هر Playbook: مجموعه ای از Action ها برای پاسخگویی به رخداد.

•غالبا در IMS و یا SOAR طراحی و استفاده می شوند.
•شامل بخش های 1-شروع، 2-بررسی و 3-بستن رخداد می باشد.
•هر Playbook برای هر تهدیدی(فعالیت بدافزار، فیشینگ و ...) متفاوت است.

یک نمونه playbook در تصویر ارائه شده است.

Playbook: A set of actions to respond to the incident.

-They are often designed and used in IMS or SOAR.
-Includes sections 1-starting, 2-checking and 3-closing the event.
-Each playbook is different for each threat (malware activity, phishing, etc.).

A sample playbook is presented in the photo.

#SOC
#BlueTeam

T.me/ICTlive

سامانه TheHive:
• رخداد ها به افراد مرتبط ارجاع می شود.
• هر case از چند گام به عنوان Template می تواند استفاده کند.(Playbook)
• هر Case از چند task تشکیل شده است.
• هر task دارای work log مربوط به خود است.(فعالیت هایی که برای انجام هر task انجام می شود.)
• هر case دارای مشاهدات می باشد. (این مشاهدات می تواند توسط cortex تحلیل شود)
• وظایف (task) می توانند در گروه های مختلف (task group) دسته بندی شوند.

جمع بندی:
رویداد ها (Event) در SIEM جمع شده و اگر به Alert تبدیل شوند وارد Thehive می شوند. و سپس برای هر incident یک case مرتبط با آن به همراه task های مورد نیاز(با توجه به playbook ها) ساخته شده و بررسی و تحلیل روی آن صورت می گیرد.
TheHive system:
• Incidents are referred to relevant people.
• Each case can use several steps as a template. (Playbook).
• Each case consists of several tasks.
• Each task has its own work log. (The activities that are done to complete each task.)
• Each case has observations. (These observations can be analyzed by the cortex)
• Tasks can be categorized in different groups (task group).

Conclusion: Events are collected in SIEM and if they are converted into Alerts, they are entered into Thehive. And then for each incident, a case related to it is created along with the required tasks (according to the playbooks) and analysis is done on it.

#SOC
#BlueTeam

T.me/ICTlive

موضوع های مورد بررسی در رخداد ها از دیدگاه US-CERT:

• قابل ریکاوری است یا خیر؟
• مکان رخداد
• میزان خطر و تاثیر آن بر سازمان
• مشاهدات
• تاثیرات بالقوه
• وضعیت Attack Vector
نامشخص است؟
تجهیزات خارجی
وب
بدافزار
ایمیل و فیشینگ
جعل
فقدان و یا خرابی تجهیز
دیگر ... .

• نوع اطلاعات از دست رفته


Issues investigated in incidents from US-CERT's point of view:

• Is it recoverable or not?
• Location of the incident
• The amount of risk and its impact on the organization
•observations
• Potential impacts
• Attack Vector
o Uncertain?
o External equipment
o Web
o Malware
o Email and phishing
o forgery
o Lack or failure of equipment
o Other ... .
• Type of missing information

#SOC
#BlueTeam

T.me/ICTlive

هوش تهدید:
• تحلیل داده و تکنیک های صورت گرفته توسط مهاجم با استفاده از TTP ها.
• هوش تهدید به حفظ منابع مهم سازمان کمک می کند.
• یک حالت Offensive در فرم Defensive است.
به طور کلی هوش یعنی جمع آوری و پردازش داده ها جهت شناسایی تهدیدات است و تهدید یعنی چه کسی(intent)، چه طوری(Capability) و از چه راهی(Opportunity) می تواند اقدام به حمله کند می باشد.
برای رسیدن به هوش(سایبری)، ابتدا log ها جمع آوری شده و سپس فرایند های مورد نیاز روی آن انجام و تبدیل به اطلاعات می شوند و روی این اطلاعات تحلیل های مختلف صورت می گیرد که تبدیل به هوش می شود.

نکته: یک تحلیل گر باید با هوش تهدید و سامانه های آن آشنایی داشته باشد.


Threat Intelligence:

• Analysis of Data and techniques performed by the attacker using TTPs.
• Threat intelligence helps protect critical organization resources.
• An Offensive mode is in Defensive form.

