حال مفهوم correlation مطرح می شود. راهی که بتوان از چندین Alert به یک همبستگی برای شناسایی تهدید رسید.

هر آنومالی صرفا آلودگی نیست ولی هر آلودگی قطعا آنومالی می باشد. برای مثال آپلود زیاد در شبکه آنومالی می باشد ولی شاید یک کاربر مشروع در حال اپلود مجاز باشد. پس آلودگی وجود ندارد ولی بالعکس آن درست است و آلودگی، آنومالی را بهمراه دارد.

معمولا وقتی یک policy نقض می شود، آنومالی بوجود می آید و موقعی که یک چک لیست نقض شود یک هشدار مبتنی بر امضا داریم.

Now the concept of correlation comes up. A way to reach a correlation from several Alerts to detection the threat.

Every anomaly is not just pollution, but every pollution is definitely an anomaly. For example, high uploading in the network is abnormal, but maybe a legitimate user is allowed to upload. So there is no pollution, but the opposite is true and pollution brings anomaly.

Usually, when a policy is violated, an anomaly occurs, and when a checklist is violated, we have a signature-based alerting.

#SOC
#BlueTeam

T.me/ICTlive

چند مفهوم مهم:
مفهوم False positive: به این معنی که ترافیک سالم به عنوان ترافیک مخرب شناسایی شده است.

مفهوم False negative: به این معنی که ترافیک مخرب تشخیص داده نشده است.

مفهوم True positive: به این معنی که ترافیک مخرب شناسایی شده است.

مفهوم True negative: به این معنی که ترافیک عبوری سالم است.

Some important concepts:
False positive: It means that normal traffic is detected as malicious traffic.

False negative: It means that malicious traffic has not been detected.

True positive: It means that malicious traffic has been detected.

True negative: It means that the passing traffic is normal.


#SOC
#BlueTeam

T.me/ICTlive

یک تحلیلگر می بایست تصدیق Alert ها و عمل مناسب در قبال آن ها را انجام دهد.
زمانی که یک Alert ایجاد می شود، چه فعالیت هایی صورت می گیرد: (هنوز incident رخ نداده است)
•رسیدگی به نوع هشدار که event است یا alert و قابلیت تبدیل شدن به incident.
•بررسی نوع rule: آیا شناسه مخرب دارد؟ و یا آیا ناهنجاری خاصی در این هشدار وجود دارد؟
•بررسی محتوای فعالیت انجام شده
•غنی کردن رخداد با اطلاعات اضافی و مناسب
•انجام همبستگی با log های دیگر
•تصمیم گیری که آیا با یک incident مواجه هستیم یا خیر؟
•در صورت مثبت بودن سوال فوق: رخداد ایجاد و وارد سامانه جهت رسیدگی به incident می شود.



An analyst should verify the accuracy of alerts and take appropriate action against them.

What activities take place when an Alert is created: (an incident has not yet occurred):

•Checking the type of alert that is event or alert and the ability to become an incident.
•Checking the type of rule: does it have a malicious identifier? Or is there any abnormality in this warning?
•Check the content of the activity.
•Enrich the event with additional and appropriate information.
•Correlation with other logs.
•Deciding whether we are facing an incident or not?
•If the above question is positive: an incident is created and entered into the incident responding system.

#SOC
#BlueTeam

T.me/ICTlive

سامانه های مورد نیاز یک مرکز عملیات امنیت به شرح زیر می باشد:

•سیستم IMS(Incident management system): سامانه ای برای مدیریت تیکت های ایجاد شده.
•سیستم TIP(Threat intelligence platform): استفاده از سامانه هایی برای اشتراک دانش و هوش تهدید
•سیستم SIEM: سامانه ای برای مدیریت، جمع آوری، index، جست و جو، همبستگی log و هشدار ها.
•سیستم Soar: سامانه ای جهت خودکار سازی فرایند ها.(با استفاده از Playbook ها)
•سیستم KB(knowledge base): سامانه ای جهت ذخیره اطلاعات، اشتراک دانش، ذخیره usecase ها و ... .

