مطابقت سرویس های SOC و سیاست های سازمان:
•صحبت های مستقیم و شفاف با هیئت مدیره
•بررسی سرویس اصلی سازمان
•هدف اصلی سازمان در بیزینس و برقراری امنیت در آن
•حوزه کاری SOC(به عبارتی Scop پروژه چقدر خواهد بود).
نکته: در هر سازمانی با وجود یک مرکز SOC حتما ایجاد کمیته ای جهت 1-شناسایی ریسک و دغدغه های بیزینس شرکت و 2- ارائه توانمندی ها و فواید SOC برای بیزینس سازمان صورت می گیرد.

Compatibility of SOC services and organization policies:
• Direct conversations with the board of directors.
• Checking the organization's main service.
• The main goal of the organization in business and establishing security in it.
• SOC scope of work (how much will the scope of the project be).

Note: In every organization with a SOC center, a committee will be created to 1-identify the risks and concerns of the company's business and 2-present the capabilities and benefits of SOC for the organization's business.

#SOC
#BluteTeam

t.me/ictlive

چطور از میزان تمایل کارفرما در جهت ریسک پذیری برای انجام فعالیت های امور امنیت اطلاع کسب کنیم؟
•همیشه قدم اول را باید در نظر گرفت که هدف اصلی سازمان ها برقراری امنیت نیست.
•امنیت کجا بیشترین اهمیت را دارد؟ سازمان های دولتی و نظامی اولویت بالا | استارت آپ ها اولویت کمتر.
•بهترین راه شناسایی ریسک می تواند داشتن گزارش ریسک و یا بیانیه ریسک پذیری از سمت کارفرما باشد تا بتوان راحت تر روی میزان ریسک و ریسک پذیری سازمان صحبت کرد.
•در صورت نداشتن گزارش ریسک پذیری، وجود یک تیم بالغ به عنوان مشاور در تمامی موارد از قبیل مدیریت، اعمال سیاست ها و ... می تواند در ارزیابی ریسک پذیری برای برقرای مرکز عملبات امنیت مفید باشد.

How to find out about the employer's willingness to Risk Appetite for security activities?
• The first step should always be considered that the main goal of organizations is not to establish security.
• Where is security most important? High priority for government and military organizations and lower priority for Startups.
• The best way to identify risk is to have a risk report or a statement of risk tolerance from the employer so that it is easier to talk about the level of risk and risk tolerance of the organization.
• If there is no risk report, the presence of a mature team as a consultant in all matters such as management, policy implementation, etc. can be useful in assessing risk for the implementation of the security operations center.

#SOC
#BlueTeam

t.me/ICTlive

برگزاری جلسات برای بررسی ریسک:
•در مرحله اول بیزینس را در نظر بگیرید.(اگر نشت اطلاعاتی صورت گیرد، چقدر متوجه سازمان می شود؟ و یا بدترین اتفاقی که برای آن سازمان و بیزینس مربوطه می تواند اتفاق بیفتد چیست؟)
•اگر سازمان نیاز به امنیت در سطوح بالا دارد: استفاده از لیست سفید، ایزوله سازی، airgap، محدود کردن سرویس های حیاتی اینترنت و ایمیل.
•اگر سازمان نیاز به امنیت سطح پایین تر دارد: استفاده از AV و IDS و ... .
•البته بیان بالا به این معنی نیست که در امنیت سطح بالا از AV و .. استفاده نمی شود و بالعکس.
•هدف جلسات: پیدا کردن راهی برای برقراری امنیت به طوری که با سیاست های شرکت تداخل نداشته باشد(یا کمترین تداخل).
•در پایان، گرفتن اطلاعات مناسب و کافی یکی از موثرترین راه ها برای ارزیابی ریسک جهت برقراری سرویس امنیت می باشد.

