بله | کانال کتابخانه مرکز عملیات امنیت
عکس پروفایل کتابخانه مرکز عملیات امنیتک

کتابخانه مرکز عملیات امنیت

۱.۷ هزار عضو
لوگوی پیام رسان بلهدانلود «بله»
thumbnail
undefined وقتی مهارت جایگزین تعداد می‌شود
undefinedدنیای امنیت سایبری با واقعیتی فراتر از تیترهای نگران‌کننده کمبود نیروی کار مواجه است.
undefinedگزارش مؤسسه SANS که حاصل نظرسنجی از ۳۴۰۰ متخصص در سراسر جهان است، نشان می‌دهد که چالش اصلی سازمان‌ها دیگر صرفاً پر کردن صندلی‌های خالی نیست، بلکه یافتن افرادی است که ترکیب درستی از مهارت‌های فنی و نرم را در اختیار داشته باشند. این گزارش تأکید می‌کند که ما از مرحله پروژه‌های آزمایشی هوش مصنوعی عبور کرده‌ایم و اکنون در عصر بهره‌برداری دائمی و گسترده قرار داریم؛ به‌طوری که بیش از ۹۲ درصد از شرکت‌های فهرست Fortune 500 هم‌اکنون از ابزارهای هوش مصنوعی مولد استفاده می‌کنند.
اینجا بخوانید:undefinedundefined گزارش SANS از بازار کار امنیت سایبری
undefinedundefined Join us undefinedundefinedundefined undefined @soclib#️⃣ #SIEM #SIEM #SOC #CyberSecurity #KillChain #آموزش_رایگان

۷:۱۹

thumbnail
قراره از امروز وارد یک موضوع خیلی مهم و کاربردی بشیم:
Splunk Success Framework (SSF)خیلی‌ها Splunk رو استفاده می‌کنن، اما فقط کسایی که با SSF آشنا هستن می‌تونن بیشترین ارزش رو ازش بگیرن. برای همین تصمیم گرفتم یک سری پست آموزشی در کانال بگذارم و قدم‌به‌قدم این چارچوب رو توضیح بدم.در این سری آموزش‌ها با هم مرور می‌کنیم:
• SSF چیه و چرا برای موفقیت Splunk ضروریه• اصول پایه‌ای که قبل از هر استقراری باید رعایت بشه• چطور برنامه‌ریزی و مدیریت پروژه‌ها رو در Splunk انجام بدیم• نقش تیم‌ها، آموزش، Community و هماهنگی بین افراد• چه‌طور یک پلتفرم پایدار، مقیاس‌پذیر و بهینه بسازیم• بهترین روش‌ها برای جمع‌آوری و مدیریت داده‌ها• و در نهایت، مسیرهای Outcome Splunk مثل کاهش هزینه، کاهش ریسک و افزایش کارایی
اگر Splunk کار می‌کنید، یا به دنیای Data، Security، Observability علاقه دارید،این سری آموزش‌ها می‌تونن دید خیلی خوبی بهتون بدن.به زودی بخش اول رو منتشر می‌کنم undefinedهمراه باشید! undefinedundefinedundefined Join us undefinedundefinedundefinedundefined @soclib#️⃣ #splunk#️⃣ #soclib

۹:۱۸

thumbnail
undefined قسمت دوم دوره آموزش رایگان Splunk ES 7.x
undefined Security Monitoring and Incident Investigation
https://www.aparat.com/v/vziz780
در این ویدئو وارد دنیای واقعی عملیات SOC می‌شویم و یاد می‌گیریم چگونه با استفاده از Splunk Enterprise Security رخدادهای امنیتی را مانیتور و بررسی کنیم.
undefined اهداف این قسمت:undefined استفاده از Security Posture Dashboardبرای بررسی وضعیت کلی ES، سلامت سیستم و کنترل آمادگی امنیتیundefined کار با Incident Review Dashboardجهت بررسی، تحلیل و مدیریت Notable Event‌هاundefined مدیریت کامل چرخه Incidentundefined گرفتن مالکیت Incidentundefined پیشبرد آن در مراحل مختلف Investigation Workflowundefined Create Notable Eventsیاد می‌گیریم چگونه رخدادهای قابل بررسی ایجاد کنیمundefined Suppress Notable Eventsکاهش False Positiveها و مدیریت هوشمند هشدارهاundefined این ویدئو یکی از مهم‌ترین بخش‌های دوره است و مهارت‌های عملی موردنیاز یک SOC Analyst را به شما آموزش می‌دهد.undefined ویدئوی دوم را از دست ندهید و وارد فاز عملی Splunk ES شویدundefinedundefined Join us undefinedundefinedundefinedundefined @soclib#️⃣ #splunk#️⃣ #soclib#Splunk #SplunkES #SOC #SIEM #IncidentResponse #SecurityMonitoring #NotableEvents #آموزش_رایگان