در ادامه هر کدام را به طور مشروح به همراه ابزار مورد استفاده ارائه خواهیم داد.

The required systems of a security operation center are as follows:

IMS (Incident management system): a system for managing the created tickets.
TIP (Threat intelligence platform): using systems to share knowledge and threat intelligence
SIEM: A system for managing, collecting, indexing, searching, log correlation and alerts.
Soar: a system to automate processes (using Playbooks)
KB (knowledge base): a system for storing information, sharing knowledge, storing use cases, etc.

In the following, we will present each one in detail along with the tools used.

#SOC
#BlueTeam

T.me/ICTlive

سامانه (Incident management system)IMS: این سامانه ها Alert ها را از SIEM گرفته و تا اتمام کار به بررسی خود روی رخداد ادامه می دهند.
از بهترین سامانه های IMS می توان به The Hive و RTIR اشاره کرد.

چند نکته در مورد IMS:
•این سامانه ها در جهت تسریع امور و خودکار سازی فرایند ها ایجاد شده و بسیار ارزشمند هستند.
•حتما قبل از استفاده از این سامانه ها به صورت مدت زمان مشخص به تست آن بپردازید.
•نسخه های پولی لزوما بهترین نیستند.
•از اصلی ترین ابزارهایی هست که کاربر مستقر در SOC با آن کار می کند. پس از کارکردن با آن لذت ببرید!

IMS :

This system receives alerts from SIEM and continues to investigate the incident until the work is completed. One of the best IMS systems are The Hive and RTIR.

A few notes about IMS:
•These systems were created to speed things up and automate processes and are very valuable.
•Be sure to test these systems for a certain period of time before using them.
•Paid versions are not necessarily the best.
•It is one of the main tools that a SOC user works with.

T.me/ICTlive

یک IMS خوب باید ویژگی های زیر را داشته باشد:

• قابلیت بارگذاری فایل
• قابلیت API
• داشتن Wiki، Tagging، workflow.
• سهولت در استفاده از Text.
• ویژگی های خاص تیکت مانند: Open، close، edit، action، resolve، In progress.
• قابلیت search پیشرفته و دقیق.
• ظاهر کاربر پسند
• قابلیت گزارش گیری متنوع

A good IMS should have the following features:

• Ability to upload files
• API capability
• Having Wiki, Tagging, workflow.
• Ease of using Text.
• Special ticket features such as: Open, close, edit, action, resolve, In progress.
• Advanced and accurate search capability.
• User-friendly appearance
• Various reporting capabilities

#SOC
#BlueTeam

T.me/ICTlive

هر Playbook: مجموعه ای از Action ها برای پاسخگویی به رخداد.

•غالبا در IMS و یا SOAR طراحی و استفاده می شوند.
•شامل بخش های 1-شروع، 2-بررسی و 3-بستن رخداد می باشد.
•هر Playbook برای هر تهدیدی(فعالیت بدافزار، فیشینگ و ...) متفاوت است.

یک نمونه playbook در تصویر ارائه شده است.

Playbook: A set of actions to respond to the incident.

-They are often designed and used in IMS or SOAR.
-Includes sections 1-starting, 2-checking and 3-closing the event.
-Each playbook is different for each threat (malware activity, phishing, etc.).

A sample playbook is presented in the photo.

#SOC
#BlueTeam

T.me/ICTlive

سامانه TheHive:
• رخداد ها به افراد مرتبط ارجاع می شود.
• هر case از چند گام به عنوان Template می تواند استفاده کند.(Playbook)
• هر Case از چند task تشکیل شده است.
• هر task دارای work log مربوط به خود است.(فعالیت هایی که برای انجام هر task انجام می شود.)
• هر case دارای مشاهدات می باشد. (این مشاهدات می تواند توسط cortex تحلیل شود)
• وظایف (task) می توانند در گروه های مختلف (task group) دسته بندی شوند.

