Windows+ATT&CK_Logging+Cheat+Sheet_ver_Sept_2018.pdf
1.1 MB
🔆 جدول رویداد های ویندوز در تناظر با تکنیک های جدول مایتره
⛳️ یعنی برای کشف یک تکنیک نفوذ و حمله ای که نام برده شده است چه Event ID در لاگ برای کشف وجود دارد
#آکادمی_روزبه
#cybersecurity #threathunting #cyberforensics
⛳️ یعنی برای کشف یک تکنیک نفوذ و حمله ای که نام برده شده است چه Event ID در لاگ برای کشف وجود دارد
#آکادمی_روزبه
#cybersecurity #threathunting #cyberforensics
آشنایی با مفهومی مهم برای SOC
#آکادمی_روزبه
بسیار کاربردی در رول نویسی و هانت
https://redcanary.com/blog/threat-detection/better-know-a-data-source/process-integrity-levels/
#آکادمی_روزبه
بسیار کاربردی در رول نویسی و هانت
https://redcanary.com/blog/threat-detection/better-know-a-data-source/process-integrity-levels/
Red Canary
Better know a data source: Process integrity levels | Red Canary
Impossible to spoof, process integrity levels dictate trust between securable objects, offering great visibility into privilege escalation.
مقاله ی خوب بخوانیم
امروز درمورد متریک های هانت مطلبی داشتم.
اما یک مقاله کاملتر در این زمینه در لینک زیر هست که توصیه میکنم بخونید
اگر سخت بود و نتونستید بخاطر شرایط تحریم اکانت مدیوم داشته باشید لینک مقاله رو در سایت readmedium دات کام بگذارید سپس مقاله کامل رو دریافت کنید
https://kostas-ts.medium.com/threat-hunting-metrics-the-good-the-bad-and-the-ugly-d662907379b2
امروز درمورد متریک های هانت مطلبی داشتم.
اما یک مقاله کاملتر در این زمینه در لینک زیر هست که توصیه میکنم بخونید
اگر سخت بود و نتونستید بخاطر شرایط تحریم اکانت مدیوم داشته باشید لینک مقاله رو در سایت readmedium دات کام بگذارید سپس مقاله کامل رو دریافت کنید
https://kostas-ts.medium.com/threat-hunting-metrics-the-good-the-bad-and-the-ugly-d662907379b2
Medium
Threat Hunting Metrics: The Good, The Bad and The Ugly
Threat hunting is a crucial aspect of information security, but measuring its effectiveness can be challenging. In this article, we will…
چالش کمبود امنیت هنوز باقی است
#آکادمی_روزبه
برخلاف برخی نظر ها
هنوز کمبود نیروی انسانی امنیت در دنیا چالش است
#cybersecurity
https://www.darkreading.com/cybersecurity-operations/cyber-staffing-shortages-remain-cisos-biggest-challenge
#آکادمی_روزبه
برخلاف برخی نظر ها
هنوز کمبود نیروی انسانی امنیت در دنیا چالش است
#cybersecurity
https://www.darkreading.com/cybersecurity-operations/cyber-staffing-shortages-remain-cisos-biggest-challenge
Darkreading
Cyber Staffing Shortages Remain CISOs' Biggest Challenge
Besides operational issues connected to a talent shortage, the cost of running security platforms — and their training costs — also keeps CISOs up at night.
قسمت ۱۴ از EDR
🟥 یکی از حملات شایع تزریق در پراسس Svchost است. از این راه میتوانند در لابلای پراسس مجاز به فعالیت خود ادامه دهند. چون این پراسس از بدیهیات ویندوز است. روشهای مختلفی برای کشف توسط تلفیق لاگ ها در SIEM گفته شده است.
✅️اما راه ساده ای هم هست.
برخی EDR ها میتوانند کل فعالیت پراسس را شنود کنند و همان اول که مورد مشکوکی دیدند با آن مقابله کنند.
🏵مثلا در سیمنتک بخش Recorder این کار را برای ما انجام میدهد. اگر آنرا تنظیم نکرده اید همین فردا انجام دهید.
⛔️نباید محصولاتی که خریده اید را کامل استفاده نکنید و ماژولهایشان خاک بخورند. باید فیچر های آنها را فعال کرده و استفاده کنید. چون پول داده اید و در قبال تامین امنیت سازمان مسوول هستید.
اگر برند دیگری این ماژول را دارد به ادمین پیام دهید .
#تجربه #درس_آموخته
https://redcanary.com/threat-detection-report/techniques/process-injection/
#cybersecurity #threathunting
🟥 یکی از حملات شایع تزریق در پراسس Svchost است. از این راه میتوانند در لابلای پراسس مجاز به فعالیت خود ادامه دهند. چون این پراسس از بدیهیات ویندوز است. روشهای مختلفی برای کشف توسط تلفیق لاگ ها در SIEM گفته شده است.
✅️اما راه ساده ای هم هست.
برخی EDR ها میتوانند کل فعالیت پراسس را شنود کنند و همان اول که مورد مشکوکی دیدند با آن مقابله کنند.