Holding meetings to Risk Assessment:
•Consider business first. (If there is an information leakage, how much will it affect the organization? Or what is the worst thing that can happen to that organization and the business concerned?)
•If the organization needs security at high levels: using whitelist, isolation, airgap, restricting critical services such as internet and e-mail.
•If the organization needs a lower level of security: using AV and IDS, etc.
•Of course, the above statement does not mean that AV and etc. are not used in high-level security, and vice versa.
•The purpose of the meetings: to find a way to establish security so that it does not interfere with company policies (or minimal interference).
•In the end, getting appropriate and sufficient information is one of the most effective ways to assess the risk to establish a security service.

#SOC
#BlueTeam

t.me/ICTlive

مهمترین رکن مرکز SOC:

مهمترین رکن یک مرکز عملیات امنیت نیروی انسانی آن می باشد. (People) که با فاکتور های زیر می تواند بهترین بلوغ را برای یک مرکز SOC فراهم آورد:
•نیروی علاقه مند و جویای علم در حوزه کاری.
•تجربه کار در حوزه IT.
•دانش گسترده و دانش عمیق در زمینه ای خاص( T-shaped People)
•توانایی تحلیل، اسکریپت نویسی، خودکاری سازی فعالیت ها و مهارت در گزارش نویسی.
•کیفیت کاری بالا در امور محوله ( استعداد باعث جذب استعداد می شود)

The most important pillar of the SOC:

•The most important pillar of a security operation center is its people. (People), which can provide the best maturity for a SOC center with the following factors:
•People who are interested and seek knowledge in the field of work.
•Work experience in the field of IT.
•Extensive knowledge and deep knowledge in a specific field (T-shaped people)
•Ability to analyze, scripting, automate activities and reporting skills.
•High work quality in assigned tasks(talent, attracts talent).

#SOC
#BlueTeam

t.me/ICTlive

نقش های یک مرکز SOC:
نقش هایی که افراد می توانند در یک مرکز SOC فعالیت کنند می تواند مجموعه ای از تخصص ها به شرح زیر باشد:

•تحلیلگر رخداد: رسیدگی، تریاژ و پاسخگویی (در سطوح مختلف دسته بندی می شوند Tier)
•تحلیلگر هوش تهدید: جمع آوری استراتژی ها و تاکتیک های مهاجم و بررسی آن ها.
•مهندس زیرساخت: طراحی و راه اندازی زیر ساخت SOC.
•ادمین سیستم: مراقب و نگه داری از ابزار های مرکز SOC.
•مدیر SOC: مسئول پروژه (SOC Lead)
•رهبر رخداد (Incident Lead): هماهنگ کننده و اشراف کامل به رخداد.

SOC Roles :

The roles that people can perform in a SOC can be a set of specializations as follows:
•Incident analyst: handling, triage and response (categorized at different levels, Tier)
•Threat intelligence analyst: collect attacker strategies and tactics and analyze them.
•Infrastructure Engineer: SOC infrastructure design and operation.
•System admin: Care and maintenance of SOC tools.
•SOC Manager: Project Manager (SOC Lead).
•Incident Lead: The coordinator and leader of the incident.

#SOC
#BlueTeam

t.me/ICTlive

انواع Tier برای مراکز SOC:
سطح T1: به طور مداوم در حال یادگیری روش های شناسایی و تکنیک حمله، ایجاد تیکت و تحلیل اولیه.
سطح T2: در حال افزایش توانمندی موجود، خنثی سازی حملات و تحلیل ثانویه و عمیق تر.
سطح T3: وظایف کمتر ولی پیچیده تر. شامل شکار تهدید و استفاده از متد های تحلیل عمیق.
هر چقدر از T1 به سمت T3 پیش می رویم، میزان دسترسی در مجموعه بیشتر و آزادی عمل بیشتری برای کاربر وجود دارد. از این رو دو نوع SOC از لحاظ سطح بندی را بیان می کنیم:
Tiered SOC: یک مرکز عملیات امنیت با سطح بندی:
• نقش ها کاملا مشخص است.
• فرایند ها ساختارمند هستند.
• آزادی کمتر در استفاده از تمامی ابزار ها.
• یادگیری کمتر
• وجود کارهای تکراری در سطوح پایین.

