Ehsan M.
Senior security expert at Snapp! | Splunk Enterprise instructor
- Report this post
Scheduling Mode in Correlation searchزمانی که میخواهیم یک correlation search جدید در Splunk Enterprise Security بسازیم و یا correlation search موجود را تغییر دهیم یک قسمتی وجود دارد به نام scheduling که ۲ حالت دارد.real-time modeهمانطور که میدانید ما در بخش alert Splunk Enterprise میتوانیم alert در ۲ حالت راه اندازی کنیم که یکی از حالت ها real-time بود،ولی real-time یی که در correlation search وجود دارد کاملا با real-time alert در splunk Enterprise متفاوت است،در alert splunk Enterprise یک هسته cpu به آن سرچ اختصاص پیدا میکند و میشود گفت برای سیستم اسپلانک سربار ایجاد میکند در حالی که حالت real-time در correlation search در واقع یک حالت scheduling است که به نحوه مدیریت و هندل کردن Splunk ES با اجرای برنامه ریزی شده correlation search اشاره دارد.جستجوهای زمان بندی شده real-time(در correlation search )یا در زمان تعیین شده اجرا میشوند و یا اصلا اجرا نمی شوند،این بدان معناست که در زمان scheduled شده،اگر سرچ های طولانی مدت دیگر همچنان در حال اجرا هستند و یا سرچ هایی که با الویت بالاتر در آن زمان scheduled شده هستند و سیستم به حداکثر محدودیت گزارش scheduled شده همزمان خود نزدیک شده است،جستجو تا time interval بعدی خود skip میشود،در نتیجه earliest و latest مشخص شده در correlation search به time interval بعدی move خواهد شد و ممکن است شاهد یک gap در داده ها باشیم،این حالت،حالت پیش فرض برای correlation search خواهد بود.در حالی که حالت Continuous رو انتخاب کنید،سرچ در صف قرار میگیرد تا یک فرصتی پیدا کند تا اجرا شود.در این حالت بازه زمانی حفظ خواهد شد،تا در تمام موارد scheduling سرچ در نهایت شکاف یا gap یی در داده ها وجود نداشته باشد.#splunk_enterprise #splunk_enterprise_security #correlation_search
41
To view or add a comment, sign in
More Relevant Posts
-
Ehsan M.
Senior security expert at Snapp! | Splunk Enterprise instructor
- Report this post
در این دوره ما ES رو از ۲ جهت مورد بررسی قرار خواهیم داد.Security MonitoringForensic علاوه بر آن موارد زیر هم مورد بررسی میکنیم:Create Correlation search and tunning Asset and Identity management Risk based Alerting(RBA)Threat Intelligence مدت زمان این دوره ۱۵ ساعت خواهد بود که هفته ایی یک بار دوشنبه ها از ساعت ۱۸ تا ۲۱ به صورت آنلاین برگزار میشه.خوشحال میشم ببینمتون🙏Ravin Academyبرای کسب اطلاعات بیشتر و ثبت نام به لینک زیر مراجعه کنید.
73
8 Comments
Like CommentTo view or add a comment, sign in
-
Ehsan M.
Senior security expert at Snapp! | Splunk Enterprise instructor
- Report this post
سلام#نکته_خیلی_مهمهمان طور که میدانید ما در Notable Eventهای ES یک فیلد مهم داریم به نام Urgency،که خیلی در فرآیند تریاژ کردن حائز اهمیت است. نحوه محاسبه این فیلد در ES به این صورت است،ترکیب فیلد Severity که در زمان ایجاد Correlation search و در بخش Adaptive response action از نوع notable event مشخص خواهد شد با فیلد Priority که از طریق ایجاد و آپلود کردن asset and identity ها در ES.در نتیجه برای این که مقدار این فیلد به درستی تعیین شود ما نیازمند آپلود کردن asset and identity ها در ES هستیم،که این کار هم به صورت دستی امکان پذیر هست،مانند csv lookupها و یا این که برای انجام این فرآیند از یک سری add on استفاده کنیم،مانند:Splunk Supporting Add on for Active DirectorySplunk Add on for Cisco ISESplunk Add on for Microsoft SCOMو غیره...#splunk_enterprise_security#Correlation_search #Urgency #priority#asset #identity
See AlsoCCFR-201のPDF問題集で2024年05月23日最近更新された問題 [Q22-Q45] | PassTestEhsan M. on LinkedIn: #spoofing #spearphishing #blackmail #malware #spearphishing_linkAn introduction to the Splunk Search Processing Language — Crest DataUS Patent for Assigning raw data size of source data to storage consumption of an account Patent (Patent # 11,989,707 issued May 21, 2024)59
4 Comments
Like CommentTo view or add a comment, sign in
-
Ehsan M.