In general, intelligence means collecting and processing data to detect threats, and threat means who (intent), how (Capability) and in what way (Opportunity) can attack.

In order to achieve (cyber) intelligence, logs are first collected and then the necessary processes are performed on them and they are converted into information, and various analyzes are performed on this information, which becomes intelligence.

Note: An analyst must be familiar with threat intelligence and its systems.

#SOC
#BlueTeam
#Threat_Intelligence

T.me/ICTlive

سامانه های هوش تهدید:
یک منبع از دیتا، اطلاعات و هوش افراد است.
تحلیل های مختلف با استفاده از ابزار های مختلف روی دیتا صورت می گیرد.
هوش را برای خودت تولید نکن! (information sharing) 😊

با توجه به موارد گفته شده در مورد هوش، TIP را تعریف می کنیم:

باید گفت که به طور کلی با موارد مشخص مانند IP، دامنه و ... . آشنایی داریم ولی وجود سامانه ای برای ذخیره تحلیل ها، ضبط برخی نمونه های مشکوک در رخداد ها و اشتراک آن برای دیگر اعضای تیم بسیار ضروری است. به همین خاطر از TIP (Threat intelligence platforms) استفاده می کنیم.

در TIP شما می توانید هر چیزی از مهاجم و آلودگی های بوجود آمده را ضبط کنید. (فقط مراقب باشید که فعال نباشند!)
بر ای مثال به هنگام ذخیره اطلاعات از HxxP و [.] و یا تغییر فرمت فایل می توان استفاده کرد.
سامانه های مختلفی برای TIP وجود دارند که می توان به MISP، CIF، YETI، CRITS اشاره کرد که مبنای توضیحات ما در مورد MISP خواهد بود(که فراگیر نیز هست).
Threat intelligence systems:

It is a source of data, information and intelligence of people.
Different analyzes are done on the data using different tools.

Do not produce intelligence for yourself! (information sharing) 😊

According to the taken cases about intelligence, we define TIP:

It should be said that in general with certain things such as IP, domain, etc. We know each other, but it is very necessary to have a system to store the analysis, record some suspicious examples in the incidents and share it with other team members. That's why we use TIP (Threat intelligence platforms).

In TIP you can record anything from the attacker and the resulting contamination. (Just make sure they're not active!)
For example, when saving information, you can use HxxP, [.] or change the file format.

There are different systems for TIP, we can mention MISP, CIF, YETI, CRITS, which will be the basis of our explanation about MISP (which is also inclusive).

#SOC
#BluteTeam
#Threat_intelligence

T.me/ICTlive

برخی از ویژگی های MISP:
• تحت وب
• ذخیره داده های با حجم بالا
• قابلیت API
• ارتباط با سامانه The hive
• قابلیت import و Export راحت
• دسته بندی اطلاعات
• اشتراک اطلاعات بین افراد و سازمان ها
• تبدیل اطلاعات به فرمت STIX
• رمزگذاری یکپارچه و امضای اعلان ها
• انعطاف در استفاده از برنامه های توسعه داده شده در پایتون


در misp :
هر Attribute: نگهداری indicator هایی مانند IP، Hash، دامنه لینک، textو .. .
هر Event: هر موردی که در برنامه موجود است و می توان به آن Attribute اختصاص داد.
هر Sightings: جهت شمارش FP و TP.

Some features of MISP:
•Web based.
• Storing large volumes of data.
• API capability.
• Connection with The hive system.
• Easy import and export capability.
• Categorize information.
• Information sharing between individuals and organizations.
• Convert data to STIX format.
• Integrated encryption and signing of notifications.
• Flexibility in using programs developed in Python.

In misp:
Attributes: maintaining indicators such as IP, Hash, link, domain, text and...
Event: Any item that is available in the program and can be assigned Attributes.
Sightings: To count FP and TP.

#SOC
#BlueTeam
#MISP

T.me/ICTlive

دسته بندی کردن رخداد ها با استفاده از Tagging:

استفاده از Tag گذاری در رخداد ها، به جست و جوی سریع و دسته بندی مطلوب کمک می کند.
باید متریک های مناسبی را برای tagging رخداد ها در نظر بگیرید. برای مثال برای روش شناسایی رخداد مشخص شود که رخداد از AV، Threat Hunting ، user report و ... به IMS جهت رسیدگی ارسال شده است و یا از چه طریقی الودگی ایجاد شده است؟ وب، فیشینگ، USB و ... .

