دسته بندی کردن رخداد ها با استفاده از Tagging:

استفاده از Tag گذاری در رخداد ها، به جست و جوی سریع و دسته بندی مطلوب کمک می کند.
باید متریک های مناسبی را برای tagging رخداد ها در نظر بگیرید. برای مثال برای روش شناسایی رخداد مشخص شود که رخداد از AV، Threat Hunting ، user report و ... به IMS جهت رسیدگی ارسال شده است و یا از چه طریقی الودگی ایجاد شده است؟ وب، فیشینگ، USB و ... .

می توان انجام tag گذاری در MISP را با استفاده از galaxies برای ثبت تهدیدات مهاجمان، ابزارهای مورد استفاده در حمله و هوش تهدید انجام داد.

( هر galaxy روشی برای کلاستر کردن اطلاعات می باشد. برای مثال گروه های مهاجم را در mitre با نام apt میشناسیم. با استفاده از galaxy نیز می توان یک مشخصه برای اطلاعات در نظر بگیریم.)

Categorize incidents using tagging:

The use of tagging in events helps in quick search and optimal categorization.
You should consider appropriate metrics for tagging incidents. For example, in order to identify the incident, it should be determined that the incident was sent to IMS for processing from AV, Threat Hunting, user report, etc., or how the infection was created? Web, phishing, USB and...

Doing tagging in MISP using galaxies to record attacker threats, tools used in the attack and threat intelligence.
(galaxy is a method for clustering. For example, we know attack groups in mitre with the name apt. Using galaxy, we can also consider a characteristic for information.)

#SOC
#Blueteam
#MISP

T.me/ICTlive

نحوه کار کردن یک تحلیلگر با MISP:

• یک event ایجاد کنید.
• تمامی indicator ها را به آن اضافه کنید.
• برای اطلاعات خود tag گذاری و توضیحات تکمیلی را اضافه کنید.
• مورد (case) خود را بررسی و تحلیل کنید و سپس publish کنید.(زمانی که publish می شود یعنی برای رسیدگی به رخداد ارجاع می شود).

سامانه های خودکار مانند SIEM، SOAR و IMS از این اطلاعات از طریق API می توانند استفاده کنند.
این سامانه ها از اطلاعات استفاده کرده و هر موقع نمونه ای از آن در ترافیک دیده شد Alert ایجاد می شود و همان مراحل رسیدگی به رخداد و Alert که قبلا گفته شد.

به طور خلاصه:

تمامی indicator های یک رخداد در TIP ذکر شوند.
خودکارسازی و قابلیت API از TIP به دیگر ابزار ها برقرار شود.
اگر ورودی TIP در سامانه IMS خطرناک در نظر گرفته شد(کاربر تشخیص دهد) سریعا تریاژ شود.
موارد(cases) پس از ایجاد، به تحلیلگر تخصیص داده شود.

How an analyzer works with MISP:

• Create an event.
• Add all the indicators to it.
• Add tags and additional descriptions for your information.
• Check and analyze your case and then publish it. Automated systems such as SIEM, SOAR and IMS can use this information through API.

These systems use information and whenever an example of it is seen in the traffic, an alert is created and the same procedures for dealing with the incident and alert as mentioned earlier.

In summary:
All indicators of an event should be mentioned in TIP. Automation and API functionality from TIP to other tools should be established. If the TIP entry in the IMS system is considered dangerous (the user recognizes), it should be triaged immediately. After creation, the cases are assigned to the analyst.

#SOC
#Blueteam
#MISP

T.me/ICTlive

وظایف و ویژگی های یک ابزار SIEM:

• دریافت تمامی log ها(با حفظ تنوع)
• پشتیبانی خوب شرکت ارائه دهنده ابزار
• به روز رسانی های مستمر
• غنی سازی دیتا
• توانایی بالا در index کردن log ها در دیتابیس(فضای ذخیره سازی)
• جست و جوی سریع و log correlation خوب
• قابلیت visualize و داشبورد کاربرپسند و غنی.
• انجام تحلیل همبستگیalert ها.
• قابلیت api داشتن

Functions and features of a SIEM tool:

• Receive all logs (while maintaining variety)
• Good support from the tool provider
• Continuous updates
• Analysis and correct parsing.
• Filtering
• Data enrichment
• High ability to index logs in the database (storage space)
• Fast search and good log correlation
• Visualize ability and user-friendly and rich dashboard.
• Having api capability.