۱۲:۳۶

thumbnail
undefined معرفی چارچوب موفقیت Splunk (SSF)قسمت دوم سری آموزشی SSF
سلام دوستان undefined
در ادامه‌ی سری آموزشی Splunk Success Framework، امروز می‌خوایم کمی عمیق‌تر وارد ساختار و اجزای SSF بشیم. یادگیری نحوه سازماندهی این چارچوب کمک می‌کنه بفهمیم از کجا باید شروع کنیم و کدوم بخش‌ها بیشترین ارزش رو برای تیم یا سازمان ما دارن.
SSF به‌صورت ماژولار (modular) طراحی شده؛ یعنی می‌تونید هر بخشش رو بر اساس نیازتون و در هر زمان پیاده‌سازی کنید.
undefined شروع از FundamentalsSSF با Fundamentals آغاز می‌شه — همون اصول پایه‌ای که از همون ابتدا مسیر موفقیت رو مشخص می‌کنن. بعد از اون وارد چهار حوزه‌ی اصلی یا همون Functional Areas می‌شیم:Program 🧭People undefinedPlatform undefinedData undefinedهمچنین SSF به شما کمک می‌کنه بدونید در چه سطحی از Adoption Level قرار دارید:
پایه‌ای، استاندارد، متوسط یا پیشرفته.
undefined اصول پایه‌ای موفقیت (Fundamental Best Practices)چهار اصل مهم که پایه‌ی پیاده‌سازی موفق Splunk هستن:
undefined تعیین هدف و محدوده (Purpose & Scope)بدونید دقیقاً Splunk قراره چه مشکلی رو حل کنه و برای چه حوزه‌ای استفاده بشه.
undefined تعامل با اسپانسر اجرایی (Executive Sponsor)یک رهبر سازمانی که از موفقیت پروژه حمایت می‌کنه و مسیر رو تسهیل می‌کنه.
undefined ایجاد چارچوب عملیاتی (Operations Framework)تعریف شیوه اجرا، تیم‌ها، نقش‌ها و فرآیندهایی که اجرای Splunk رو منظم و قابل تکرار می‌کنن.
undefined تعیین شاخص‌های موفقیت (Success Metrics)معیارهایی برای سنجش میزان پیشرفت و موفقیت واقعی پیاده‌سازی.
undefined این اصول باعث می‌شن تمام ذینفعان در یک راستا حرکت کنن و پروژه Splunk در مسیر درست پیش بره.
undefined Functional Areas – حوزه‌های عملکردی SSFundefined Fundamentals → نکات پایه‌ای برای شروع درستundefined Program → چطور استقرار Splunk رو مدیریت کنیمundefined People → نقش تیم‌ها، آموزش و انگیزهundefined Platform → ساخت پلتفرم پایدار و مقیاس‌پذیرundefined Data → چرخه عمر داده‌ها و ساخت use caseهای مؤثر
undefined سطوح پذیرش (Adoption Levels)SSF چهار سطح پذیرش داره:
Foundational، Standard، Intermediate و Advanced
لزومی نداره همه بخش‌ها توی یک سطح باشن. ممکنه در بعضی قسمت‌ها تازه‌کار باشید و در بخش‌های دیگه پیشرفته عمل کنید — مهم تعادل و رشد تدریجیه undefined
🧩 چند اصطلاح کلیدیundefined Splunk deployment: نصب و پیکربندی اولیه‌ی Splunkundefined Splunk environment: محیط فیزیکی یا ابری اجرای Splunkundefined Splunk implementation: کل مجموعه پلتفرم، داده‌ها، تیم‌ها و فرآیندهای مرتبط با Splunk
در پست بعدی می‌ریم سراغ جزئیات بخش Fundamentals و هر کدوم از این اصول رو مرحله‌به‌مرحله بررسی می‌کنیم.
undefined ادامه دارد…undefinedundefined Join us undefinedundefinedundefinedundefined @soclib
#️⃣ #splunk#️⃣ #soclib#Splunk #SplunkES #SOC #SIEM #IncidentResponse #SecurityMonitoring #NotableEvents #آموزش_رایگانundefined @soclib

۱۱:۰۳

thumbnail
undefined ویدئوی سوم دوره آموزش رایگان Splunk ES 7.X منتشر شد
undefined Investigationsدر این ویدئو به یکی از مهم‌ترین قابلیت‌های عملیاتی Splunk ES می‌پردازیم؛ جایی که Incident Response به‌صورت ساخت‌یافته و تیمی مدیریت می‌شود.https://www.aparat.com/v/bxr53w1undefined اهداف این ویدئو:
undefined استفاده از Investigations
برای مدیریت و سامان‌دهی فعالیت‌های Incident Response
undefined کار با Investigation Workbench
undefined مدیریت کامل Incidentundefined مشاهده و تحلیل بصری روند حملهundefined هماهنگی بین اعضای تیم SOC
undefined افزودن آیتم‌های مختلف به Investigation
undefined Notes و Action Historyundefined Collaboratorsundefined Eventsundefined Assets و Identitiesundefined Files و undefined URLsundefined استفاده از ابزارهای مستندسازی Investigationundefined Timelinesundefined Listsundefined Summaries
برای ثبت، مرور و تحلیل فرآیند Breach Analysis و اقدامات Mitigationundefined این ویدئو به شما کمک می‌کند مانند یک SOC Analyst حرفه‌ای، تحقیقات امنیتی را مستندسازی، پیگیری و مدیریت کنید.undefined این دوره کاملاً رایگان بوده و مبتنی بر سناریوهای واقعی امنیتی طراحی شده است.undefined ویدئوی سوم را ببینید و مهارت Incident Investigation خود را ارتقا دهیدundefinedundefined Join us undefinedundefinedundefinedundefined @soclib #Splunk #SplunkES #SOC #SIEM #IncidentResponse #Investigations #CyberSecurity #آموزش_رایگان

