters to match the image rather than keyword matching.
6⃣ SearchCode:
Search code offers you a feature to search for a line of code which could have been present in various code sharing websites like Github etc. Users can search for functions or methods, variables, operations, security flaws and anything that can constitute a code segment. Users can search for strings as simple as "a++" too complex methods. The search results can be further filtered basis a particular repository or language.
📰 @hypersec
درک دفاع فعال سایبری-بخش اول
یکی از مفاهیمی که شکارچیان تهدید لازم است بدانند، راهبرد دفاع فعال سایبری یا Cyber Active Defence در برنامه امنیت سایبری سازمان است. علیرغم رویکردهای سنتی و غیر فعال در امنیت، رویکردهای دفاعی فعال به شیوه ای موثر تر عمل کرده و توانایی توقف نمودن مهاجمان را در گاهم های اولیه حمله را دارند....
در مطلب زیر درباره دفاع فعال بیشتر بدانید
http://www.hypersec.ir/?p=537
یکی از مفاهیمی که شکارچیان تهدید لازم است بدانند، راهبرد دفاع فعال سایبری یا Cyber Active Defence در برنامه امنیت سایبری سازمان است. علیرغم رویکردهای سنتی و غیر فعال در امنیت، رویکردهای دفاعی فعال به شیوه ای موثر تر عمل کرده و توانایی توقف نمودن مهاجمان را در گاهم های اولیه حمله را دارند....
در مطلب زیر درباره دفاع فعال بیشتر بدانید
http://www.hypersec.ir/?p=537
یافتن تهدیدات محتمل از طریق بررسی ترافیک HTTP
تحلیلگران امنیت و به خصوص شکارچیان تهدیدات سایبری، می توانند با بررسی بسته های مربوط به پروتکل های شبکه نشانه های احتمالی تهدید را بیابند. به بیان دیگر، یکی از منابع داده ای بسیار ارزشمند در فرآیند شکار تهدیدات، ترافیک شبکه است. در این پست قصد داریم تا نقاط قابل جستجو و تهدیدات محتمل قابل تشخیص در ترافیک HTTP را به صورت فهرست تشریح کنیم.
فیلدهایی از ترافیک http که باید درحین فرآیند شکار تهدیدات بررسی شوند عبارتند از:
• HTTP host header
• HTTP referrer header
• HTTP user-agent header
• HTTP request methods
• HTTP response status code
• HTTP number of requests
نشانه گرهایی که می توان از فیلدهای مذکور به دست آورد عبارتند از:
• Hosts not ending with .com | .net | .org & host length > 30 char
• Malicious referring domains
• Uncommon or non-existing User-Agents
• Methods other than GET/POST
• Abnormal increase in NON 2xx/3xx codes
• Clients sending increasing number of HTTP requests
و در نهایت، تهدیدات محتملی که از ترافیک HTTP قابل تشخیص است عبارتند از:
• Unauthorized communication channel
• DGA, suspicious domains (i.e. http:://bit .ly/2jKNAhi or HTTP traffic to an IP address instead of FQDN)
• Watering hole and JS exploit kits
• Uploads (PUT method), tunneling (CONNECT method) and injection
• Directory brute-forcing (404 errors), authorization bypass (401 errors), DOS (5xx errors)
• Beacons, tunneling, and data exfiltration
تحلیلگران امنیت و به خصوص شکارچیان تهدیدات سایبری، می توانند با بررسی بسته های مربوط به پروتکل های شبکه نشانه های احتمالی تهدید را بیابند. به بیان دیگر، یکی از منابع داده ای بسیار ارزشمند در فرآیند شکار تهدیدات، ترافیک شبکه است. در این پست قصد داریم تا نقاط قابل جستجو و تهدیدات محتمل قابل تشخیص در ترافیک HTTP را به صورت فهرست تشریح کنیم.