Senior security expert at Snapp! | Splunk Enterprise instructor
- Report this post
انواع تهدیدات ایمیل پارت دومSpearphishing linksدر واقع spearphishing link شامل ارسال ایمیل های spearphishing توسط مهاجمان برای هدف قرار دادن قربانیان با link مخرب می شود،به ۲ هدف،بدست آوردن credential های قربانی و یا فریب دادن به جهت دانلود بد افزار صورت می پذیرد،در این حمله مهاجمان پس از تعریف لیستی از آدرس های ایمیل قربانی و تهیه لینک فیشینگ،آماده ارسال ایمیل به قربانی میشوند.حالا بیاییم خیلی جزیی تر به دو تا از رایج ترین اهداف مهاجمان در استفاده spearphishing link بپردازیم.A phishing link to harvest credentials:هنگامی که مهاجمان یک ایمیل فیشینگ مجهز به linkهایی به وب سایت جعلی ارسال می کنند تا کاربر را فریب دهند تا اطلاعات کاربری خود را وارد کند،که مهاجمان یا از دامنه های خود بر این موضوع استفاده میکنند یا از web application های قانونی که domains میزبانی میکنند سواستفاده میکنند.مثلا لینک جعلی VPN loginA phishing link to download malware :یک مهاجم ممکن است بدافزار رو در وب سرور خود میزبانی کند و یا از سرویس های ابری شناخته شده که قانونی هم هستند مانند Mega, Onedrive , Dropbox استفاده کنند و link اشتراک گذاری فایل را با قربانی خود از طریق ایمیل به اشتراک بگذارند و سعی کنند تا قربانی را فریب دهند.Blackmail email ایمیل باج گیری،اصطلاحی است که برای توصیف کلاهبرداری ایمیلی استفاده می شود که در آن مهاجم ادعا میکند که سیستم قربانی را به خطر انداخته و داده های حساس را استخراج کرده است،( داده هایی که مربوط به حریم شخصی افراد میشود)و در ادامه تقاضای بیت کوین میکند و قربانی رو تهدید میکند که در صورت عدم پرداخت باج مورد نظر،داده های حساس رو در بستر اینترنت به اشتراک میگذارد،این نوع کلاهبرداری از طریق ایمیل بسیار موثر است،زیرا اولا قربانیان ترس افشای اطلاعات خصوصی خود را دارند و دوم این که استفاده از ارزهای دیجیتال ردیابی مهاجم را دشوار میکند.مهاجمان اصولاً از ۲ روش برای متقاعد کردن قربانی های خود استفاده میکنند.Screenshots of breached data or from the victim's machine :باج گیر ممکن است که از طریق deploy کردن یک بدافزار روی سیستم قربانی به داده ها دسترسی پیدا کرده باشد،مانند بدافزار infostealer ،یا داده های قربانی را از دیتای لیک شده در dark web خریده باشد.در هر ۲ روش مهاجم یک سری screenshotهایی از Desktop و یا فولدر های قربانی را تهیه میکند به منظور متقاعد کردن قربانی.Spoofing the target victim's email address:در بسیاری از موارد،باج گیر صرفا یک کلاهبردار است و هرگز به سیستم و داده های حساس قربانی دسترسی نداشته است،در چنین شرایطی، باج گیر از تکنیک جعل ایمیل استفاده میکند تا قربانی را فریب دهد تا قربانی را متقاعد کند که سیستمش توسط باج گیر Compromise شده است.ایمیل spoofing یا همون جعل ایمیل تکنیکی است که در حملات ایمیل استفاده میشود تا گیرندگان را فریب دهند تا فکر کنند پیام از فرستنده ایی به نظر واقعی ارسال شده است که در واقع این طور نیست.#Spoofing #Spearphishing #blackmail #Malware #Spearphishing_link
37
2 Comments
Like CommentTo view or add a comment, sign in
-
Ehsan M.