🏵مثلا در سیمنتک بخش Recorder این کار را برای ما انجام میدهد. اگر آنرا تنظیم نکرده اید همین فردا انجام دهید.
⛔️نباید محصولاتی که خریده اید را کامل استفاده نکنید و ماژولهایشان خاک بخورند. باید فیچر های آنها را فعال کرده و استفاده کنید. چون پول داده اید و در قبال تامین امنیت سازمان مسوول هستید.
اگر برند دیگری این ماژول را دارد به ادمین پیام دهید .
#تجربه #درس_آموخته
https://redcanary.com/threat-detection-report/techniques/process-injection/
#cybersecurity #threathunting
Red Canary
Process Injection - Red Canary Threat Detection Report
Process Injection enables adversaries to execute potentially suspicious processes in the context of seemingly benign ones.
یکی از دغدغه های مدیران و متخصصان امنیت در زمان حادثه اینه که داده ها چقدر و چطور از سازمان خارج شده اند
سوالاتی در این زمینه هست با جواب هایی
اونها رو در لینک زیر بخونید
#آکادمی_روزبه
#نشت_داده #امنیت #امنیت_سایبری
#cybersecurity #threathunting
https://medium.com/@securityaura/data-exfiltration-questions-and-how-to-answer-them-84856b14003c
سوالاتی در این زمینه هست با جواب هایی
اونها رو در لینک زیر بخونید
#آکادمی_روزبه
#نشت_داده #امنیت #امنیت_سایبری
#cybersecurity #threathunting
https://medium.com/@securityaura/data-exfiltration-questions-and-how-to-answer-them-84856b14003c
Medium
Data Exfiltration: Questions and How to Answer Them
An Incident Responder insights and stories on how to approach data exfiltration
مقاله زیر رو انتخاب کردم واسه کسایی که میخوان عملکرد EDR رو درک کنند
#آکادمی_روزبه
https://synzack.github.io/Blinding-EDR-On-Windows/
#آکادمی_روزبه
https://synzack.github.io/Blinding-EDR-On-Windows/
Red Team Blog
Blinding EDR On Windows
Acknowledgements My understanding of EDRs would not be possible without the help of many great security researchers. Below are some write-ups and talks that really helped me gain the understanding needed and hit the ground running on the research that will…
گزارش های مندینت
خواندنی و مهم
این بار آلوده سازی از طریق PDF
#آکادمی_روزبه
https://cloud.google.com/blog/topics/threat-intelligence/unc2970-backdoor-trojanized-pdf-reader/?linkId=10998021
خواندنی و مهم
این بار آلوده سازی از طریق PDF
#آکادمی_روزبه
https://cloud.google.com/blog/topics/threat-intelligence/unc2970-backdoor-trojanized-pdf-reader/?linkId=10998021
Google Cloud Blog
An Offer You Can Refuse: UNC2970 Backdoor Deployment Using Trojanized PDF Reader | Google Cloud Blog
UNC2970 is a cyber espionage group suspected to have a North Korea nexus.
آکادمی آموزش روزبه 📚
قسمت ۱۴ از EDR 🟥 یکی از حملات شایع تزریق در پراسس Svchost است. از این راه میتوانند در لابلای پراسس مجاز به فعالیت خود ادامه دهند. چون این پراسس از بدیهیات ویندوز است. روشهای مختلفی برای کشف توسط تلفیق لاگ ها در SIEM گفته شده است. ✅️اما راه ساده ای هم هست.…
یکی از نکاتی که باید در خرید و پیاده سازی آنتی ویروس و EDR توجه داشت تنظیم صحیح فیچرها است.
و اینکه آیا فیچرهایی که گذاشته شده به درستی استفاده میشوند یا نه .
وظیفه شرکتهای ارائه دهنده خدمات پشتیبانی در ایران اینجا سنگین میشود. ایشان باید بتوانند تنظیمات صحیح و امن و دقیق را یا به مشتری آموزش دهند یا آنها را پیاده کنند .
یک نمونه از تنظیمات مهم EDR در لینک زیر آورده شده است.
آیا شما به انجام تنظیمات در EDR خود توجه داشته اید ؟
این تنظیمات میتوانند به راحتی حملات بسیاری را در نطفه خفه کنند و آلرت های بموقع را برای شما فراهم آورند
#آکادمی_روزبه
https://techdocs.broadcom.com/us/en/symantec-security-software/endpoint-security-and-management/endpoint-security/sescloud/Endpoint-Detection-and-Response/default-detection-and-response-policy-details-v134153921-d38e87208/endpoint-activity-recorder-configuration-v134141808-d38e87139.html
و اینکه آیا فیچرهایی که گذاشته شده به درستی استفاده میشوند یا نه .
وظیفه شرکتهای ارائه دهنده خدمات پشتیبانی در ایران اینجا سنگین میشود. ایشان باید بتوانند تنظیمات صحیح و امن و دقیق را یا به مشتری آموزش دهند یا آنها را پیاده کنند .