فیلدهایی از ترافیک http که باید درحین فرآیند شکار تهدیدات بررسی شوند عبارتند از:
• HTTP host header
• HTTP referrer header
• HTTP user-agent header
• HTTP request methods
• HTTP response status code
• HTTP number of requests
نشانه گرهایی که می توان از فیلدهای مذکور به دست آورد عبارتند از:
• Hosts not ending with .com | .net | .org & host length > 30 char
• Malicious referring domains
• Uncommon or non-existing User-Agents
• Methods other than GET/POST
• Abnormal increase in NON 2xx/3xx codes
• Clients sending increasing number of HTTP requests
و در نهایت، تهدیدات محتملی که از ترافیک HTTP قابل تشخیص است عبارتند از:
• Unauthorized communication channel
• DGA, suspicious domains (i.e. http:://bit .ly/2jKNAhi or HTTP traffic to an IP address instead of FQDN)
• Watering hole and JS exploit kits
• Uploads (PUT method), tunneling (CONNECT method) and injection
• Directory brute-forcing (404 errors), authorization bypass (401 errors), DOS (5xx errors)
• Beacons, tunneling, and data exfiltration
📝منابع مفید جهت مطالعه بر روی SIEM ها
http://hypersec.ir
1⃣IBM QRadar
DOCUMENTATION
https://ibm.biz/qradarknowledge
CONFERENCE
https://ibm.biz/qradaropenmic
LEARNING FREE VIDEOS
https://ibm.ent.box.com/s/ich0yyiw54y0ek6s9a66xvtjku8e42rc
(Download the Security Intelligence Toturial, Demos & Use Cases PDF)
LEARNING OFFICIAL PAID COURSES
https://www.securitylearningacademy.com/
APP MARKET PLACE
https://exchange.xforce.ibmcloud.com/
APP DEVELOPMENT
https://developer.ibm.com/qradar/
SUPPORT
https://ibm.biz/qradarsupport
https://ibm.biz/qradarlogs Getting logs Instructions
REQUEST FOR ENHANCEMENTS
https://ibm.biz/RFEQRadar
FREE or TRIAL DOWNLOAD
https://ibm.biz/qradarce
USER FORUM
https://ibm.biz/qradarforums
Public User Chat Groups (not endorsed by vendor)
https://news.1rj.ru/str/QRadarChat (Telegram)
https://news.1rj.ru/str/QRadarFEED (IBM Qradar RSS Feed group)
=============================================
2⃣ELK (Elasticsearch, Logstash, Kibana)
DOCUMENTATION
https://www.elastic.co/guide/index.html
CONFERENCE
https://www.elastic.co/elasticon
LEARNING FREE VIDEOS
https://www.youtube.com/results?search_query=elasticsearch+playlist
* There are alot of free introduction videos, but most full online training courses are paid.
LEARNING OFFICIAL PAID COURSES
https://www.elastic.co/training
APP MARKET PLACE
https://www.elastic.co/solutions
* ELK does not have a app store, but different "solutions"
APP DEVELOPMENT
ELK does not have a app store, but different products and solutions.