Tierless SOC: یک مرکز عملیات امنیت بدون سطح بندی:
• همه با هم برای رسیدگی به رخداد فعالیت دارند.(با حفظ رسیدگی به رخداد با توجه به تخصص فرد)
• آزادی کامل در استفاده از ابزار های موجود.
• یادگیری سریع است و انتقال دانش از سطوح بالا به پایین زودتر صورت می گیرد.

Tier types for SOC:
T1: Continuously learning detection methods and attack techniques, creating tickets and basic analysis.
T2: Increasing existing capabilities, neutralizing attacks, secondary incident analysis and deeper.
T3: Fewer but more complex tasks. including threat hunting and the use of deep analysis methods.
From T1 to T3, there is more access in the collection and the more freedom of action for the user. Therefore, we state two types of SOC in terms of leveling:
Tiered SOC: A Tiered Security Operations Center:
• Roles are clearly defined.
• Processes are structured.
• Less freedom in using all tools.
• Less learning.
• Existence of repetitive tasks at low levels.
Tierless SOC: A Tierless Security Operations Center:
• Everyone works together to handle the incident. (by maintaining the handling of the incident according to the individual's expertise)
• Complete freedom in using available tools.
• Learning is fast and transfer of knowledge from higher to lower levels takes place sooner.

#SOC
#BlueTeam

t.me/ICTlive

مختصری از فرایند های یک مرکز SOC به شرح زیر است:
1.جمع آوری داده
2.شناسایی تهدید
3.تریاژ و رسیدگی
4.پاسخگویی به رخداد( با حوزه CSIRT کمی متفاوت خواهد بود)
5.شکار تهدید

به طور خاص:
6.هوش تهدید
7.ارزیابی (تیم قرمز، تیم تست نفوذ و ارزیابی امنیتی آسیب پذیری)
8.جرم یابی( تحلیل بدافزار و فارنزیک دیجیتال)

A summary of the processes of a SOC is as follows:
•Data collection
•Threat detection
•Triage and processing
•Responding to the incident (it will be slightly different from the CSIRT field)
•Threat hunting

Specialty:
•Threat Intelligence
•Evaluation (red team, penetration testing team and vulnerability assessment)
•Crime detection (malware analysis and digital forensics)

#SOC
#BlueTeam

t.me/ICTlive

برخی از اطلاعات مهمی که می بایست در مورد راه اندازی مرکز SOC بدانیم:

در مورد Network Diagram: وضعیت توپولوژی شبکه.
در مورد Point of visibility: مشخص کردن پورت های Span و Full pcap .
در مورد Data flow Diagram: ترافیک در شبکه چطور به اینترنت و خارج هدایت می شود؟
در موردLog flow Digram: log های شبکه و سیستم از کجا گرفته و در کجا ذخیره می شوند؟
در مورد IR Plan: به هنگام بروز مشکل در پیاده سازی چه اقداماتی در جهت رفع آن صورت پذیرد؟
در مورد Communication Plan: به هنگام وقوع انواع رخداد، چه کسی و چگونه می باست مطلع شود؟
•در نظر گرفتن برنامه ای برای Disaster Recovery
•هر نوع فرایند، سیاست، Redline و .. باید در نظر گرفته شود.

Some important information to know about setting up a SOC:
•Network Diagram: network topology status.
•Point of visibility: specifying Span and Full pcap ports.
•Data flow diagram: How is traffic in the network directed to the Internet and outside?
•Log flow diagram: Where are the network and system logs taken from and where are they stored?
•IR Plan: When a problem occurs in the implementation, what measures should be taken to solve it?
•Communication Plan: When all kinds of events occur, who and how can be informed?
•Consider a plan for Disaster Recovery.
•Any type of process, policy, redline, etc. should be considered.

#SOC
#BlueTeam

t.me/ICTlive

گزارشات فنی مرکز SOC باید با توجه به موارد زیر تهیه شود:
یک: سیاست هایی که باید در نظر گرفت: برای مثال تمامی مجموعه ها از AV به روز برخوردار باشند.
دو: استاندارد های به روز: استفاده از استاندار های روز دنیا در این حوزه. برای مثال برای نصب سنسور (Agent) می بایست مطابق با استاندارد مرتبط با خود نصب شود.