#SOC
#BlueTeam
#SIEM

T.me/ICTlive

مفهوم Use case:
آیتم های قابل اجرایی که می خواهیم توسط ابزار SIEM شناسایی شوند. برای مثال Brute force، دانلود غیر قانونی، اضافه شدن کاربری در گروه admin و ... .

فیلد های یک usecase:
• نام
• توضیحات
• بیان مشکل
• نیازمندی ها
• منابع مورد نیاز
• گام های تحلیل مورد نظر
• استفاده از Mitre
• دسته بندی تهدیدات
• بررسی FP

در طراحی یک usecase:
• چه چیزی را می خواهیم شناسایی کنیم؟
• شرایط تشخیص و روش های تحلیل را بررسی کنیم.(همچنین بررسی FP را در نظر بگیریم)
• حتما usecase را تست کنیم.
• ذخیره usecase ها در یک دیتا بیس جهت مدیریت مطلوب بر آن ها.
• تمامی usecase ها باید بررسی شوند که قرار است شناسایی و بررسی چطور صورت گیرد؟ آیا نیاز است با فریم ورک های دیگری مانند mitre بررسی شوند؟
• تمامی usecase ها در دیتابیس قرار دارند. Usecase را می توان در فایل excel، فایل متنی و ... ذخیره کرد.

Use cases:
Actionable items that we want to be detected by the SIEM tool. For example, Brute force, illegal download, adding a user in the admin group, etc.

Fields of a usecase:
• name
• Description
• Statement of the problem
• Requirements
• Required resources
• The desired analysis steps
• Miter use.
• Classification of threats
• FP review

In designing a usecase:
• What do we want to identify?
• Check the diagnosis conditions and analysis methods. (Also consider the FP check)
• Be sure to test the use case.
• Storing usecases in a database for optimal management of them.
• All usecases should be checked, how is it going to be identified and checked? Do they need to be checked with other frameworks like mitre?
• All usecases are located in the database. Usecase can be saved in excel file, text file, etc.

#SOC
#BlueTeam
#Usecase

T.me/ICTlive

مفهوم اتوماسیون و orchestration:
مفهوم automation: انجام خودکار یک وظیفه خاص.
مفهوم Orchestration: وظایف خودکار که به صورت گردش کار به هم زنجیر شده و یک work flow را تشکیل می دهند.

مزایای خودکاری سازی و orchestration:
• فعالیت تکراری به شدت کاهش پیدا می کند.
• سرعت بالا در پاسخگویی به رخداد
• استاندارد سازی(play book)
• تمرکز مجموعه روی نکات اصلی و مهم.


سامانه SOAR:
سامانه هایی که با استفاده از play book ها اقدامات مناسب و روتین در رسیدگی به رخداد را به صورت خودکار انجام می دهند.

برای مثال:
مشاهده Webexploit: مسدود کردن مهاجم.
وجود C&C: بررسی ادرس ها و دامنه های آلوده و استفاده از Virus total.
شناسایی آلودگی: ایزوله سازی شبکه.
غنی سازی: با انجام Look up passive DNS ، whois، Geo ip inf.
فیشینگ: اعمال سیاست هایی برای تغییر رمز دوره ای کاربران
انجام Remediation: هماهنگی با واحد help desk

The concept of automation and orchestration:

The concept of automation: performing a specific task automatically.
Orchestration concept: automated tasks that are chained together in the form of a workflow and form a work flow.

Advantages of automation and orchestration:
• Repetitive activity is greatly reduced.
• High speed in responding to the incident.
• Standardization (play book).
• Focusing people on the main and important points.

SOAR:
Systems that use play books to automatically perform proper and routine actions in incident handling.

for example:
•Web exploit: blocking the attacker.
•C&C: Checking addresses and infected domains and using Virus total.
•Contamination Detection: Network Isolation.
•Enrichment: by doing look up passive DNS, whois, Geo ip info.
•Phishing: applying policies to periodically change users' passwords.
•Remediation: coordinating with the help desk unit.