SUPPORT
https://www.elastic.co/support/welcome
REQUEST FOR ENHANCEMENTS
https://github.com/elastic/elasticsearch/issues
https://github.com/elastic/kibana/issues
https://github.com/elastic/logstash/issues
FREE or TRIAL DOWNLOAD
https://www.elastic.co/start
USER FORUM
https://discuss.elastic.co/
=========================================
3⃣Splunk
DOCUMENTATION
http://docs.splunk.com/Documentation
CONFERENCE
http://conf.splunk.com/
LEARNING FREE VIDEOS
https://www.splunk.com/en_us/training/free-courses/splunk-fundamentals-1.html
* Certification is also free of charge
LEARNING OFFICIAL PAID COURSES
https://www.splunk.com/en_us/training.html
APP MARKET PLACE
https://splunkbase.splunk.com/
APP DEVELOPMENT
http://dev.splunk.com/
SUPPORT
https://www.splunk.com/en_us/support-and-services.html
REQUEST FOR ENHANCEMENTS
http://www.splunk.com/index.php/submit_issue
FREE or TRIAL DOWNLOAD
https://www.splunk.com/en_us/download.html
USER FORUM
https://www.splunk.com/en_us/community.html
http://hypersec.ir
1⃣IBM QRadar
DOCUMENTATION
https://ibm.biz/qradarknowledge
CONFERENCE
https://ibm.biz/qradaropenmic
LEARNING FREE VIDEOS
https://ibm.ent.box.com/s/ich0yyiw54y0ek6s9a66xvtjku8e42rc
(Download the Security Intelligence Toturial, Demos & Use Cases PDF)
LEARNING OFFICIAL PAID COURSES
https://www.securitylearningacademy.com/
APP MARKET PLACE
https://exchange.xforce.ibmcloud.com/
APP DEVELOPMENT
https://developer.ibm.com/qradar/
SUPPORT
https://ibm.biz/qradarsupport
https://ibm.biz/qradarlogs Getting logs Instructions
REQUEST FOR ENHANCEMENTS
https://ibm.biz/RFEQRadar
FREE or TRIAL DOWNLOAD
https://ibm.biz/qradarce
USER FORUM
https://ibm.biz/qradarforums
Public User Chat Groups (not endorsed by vendor)
https://news.1rj.ru/str/QRadarChat (Telegram)
https://news.1rj.ru/str/QRadarFEED (IBM Qradar RSS Feed group)
=============================================
2⃣ELK (Elasticsearch, Logstash, Kibana)
DOCUMENTATION
https://www.elastic.co/guide/index.html
CONFERENCE
https://www.elastic.co/elasticon
LEARNING FREE VIDEOS
https://www.youtube.com/results?search_query=elasticsearch+playlist
* There are alot of free introduction videos, but most full online training courses are paid.
LEARNING OFFICIAL PAID COURSES
https://www.elastic.co/training
APP MARKET PLACE
https://www.elastic.co/solutions
* ELK does not have a app store, but different "solutions"
APP DEVELOPMENT
ELK does not have a app store, but different products and solutions.
SUPPORT
https://www.elastic.co/support/welcome
REQUEST FOR ENHANCEMENTS
https://github.com/elastic/elasticsearch/issues
https://github.com/elastic/kibana/issues
https://github.com/elastic/logstash/issues
FREE or TRIAL DOWNLOAD
https://www.elastic.co/start
USER FORUM
https://discuss.elastic.co/
=========================================
3⃣Splunk
DOCUMENTATION
http://docs.splunk.com/Documentation
CONFERENCE
http://conf.splunk.com/
LEARNING FREE VIDEOS
https://www.splunk.com/en_us/training/free-courses/splunk-fundamentals-1.html
* Certification is also free of charge
LEARNING OFFICIAL PAID COURSES
https://www.splunk.com/en_us/training.html
APP MARKET PLACE
https://splunkbase.splunk.com/
APP DEVELOPMENT
http://dev.splunk.com/
SUPPORT
https://www.splunk.com/en_us/support-and-services.html
REQUEST FOR ENHANCEMENTS
http://www.splunk.com/index.php/submit_issue
FREE or TRIAL DOWNLOAD
https://www.splunk.com/en_us/download.html
USER FORUM
https://www.splunk.com/en_us/community.html
📝 جهت بررسی یک رخداد یا بررسی event های مشکوک، معمولاْ چه نوع لاگ هایی را باید بررسی کرد؟
✔️ لاگ های سیستم عامل کاربر قربانی یا لاگ سیستم عامل سرور
✔️ لاگ اپلیکیشن ها (سرویس دهنده وب مانند آپاچی یا IIS، لاگ دیتابیس و ..)