۱۰:۰۴

thumbnail
undefined ثبت نام دوره جامع کلاسترینگ اسپلانک شروع شد! (Splunk Enterprise Clustering)اگر در تیم های امنیت، SOC یا Splunk فعالیت میکنید، تسلط بر معماری توزیع شده برای شما یک ضرورت است.undefined آنچه در این ۳۲ ساعت یاد میگیرید:undefined راه اندازی Indexer Clustering (Single & Multisite)undefined مدیریت Search Head Clustering (SHC)undefined تنظیمات Forwarderها در مقیاس بزرگundefined مدیریت حرفه ای KV Store و Lookupهاundefined استراتژیهای High Availability و Disaster Recoveryundefined مخاطبین: ادمینهای اسپلانک، تحلیلگران SOC و مهندسین زیرساخت.undefined زمانبندی: پنجشنبه ها | ۱۰:۳۰ تا ۱۴:۰۰ undefined نحوه برگزاری: آنلاین (تعاملی و پروژه محور)undefined تخفیف اختصاصی ثبت نام زودهنگام : soclib-groupundefined لیک ثبت نام و مشاهده سرفصل ها:undefinedundefinedundefinedundefined https://evnd.co/HC7e6

۱۸:۳۵

thumbnail
undefined تعیین هدف و محدوده پیاده‌سازی Splunkقسمت سوم سری آموزشی SSF
سلام دوستان undefined
در ادامه مسیر شناخت Splunk Success Framework، امروز می‌خوایم یکی از مهم‌ترین اصول پایه‌ای (Fundamentals) رو بررسی کنیم:تعیین Purpose و Scope برای پیاده‌سازی Splunk
این مرحله اولین و ضروری‌ترین گام برای هر استقرار Splunk هست؛ چون کمک می‌کنه دقیقاً بدونیم Splunk قرار چه کاری برامون انجام بده و چطور باید ازش ارزش استخراج کنیم.
undefined چرا تعیین Purpose و Scope مهمه؟وقتی هدف‌ها، محدوده و ذینفعان مشخص باشن:تمرکز تیم از بین نمی‌رهتصمیم‌گیری‌ها سریع‌تر و دقیق‌تر انجام می‌شناولویت‌ها روشن می‌شنهمه Stakeholderها انتظارات مشترک پیدا می‌کننتمام این اطلاعات باید در قالب یک Charter ثبت بشه تا تبدیل به مرجع رسمی پروژه بشه.
undefined راهنمای تعیین Purpose (هدف)undefined تعیین اهداف واضحمشخص کنید Splunk برای چه کاری وارد سازمان می‌شه:بهبود Security‌؟ مدیریت بهتر داده‌ها؟ Observability؟هدف واضح یعنی ROI روشن و تمرکز دقیق‌تر برای تیم و Stakeholderها.
undefined شناخت محدودیت‌ها (Constraints)از همون ابتدا مشخص کنید چه موانعی دارید:محدودیت دسترسی به دادهمنابع انسانی کافی؟آموزش کاربران؟شناخت محدودیت‌ها یعنی برنامه‌ریزی واقع‌بینانه‌تر.
undefined شناسایی StakeholderهاStakeholder یعنی هرکسی که از داده‌ها، گزارش‌ها یا بینش‌های Splunk بهره می‌بره.تهیه یک لیست جامع از Stakeholderها کمک می‌کنه نیازها و انتظارات بهتر مشخص بشه.
undefined فهرست کردن مزایا (Benefits)به‌جز اهداف اصلی، Splunk مزایای زیادی ایجاد می‌کنه:بهینه‌سازی زیرساختدرک عمیق‌تر از داده‌های ماشینConsolidation ابزارهاAutomation گزارش‌هاثبت این مزایا باعث انگیزه بیشتر تیم و حمایت بالاتر ذینفعان می‌شه.
🧭 راهنمای تعیین Scope (محدوده پیاده‌سازی)Scope مشخص می‌کنه Splunk قرار چطور و در چه سطحی در سازمان استفاده بشه:
undefined Splunk به عنوان یک Solutionاستفاده برای حل use caseهای یک تیم خاص.مثال: Security، Observability
می‌تونید از Security Use Case Library یا Observability Use Case Library کمک بگیرید.
undefined Splunk به عنوان یک Serviceارائه سرویس Splunk به چند تیم سازمان.اینجا باید خدمات فعلی سازمان رو بررسی کنید و نقاط قابل بهبود رو مشخص کنید.
undefined Splunk به عنوان یک Strategyمرحله‌ای که Splunk تبدیل به مزیت رقابتی کسب‌وکار می‌شه.تمرکز روی رشد بلندمدت، بلوغ تیم‌ها و افزایش Adoption در کل سازمان.
undefined ایجاد Charter؛ نقشه راه رسمی پروژهبعد از تعیین هدف و محدوده، باید همه چیز در قالب یک Charter ثبت بشه:
توضیح هدف و محدودۀ پیاده‌سازیثبت اهداف کلان برای همه ذینفعانمشخص کردن مسیر و اولویت‌هاسندی برای معرفی پروژه به اعضای جدیدمعیار ارزیابی جهت درست حرکت پروژهCharter باید به‌صورت دوره‌ای بازبینی بشه تا مطمئن بشید هنوز با اهداف اولیه هم‌راستا هستید.
در پست بعدی می‌ریم سراغ دومین اصل بنیادین SSF undefined
Engaging with the Executive Sponsor
نقش اسپانسر اجرایی و اینکه چرا وجودش حیاتی است.
undefined ادامه دارد…undefinedundefined Join us undefinedundefinedundefinedundefined @soclib