یک نمونه از تنظیمات مهم EDR در لینک زیر آورده شده است.
آیا شما به انجام تنظیمات در EDR خود توجه داشته اید ؟
این تنظیمات میتوانند به راحتی حملات بسیاری را در نطفه خفه کنند و آلرت های بموقع را برای شما فراهم آورند
#آکادمی_روزبه
https://techdocs.broadcom.com/us/en/symantec-security-software/endpoint-security-and-management/endpoint-security/sescloud/Endpoint-Detection-and-Response/default-detection-and-response-policy-details-v134153921-d38e87208/endpoint-activity-recorder-configuration-v134141808-d38e87139.html
#تجربه
⛳️تجربه ی چهارشنبه در مرکز عملیات امنیت
SOC
نام کاربری هایی که جدید ایجاد میشوند را بپایید. در این بین نکات زیر برای کشف نفوذ موثرند:
🔅هکر مطابق پترن نام گذاری در سازمان شما کاربر ایجاد نکرده پس در پترن ها دقت کنید
🔅هکر کاربری مشابه با کاربران پیش فرض ویندوز یا نرم افزارهای عام ایجاد کرده ولی با تغییر کوچک. مثلا بجای حرف l از عدد 1 استفاده کرده است.
🔅هکر از ایستگاه کاربری متعلق به ادمین نام کاربری ایجاد نکرده. ( کامند لاین ) پس لازم است این موضوع رو مد نظر قرار بدین.
#آکادمی_روزبه
#تجربه #درس_آموخته
#مرکز_عملیات_امنیت
#cybersecurity #threathunting #securityawareness #risk
⛳️تجربه ی چهارشنبه در مرکز عملیات امنیت
SOC
نام کاربری هایی که جدید ایجاد میشوند را بپایید. در این بین نکات زیر برای کشف نفوذ موثرند:
🔅هکر مطابق پترن نام گذاری در سازمان شما کاربر ایجاد نکرده پس در پترن ها دقت کنید
🔅هکر کاربری مشابه با کاربران پیش فرض ویندوز یا نرم افزارهای عام ایجاد کرده ولی با تغییر کوچک. مثلا بجای حرف l از عدد 1 استفاده کرده است.
🔅هکر از ایستگاه کاربری متعلق به ادمین نام کاربری ایجاد نکرده. ( کامند لاین ) پس لازم است این موضوع رو مد نظر قرار بدین.
#آکادمی_روزبه
#تجربه #درس_آموخته
#مرکز_عملیات_امنیت
#cybersecurity #threathunting #securityawareness #risk
یک گزارش تحلیل بدافزار جالب بخونیم
#آکادمی_روزبه
#امنیت_سایبری #پاورشل #securityawareness #cybersecurity
** تعطیلات ، از سرمایه مهم هستند برای ارتقای شغلی شما . دریابید.
https://securelist.com/sambaspy-rat-targets-italian-users/113851/
#آکادمی_روزبه
#امنیت_سایبری #پاورشل #securityawareness #cybersecurity
** تعطیلات ، از سرمایه مهم هستند برای ارتقای شغلی شما . دریابید.
https://securelist.com/sambaspy-rat-targets-italian-users/113851/
Securelist
SambaSpy – a new RAT targeting Italian users
Kaspersky researchers detected a campaign exclusively targeting Italian users by delivering a new RAT dubbed SambaSpy
گزارش ISC2
آنچه نیروی کار امنیت فکر میکند بازار نیاز دارد
آنچه استخدام کنندگان میخواهند
https://www.isc2.org/Insights/2024/09/Employers-Must-Act-Cybersecurity-Workforce-Growth-Stalls-as-Skills-Gaps-Widen
#آکادمی_روزبه
آنچه نیروی کار امنیت فکر میکند بازار نیاز دارد
آنچه استخدام کنندگان میخواهند
https://www.isc2.org/Insights/2024/09/Employers-Must-Act-Cybersecurity-Workforce-Growth-Stalls-as-Skills-Gaps-Widen
#آکادمی_روزبه
گزارشی از فعالیت یک گروه منتسب به ایران
جدید
#آکادمی_روزبه
https://cloud.google.com/blog/topics/threat-intelligence/unc1860-iran-middle-eastern-networks
جدید
#آکادمی_روزبه
https://cloud.google.com/blog/topics/threat-intelligence/unc1860-iran-middle-eastern-networks
Google Cloud Blog
UNC1860 and the Temple of Oats: Iran’s Hidden Hand in Middle Eastern Networks | Google Cloud Blog
UNC1860 is an Iranian state-sponsored threat actor with specialized tooling and passive backdoors.
همیشه از پایه بخوانیم.
تنظیم لاگ در ویندوز
#آکادمی_روزبه
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/monitoring-active-directory-for-signs-of-compromise
تنظیم لاگ در ویندوز
#آکادمی_روزبه
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/monitoring-active-directory-for-signs-of-compromise
Docs
Monitoring Active Directory for Signs of Compromise
Learn about event log monitoring in Active Directory to improve security