✔️ لاگ تجهیزات و نرم افزارهای امنیتی (لاگ آنتی ویروس، لاگ سیستم های تشخیص نفوذ، لاگ فایروال و …)
✔️ لاگ ترافیک خروجی سرور پراکسی
📝 اما این لاگ ها در چه مسیری ذخیره شده اند؟
در سیستم عامل لینوکس لاگ های سیستم عامل و لاگ اپلیکیشن ها در مسیر /var/log ذخیره شده است. به عنوان نمونه در صورتی که بخواهید لاگ آپاچی را مشاهده کنید باید به مسیر زیر رجوع کرد
/var/log/apache2/access.log
در سیستم عامل ویندوز نیز این لاگ ها از طریق برنامه Event Viewer قابل مشاهده و دسترسی هستند
سایر دستگاه های موجود در شبکه (دستگاه های سخت افزاری) نیز لاگ های خود را از طریق پروتکل Syslog به یک سرور یا ذخیره ساز مرکزی ارسال می کنند
📝 با چه نرم افزارهایی می تواند لاگ های جمع آوری شده را تحلیل کرد؟
پس از جمع آوری لاگ های مورد نظر جهت بررسی یک رخداد یا Event های مشکوک، می توان با نرم افزارهایی نظیر موارد زیر لاگ ها را تحلیل و بررسی کرد
✔️ پلتفرم نرم افزاری ElK Stack
✔️ سیستم تحلیل داده Splunk
✔️ نرم افزار ساده LogParser
و …
✔️ لاگ های سیستم عامل کاربر قربانی یا لاگ سیستم عامل سرور
✔️ لاگ اپلیکیشن ها (سرویس دهنده وب مانند آپاچی یا IIS، لاگ دیتابیس و ..)
✔️ لاگ تجهیزات و نرم افزارهای امنیتی (لاگ آنتی ویروس، لاگ سیستم های تشخیص نفوذ، لاگ فایروال و …)
✔️ لاگ ترافیک خروجی سرور پراکسی
📝 اما این لاگ ها در چه مسیری ذخیره شده اند؟
در سیستم عامل لینوکس لاگ های سیستم عامل و لاگ اپلیکیشن ها در مسیر /var/log ذخیره شده است. به عنوان نمونه در صورتی که بخواهید لاگ آپاچی را مشاهده کنید باید به مسیر زیر رجوع کرد
/var/log/apache2/access.log
در سیستم عامل ویندوز نیز این لاگ ها از طریق برنامه Event Viewer قابل مشاهده و دسترسی هستند
سایر دستگاه های موجود در شبکه (دستگاه های سخت افزاری) نیز لاگ های خود را از طریق پروتکل Syslog به یک سرور یا ذخیره ساز مرکزی ارسال می کنند
📝 با چه نرم افزارهایی می تواند لاگ های جمع آوری شده را تحلیل کرد؟
پس از جمع آوری لاگ های مورد نظر جهت بررسی یک رخداد یا Event های مشکوک، می توان با نرم افزارهایی نظیر موارد زیر لاگ ها را تحلیل و بررسی کرد
✔️ پلتفرم نرم افزاری ElK Stack
✔️ سیستم تحلیل داده Splunk
✔️ نرم افزار ساده LogParser
و …
📝 وقتی صحبت از شکار تهدیدات به میان می آید، تحلیلگر امنیتی دقیقا باید دنبال چه موارد محتملی باشد؟
پس از جمع آوری داده های مورد نیاز در یک فرآیند شکار تهدیدات، تحلیلگر در داده های جمع آوری شده می تواند موارد محتمل زیر را جستجو کند:
✔️ Hunt for Network Beaconing
توضیح: Network Beaconing به معنای وقوع الگویی خاص در ترافیک شبکه، در بازه های زمانی معین است. مشاهده این الگو می تواند نشانه ای از ارتباط یک بدافزار با سرور کنترل و فرمان باشد.