#SOC
#BlueTeam
#SOAR

T.me/ICTlive

سامانه Cortex:
یک نمونه موتور غنی سازی اطلاعات رخداد و خودکار سازی تحلیل.
در آینده این موتور تحلیل را به صورت کارگاه به همراه سرویس های IMS و TIP ارائه خواهیم داد.

The Cortex system:

an example engine for incident information enrichment and analysis automation. In the future, we will offer this engine as a workshop along with IMS and TIP services.

#SOC
#BlueTeam
#Cortex

T.me/ICTlive

در نظر داشته باشید که باید از یک KB در محل کار خود استفاده کنید. ( برای usecase ها)

یک KB خوب چه ویژگی هایی باید داشته باشد:
• قابلیت edit در لحظه
• جست و جوی سریع و راحت
• کنترل نسخه و قابلیت comment
• یادگیری سریع سامانه برای کاربران فراهم باشد.
• توانایی ذخیره محتوا
• قابلیت alert به هنگام تغییر فایل

در رسیدگی به یک رخداد در نظر داشته باشید:

چه کسی به ما حمله می کند؟
علاقه و علت این حمله چیست؟
در صورت نفوذ، با چه روشی نفوذ صورت گرفته است و attack vector چیست؟
مکانیزم های دفاعی ما در مقابل حمله چه باید باشد؟

Note that you must use a KB at your workplace.(for use cases)

What features should a good KB have:
• Ability to edit at the moment
• Fast and convenient search
• Version control and comment capability
• Fast learning of the system should be provided for users.
• Ability to save content
• Alert function when changing the file

When handling an incident, keep in mind:
Who is attacking us?
What is the interest and reason for this attack?
If there is an intrusion , what is the intrusion method and what is the attack vector?
What should be our defense mechanisms against attack?

#SOC
#BlueTeam
#KB

T.me/ICTlive

تا اینجا در مورد برخی سامانه های مهم که باید در یک مرکز عملیات امنیت مستقر شوند مطالبی ارائه کردیم.
در تصویر ملاحظه می شود که این سامانه ها چطور با یکدیگر برای رسیدن به هدف در ارتباط هستند.
فصل بعدی در مورد پروتکل های مهم و حیاتی مانند DNS و HTTP مطالبی ارائه خواهیم کرد. ولی چند روزی ابتدا در مورد MITRE ATT&CK صحبت می کنیم و سپس ادامه فصل دوم را آغاز می کنیم.

پس از چند روز استراحت در مورد MITRE ATT&CK مطالب قرار داده می شوند.
با تشکر از همراهی شما.

So far, we have provided information about some important systems that should be deployed in a security operations center.
In the picture, you can see how these systems are related to each other to achieve the goal.
The next chapter will cover important protocols such as DNS and HTTP. But for a few days, we will first talk about MITRE ATT&CK and then we will start the continuation of the second season.

After a few days of rest, content will be posted about MITRE ATT&CK.
Thanks for your cooperation.

#SOC
#BlueTeam

T.me/ICTlive

🔰در فصل دوم به بررسی پروتکل های مهم می پردازیم. در هر شبکه ای سرویس ها و پروتکل های مختلفی استفاده می شوند که قبل از آنکه به بررسی سرویس های مهم و حیاتی بپردازیم می بایست دید کاملی از شبکه خود داشته باشیم.

برای شناسایی درست ترافیک شبکه و گرفتن flow شبکه باید موارد زیر را در نظر بگیریم:

• در نظر گرفتن و مشخص کردن security zone.
• ارائه کنترل دسترسی و firewalling مناسب در شبکه.
• بررسی اینکه چطور سویچ، روتر و فایروال ها ما را در شناسایی و درک ترافیک شبکه کمک می کنند.

✅انواع zone شبکه:
شبکه ها با توجه به نوع سرویس دهی به zone های مختلفی تقسیم می شوند:
• External
• DMZ
• Server
• Desktop
• IOT
• Airgap
• Restrict
• VPN
• Cloud
• Guest access

🔰In the second chapter, we will review important protocols. In every network, different services and protocols are used, before we start checking important and vital services, we must have a complete view of our network. To correctly identify network traffic and capture network flow, we must consider the following:

-Considering and specifying the security zone.
-Providing access control and proper firewalling in the network
-Examining how switches, routers and firewalls help us identify and understand network traffic.