سه: Procedures: استفاده گام به گام از دستورالعمل هایی که برای انجام یک Task ارائه شده اند.
چهار: Guideline: استفاده از دستورالعمل های پیشنهادی که در خوده مرکز SOC تهیه شده و یا در اشتراک دانش با سایر تیم ها بدست آمده است.
پنج: Base Line: استفاده از لیست های خاص مانند چک لیست نصب فلان ابزار.
شش: Playbook/ usecase: ارائه نقش ها و فعالیت ها جهت شناسایی تهدید.

Technical reports of the SOC should be prepared according to the following:

•Policies to consider: for example, all departments have up-to-date AV.
•Up-to-date standards: using the latest world standards in this field. For example, to install the sensor (Agent), it must be installed according to the standard related to it.
•Procedures: step-by-step use of the instructions provided to perform a task.
•Guideline: using suggested guidelines prepared in the SOC itself or obtained in knowledge sharing with other teams.
•Base Line: Using specific lists such as checklists for installing certain tools.
•Playbook/usecase: providing roles and activities for threat detection.

#SOC
#BlueTeam

t.me/ICTlive

🔰چه موقع یک شبکه Defensible است؟

•قابل مانیتورینگ باشد: داده شبکه و سیستم ها جهت مانیتورینگ، جمع آوری و مرکزیت داده شوند.
•قابل سرشماری باشد: از شبکه و دارایی های آن شناخت کافی داشته باشیم. (برخی از مهاجمین از سیستم هایی که رها شده اند و در سرشماری موجود نیستند استفاده می کنند.)
•همه چیز قابل کنترل باشد: واقف بودن به ترافیک عبوری، وضعیت ارتباطات و ... .
•قابل ادعا کردن باشد: صاحبان سرویس در آن شبکه با حوزه کاری خود آشنا بوده و تمامی رویه ها برنامه ریزی شده باشد.
•قابلیت کمینه کردن سطح حمله را داشته باشد: شناسایی افراد مسئول برای کمینه کردن حمله(برای مثال در یک حمله باج افزاری نیاز است ارتباط شبکه سرور با دیگر مناطق قطع شود. و می بایست شخصی مسئولیت این قطعی را در نظر گرفته و با هماهنگی صورت گیرد).
•قابلیت ارزیابی داشته باشد: ضعف ها شناسایی شده و تیم های تست نفوذ و ارزیابی آسیب پذیری بتوانند فعالیت کنند.
•قابلیت وصله داشته باشد: به روز نگه داشتن تجهیزات شبکه با انجام وصله، upgrade. ( البته در برخی موارد این عمل باعث اختلال در سرویس دهی می شود. به همین دلیل آشنایی با آسیب پذیری ها و وصله های مربوطه کمک مهمی در کاهش خرابی می شود).
•قابلیت اعمال سنجه(معیار) داشته باشد: بتوان پیشرفت ها و فعالیت هایی که در توسعه شبکه انجام می شود را با مراحل قبل مقایسه کرد.

When is a network defensible?

•Can be monitored: Network and systems data should be collected and centralized for monitoring.

•Can be enumerated: to have sufficient knowledge of the network and its assets. (Some attackers use abandoned systems that are not in the census.)

•Everything can be controlled: being aware of passing traffic, communication status, etc.

•Can be claimed: service owners in that network are familiar with their work area and all procedures are planned.

•Have the ability to minimize the level of the attack: identifying the responsible people to minimize the attack (for example, in a ransomware attack, the network connection with other areas needs to be cut off. And someone should take responsibility for this cut and coordinate with the take).

•Be able to assess: Weaknesses are identified and penetration testing and vulnerability assessment teams can operate.

•Patching capability: keeping the network equipment up-to-date by patching, upgrading. (Of course, in some cases, this action causes service disruptions. For this reason, familiarity with vulnerabilities and related patches is an important help in reducing failures).

•To be able to apply criteria: to be able to compare the progress and activities carried out in the development of the network with the previous stages.