✔️ Hunt for Unusual DNS requests
✔️ Hunt for Unusual Network Shares
✔️ Hunt for Network Reconnaissance
✔️ Hunt for mismatch windows services (parent/child processes)
توضیح: در این مورد تحلیلگر باید به دنبال سرویس هایی باشد که سرویس والد آنها یا وجود ندارد یا سرویسی ناشناخته است
✔️ Hunt for Privilege Escalation
✔️ Hunt for UAC Bypass
✔️ Hunt for Credential Dumping
✔️ Hunt for Covert Channels
✔️ Hunt for CnC traffics
✔️ Hunt for Suspicious Tunnels
توضیح: در این مورد تحلیل گر باید به دنبال داده هایی غیرمرتبط در پیلود بسته ها باشد. به عنوان نمونه در پیلود بسته های ICMP الگویی ناهنجار مشاهده کند
پس از جمع آوری داده های مورد نیاز در یک فرآیند شکار تهدیدات، تحلیلگر در داده های جمع آوری شده می تواند موارد محتمل زیر را جستجو کند:
✔️ Hunt for Network Beaconing
توضیح: Network Beaconing به معنای وقوع الگویی خاص در ترافیک شبکه، در بازه های زمانی معین است. مشاهده این الگو می تواند نشانه ای از ارتباط یک بدافزار با سرور کنترل و فرمان باشد.
✔️ Hunt for Unusual DNS requests
✔️ Hunt for Unusual Network Shares
✔️ Hunt for Network Reconnaissance
✔️ Hunt for mismatch windows services (parent/child processes)
توضیح: در این مورد تحلیلگر باید به دنبال سرویس هایی باشد که سرویس والد آنها یا وجود ندارد یا سرویسی ناشناخته است
✔️ Hunt for Privilege Escalation
✔️ Hunt for UAC Bypass
✔️ Hunt for Credential Dumping
✔️ Hunt for Covert Channels
✔️ Hunt for CnC traffics
✔️ Hunt for Suspicious Tunnels
توضیح: در این مورد تحلیل گر باید به دنبال داده هایی غیرمرتبط در پیلود بسته ها باشد. به عنوان نمونه در پیلود بسته های ICMP الگویی ناهنجار مشاهده کند
Forwarded from canyoupwn.me
Sputnik — An Open Source Intelligence Browser Extension
https://medium.com/bugbountywriteup/sputnik-an-open-source-intelligence-browser-extension-da2f2c22c8ec
https://medium.com/bugbountywriteup/sputnik-an-open-source-intelligence-browser-extension-da2f2c22c8ec
Medium
Sputnik — An Open Source Intelligence Browser Extension
Summary
Forwarded from OCCC.ir (Morteza Javan)
رویداد 80 جامعه آزاد رایانش ابری ایران
> سه شنبه 2 بهمن، ساعت 16:30 الی 19:30
> چهار راه کالج، کوچه سعیدی، پلاک5، پژوهشکده ICT جهاد دانشگاهی
http://occc.ir
#Openstack #OpenInfrastructure #Security
@occc_news
> سه شنبه 2 بهمن، ساعت 16:30 الی 19:30
> چهار راه کالج، کوچه سعیدی، پلاک5، پژوهشکده ICT جهاد دانشگاهی
http://occc.ir
#Openstack #OpenInfrastructure #Security
@occc_news
معرفی یکی از اپ های فوق العاده اسپلانک جهت شکار تهدیدات سایبری
اپی به نام Threat Hunting که توی انباره اپ های اسپلانک به آدرس splunkbase.splunk.com وجود دارد و قابل دانلود و استفاده است. این اپ فوق العاده حاوی چندین داشبورد و حدود ۱۲۰ گزارش آماده است که عملیات شناسایی و شکار نشانه های تهدید سایبری را بسیار ساده و آسان کرده است. یکی از ویژگی های منحصر به فرد این اپ این است که برای هر یک از تاکتیک ها و تکنیک های مندرج در فریم ورک محبوب MITRE به نام MITRE ATT@CK یک گزارش جداگانه تعریف شده است. به عبارت دیگه این اپ به فریم ورک ATT@CK نگاشت شده که این کار رو برای شکارچیان تهدید بسیار ساده کرده است.