۱۰:۴۸

undefined ویدئوی چهارم دوره آموزش رایگان Splunk ES 7.X منتشر شد
https://www.aparat.com/v/tep92oc
undefined Security Domain Dashboardsدر این ویدئو، یاد می‌گیریم چگونه با استفاده از داشبوردهای تخصصی Splunk ES، دید جامع و عمیقی نسبت به تهدیدات در حوزه‌های مختلف امنیتی داشته باشیم.
undefined اهداف این ویدئو:undefined بررسی رویدادها (Inspect Events)یادگیری نحوه جستجو و استخراج اطلاعات حیاتی از رویدادها، برای تحقیقاتی که در جریان هستند یا مربوط به حوادث گذشته‌اند.
undefined شناسایی Security Domainsآشنایی با دسته‌بندی‌های امنیتی در ES و اینکه هر کدام چه بخش‌هایی از شبکه یا زیرساخت را پوشش می‌دهند.
undefined کار با Security Domain Dashboardsاستفاده عملی از داشبوردهای تخصصی برای مانیتورینگ دقیق‌تر هر حوزه امنیتی.
undefined ارتباط یکپارچه در ESیاد می‌گیریم چگونه مستقیماً از داخل Incident Review یا از طریق Action Menus در نتایج جستجو، به داشبوردهای مرتبط با یک حوزه امنیتی خاص دسترسی پیدا کنیم (افزایش سرعت در تحلیل).
undefined تسلط بر این داشبوردها به شما کمک می‌کند تا به جای صرف ساعت‌ها وقت برای نوشتن کوئری‌های پیچیده، با چند کلیک به بینش (Insight) مورد نیاز خود برسید.
undefined دوره کاملاً رایگان و گام‌به‌گام برای ورود به دنیای حرفه‌ای SOC.
undefined ویدئوی چهارم را ببینید و ابزارهای تحلیلی خود را تقویت کنید!undefinedundefined Join us undefinedundefinedundefinedundefined @soclib
#Splunk #SplunkES #SOC #SIEM #SecurityDashboards #CyberSecurity #IncidentResponse #آموزش_رایگان

۲۱:۲۴

در حال حاضر نمایش این پیام پشتیبانی نمی‌شود.

thumbnail
@soclib

۲۰:۰۱

thumbnail
undefined ویدئوی پنجم دوره آموزش رایگان Splunk ES 7.X منتشر شد
undefined Risk Analysis
در این ویدئو با یکی از قدرتمندترین رویکردهای Splunk ES برای شناسایی تهدیدات پیشرفته آشنا می‌شویم؛ تحلیل ریسک به‌جای تکیه صرف بر هشدارها.https://www.aparat.com/v/xof83qoundefined اهداف این ویدئو:
undefined درک مفاهیم Risk Analysisآشنایی با رویکرد Risk-Based Alerting و تفاوت آن با هشدارهای سنتی
undefined Risk Annotationsبررسی نحوه ثبت و تفسیر Risk Annotationها و نقش آن‌ها در تجمیع رفتارهای مشکوک
undefined Risk Analysis Dashboardاستفاده از داشبورد تحلیل ریسک برای مانیتورینگ فعالیت‌های پرریسک کاربران، سیستم‌ها و دارایی‌ها
undefined مدیریت Risk Scoreهاundefined تنظیم و مدیریت امتیاز ریسک برای کاربران (Users)undefined اشیاء و دارایی‌ها (Objects / Assets)undefined اولویت‌بندی Incidentها بر اساس میزان ریسک واقعی
undefined این ویدئو کمک می‌کند دید عمیق‌تری نسبت به رفتارهای مخرب پنهان داشته باشید و تمرکز SOC را روی تهدیدات مهم‌تر قرار دهید.
undefined این دوره کاملاً رایگان و مبتنی بر سناریوهای واقعی امنیتی است.undefined ویدئوی پنجم را ببینید و رویکرد حرفه‌ای Risk-Based Security Monitoring را یاد بگیریدundefinedundefined Join us undefinedundefinedundefinedundefined @soclib #Splunk #SplunkES #SOC #SIEM #RiskAnalysis #RiskBasedAlerting #CyberSecurity #آموزش_رایگان