#SOC
#BlueTeam

t.me/ICTlive

انواع مانیتورینگ امنیت:
• مانیتورینگ Endpoint: برنامه ها و فعالیت هایی که در Host ها صوت می پذیرد.
• مانیتورینگ Network: شناسایی ارتباطات، سرویس ها و هر فعالیتی که در ترافیک شبکه موجود است.
به طور کلی دو مفهوم CSM و NSM در مانیتورینگ وجود دارند. به طوری که Data at rest در مانیتورینگ Endpoint و Data at transit در مانیتورینگ شبکه کاربرد دارد.

یکی از علل استفاده از SIEM ها مرکزیت دادن مانیتورینگ امنیت است.یعنی CSM و NSM در یکجا بررسی شوند. باید در نظر داشت که جهت تشخیص درست باید هردو نوع مانیتورینگ صورت گیرد. برای مثال یک سیستم الوده به بدافزار با استفاده از سرویس پورت 443 که از دید ما مجاز است اقدام به فعالیت خرابکارانه می کند. پس می بایست هم مانیتورینگ شبکه و هم سیستم صورت گیرد.

Types of security monitoring:
1-Endpoint monitoring: programs and activities that take place in hosts.

2-Network monitoring: identification of connections, services and any activity in network traffic.

In general, there are two concepts of CSM and NSM in monitoring. So that Data at rest is used in endpoint monitoring and Data at transit is used in network monitoring.
One of the reasons for using SIEMs is to centralize security monitoring, that is, CSM and NSM should be checked at the same time. It should be kept in mind that both types of monitoring should be done in order to make a correct detection. For example, a system infected with malware performs malicious activity by using service port 443, which is allowed from our point of view. Therefore, both network and system monitoring should be done.

#SOC
#BlueTeam

t.me/ICTlive

در مانیتورینگ شبکه موارد زیر باید بررسی شوند:

• میزان ترافیک عبوری و پهنای باند.
• نوع سرویس ها و توپولوژی شبکه.
• دامین های موجود در شبکه.
• پاسخ به این سوال که آیا می توانیم Full packet capture داشته باشیم؟
• بررسی وضعیت سرویس های مختلف شبکه.
• شناسایی رفتار ترافیک مشکوک(Exploit ها، ترافیک C&C و ...)
• مانیتورینگ قسمت های مختلف شبکه از جمله: DMZ، Access Layers، ترافیک مربوط به اینترنت و سرور ها)

In network monitoring, the following should be checked:

• Amount of passing traffic and bandwidth.
• Type of services and network topology.
• Domains available in the network.
• The answer to the question of whether we can have full packet capture?
• Checking the status of various network services.
• Identify suspicious traffic behavior (exploits, C&C traffic, etc.).
• Monitoring of different parts of the network including: DMZ, Access Layers, Internet traffic and servers.

#SOC
#BlueTeam

t.me/ICTlive

یک نمونه مطلوب برای دریافت لاگ در شبکه.

A good example for receiving logs on the network.

#SOC
#BlueTeam
#Network_Monitoring

T.me/ICTlive

موارد مهمی که در مانیتورینگ Endpoint می توان مشاهده کرد:

•چه سرویس پورت هایی باز است؟
•چه آسیب پذیری ها و Exploit هایی وجود دارد؟
•چه برنامه غیرمجازی نصب شده است؟
•کدام فایل های حساس سیستم تغییر کرده اند؟
•چه برنامه و اسکریپت های آلوده ای اجرا شده اند؟
•چه ارتباطاتی با این سیستم برقرار شده است؟

به طور کلی بررسی رجیستری، پروسه های در حال اجرا، سرویس ها و ارتباطات با سیستم قربانی و ارزیابی آسیب پذیری از مهمترین اقدامات در مانیتورینگ سیستم می باشند.

Important things that can be seen in Endpoint monitoring:

•What service ports are open?
•What vulnerabilities and exploits are there?
•What unauthorized program is installed?
•Which sensitive system files have changed?
•What infected programs and scripts were executed?
•What connections have been established with this system?

In general, checking the registry, running processes, services and communication with the victim's system, and vulnerability assessment are among the most important measures in system monitoring.

#SOC
#BlueTeam

T.me/ICTlive