پیشنهاد می کنم اگر علاقه مند به حوزه تشخیص تهدیدات سایبری هستید حتما این اپ رو دانلود و استفاده کنید.
از لینک زیر می توانید برای دانلود و آشنایی بیشتر با این اپ فوق العاده استفاده کنید.
https://github.com/olafhartong/ThreatHunting
اپی به نام Threat Hunting که توی انباره اپ های اسپلانک به آدرس splunkbase.splunk.com وجود دارد و قابل دانلود و استفاده است. این اپ فوق العاده حاوی چندین داشبورد و حدود ۱۲۰ گزارش آماده است که عملیات شناسایی و شکار نشانه های تهدید سایبری را بسیار ساده و آسان کرده است. یکی از ویژگی های منحصر به فرد این اپ این است که برای هر یک از تاکتیک ها و تکنیک های مندرج در فریم ورک محبوب MITRE به نام MITRE ATT@CK یک گزارش جداگانه تعریف شده است. به عبارت دیگه این اپ به فریم ورک ATT@CK نگاشت شده که این کار رو برای شکارچیان تهدید بسیار ساده کرده است.
پیشنهاد می کنم اگر علاقه مند به حوزه تشخیص تهدیدات سایبری هستید حتما این اپ رو دانلود و استفاده کنید.
از لینک زیر می توانید برای دانلود و آشنایی بیشتر با این اپ فوق العاده استفاده کنید.
https://github.com/olafhartong/ThreatHunting
GitHub
GitHub - olafhartong/ThreatHunting: A Splunk app mapped to MITRE ATT&CK to guide your threat hunts
A Splunk app mapped to MITRE ATT&CK to guide your threat hunts - olafhartong/ThreatHunting
چالش سازمان ها در تشخیص تهدیدات پیشرفته - معرفی تیم قرمز و آبی
یکی از چالش های فعلی سازمان های متوسط و بزرگ، تشخیص و مواجهه با تهدیدات پیشرفته و چند مرحله ای است، تهدیداتی که بر خلاف تهدیدات سنتی، مهاجمین در آن می کوشند تا از چند نقطه و چند روش مختلف به شبکه قربانی نفوذ کنند. این گونه تهدیدات که معمولا پشتوانه سازمانی (خصوصی یا دولتی) دارند، مدت های زیادی در شبکه به صورت ناشناس فعالیت می کنند. اما چگونه می توان چنین تهدیداتی را در سازمان تشخیص داد؟ آیا با رویکرد و نگرش سنتی این امر شدنی است؟
پاسخ روشن است. تیم های امنیتی که متولی امنیت سازمان ها هستند نیاز به تغییر نگرش دارند، تغییر از نگرش سنتی به نگرشی نوین و پیش کنشانه. بر اساس این نگرش، پیش از آنکه حمله و نفوذی به شبکه صورت گیرد بهتر است ذهن مهاجم یا مهاجمین را خواند. به عبارت دیگر باید تمامی راه هایی که مهاجمین ممکن است به شبکه نفوذ کنند را شبیه سازی کرد. برای انجام این کار نیاز به تیم های مجزا در قالب تیم قرمز و تیم آبی داریم.
یکی از چالش های فعلی سازمان های متوسط و بزرگ، تشخیص و مواجهه با تهدیدات پیشرفته و چند مرحله ای است، تهدیداتی که بر خلاف تهدیدات سنتی، مهاجمین در آن می کوشند تا از چند نقطه و چند روش مختلف به شبکه قربانی نفوذ کنند. این گونه تهدیدات که معمولا پشتوانه سازمانی (خصوصی یا دولتی) دارند، مدت های زیادی در شبکه به صورت ناشناس فعالیت می کنند. اما چگونه می توان چنین تهدیداتی را در سازمان تشخیص داد؟ آیا با رویکرد و نگرش سنتی این امر شدنی است؟
پاسخ روشن است. تیم های امنیتی که متولی امنیت سازمان ها هستند نیاز به تغییر نگرش دارند، تغییر از نگرش سنتی به نگرشی نوین و پیش کنشانه. بر اساس این نگرش، پیش از آنکه حمله و نفوذی به شبکه صورت گیرد بهتر است ذهن مهاجم یا مهاجمین را خواند. به عبارت دیگر باید تمامی راه هایی که مهاجمین ممکن است به شبکه نفوذ کنند را شبیه سازی کرد. برای انجام این کار نیاز به تیم های مجزا در قالب تیم قرمز و تیم آبی داریم.