۷:۴۳

thumbnail
undefined تعامل با اسپانسر اجراییقسمت چهارم سری آموزشی SSF
سلام دوستان undefinedدر گام قبلی درباره تعیین Purpose و Scope صحبت کردیم.حالا می‌ریم سراغ دومین اصل بنیادین SSF؛ یعنی Engaging with Your Executive Sponsor.وجود یک اسپانسر اجرایی (Executive Sponsor) یکی از مهم‌ترین عوامل موفقیت پیاده‌سازی Splunk هست.این شخص تضمین می‌کنه که مسیر شما با استراتژی کلان سازمان هماهنگ باشه و همچنین مقاومت‌ها رو کاهش می‌ده، حمایت جلب می‌کنه و منابع ضروری رو برای تیم فراهم می‌کنه.
undefined چرا حضور اسپانسر اجرایی ضروریه؟اسپانسر اجرایی باعث می‌شه:هدف پروژه با company strategy همسو بمونهحمایت دیگر Stakeholderها راحت‌تر جلب بشهموانع سازمانی و سیاسی کم بشنسیستم Accountability ایجاد بشهمنابع مورد نیاز به‌موقع در دسترس قرار بگیرنپس بدون اسپانسر اجرایی، احتمال کند شدن یا شکست پروژه به شکل قابل‌توجهی افزایش پیدا می‌کنه.undefined بهترین روش‌های تعامل مؤثر با اسپانسر اجراییundefined انتخاب اسپانسری که ارزش داده را درک کندبهترین اسپانسر کسیه که machine data رو یک دارایی استراتژیک بدونِه.درک اهمیت داده یعنی:تصمیم‌گیری رقابتی و استراتژیکبهینه‌سازی زیرساخت ITامنیت سایبری بهتر و مقابله با تهدیداتچنین اسپانسری ارزش Splunk رو بهتر می‌فهمه و حمایت قوی‌تری ارائه می‌کنه.undefined انتخاب اسپانسری که موفقیتش وابسته به Splunk باشدوقتی اهداف شخصی و کاری اسپانسر با ارزش Splunk گره خورده باشه،
او تبدیل می‌شه به قوی‌ترین حامی شما.undefined درک اینکه اسپانسر و Stakeholderها چه چیزی برایشان اهمیت داردببینید اسپانسر دقیقاً دنبال چه چیزیه:امنیت؟ بهره‌وری؟ کاهش هزینه؟ شفافیت؟این شناخت کمک می‌کنه:آزمایش‌ها هدفمند بشننتایج مؤثرتر ارائه بشنارزش پروژه برای اسپانسر ملموس بشههرچه بیشتر روی چیزهایی تمرکز کنید که برای آنها مهم است، حمایت بیشتری جذب خواهید کرد.
undefined مشارکت دادن اسپانسر در برنامه‌ریزیاسپانسر باید در بخش‌های کلیدی برنامه‌ریزی حضور داشته باشه.این مشارکت شامل موارد زیره:تحلیل و بهبود اهدافتعیین key milestonesتدوین برنامه ارتباطات پروژهاین کار باعث هم‌راستایی انتظارات و کاهش سوءتفاهم‌ها می‌شه.undefined نشان دادن موفقیت‌های کوچک و قابل اندازه‌گیریSplunk یک پروژه تک‌مرحله‌ای نیست؛ یک سفر تکاملیه.پس:milestones کوچک تعریف کنیدپیشرفت‌ها رو مرتب گزارش بدیدروند رشد رو به‌صورت مستند نشون بدیداین کار باعث افزایش اعتماد اسپانسر می‌شه.undefined استفاده از داشبوردها و داده‌های بصریمؤثرترین راه برای درگیر نگه داشتن اسپانسر، دیدن پیشرفت هست.از این موارد استفاده کنید:داشبوردهای Splunkگزارش‌های بصریتحلیل‌ها و نمودارهای قابل فهموقتی اسپانسر پیشرفت رو می‌بینه، تعهد عاطفی و حمایتی او افزایش پیدا می‌کنه.undefined ایجاد Accountabilityبرگزاری جلسات منظم، checkpoints و گزارش پیشرفت باعث می‌شه اسپانسر احساس مسئولیت کنه و از مسیر پروژه مطمئن بمونه.این بخش یکی از عناصر کلیدی موفقیته.
در پست بدی وارد سومین اصل بنیادین SSF می‌شیم undefinedEstablishing an Operating Framework
undefined ادامه دارد…undefinedundefined Join us undefinedundefinedundefined
undefined @soclib