Senior security expert at Snapp! | Splunk Enterprise instructor
- Report this post
انواع تهدیدات ایمیلهنگامی که شما تصمیم میگیرید از یک سرویس ایمیل استفاده کنید، در واقع شبکه شما با تهدیدات مختلفی مواجهه خواهد شد،که آنها فقط به ایمیل های فیشینگ محدود نمی شوند،برخی از مهاجمان نیز از ایمیل برای blackmailing(باج خواهی) information leakage (نشت اطلاعات) data exfiltration ( استخراج داده ها) و lateral movement استفاده میکنند، ۴ نوع از تهدیدات ایمیلی که سازمان ها با آن مواجهه هستند به صورت زیر است:Spearphishing attachmentsSpearphishing linksBlackmail emailsBusiness Email Compromise پارت اول: Spearphishing attachments یک spearphishing attachment شامل ارسال ایمیل های فیشینگ توسط مهاجمان برای هدف قرار دادن قربانیان با پیوست های مخرب است،که به ۲ هدف انجام میشود یا به هدف initial access و یا بدست آوردن credential ها.حالا سوالی که به وجود می آید مهاجمان کدام نوع attachment رو انتخاب میکنند؟malicious Microsoft Office documents:استفاده از فایل های آفیس مانند excel, Word, PowerPoint به همراه VBA Macroها،این نوع از attachment ها در حملات spearphishing بسیار رایج هستند،به دلیل این که در تمام شبکه های Enterprise تقریبا هر روز هفته از فایل های آفیس استفاده میشوند.نکته بعدی این است که مهاجمان می توانند از آسیب پذیری هایی که بر روی برنامه های آفیس وجود دارند بهره برداری بکنند.Malicious PDF files:مهاجمان همچنین می توانند از یک فایل PDF که حاوی کدهای مخرب است برای بهره برداری از آسیب پذیری برنامه های PDF خوان و گرفتن دسترسی اولیه به سیستم قربانی استفاده کنند یا Credentials ها را جمع آوری کنند،استفاده از فایل های PDF در بین مهاجمان بسیار محبوب است،به دلیل این که به راحتی میتوانند کدهای مخرب جاوااسکریپت ،link،عکس و ... را در آن بگنجانند،این نوع از attachment ها هم در اغلب کمپین های spearphishing استفاده میشود.Compressed files(.rar,.7z,zip):ارسال بدافزار که در یک فایل فشرده شده قرار دارد و قربانی را فریب بدهند تا آن فایل رو از حالت فشرده خارج کنند و بدافزار رو اجرا کنند.ISO images:اخیرا افزایش قابل توجهی در استفاده از فایل iso. برای ارسال بدافزار به قربانیان مشاهده شده است،یکی از دلایلی که از این نوع فایل ها استفاده میشود،دور زدن فیلترهای فایل و evade antivirus detection هستش.HTML files:مهاجمان میتوانند یک فایل html رو به صورت attachment ارسال کنند،به هدف جعل صفحات login،مثلا صفحه جعلی لاگین یک بانک و یا سایت مایکروسافت ،برای بدست آوردن credential های قربانی.حالا برام تو کامنت تفاوت spearphishing با phishing رو توضیح دهید.#phishing #spearphishing #malicious_attachments #security#email #victim #data_exfiltration
39
1 Comment
Like CommentTo view or add a comment, sign in
-
Ehsan M.
Senior security expert at Snapp! | Splunk Enterprise instructor
- Report this post
جلسه صفرم دورهی SOC Tier 1 Zero To Heroروز چهارشنبه به طور رایگان برای علاقه مندان برگزار میگردد🙏🏻تو این دوره علاوه بر این که تمام مطالب مطابق سرفصل ها ارائه میشه،کلی مطالب خارج از سرفصل بیان میشه،با ابزارهای مطرح حوزه blue team به صورت عملی کار خواهیم کرد،Suricata,Zeek,RITA,Security Onion,deepblue CLi,با ابزارهای attack simulation کار خواهیم کرد.و همین طور ابزارهای TIکلی مطلب در مورد پاورشل خواهیم داشت.یه پکیج عالی با اقیانوسی از اطلاعات در انتظار شماست.منتظرتون هستیم.
19
1 Comment
Like CommentTo view or add a comment, sign in
-
Ehsan M.