Network zone types:
Networks are divided into different zones according to the type of service:
• External
• DMZ
• Server
• Desktop
• IOT
• Airgap
• Restrict
• VPN
• Cloud
• Guest access

#SOC
#BlueTeam

T.me/ICTlive

🔰همانطور که روتر ها در ipsec،vpn و ایجاد subnet دارای قابلیت هایی هستند، سویچ ها نیز با ایجاد vlan،port aclو قابلیت mirror کردن پورت بسیار مفید هستند. (تجهیزات قابل مدیریت)

به طور معمول دو راه برای بدست آوردن ترافیک شبکه وجود دارد:
✅روش Switch mirror port: (span)
_بهترین روش گرفتن ترافیک از سویچ ها می باشد.
_ارسال همه ترافیک از پورت ها به پورت mirror.
_در صورتی که بسته های تکراری زیاد باشند مصرف cpu را به همراه خواهد داشت.

✅روش network tap:
_در این روش که هزینه بر می باشد، ترافیک از لینک گرفته می شود. یکی از دلایل این کار محدودیت های پهنای باند در روش mirror است.(ترافیک یک لینک، مجموع ترافیک های پورت ها می باشد که در network tap کامل گرفته می شود.)
_در این روش نیاز به یک reaggregator داریم.

برای درک بهتر تفاوت این دو روش از لینک زیر می توانید استفاده کنید.

https://support.ixiacom.com/sites/default/files/resources/whitepaper/915-3534-01-tap-vs-span-ltr.pdf

🔰As routers have capabilities in ipsec, vpn and subnet creation, switches are also very useful with vlan, port acl and port mirroring capabilities. (Manageable equipment)

 There are typically two ways to get network traffic:

✅Switch mirror port method: (span)
_The best way to get traffic is from the switches.
_Send all traffic from the ports to the mirror port.
_If there are many duplicate packets, it will consume cpu.

✅network tap method:
_In this method, which costs money, traffic is taken from the link.
One of the reasons for this is the bandwidth limitations in the mirror method. (The traffic of a link is the sum of the traffic of the ports, which is taken in the complete network tap.)
_In this method, we need a reaggregator.

You can use the link below to better understand the difference between these two methods.

https://support.ixiacom.com/sites/default/files/resources/whitepaper/915-3534-01-tap-vs-span-ltr.pdf

#SOC
#BlueTeam
#port_mirror

T.me/ICTlive

🔰فایروال ها، سیستم کنترل ترافیک مرکزی هر شبکه ای هستند.
فایروال های معمولی مورد استفاده شبکه های کوچک نظیر home:
_قابلیت block کردن ترافیک از wan به lan  و از lan به wan.
_عملکرد در لایه 3 و 4 ( IP و Tcp port)
_درکی از لایه application ندارد.

فایروال های NGFW:
_برقراری انواع دسترسی در Segment های مختلف شبکه.
_کنترل ترافیک از لایه 2 تا 7.
_شناسایی کاربر و رفتار برنامه ها.
 
نمونه ای از Firewall Segmentation Rules  در تصویر بالا ارائه شده.
 
🔰Firewalls are the central traffic control system of any network.
 
Common firewalls used by small networks such as home: 
_Ability to block traffic from wan to lan and from lan to wan. 
_Performance in layer 3 and 4 (IP and Tcp port)
_ It has no understanding of the application layer. 

NGFW firewalls: 
_The ability to establish types of access in different segments of the network. 
_Traffic control from layer 2 to 7.
_User identification and application behavior. 

An example of Firewall Segmentation Rules is presented in the image above.

