سامانه های هوش تهدید:
یک منبع از دیتا، اطلاعات و هوش افراد است.
تحلیل های مختلف با استفاده از ابزار های مختلف روی دیتا صورت می گیرد.
هوش را برای خودت تولید نکن! (information sharing) 😊

با توجه به موارد گفته شده در مورد هوش، TIP را تعریف می کنیم:

باید گفت که به طور کلی با موارد مشخص مانند IP، دامنه و ... . آشنایی داریم ولی وجود سامانه ای برای ذخیره تحلیل ها، ضبط برخی نمونه های مشکوک در رخداد ها و اشتراک آن برای دیگر اعضای تیم بسیار ضروری است. به همین خاطر از TIP (Threat intelligence platforms) استفاده می کنیم.

در TIP شما می توانید هر چیزی از مهاجم و آلودگی های بوجود آمده را ضبط کنید. (فقط مراقب باشید که فعال نباشند!)
بر ای مثال به هنگام ذخیره اطلاعات از HxxP و [.] و یا تغییر فرمت فایل می توان استفاده کرد.
سامانه های مختلفی برای TIP وجود دارند که می توان به MISP، CIF، YETI، CRITS اشاره کرد که مبنای توضیحات ما در مورد MISP خواهد بود(که فراگیر نیز هست).
Threat intelligence systems:

It is a source of data, information and intelligence of people.
Different analyzes are done on the data using different tools.

Do not produce intelligence for yourself! (information sharing) 😊

According to the taken cases about intelligence, we define TIP:

It should be said that in general with certain things such as IP, domain, etc. We know each other, but it is very necessary to have a system to store the analysis, record some suspicious examples in the incidents and share it with other team members. That's why we use TIP (Threat intelligence platforms).

In TIP you can record anything from the attacker and the resulting contamination. (Just make sure they're not active!)
For example, when saving information, you can use HxxP, [.] or change the file format.

There are different systems for TIP, we can mention MISP, CIF, YETI, CRITS, which will be the basis of our explanation about MISP (which is also inclusive).

#SOC
#BluteTeam
#Threat_intelligence

T.me/ICTlive

برخی از ویژگی های MISP:
• تحت وب
• ذخیره داده های با حجم بالا
• قابلیت API
• ارتباط با سامانه The hive
• قابلیت import و Export راحت
• دسته بندی اطلاعات
• اشتراک اطلاعات بین افراد و سازمان ها
• تبدیل اطلاعات به فرمت STIX
• رمزگذاری یکپارچه و امضای اعلان ها
• انعطاف در استفاده از برنامه های توسعه داده شده در پایتون


در misp :
هر Attribute: نگهداری indicator هایی مانند IP، Hash، دامنه لینک، textو .. .
هر Event: هر موردی که در برنامه موجود است و می توان به آن Attribute اختصاص داد.
هر Sightings: جهت شمارش FP و TP.

Some features of MISP:
•Web based.
• Storing large volumes of data.
• API capability.
• Connection with The hive system.
• Easy import and export capability.
• Categorize information.
• Information sharing between individuals and organizations.
• Convert data to STIX format.
• Integrated encryption and signing of notifications.
• Flexibility in using programs developed in Python.

In misp:
Attributes: maintaining indicators such as IP, Hash, link, domain, text and...
Event: Any item that is available in the program and can be assigned Attributes.
Sightings: To count FP and TP.

#SOC
#BlueTeam
#MISP

T.me/ICTlive

دسته بندی کردن رخداد ها با استفاده از Tagging:

استفاده از Tag گذاری در رخداد ها، به جست و جوی سریع و دسته بندی مطلوب کمک می کند.
باید متریک های مناسبی را برای tagging رخداد ها در نظر بگیرید. برای مثال برای روش شناسایی رخداد مشخص شود که رخداد از AV، Threat Hunting ، user report و ... به IMS جهت رسیدگی ارسال شده است و یا از چه طریقی الودگی ایجاد شده است؟ وب، فیشینگ، USB و ... .