Senior security expert at Snapp! | Splunk Enterprise instructor
- Report this post
سلام و درود خدمت همه دوستانما یک مفهومی در دنیای فناوری اطلاعات به خصوص امنیت سایبری داریم به نام beaconing#حالا این beaconing# یعنی چی؟شما فرض کنید یک سیستم داخل شبکه آلوده شده و بر روی اون یک بدافزاری وجود داره که با C2 خودش ارتباط داره و در فواصل زمانی مشخص به C2 سرور خودش پیام میده و ازش می پرسه آیا چیزی داری برای من که انجام بدم؟و این فرآیند ادامه پیدا میکنه،به طور کلی ۲ روش برای تشخیص beaconing# وجود داره.۱-از طریق time,که چون همین طور که گفتم این ارسال پیام از بدافزار به C2 خودش در فواصل زمانی منظم اتفاق میوفته،ولی خب این روش یک مشکلی داره اونم این که اکثر ابزارهای C2 می آیند از jitter# استفاده میکنند و این فواصل زمانی منظم رو بهم می ریزند،مثل: powershell Empire ,Metasploit C2 و غیره،حالا چطوری میتونیم این جور ابزارهای C2 رو از طریق ترافیک شناسایی کنیم؟روش دومی وجود داره که ما میتوانیم از طریق session size بیاییم و این ترافیک های مخرب شناسایی کنیم،بدافزارها زمانی که به C2 سرور خودشون پیام میدن،آیا چیزی داری که من انجام بدم؟،همیشه یک session size یکسان داره(یعنی bytes اون یکسان است) ولی زمانی که C2 سرور به بدافزار فرمان مثلاً دایرکتوری لیستینگ رو میده،در نتیجه مقدار اون bytes تو ترافیک تغییر میکنه،و ما میتونیم با داشتن یک نمودار زمانی براساس bytes و تغییراتی که در اون میوفته این جور ترافیک های مخرب رو شناسایی کنیم.#security #beaconing #defense #detection #cyberdefense #cyberattack #c2
48
4 Comments
Like CommentTo view or add a comment, sign in
-
Ehsan M.
Senior security expert at Snapp! | Splunk Enterprise instructor
- Report this post
یک add-on کاربردی جهت ساختن و بروزرسانی lookup ها در اسپلانک، که با نصب این add-on یک custom command به splunk اضافه میشودو از طریق url در search bar میتونیم فایل lookup خودمان را ایجاد کنیم.به عنوان مثال:| getwatchlist csv url=https://lnkd.in/eMpf8aXB و هم میتونید داخل فایل getwatchlist.conf در مسیر نصب add-on پروفایل مورد نظر رو تعریف کنید.[blocklist]url = https://lnkd.in/e97cgCVtdelimiter = ";"isbad = truerelevantFieldName = IPignoreFirstLine = true و بعد در search bar اسپلانک با کامند | getwatchlist <profile_name>| getwatchlist blocklist---------------------------------------------| inputlookup blocklist---------------------------------------------index=fortigate sourcetype=fortigate_traffic action=allowed| lookup blocklist IP AS src_ip output isbad| stats count by src_ip,isbad--------------------------------------------Getwatchlist is a custom search command for Splunk which will return a CSV formatted list from a URL. This is useful for creating lookup tables and keeping them up to date from external or internal sources. These watchlists can contain virtually anything such as domain names, IP addresses, host names, email addresses, filenames, etc. and can then be used in searches against your events. These watchlists can be in any delimited format (tab, comma, space, etc.)Built by Aplura LLChttps://lnkd.in/eBXXnvRH#lookup #splunksecurity #splunk
36
Like CommentTo view or add a comment, sign in
-
Ehsan M.
Senior security expert at Snapp! | Splunk Enterprise instructor
- Report this post
یک دوره جذاب و خاص با مطالب تخصصی و تکنیکالفرصت رو از دست ندید💪👌
10
Like CommentTo view or add a comment, sign in
-
Ehsan M.
Senior security expert at Snapp! | Splunk Enterprise instructor
- Report this post
I’m happy to share that I’m starting a new position as Senior security expert at Snapp!!
This content isn’t available here
Access this content and more in the LinkedIn app
157
15 Comments
Like CommentTo view or add a comment, sign in
2,813 followers
- 112 Posts
View Profile
FollowExplore topics
- Sales
- Marketing
- Business Administration
- HR Management
- Content Management
- Engineering
- Soft Skills
- See All