از این دو پست فوق نتیجه میگیریم :

یا از مشتری اطلاعات نگیرید یا اگر اطلاعاتی جمع اوری میکنید درسطح مورد نیاز کنترل های امنیتی را لحاظ کنید

@roozbeh_learning
واحد ممیزی و بازرسی گروه روزبه
www.roozbehgroup.com

استفاده از CLI در مواقعی نه تنها بسیارکارا است بلکه بواسطه برخی محدودیت ها ، توصیه شده است

دستوری برای یافتن هاست هایی که بسیار تبادل پکت را داشته اند تا مورد تحقیق بیشتری قرار گیرند
زیر مجموعه شکار تهدید سایبری ( هانتینگ )

tcpdump -tnr $FILE |awk -F '.' '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -n | tail

@roozbeh_learning
آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy

اگر کمی کنجکاو شدید در مورد Tcpdump ، نسخه ویندوزی آن winDump را همراه winPcap نصب کرده و دستور زیر را در فولدر windumpاجرا کنید
@roozbeh_learning
www.roozbeh.academy

windump -i 2 -q -w C:\perflogs\diagTraces -n -C 30 -W 10 -U -s 0

خروجی ترافیک در مسیر فوق ریخته میشود و با وایرشارک اونو ببینید.
فایل diagTraces

اگر کمی به winDump علاقمند شدید ، نحوه استفاده و سوییچ های آن در تصویر فوق
@roozbeh_learning
با ما همیشه بیاموز
www.roozbeh.academy

و اگر عمیق تر میخواهید winDump را بشناسید ، لینک زیر را بخوانید

@roozbeh_learning
www.roozbeh.academy

WinDump: The tcpdump tool for Windows
https://searchenterprisedesktop.techtarget.com/tip/WinDump-The-tcpdump-tool-for-Windows

ابزاری از Sysinternals برای دیدن ارتباطات ( سشن) های ورودی و خروجی به دستگاهی که مشکوک به تسخیر شدگی است
TDIMon
@roozbeh_learning

باید بتوانید برای هانتر های خود شرایطی فراهم کنید که بتوانند خوانش ( Read) های بالا( دارای آنومالی) از دیتابیس سازمان را تشخیص دهند.
آیا SOC شما به چنین توانمندی ای رسیده است ؟

@roozbeh_learning
واحد طراحی و پیاده سازی SOC گروه روزبه
www.roozbehgroup.com

سلام صبح بخیر و شادی

روز جمعه رو آغاز میکنیم با مطلبی جالب در خصوص اکتیو دایرکتوری

پاورپوینتی در باره تکنیک ها و ابزارهای حمله به اکتیو دایرکتوری
@roozbeh_learning
www.roozbeh.academy

https://docs.google.com/presentation/d/1j2nW05H-iRz7-FVTRh-LBXQm6M6YIBQNWa4V7tp99YQ/mobilepresent#slide=id.g507c931b6d_0_1191

نسخه جدید از Commando VM
زیرساخت هکینگ
محصولی از FireEye
با ۲۶ ابزار جدید
Complete Mandiant Offensive VM
@roozbeh_learning
www.roozbeh.academy

https://github.com/fireeye/commando-vm

دوره ویژه مدرک عالی امنیت اطلاعات CISSP

📌شهریور ماه ، آکادمی آموزش روزبه
🥇با بالاترین آمار قبولی در آزمون رسمی بین المللی
@roozbeh_learning 👈🏼
❇️واتس اپ برای ثبت نام
09902857289
www.roozbeh.academy

🚦با دقت ببینید

🎞فیلم هفته: The Enemy Within
7.1/10 · IMDb
🕹نکته مد نظر ما : فصل ۱ قسمت ۴، دقیقه 41:48
💎موارد امنیتی مرتبط با تصویر فوق( قبل و بعد) از جهات زیر را برای خود برداشت کنید:
- عامل فنی
-عامل انسانی
-نقش فرایند و خط مشی
- یک روش کشف جاسوس درون سازمان
@roozbeh_learning 👈🏼
🥇آموزش "دید امنیتی" یکی از اهداف آموزشی در آکادمی آموزش روزبه
www.roozbeh.academy

مروری بر زبان انگلیسی :
هنگام گزارش یک خبر حساس به مدیر بالادستی :

-Keaton, can I have a word? In private?
نام مدیر Keaton است .
@roozbeh_learning
www.roozbeh.academy

اگر پست مهمی دارید
اگر مدیر هستید
اگر بازرس و ممیز امنیت هستید
اگر در لبه رقابت تجاری یا علمی هستید
اگر هرجا هستید که مهم است

🔴باید بدانید:

فرد بدخواه شما، دنبال کشف نقطه ضعف شما است تا از آن علیه شما استفاده کند. یا آنرا ابزاری برای فریفتن یا مطیع و رام کردن شما قرار دهد.