می توان انجام tag گذاری در MISP را با استفاده از galaxies برای ثبت تهدیدات مهاجمان، ابزارهای مورد استفاده در حمله و هوش تهدید انجام داد.

( هر galaxy روشی برای کلاستر کردن اطلاعات می باشد. برای مثال گروه های مهاجم را در mitre با نام apt میشناسیم. با استفاده از galaxy نیز می توان یک مشخصه برای اطلاعات در نظر بگیریم.)

Categorize incidents using tagging:

The use of tagging in events helps in quick search and optimal categorization.
You should consider appropriate metrics for tagging incidents. For example, in order to identify the incident, it should be determined that the incident was sent to IMS for processing from AV, Threat Hunting, user report, etc., or how the infection was created? Web, phishing, USB and...

Doing tagging in MISP using galaxies to record attacker threats, tools used in the attack and threat intelligence.
(galaxy is a method for clustering. For example, we know attack groups in mitre with the name apt. Using galaxy, we can also consider a characteristic for information.)

#SOC
#Blueteam
#MISP

T.me/ICTlive

نحوه کار کردن یک تحلیلگر با MISP:

• یک event ایجاد کنید.
• تمامی indicator ها را به آن اضافه کنید.
• برای اطلاعات خود tag گذاری و توضیحات تکمیلی را اضافه کنید.
• مورد (case) خود را بررسی و تحلیل کنید و سپس publish کنید.(زمانی که publish می شود یعنی برای رسیدگی به رخداد ارجاع می شود).

سامانه های خودکار مانند SIEM، SOAR و IMS از این اطلاعات از طریق API می توانند استفاده کنند.
این سامانه ها از اطلاعات استفاده کرده و هر موقع نمونه ای از آن در ترافیک دیده شد Alert ایجاد می شود و همان مراحل رسیدگی به رخداد و Alert که قبلا گفته شد.

به طور خلاصه:

تمامی indicator های یک رخداد در TIP ذکر شوند.
خودکارسازی و قابلیت API از TIP به دیگر ابزار ها برقرار شود.
اگر ورودی TIP در سامانه IMS خطرناک در نظر گرفته شد(کاربر تشخیص دهد) سریعا تریاژ شود.
موارد(cases) پس از ایجاد، به تحلیلگر تخصیص داده شود.

How an analyzer works with MISP:

• Create an event.
• Add all the indicators to it.
• Add tags and additional descriptions for your information.
• Check and analyze your case and then publish it. Automated systems such as SIEM, SOAR and IMS can use this information through API.

These systems use information and whenever an example of it is seen in the traffic, an alert is created and the same procedures for dealing with the incident and alert as mentioned earlier.

In summary:
All indicators of an event should be mentioned in TIP. Automation and API functionality from TIP to other tools should be established. If the TIP entry in the IMS system is considered dangerous (the user recognizes), it should be triaged immediately. After creation, the cases are assigned to the analyst.

#SOC
#Blueteam
#MISP

T.me/ICTlive

وظایف و ویژگی های یک ابزار SIEM:

• دریافت تمامی log ها(با حفظ تنوع)
• پشتیبانی خوب شرکت ارائه دهنده ابزار
• به روز رسانی های مستمر
• غنی سازی دیتا
• توانایی بالا در index کردن log ها در دیتابیس(فضای ذخیره سازی)
• جست و جوی سریع و log correlation خوب
• قابلیت visualize و داشبورد کاربرپسند و غنی.
• انجام تحلیل همبستگیalert ها.
• قابلیت api داشتن

Functions and features of a SIEM tool:

• Receive all logs (while maintaining variety)
• Good support from the tool provider
• Continuous updates
• Analysis and correct parsing.
• Filtering
• Data enrichment
• High ability to index logs in the database (storage space)
• Fast search and good log correlation
• Visualize ability and user-friendly and rich dashboard.
• Having api capability.

#SOC
#BlueTeam
#SIEM

T.me/ICTlive

مفهوم Use case:
آیتم های قابل اجرایی که می خواهیم توسط ابزار SIEM شناسایی شوند. برای مثال Brute force، دانلود غیر قانونی، اضافه شدن کاربری در گروه admin و ... .