می توان انجام tag گذاری در MISP را با استفاده از galaxies برای ثبت تهدیدات مهاجمان، ابزارهای مورد استفاده در حمله و هوش تهدید انجام داد.

( هر galaxy روشی برای کلاستر کردن اطلاعات می باشد. برای مثال گروه های مهاجم را در mitre با نام apt میشناسیم. با استفاده از galaxy نیز می توان یک مشخصه برای اطلاعات در نظر بگیریم.)

Categorize incidents using tagging:

The use of tagging in events helps in quick search and optimal categorization.
You should consider appropriate metrics for tagging incidents. For example, in order to identify the incident, it should be determined that the incident was sent to IMS for processing from AV, Threat Hunting, user report, etc., or how the infection was created? Web, phishing, USB and...

Doing tagging in MISP using galaxies to record attacker threats, tools used in the attack and threat intelligence.
(galaxy is a method for clustering. For example, we know attack groups in mitre with the name apt. Using galaxy, we can also consider a characteristic for information.)

#SOC
#Blueteam
#MISP

T.me/ICTlive

نحوه کار کردن یک تحلیلگر با MISP:

• یک event ایجاد کنید.
• تمامی indicator ها را به آن اضافه کنید.
• برای اطلاعات خود tag گذاری و توضیحات تکمیلی را اضافه کنید.
• مورد (case) خود را بررسی و تحلیل کنید و سپس publish کنید.(زمانی که publish می شود یعنی برای رسیدگی به رخداد ارجاع می شود).

سامانه های خودکار مانند SIEM، SOAR و IMS از این اطلاعات از طریق API می توانند استفاده کنند.
این سامانه ها از اطلاعات استفاده کرده و هر موقع نمونه ای از آن در ترافیک دیده شد Alert ایجاد می شود و همان مراحل رسیدگی به رخداد و Alert که قبلا گفته شد.

به طور خلاصه:

تمامی indicator های یک رخداد در TIP ذکر شوند.
خودکارسازی و قابلیت API از TIP به دیگر ابزار ها برقرار شود.
اگر ورودی TIP در سامانه IMS خطرناک در نظر گرفته شد(کاربر تشخیص دهد) سریعا تریاژ شود.
موارد(cases) پس از ایجاد، به تحلیلگر تخصیص داده شود.

How an analyzer works with MISP:

• Create an event.
• Add all the indicators to it.
• Add tags and additional descriptions for your information.
• Check and analyze your case and then publish it. Automated systems such as SIEM, SOAR and IMS can use this information through API.

These systems use information and whenever an example of it is seen in the traffic, an alert is created and the same procedures for dealing with the incident and alert as mentioned earlier.

In summary:
All indicators of an event should be mentioned in TIP. Automation and API functionality from TIP to other tools should be established. If the TIP entry in the IMS system is considered dangerous (the user recognizes), it should be triaged immediately. After creation, the cases are assigned to the analyst.

#SOC
#Blueteam
#MISP

T.me/ICTlive

وظایف و ویژگی های یک ابزار SIEM:

• دریافت تمامی log ها(با حفظ تنوع)
• پشتیبانی خوب شرکت ارائه دهنده ابزار
• به روز رسانی های مستمر
• غنی سازی دیتا
• توانایی بالا در index کردن log ها در دیتابیس(فضای ذخیره سازی)
• جست و جوی سریع و log correlation خوب
• قابلیت visualize و داشبورد کاربرپسند و غنی.
• انجام تحلیل همبستگیalert ها.
• قابلیت api داشتن

Functions and features of a SIEM tool:

• Receive all logs (while maintaining variety)
• Good support from the tool provider
• Continuous updates
• Analysis and correct parsing.
• Filtering
• Data enrichment
• High ability to index logs in the database (storage space)
• Fast search and good log correlation
• Visualize ability and user-friendly and rich dashboard.
• Having api capability.