۱۱:۵۴

thumbnail
#threat_one : در اوایل سال ۲۰۲۴، گروه روسی پشت حمله SolarWinds با نام‌های Midnight Blizzard / Nobelium / APT29 وارد یک سیستم ایمیل سازمانی شد و به حساب‌های مدیران ارشد، تیم امنیت و بخش حقوقی دسترسی کامل پیدا کرد.
نقطه ورود چه بود؟
یک Password Spray ساده روی یک محیط تست قدیمی که MFA فعال نداشت. undefined
بعد از ورود، مهاجمان زنجیره‌ای از اقدامات را اجرا کردند:
دسترسی به credentialها، ایجاد پایداری (Persistence)، و در نهایت جمع‌آوری ایمیل‌های بسیار حساس از حساب‌های کلیدی سازمان.
این دقیقاً تعریف یک Advanced Persistent Threat است.
undefined APT دقیقاً چیست؟APT یک نفوذ بلندمدت، مخفیانه و هدفمند است که توسط مهاجمانی با منابع فنی و مالی قابل توجه انجام می‌شود — اغلب دولت‌ها یا گروه‌های سازمان‌یافته.
هدف آن‌ها:
undefined سرقت داده‌های حساسundefined جمع‌آوری اطلاعات راهبردیundefined ماندن در شبکه تا جای ممکن بدون شناساییویژگی اصلی APT «ماندگاری» است.
این حمله برای ضربه سریع طراحی نشده؛ برای حضور طولانی‌مدت و استخراج تدریجی ارزش طراحی شده است.
undefined چرا APT تهدید جدی محسوب می‌شود؟در یک ماه از سال ۲۰۲۴، بیش از ۴۰ میلیون تهدید مرتبط با APT مسدود شده‌اند.
این عدد نشان می‌دهد:
این حملات گسترده‌اندفعال‌اندو همچنان در حال تکامل هستندAPTها به دلیل ماهیت هدفمند، پیچیده و مخفیانه خود خطرناک‌اند. آن‌ها می‌توانند ماه‌ها یا حتی سال‌ها در شبکه باقی بمانند.
undefined حمله APT چگونه اتفاق می‌افتد؟undefined Reconnaissance (شناسایی)مهاجم قبل از هر چیز اطلاعات جمع‌آوری می‌کند:
دامنه‌هاسرویس‌های در معرض اینترنتکارکنان کلیدیفناوری‌های مورد استفاده سازمانundefined ورود کم‌صدانقطه ورود معمولاً یکی از این موارد است:
undefined Spear Phishing هدفمندundefined سوءاستفاده از رمزهای ضعیفPassword Sprayبهره‌برداری از Zero-dayمحیط‌های قدیمی بدون MFAورود طوری انجام می‌شود که کمترین هشدار را ایجاد کند.
undefined افزایش سطح دسترسی و پایداریپس از ورود:
سطح دسترسی افزایش می‌یابدتوکن‌های احراز هویت سرقت می‌شوندbackdoor ایجاد می‌شودمکانیزم‌های ماندگاری پیاده‌سازی می‌شودهدف: حذف‌نشدن پس از ریست یا Patch
undefined استتار با ابزارهای قانونییکی از خطرناک‌ترین ویژگی‌های APT این است که مهاجم:
از ابزارهای مدیریتی واقعی سیستم استفاده می‌کنداز فرآیندهای عادی ویندوز یا لینوکس بهره می‌بردترافیک خود را شبیه رفتار معمول نشان می‌دهددر نتیجه، در لاگ‌ها «عادی» دیده می‌شود. 🧩
undefined حرکت جانبی و نقشه‌برداریدر طول هفته‌ها یا ماه‌ها:
بین سیستم‌ها حرکت می‌کندساختار شبکه را map می‌کندبه سرورهای حیاتی نزدیک می‌شوداین مرحله آهسته و حساب‌شده انجام می‌شود.
undefined استخراج تدریجی دادهدر نهایت:
داده‌های حساسمالکیت فکریاطلاعات راهبردیبه‌صورت تکه‌تکه و آرام از سازمان خارج می‌شوند. undefined
APTها طوری طراحی شده‌اند که حتی از مانیتورینگ‌های پایه هم عبور کنند.
undefined این حملات از کجا می‌آیند؟APTها معمولاً:
همسو با منافع دولت‌ها هستنداز منابع مالی و فنی قابل توجه استفاده می‌کننددر سطح بین‌المللی فعالیت می‌کنند

undefinedundefined Join us undefinedundefinedundefinedundefined @soclib #Splunk #SplunkES #SOC #SIEM #RiskAnalysis #RiskBasedAlerting #CyberSecurity #آموزش_رایگان