فیلد های یک usecase:
• نام
• توضیحات
• بیان مشکل
• نیازمندی ها
• منابع مورد نیاز
• گام های تحلیل مورد نظر
• استفاده از Mitre
• دسته بندی تهدیدات
• بررسی FP

در طراحی یک usecase:
• چه چیزی را می خواهیم شناسایی کنیم؟
• شرایط تشخیص و روش های تحلیل را بررسی کنیم.(همچنین بررسی FP را در نظر بگیریم)
• حتما usecase را تست کنیم.
• ذخیره usecase ها در یک دیتا بیس جهت مدیریت مطلوب بر آن ها.
• تمامی usecase ها باید بررسی شوند که قرار است شناسایی و بررسی چطور صورت گیرد؟ آیا نیاز است با فریم ورک های دیگری مانند mitre بررسی شوند؟
• تمامی usecase ها در دیتابیس قرار دارند. Usecase را می توان در فایل excel، فایل متنی و ... ذخیره کرد.

Use cases:
Actionable items that we want to be detected by the SIEM tool. For example, Brute force, illegal download, adding a user in the admin group, etc.

Fields of a usecase:
• name
• Description
• Statement of the problem
• Requirements
• Required resources
• The desired analysis steps
• Miter use.
• Classification of threats
• FP review

In designing a usecase:
• What do we want to identify?
• Check the diagnosis conditions and analysis methods. (Also consider the FP check)
• Be sure to test the use case.
• Storing usecases in a database for optimal management of them.
• All usecases should be checked, how is it going to be identified and checked? Do they need to be checked with other frameworks like mitre?
• All usecases are located in the database. Usecase can be saved in excel file, text file, etc.

#SOC
#BlueTeam
#Usecase

T.me/ICTlive

مفهوم اتوماسیون و orchestration:
مفهوم automation: انجام خودکار یک وظیفه خاص.
مفهوم Orchestration: وظایف خودکار که به صورت گردش کار به هم زنجیر شده و یک work flow را تشکیل می دهند.

مزایای خودکاری سازی و orchestration:
• فعالیت تکراری به شدت کاهش پیدا می کند.
• سرعت بالا در پاسخگویی به رخداد
• استاندارد سازی(play book)
• تمرکز مجموعه روی نکات اصلی و مهم.


سامانه SOAR:
سامانه هایی که با استفاده از play book ها اقدامات مناسب و روتین در رسیدگی به رخداد را به صورت خودکار انجام می دهند.

برای مثال:
مشاهده Webexploit: مسدود کردن مهاجم.
وجود C&C: بررسی ادرس ها و دامنه های آلوده و استفاده از Virus total.
شناسایی آلودگی: ایزوله سازی شبکه.
غنی سازی: با انجام Look up passive DNS ، whois، Geo ip inf.
فیشینگ: اعمال سیاست هایی برای تغییر رمز دوره ای کاربران
انجام Remediation: هماهنگی با واحد help desk

The concept of automation and orchestration:

The concept of automation: performing a specific task automatically.
Orchestration concept: automated tasks that are chained together in the form of a workflow and form a work flow.

Advantages of automation and orchestration:
• Repetitive activity is greatly reduced.
• High speed in responding to the incident.
• Standardization (play book).
• Focusing people on the main and important points.

SOAR:
Systems that use play books to automatically perform proper and routine actions in incident handling.

for example:
•Web exploit: blocking the attacker.
•C&C: Checking addresses and infected domains and using Virus total.
•Contamination Detection: Network Isolation.
•Enrichment: by doing look up passive DNS, whois, Geo ip info.
•Phishing: applying policies to periodically change users' passwords.
•Remediation: coordinating with the help desk unit.


#SOC
#BlueTeam
#SOAR

T.me/ICTlive

سامانه Cortex:
یک نمونه موتور غنی سازی اطلاعات رخداد و خودکار سازی تحلیل.
در آینده این موتور تحلیل را به صورت کارگاه به همراه سرویس های IMS و TIP ارائه خواهیم داد.

The Cortex system:

an example engine for incident information enrichment and analysis automation. In the future, we will offer this engine as a workshop along with IMS and TIP services.

#SOC
#BlueTeam
#Cortex

T.me/ICTlive