#blueteam
#SOC

T.me/ICTlive

🔰در طراحی امنیت شبکه معمولا با دو نوع روند کلی مواجه می شویم:

✅حالت ایده آل: Zero-Trust Architecture
_حداقل دسترسی بین سیستم ها جهت برقراری مورد نیاز(فقط تنفس 😄 ).
_استفاده از رمزگذاری و احراز هویت در بالاترین سطح.
_ارائه فیلترینگ در هر سیستم و سرویس.
_زمان راه اندازی و هزینه بالا | امنیت بالا

✅طراحی در واقعیت:
_شبکه به صورت flat( بدون هیچ گونه فیلترینگ در لایه 3 و 4 و 7).
_بدون vlan بندی.
_رمز ادمین بین افراد دست به دست می شود.
_پیکر بندی ضعیف تجهیزات به خصوص فایروال.
_راه اندازی سریع | امنیت بسیار پایین

🔰در شرایطی که شبکه به صورت flat طراحی شده است:
_استفاده از EDR، IDPS، AV، Monitoring و Firewall توصیه اکید می شود.
_زمانی که ترافیک در کل شبکه باز و مجاز باشد، شناسایی و تشخیص دشوارتر است.

✳️به عنوان یک تحلیلگر باید کار با تجهیزات و آشنایی اولیه با سویچ، روتر، فایروال و سرویس های مانیتورینگ امنیت(IDPS، PCAP،Netflow و ... .) را فرا بگیریم.

🔰در قسمت بعد در مورد روش های گرفتن ترافیک از تجهیزات و سرویس های شبکه مطالبی ارائه خواهیم کرد.

🔰In the design of network security, we usually encounter two types of processes:

✅Ideal state: Zero-Trust Architecture
-Minimum access(least privilege) between systems to establish the required. (breathing only).
-Use encryption and authentication at the highest level.
-Providing filtering in every system and service.
- high Setup time and cost | high security

✅Design in reality:
-The network is flat (without any filtering in layer 3, 4 and 7).
-No VLAN.
-The admin password is shared between people.
-Poor equipment configuration, especially the firewall.
-Quick start | Very low security

🔰In the situation where the network is designed as flat:
-It is strongly recommended to use EDR, IDPS, AV, Monitoring and Firewall.
-It is more difficult to identify and detect when traffic is open and permissive across the entire network.

✳️As an analyst, we must learn to work with equipment and basic familiarity with switches, routers, firewalls, and security monitoring services (IDPS, PCAP, Netflow, etc.).

🔰In the next part, we will provide information about the methods of traffic capturing from network equipment and services.

#SOC
#BlueTeam
#Network_Security

T.me/ICTlive

🔰به طور کلی سه روش مرسوم برای گرفتن ترافیک از تجهیزات و سرویس ها داریم:

✅استفاده از netflow:
_لایه 3 و 4 را پشتیبانی می کند.(می توان از Jflow، Sflow و Netstream هم استفاده کرد(
✅استفاده ازService log:
_می توان از zeek bro ، suricataو Snort استفاده کرد. (برای metadata لایه 7 نیز قابل استفاده است).
✅استفاده از Pcap:
_به طور کامل ترافیک شبکه را capture می کند. اما نیاز به منابع سخت افزاری نظیر ذخیره سازی دارد.

⚠️به طور کلی سازمان ها و شرکت ها، تلفیقی از 3 روش را برای دریافت ترافیک استفاده می کنند.

🔰گرفتن ترافیک از طریق Netflow:
_گرفتن ترافیک با نصب agent روی سویچ، روتر و فایروال صورت می گیرد.
_می توان با استفاده از سرویس های Pcap ، Tsharkو مانیتورینگ به تجزیه و تحلیل پرداخت.
_گرفتن ترافیک شامل interface، آدرس IP مبدا و مقصد، port، پروتکل و حجم می باشد.

🔰In general, we have three conventional methods to get traffic from equipment and services:

✅Using netflow:
_supports layer 3 and 4. (Jflow, Sflow and Netstream can also be used).

✅Use of Service log:
_Zeek Bro, Suricata and Snort can be used. (It is also used for layer 7 metadata).

✅Using Pcap:
_completely captures network traffic. But it requires hardware resources such as storage.

⚠️In general, organizations and companies use a combination of 3 methods to receive traffic.

🔰Getting traffic through Netflow:
_Traffic capture is done by installing the agent on the switch, router, and firewall.
_Analysis can be done using Pcap, Tshark and monitoring services.
_Traffic capture includes interface, source and destination IP address, port, protocol and volume.

#SOC
#BlueTeam
#Traffic_Capture

T.me/ICTlive