جمع بندی:
رویداد ها (Event) در SIEM جمع شده و اگر به Alert تبدیل شوند وارد Thehive می شوند. و سپس برای هر incident یک case مرتبط با آن به همراه task های مورد نیاز(با توجه به playbook ها) ساخته شده و بررسی و تحلیل روی آن صورت می گیرد.
TheHive system:
• Incidents are referred to relevant people.
• Each case can use several steps as a template. (Playbook).
• Each case consists of several tasks.
• Each task has its own work log. (The activities that are done to complete each task.)
• Each case has observations. (These observations can be analyzed by the cortex)
• Tasks can be categorized in different groups (task group).

Conclusion: Events are collected in SIEM and if they are converted into Alerts, they are entered into Thehive. And then for each incident, a case related to it is created along with the required tasks (according to the playbooks) and analysis is done on it.

#SOC
#BlueTeam

T.me/ICTlive

موضوع های مورد بررسی در رخداد ها از دیدگاه US-CERT:

• قابل ریکاوری است یا خیر؟
• مکان رخداد
• میزان خطر و تاثیر آن بر سازمان
• مشاهدات
• تاثیرات بالقوه
• وضعیت Attack Vector
نامشخص است؟
تجهیزات خارجی
وب
بدافزار
ایمیل و فیشینگ
جعل
فقدان و یا خرابی تجهیز
دیگر ... .

• نوع اطلاعات از دست رفته


Issues investigated in incidents from US-CERT's point of view:

• Is it recoverable or not?
• Location of the incident
• The amount of risk and its impact on the organization
•observations
• Potential impacts
• Attack Vector
o Uncertain?
o External equipment
o Web
o Malware
o Email and phishing
o forgery
o Lack or failure of equipment
o Other ... .
• Type of missing information

#SOC
#BlueTeam

T.me/ICTlive

هوش تهدید:
• تحلیل داده و تکنیک های صورت گرفته توسط مهاجم با استفاده از TTP ها.
• هوش تهدید به حفظ منابع مهم سازمان کمک می کند.
• یک حالت Offensive در فرم Defensive است.
به طور کلی هوش یعنی جمع آوری و پردازش داده ها جهت شناسایی تهدیدات است و تهدید یعنی چه کسی(intent)، چه طوری(Capability) و از چه راهی(Opportunity) می تواند اقدام به حمله کند می باشد.
برای رسیدن به هوش(سایبری)، ابتدا log ها جمع آوری شده و سپس فرایند های مورد نیاز روی آن انجام و تبدیل به اطلاعات می شوند و روی این اطلاعات تحلیل های مختلف صورت می گیرد که تبدیل به هوش می شود.

نکته: یک تحلیل گر باید با هوش تهدید و سامانه های آن آشنایی داشته باشد.


Threat Intelligence:

• Analysis of Data and techniques performed by the attacker using TTPs.
• Threat intelligence helps protect critical organization resources.
• An Offensive mode is in Defensive form.

In general, intelligence means collecting and processing data to detect threats, and threat means who (intent), how (Capability) and in what way (Opportunity) can attack.

In order to achieve (cyber) intelligence, logs are first collected and then the necessary processes are performed on them and they are converted into information, and various analyzes are performed on this information, which becomes intelligence.

Note: An analyst must be familiar with threat intelligence and its systems.

#SOC
#BlueTeam
#Threat_Intelligence

T.me/ICTlive

سامانه های هوش تهدید:
یک منبع از دیتا، اطلاعات و هوش افراد است.
تحلیل های مختلف با استفاده از ابزار های مختلف روی دیتا صورت می گیرد.
هوش را برای خودت تولید نکن! (information sharing) 😊

با توجه به موارد گفته شده در مورد هوش، TIP را تعریف می کنیم:

باید گفت که به طور کلی با موارد مشخص مانند IP، دامنه و ... . آشنایی داریم ولی وجود سامانه ای برای ذخیره تحلیل ها، ضبط برخی نمونه های مشکوک در رخداد ها و اشتراک آن برای دیگر اعضای تیم بسیار ضروری است. به همین خاطر از TIP (Threat intelligence platforms) استفاده می کنیم.