#SOC
#BlueTeam
#SIEM

T.me/ICTlive

مفهوم Use case:
آیتم های قابل اجرایی که می خواهیم توسط ابزار SIEM شناسایی شوند. برای مثال Brute force، دانلود غیر قانونی، اضافه شدن کاربری در گروه admin و ... .

فیلد های یک usecase:
• نام
• توضیحات
• بیان مشکل
• نیازمندی ها
• منابع مورد نیاز
• گام های تحلیل مورد نظر
• استفاده از Mitre
• دسته بندی تهدیدات
• بررسی FP

در طراحی یک usecase:
• چه چیزی را می خواهیم شناسایی کنیم؟
• شرایط تشخیص و روش های تحلیل را بررسی کنیم.(همچنین بررسی FP را در نظر بگیریم)
• حتما usecase را تست کنیم.
• ذخیره usecase ها در یک دیتا بیس جهت مدیریت مطلوب بر آن ها.
• تمامی usecase ها باید بررسی شوند که قرار است شناسایی و بررسی چطور صورت گیرد؟ آیا نیاز است با فریم ورک های دیگری مانند mitre بررسی شوند؟
• تمامی usecase ها در دیتابیس قرار دارند. Usecase را می توان در فایل excel، فایل متنی و ... ذخیره کرد.

Use cases:
Actionable items that we want to be detected by the SIEM tool. For example, Brute force, illegal download, adding a user in the admin group, etc.

Fields of a usecase:
• name
• Description
• Statement of the problem
• Requirements
• Required resources
• The desired analysis steps
• Miter use.
• Classification of threats
• FP review

In designing a usecase:
• What do we want to identify?
• Check the diagnosis conditions and analysis methods. (Also consider the FP check)
• Be sure to test the use case.
• Storing usecases in a database for optimal management of them.
• All usecases should be checked, how is it going to be identified and checked? Do they need to be checked with other frameworks like mitre?
• All usecases are located in the database. Usecase can be saved in excel file, text file, etc.

#SOC
#BlueTeam
#Usecase

T.me/ICTlive

مفهوم اتوماسیون و orchestration:
مفهوم automation: انجام خودکار یک وظیفه خاص.
مفهوم Orchestration: وظایف خودکار که به صورت گردش کار به هم زنجیر شده و یک work flow را تشکیل می دهند.

مزایای خودکاری سازی و orchestration:
• فعالیت تکراری به شدت کاهش پیدا می کند.
• سرعت بالا در پاسخگویی به رخداد
• استاندارد سازی(play book)
• تمرکز مجموعه روی نکات اصلی و مهم.


سامانه SOAR:
سامانه هایی که با استفاده از play book ها اقدامات مناسب و روتین در رسیدگی به رخداد را به صورت خودکار انجام می دهند.

برای مثال:
مشاهده Webexploit: مسدود کردن مهاجم.
وجود C&C: بررسی ادرس ها و دامنه های آلوده و استفاده از Virus total.
شناسایی آلودگی: ایزوله سازی شبکه.
غنی سازی: با انجام Look up passive DNS ، whois، Geo ip inf.
فیشینگ: اعمال سیاست هایی برای تغییر رمز دوره ای کاربران
انجام Remediation: هماهنگی با واحد help desk

The concept of automation and orchestration:

The concept of automation: performing a specific task automatically.
Orchestration concept: automated tasks that are chained together in the form of a workflow and form a work flow.

Advantages of automation and orchestration:
• Repetitive activity is greatly reduced.
• High speed in responding to the incident.
• Standardization (play book).
• Focusing people on the main and important points.

SOAR:
Systems that use play books to automatically perform proper and routine actions in incident handling.

for example:
•Web exploit: blocking the attacker.
•C&C: Checking addresses and infected domains and using Virus total.
•Contamination Detection: Network Isolation.
•Enrichment: by doing look up passive DNS, whois, Geo ip info.
•Phishing: applying policies to periodically change users' passwords.
•Remediation: coordinating with the help desk unit.