۷:۰۳

thumbnail
undefined ویدئوی ششم دوره آموزش رایگان Splunk ES 7.X منتشر شد
undefined Web Intelligence
در این ویدئو وارد بخش Web Intelligence می‌شویم؛ جایی که می‌توانید رفتارهای وب، ترافیک HTTP/HTTPS و الگوهای مشکوک شبکه را به‌صورت بصری و دقیق تحلیل کنید.https://www.aparat.com/v/lqik42uundefined اهداف این ویدئو:
undefined تحلیل محیط شبکه با Web Intelligence Dashboards
استفاده از داشبوردهای تخصصی برای مشاهده:
الگوهای ترافیک وبدرخواست‌های غیرعادیرفتارهای مشکوک کاربرانIP و User Agentهای مشکوکundefined فیلتر و هایلایت کردن رویدادهایاد می‌گیرید چطور با فیلترهای دقیق، رویدادهای مهم را جدا کنید و با Highlight کردن، روی رخدادهای خاص تمرکز کنید.
undefined این بخش مخصوص تحلیلگرانی است که می‌خواهند دید عمیق‌تری روی رفتارهای وب و تهدیدات مرتبط با آن داشته باشند.
undefined این دوره کاملاً رایگان است و شما را گام‌به‌گام با ابزارهای عملی Splunk ES آشنا می‌کند.
undefined ویدئوی ششم را تماشا کنید و تحلیل شبکه خود را حرفه‌ای‌تر کنید
#Splunk #SplunkES #SOC #SIEM #WebIntelligence #CyberSecurity #آموزش_رایگان

۲۰:۱۶

thumbnail
undefined تهدید شماره ۲: سرقت داده (Data Exfiltration)یکی از رایج‌ترین و خطرناک‌ترین مراحل پایانی هر حمله سایبری
در یکی از حملات اخیر، گروه باج‌افزار Interlock یک کمپین بسیار حساب‌شده اجرا کرد:
کاربر را با پیام یک «آپدیت جعلی مرورگر Chrome» فریب داد، فایل تقلبی را روی یک سایت خبری آلوده قرار داد، و قربانی را به دانلود آن ترغیب کرد. پشت این فایل ظاهری بی‌خطر، یک Remote Access Trojan – RAT قرار داشت.
وقتی RAT نصب شد، مهاجمان توانستند:
undefined رمزها و دسترسی‌ها را سرقت کنند
undefined داخل شبکه حرکت جانبی انجام دهند
undefined داده‌های حساس را در سکوت کامل به یک فضای ابری معتبر منتقل کنند
🧨 و در نهایت سیستم‌ها را قفل و درخواست باج کنند
این دقیقاً همان چیزی است که Data Exfiltration را به یک تهدید حیاتی تبدیل می‌کند:
سرقت آرام، تدریجی و بی‌سروصدای اطلاعات حیاتی سازمان.
undefined Data Exfiltration چیست؟Data Exfiltration یعنی خروج غیرقانونی اطلاعات حساس از محیط سازمان.
این اتفاق معمولاً مرحله پایانی یک نفوذ موفق است — زمانی که مهاجم:
دسترسی‌ها را جمع کردهمخازن حساس را پیدا کردهو فایل‌ها را برای خروج آماده کردهنوع داده‌هایی که معمولاً به سرقت می‌روند شامل موارد زیر هستند:
undefined داده‌های شخصی (PII)🧪 مالکیت فکریundefined فایل‌های پیکربندی🪪 توکن‌های دسترسی🧩 پایگاه‌های داده حساسمهاجمان برای پنهان کردن خروج داده‌ها از ابزارهای قانونی، کانال‌های رمزنگاری‌شده و سرویس‌های ابری معتبر استفاده می‌کنند؛ دقیقاً همان چیزی که تشخیص آن را بسیار سخت می‌کند.
undefined سرقت داده چگونه اتفاق می‌افتد؟طبق ساختار حملات واقعی، Data Exfiltration یک فرآیند چندمرحله‌ای است:
1) شناسایی منابع ارزشمنداولین کار مهاجم پیدا کردن:
دیتابیس‌های حیاتیسرورهای سرویس‌دهندهمخازن کدپوشه‌های مشترکفایل‌های پیکربندی و Tokenهاهدف: فهمیدن اینکه چه چیزی بیشترین «ارزش» دارد.
2) جمع‌آوری و آماده‌سازی داده‌ها (Staging)پس از شناسایی:
داده‌ها روی یک سیستم آلوده جمع‌آوری می‌شوندمعمولاً فشرده یا رمزگذاری می‌شوندنام آن‌ها شبیه فایل‌های عادی گذاشته می‌شوداین مرحله برای «طبیعی جلوه دادن» داده‌های سرقتی انجام می‌شود.
3) انتقال آرام داده‌ها به بیروناین بخش مهم‌ترین و خطرناک‌ترین مرحله است.
مهاجمان از روش‌های مشروع و قابل‌اعتماد استفاده می‌کنند مثل:
اجرای curl برای ارسال فایل‌هااستفاده از APIهای فضای ابری (Google Drive, Dropbox, OneDrive)تونل‌های رمزگذاری‌شده (SSH یا VPN ساختگی)سرویس‌های معتبر سازمان برای پنهان شدن میان ترافیک طبیعیبرای کاهش احتمال کشف:
سرعت انتقال را پایین تنظیم می‌کنندمقصدها را مرتب تغییر می‌دهندترافیک را در سرویس‌های مجاز embed می‌کنندبه همین دلیل است که بسیاری از خروج داده‌ها حتی از فایروال‌های پیشرفته عبور می‌کنند.
undefined این حمله از سمت چه کسانی انجام می‌شود؟Data Exfiltration توسط طیف گسترده‌ای از تهدیدکنندگان استفاده می‌شود:
🦠 گروه‌های باج‌افزار (برای Double Extortion)undefined گروه‌های APT و تیم‌های جاسوسیundefined مجرمان سایبری که داده‌های سرقت‌شده را می‌فروشندundefined نفوذگرانی که از دسترسی‌های واقعی سوءاستفاده می‌کننداین گروه‌ها معمولاً:
با credentialهای واقعی وارد می‌شونددر محیط‌های ابری پنهان می‌شونداز حرکت جانبی برای جمع‌آوری داده استفاده می‌کنندسازمان‌هایی که نیروی توزیع‌شده، دیتاسنترهای زیاد، یا مسیرهای Remote Access متعدد دارند، در این نوع حمله آسیب‌پذیرترند.
undefined چگونه جلوی Data Exfiltration را بگیریم؟دفاع مؤثر یعنی «محدود کردن دید مهاجم» و «پایش خروجی شبکه».
undefined 1. پیاده‌سازی Least Privilegeهر کاربر فقط باید به چیزی دسترسی داشته باشد که واقعاً نیاز دارد.
undefined 2. رمزگذاری داده‌های حساسحتی اگر مهاجم فایل را سرقت کرد، محتوای آن به‌راحتی قابل استفاده نباشد.
undefined 3. مانیتورینگ Outbound Trafficبرای تشخیص موارد غیرطبیعی مثل:
حجم‌های مشکوکارتباط با مقصدهای جدیدترافیک رمزگذاری‌شده ناشناسundefined 4. Segmentationمخازن مهم را از بقیه محیط جدا کن تا مهاجم نتواند آزادانه حرکت کند.
undefined 5. Behavioral Analyticsالگوهای زیر را تشخیص بده:
انتقال‌های کوچک اما مداومآپلودهای نامعمول به فضای ابریفشرده‌سازی ناگهانی حجم زیاد فایل‌هاundefined 6. Visibility کامل روی Endpoint + Cloudهرچه مهاجم کمتر دیده شود، موفق‌تر است.
هرچه سازمان مشاهده‌پذیری بیشتری داشته باشد، زودتر آلارم می‌گیرد.
undefined جمع‌بندیData Exfiltration معمولاً آخرین اقدام مهاجم و مهم‌ترین بخش حمله است.
این یعنی:
مهاجم وارد شدهداده‌ها را شناسایی کردهدسترسی‌های لازم را داردو اکنون آماده خروج آن‌هاست