در TIP شما می توانید هر چیزی از مهاجم و آلودگی های بوجود آمده را ضبط کنید. (فقط مراقب باشید که فعال نباشند!)
بر ای مثال به هنگام ذخیره اطلاعات از HxxP و [.] و یا تغییر فرمت فایل می توان استفاده کرد.
سامانه های مختلفی برای TIP وجود دارند که می توان به MISP، CIF، YETI، CRITS اشاره کرد که مبنای توضیحات ما در مورد MISP خواهد بود(که فراگیر نیز هست).
Threat intelligence systems:

It is a source of data, information and intelligence of people.
Different analyzes are done on the data using different tools.

Do not produce intelligence for yourself! (information sharing) 😊

According to the taken cases about intelligence, we define TIP:

It should be said that in general with certain things such as IP, domain, etc. We know each other, but it is very necessary to have a system to store the analysis, record some suspicious examples in the incidents and share it with other team members. That's why we use TIP (Threat intelligence platforms).

In TIP you can record anything from the attacker and the resulting contamination. (Just make sure they're not active!)
For example, when saving information, you can use HxxP, [.] or change the file format.

There are different systems for TIP, we can mention MISP, CIF, YETI, CRITS, which will be the basis of our explanation about MISP (which is also inclusive).

#SOC
#BluteTeam
#Threat_intelligence

T.me/ICTlive

برخی از ویژگی های MISP:
• تحت وب
• ذخیره داده های با حجم بالا
• قابلیت API
• ارتباط با سامانه The hive
• قابلیت import و Export راحت
• دسته بندی اطلاعات
• اشتراک اطلاعات بین افراد و سازمان ها
• تبدیل اطلاعات به فرمت STIX
• رمزگذاری یکپارچه و امضای اعلان ها
• انعطاف در استفاده از برنامه های توسعه داده شده در پایتون


در misp :
هر Attribute: نگهداری indicator هایی مانند IP، Hash، دامنه لینک، textو .. .
هر Event: هر موردی که در برنامه موجود است و می توان به آن Attribute اختصاص داد.
هر Sightings: جهت شمارش FP و TP.

Some features of MISP:
•Web based.
• Storing large volumes of data.
• API capability.
• Connection with The hive system.
• Easy import and export capability.
• Categorize information.
• Information sharing between individuals and organizations.
• Convert data to STIX format.
• Integrated encryption and signing of notifications.
• Flexibility in using programs developed in Python.

In misp:
Attributes: maintaining indicators such as IP, Hash, link, domain, text and...
Event: Any item that is available in the program and can be assigned Attributes.
Sightings: To count FP and TP.

#SOC
#BlueTeam
#MISP

T.me/ICTlive

دسته بندی کردن رخداد ها با استفاده از Tagging:

استفاده از Tag گذاری در رخداد ها، به جست و جوی سریع و دسته بندی مطلوب کمک می کند.
باید متریک های مناسبی را برای tagging رخداد ها در نظر بگیرید. برای مثال برای روش شناسایی رخداد مشخص شود که رخداد از AV، Threat Hunting ، user report و ... به IMS جهت رسیدگی ارسال شده است و یا از چه طریقی الودگی ایجاد شده است؟ وب، فیشینگ، USB و ... .

می توان انجام tag گذاری در MISP را با استفاده از galaxies برای ثبت تهدیدات مهاجمان، ابزارهای مورد استفاده در حمله و هوش تهدید انجام داد.

( هر galaxy روشی برای کلاستر کردن اطلاعات می باشد. برای مثال گروه های مهاجم را در mitre با نام apt میشناسیم. با استفاده از galaxy نیز می توان یک مشخصه برای اطلاعات در نظر بگیریم.)

Categorize incidents using tagging:

The use of tagging in events helps in quick search and optimal categorization.
You should consider appropriate metrics for tagging incidents. For example, in order to identify the incident, it should be determined that the incident was sent to IMS for processing from AV, Threat Hunting, user report, etc., or how the infection was created? Web, phishing, USB and...

Doing tagging in MISP using galaxies to record attacker threats, tools used in the attack and threat intelligence.
(galaxy is a method for clustering. For example, we know attack groups in mitre with the name apt. Using galaxy, we can also consider a characteristic for information.)

#SOC
#Blueteam
#MISP

T.me/ICTlive