#SOC
#BlueTeam
#SOAR

T.me/ICTlive

سامانه Cortex:
یک نمونه موتور غنی سازی اطلاعات رخداد و خودکار سازی تحلیل.
در آینده این موتور تحلیل را به صورت کارگاه به همراه سرویس های IMS و TIP ارائه خواهیم داد.

The Cortex system:

an example engine for incident information enrichment and analysis automation. In the future, we will offer this engine as a workshop along with IMS and TIP services.

#SOC
#BlueTeam
#Cortex

T.me/ICTlive

در نظر داشته باشید که باید از یک KB در محل کار خود استفاده کنید. ( برای usecase ها)

یک KB خوب چه ویژگی هایی باید داشته باشد:
• قابلیت edit در لحظه
• جست و جوی سریع و راحت
• کنترل نسخه و قابلیت comment
• یادگیری سریع سامانه برای کاربران فراهم باشد.
• توانایی ذخیره محتوا
• قابلیت alert به هنگام تغییر فایل

در رسیدگی به یک رخداد در نظر داشته باشید:

چه کسی به ما حمله می کند؟
علاقه و علت این حمله چیست؟
در صورت نفوذ، با چه روشی نفوذ صورت گرفته است و attack vector چیست؟
مکانیزم های دفاعی ما در مقابل حمله چه باید باشد؟

Note that you must use a KB at your workplace.(for use cases)

What features should a good KB have:
• Ability to edit at the moment
• Fast and convenient search
• Version control and comment capability
• Fast learning of the system should be provided for users.
• Ability to save content
• Alert function when changing the file

When handling an incident, keep in mind:
Who is attacking us?
What is the interest and reason for this attack?
If there is an intrusion , what is the intrusion method and what is the attack vector?
What should be our defense mechanisms against attack?

#SOC
#BlueTeam
#KB

T.me/ICTlive

تا اینجا در مورد برخی سامانه های مهم که باید در یک مرکز عملیات امنیت مستقر شوند مطالبی ارائه کردیم.
در تصویر ملاحظه می شود که این سامانه ها چطور با یکدیگر برای رسیدن به هدف در ارتباط هستند.
فصل بعدی در مورد پروتکل های مهم و حیاتی مانند DNS و HTTP مطالبی ارائه خواهیم کرد. ولی چند روزی ابتدا در مورد MITRE ATT&CK صحبت می کنیم و سپس ادامه فصل دوم را آغاز می کنیم.

پس از چند روز استراحت در مورد MITRE ATT&CK مطالب قرار داده می شوند.
با تشکر از همراهی شما.

So far, we have provided information about some important systems that should be deployed in a security operations center.
In the picture, you can see how these systems are related to each other to achieve the goal.
The next chapter will cover important protocols such as DNS and HTTP. But for a few days, we will first talk about MITRE ATT&CK and then we will start the continuation of the second season.

After a few days of rest, content will be posted about MITRE ATT&CK.
Thanks for your cooperation.

#SOC
#BlueTeam

T.me/ICTlive

🔰در فصل دوم به بررسی پروتکل های مهم می پردازیم. در هر شبکه ای سرویس ها و پروتکل های مختلفی استفاده می شوند که قبل از آنکه به بررسی سرویس های مهم و حیاتی بپردازیم می بایست دید کاملی از شبکه خود داشته باشیم.

برای شناسایی درست ترافیک شبکه و گرفتن flow شبکه باید موارد زیر را در نظر بگیریم:

• در نظر گرفتن و مشخص کردن security zone.
• ارائه کنترل دسترسی و firewalling مناسب در شبکه.
• بررسی اینکه چطور سویچ، روتر و فایروال ها ما را در شناسایی و درک ترافیک شبکه کمک می کنند.