🖌پس برای آنکه باج ندهید و مورد سوء استفاده قرار نگیرید ، قوی باشید با شناخت خود و آسیب پذیری هایتان و تلاش برای رفع آنها.

برای حفاظت از خود، باید هنگام دفاع مانند فرد مهاجم فکر کنید تا بتوانید مقابله کنید.

@roozbeh_learning
📚اکادمی امنیت اطلاعات روزبه
www.roozbeh.academy

برای آنکه پکت های NetFlow که بسیار مهم هستند از دست نروند، ارتباط شبکه ای بین تولید کننده و جمع کننده نت فلو را کوتاه و قابل اطمینان سازید . چراکه پروتکل فوق، داده ها را در بستر ارتباطی بصورت UDP میفرستد .

@roozbeh_learning
📚آکادمی آموزش روزبه
📌با ما همیشه بخوان
www.roozbeh.academy

دوره ویژه مدرک عالی امنیت اطلاعات CISSP

📌شهریور ماه ، آکادمی آموزش روزبه
🥇با بالاترین آمار قبولی در آزمون رسمی بین المللی
@roozbeh_learning 👈🏼
❇️واتس اپ برای ثبت نام
09902857289
www.roozbeh.academy

⛳️پیرو استقبال از سمینار تخصصی آکادمی آموزش روزبه،
این بار :
🎖دوره آموزشی Snort و Suricata

🧩۴۰ ساعت بررسی کامل شامل نصب ، تنظیمات و رول نویسی
همراه با بررسی فنی Usecase ها و حملات اخیر

🚨دوره ای استثنایی برای آنان که به دفاع در عمق و کشف دقیق و حرفه ای حملات سایبری میاندیشند.
🚥واتس اپ برای ثبت نام09902857289
@roozbeh_learning 👈🏼
📚اکادمی اموزش روزبه
www.roozbeh.academy
✳️با دنیای Open Source ، جهان را متحول کنید

سخن روز
@roozbeh_learning
📚آکادمی آموزش روزبه
www.roozbeh.academy
🌹ما برای آیندگان میسازیم
🌷شما هم .

🕹حد قابل قبول از دانش زبان انگلیسی برای موفقیت در امنیت اطلاعات

✅ آیلتس ۶
یا تافل یا PTE معادلِ آن

@roozbeh_learning 👈🏼
📌آینده شما در دستان خودِ شما است!
ما فقط راه را نشان میدهیم .
تصمیم بگیرید .
📚آکادمی آموزش روزبه
www.roozbeh.academy
این توصیه برای هرکسی است که میخواهد در امنیت کار کند ، حال چه قصد ماندن دارد چه رفتن !

اگر بعنوان شکارچی( هانتر) دنبل این هستید که آیا دستور خاصی در شبکه شما اجرا شده است یا نه از قدرت پاورشل کمک بگیرید
@roozbeh_learning
آشنایی با دستورات پاورشل برای هانتر ها در دوره Threat Hunting آکادمی روزبه
www.roozbeh.academy

let powershellCommandName = "Invoke-RickAscii";
MiscEvents | where ActionType == "PowerShellCommand" and AdditionalFields contains powershellCommandName
| extend PowerShellCommand=extractjson("$.Command", AdditionalFields, typeof(string))
| where PowerShellCommand =~ powershellCommandName
| project EventTime, ComputerName, InitiatingProcessCommandLine, InitiatingProcessParentFileName
 
آشنایی با دستور Invoke-RickAscii

https://www.nextofwindows.com/powershell-fun-watch-rick-astley-sing-and-dance-never-let-you-down

باید کاری کنید که اگر این دستورات پاورشل زیر در زیرساخت شما اجرا شد ، در سریعترین زمان ممکن بفهمید
@roozbeh_learning
www.roozbeh.academy

آکادمی آموزش روزبه
مرکز تربیت متخصص برای انواع تخصص های SOC ، ارایه دهنده آموزش های هانتینگ

https://gist.github.com/gfoss/2b39d680badd2cad9d82

حال که نکات فوق را دریافتید ، ببینید با سیسمون و اسپلانک ، این ارکستر هانتینگ ، دستورات خطرناک را چطور به دام میاندازد
@roozbeh_learning
📚با ما به آینده درخشان خود نگاه کنید
آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy

https://medium.com/@haggis_m/splunking-the-endpoint-threat-hunting-with-sysmon-9dd956e3e1bd