در ادامه مروری خواهیم داشت بر این مفاهیم نوین در حوزه امنیت سایبری.
مروری بر مفاهیم RedTeam، BlueTeam
تعریف تیم قرمز: تیم قرمز در واقع نیروهایی هستند که توسط سازمان به کار گرفته می شوند تا برنامه ها و تمهیدات امنیتی یک سازمان را مورد ارزیابی قرار دهند. وظیفه اصلی تیم قرمز شبیه سازی رفتار مهاجمان و تکنیک های مورد استفاده آنان است. یکی از تفاوت های اصلی وظایف تیم قرمز با تیم تست نفوذ، دامنه فعالیت و هدف حمله است. فعالیت های تیم قرمز بازه گسترده تری را نسبت به فعالیت های تست نفوذ شامل می شود. از جمله این فعالیت ها، می توان به انجام حملات مهندسی اجتماعی، حملات معمول شبکه و وب، فیشینگ و … اشاره کرد.
تعریف تیم آبی: در طرف دیگر میدان و درست در نقطه مقابل تیم قرمز، تیم آبی قرار دارد. تیم آبی موظف است همزمان یا قبل از فعالیت تیم قرمز، تمهیداتی اتخاذ کند و از حملات تیم قرمز جلوگیری نماید. درست مانند تیم قرمز، حیطه وظایف تیم آبی نیز گسترده است. این دامنه مواردی نظیر آگاهی رسانی، امن سازی شبکه، تحلیل داده و … را شامل می شود.
تلفیق تیم قرمز و آبی به ترفیع هرچه بیشتر بلوغ امنیتی سازمان کمک می کند. جهت مقابله با تهدیدات پیشرفته، باید نگرش تغییر یابد و رفتار مهاجمان احتمالی پیش بینی شود.
مروری بر مفاهیم RedTeam، BlueTeam
تعریف تیم قرمز: تیم قرمز در واقع نیروهایی هستند که توسط سازمان به کار گرفته می شوند تا برنامه ها و تمهیدات امنیتی یک سازمان را مورد ارزیابی قرار دهند. وظیفه اصلی تیم قرمز شبیه سازی رفتار مهاجمان و تکنیک های مورد استفاده آنان است. یکی از تفاوت های اصلی وظایف تیم قرمز با تیم تست نفوذ، دامنه فعالیت و هدف حمله است. فعالیت های تیم قرمز بازه گسترده تری را نسبت به فعالیت های تست نفوذ شامل می شود. از جمله این فعالیت ها، می توان به انجام حملات مهندسی اجتماعی، حملات معمول شبکه و وب، فیشینگ و … اشاره کرد.
تعریف تیم آبی: در طرف دیگر میدان و درست در نقطه مقابل تیم قرمز، تیم آبی قرار دارد. تیم آبی موظف است همزمان یا قبل از فعالیت تیم قرمز، تمهیداتی اتخاذ کند و از حملات تیم قرمز جلوگیری نماید. درست مانند تیم قرمز، حیطه وظایف تیم آبی نیز گسترده است. این دامنه مواردی نظیر آگاهی رسانی، امن سازی شبکه، تحلیل داده و … را شامل می شود.
تلفیق تیم قرمز و آبی به ترفیع هرچه بیشتر بلوغ امنیتی سازمان کمک می کند. جهت مقابله با تهدیدات پیشرفته، باید نگرش تغییر یابد و رفتار مهاجمان احتمالی پیش بینی شود.