✅انواع zone شبکه:
شبکه ها با توجه به نوع سرویس دهی به zone های مختلفی تقسیم می شوند:
• External
• DMZ
• Server
• Desktop
• IOT
• Airgap
• Restrict
• VPN
• Cloud
• Guest access

🔰In the second chapter, we will review important protocols. In every network, different services and protocols are used, before we start checking important and vital services, we must have a complete view of our network. To correctly identify network traffic and capture network flow, we must consider the following:

-Considering and specifying the security zone.
-Providing access control and proper firewalling in the network
-Examining how switches, routers and firewalls help us identify and understand network traffic.

Network zone types:
Networks are divided into different zones according to the type of service:
• External
• DMZ
• Server
• Desktop
• IOT
• Airgap
• Restrict
• VPN
• Cloud
• Guest access

#SOC
#BlueTeam

T.me/ICTlive

🔰همانطور که روتر ها در ipsec،vpn و ایجاد subnet دارای قابلیت هایی هستند، سویچ ها نیز با ایجاد vlan،port aclو قابلیت mirror کردن پورت بسیار مفید هستند. (تجهیزات قابل مدیریت)

به طور معمول دو راه برای بدست آوردن ترافیک شبکه وجود دارد:
✅روش Switch mirror port: (span)
_بهترین روش گرفتن ترافیک از سویچ ها می باشد.
_ارسال همه ترافیک از پورت ها به پورت mirror.
_در صورتی که بسته های تکراری زیاد باشند مصرف cpu را به همراه خواهد داشت.

✅روش network tap:
_در این روش که هزینه بر می باشد، ترافیک از لینک گرفته می شود. یکی از دلایل این کار محدودیت های پهنای باند در روش mirror است.(ترافیک یک لینک، مجموع ترافیک های پورت ها می باشد که در network tap کامل گرفته می شود.)
_در این روش نیاز به یک reaggregator داریم.

برای درک بهتر تفاوت این دو روش از لینک زیر می توانید استفاده کنید.

https://support.ixiacom.com/sites/default/files/resources/whitepaper/915-3534-01-tap-vs-span-ltr.pdf

🔰As routers have capabilities in ipsec, vpn and subnet creation, switches are also very useful with vlan, port acl and port mirroring capabilities. (Manageable equipment)

 There are typically two ways to get network traffic:

✅Switch mirror port method: (span)
_The best way to get traffic is from the switches.
_Send all traffic from the ports to the mirror port.
_If there are many duplicate packets, it will consume cpu.

✅network tap method:
_In this method, which costs money, traffic is taken from the link.
One of the reasons for this is the bandwidth limitations in the mirror method. (The traffic of a link is the sum of the traffic of the ports, which is taken in the complete network tap.)
_In this method, we need a reaggregator.

You can use the link below to better understand the difference between these two methods.

https://support.ixiacom.com/sites/default/files/resources/whitepaper/915-3534-01-tap-vs-span-ltr.pdf

#SOC
#BlueTeam
#port_mirror

T.me/ICTlive

🔰فایروال ها، سیستم کنترل ترافیک مرکزی هر شبکه ای هستند.
فایروال های معمولی مورد استفاده شبکه های کوچک نظیر home:
_قابلیت block کردن ترافیک از wan به lan  و از lan به wan.
_عملکرد در لایه 3 و 4 ( IP و Tcp port)
_درکی از لایه application ندارد.

فایروال های NGFW:
_برقراری انواع دسترسی در Segment های مختلف شبکه.
_کنترل ترافیک از لایه 2 تا 7.
_شناسایی کاربر و رفتار برنامه ها.
 
نمونه ای از Firewall Segmentation Rules  در تصویر بالا ارائه شده.
 
🔰Firewalls are the central traffic control system of any network.
 
Common firewalls used by small networks such as home: 
_Ability to block traffic from wan to lan and from lan to wan. 
_Performance in layer 3 and 4 (IP and Tcp port)
_ It has no understanding of the application layer. 

NGFW firewalls: 
_The ability to establish types of access in different segments of the network. 
_Traffic control from layer 2 to 7.
_User identification and application behavior. 

An example of Firewall Segmentation Rules is presented in the image above.

#blueteam
#SOC

T.me/ICTlive