undefinedundefined Join us undefinedundefinedundefinedundefined @soclib #Splunk #SplunkES #SOC #SIEM #RiskAnalysis #RiskBasedAlerting #CyberSecurity #آموزش_رایگان

۱۰:۴۹

thumbnail
undefined ویدئوی هفتم دوره آموزش رایگان Splunk ES 7.X منتشر شد
undefined User Intelligencehttps://www.aparat.com/v/pfeq42hدر این ویدئو روی یکی از مهم‌ترین جنبه‌های امنیت سازمانی تمرکز می‌کنیم: رفتار کاربران و هویت‌ها. یاد می‌گیریم چگونه با تحلیل فعالیت کاربران، الگوهای مشکوک و دسترسی‌های غیرعادی را شناسایی کنیم.
undefined اهداف این ویدئو:
undefined User Activity Analysisدرک مفاهیم تحلیل فعالیت کاربران و استفاده عملی از آن در Splunk ES
undefined Access Anomaliesشناسایی الگوهای دسترسی غیرعادی و مشکوک برای کشف رفتارهای مخرب یا نفوذهای داخلی
undefined Asset & Identity Conceptsآشنایی با مفاهیم Asset و Identity و نقش آن‌ها در همبستگی داده‌های امنیتی
undefined استفاده از Investigatorsتحلیل رویدادهای مرتبط با یک Asset یا Identity مشخص برای تسریع روند Investigation
undefined این ویدئو به شما کمک می‌کند تهدیداتی را شناسایی کنید که معمولاً از دید هشدارهای سنتی پنهان می‌مانند.
undefined دوره کاملاً رایگان و مناسب علاقه‌مندان به SOC، SIEM و Incident Response است.
undefined ویدئوی هفتم را ببینید و تحلیل رفتار کاربران را حرفه‌ای یاد بگیریدundefinedundefined Join us undefinedundefinedundefinedundefined @soclib #Splunk #SplunkES #SOC #SIEM #UserIntelligence #UBA #CyberSecurity #آموزش_رایگان

۹:۲۱

thumbnail
undefined تهدید شماره 3 سایبری: Session Hijacking (ربایش نشست)
بسیاری از ما از گزینه‌هایی مثل «Login with Google» یا ورود یک‌کلیکی استفاده می‌کنیم چون سریع و راحت‌اند. اما پشت این راحتی، یکی از خطرناک‌ترین تهدیدهای امنیتی مدرن پنهان شده است: ربایش نشست (Session Hijacking) undefined
در این نوع حمله، هکرها به‌جای دزدیدن رمز عبور، چیزی بسیار باارزش‌تر را سرقت می‌کنند: نشست احراز هویت‌شده شما. یعنی همان کوکی یا توکنی که بعد از لاگین، سیستم با آن شما را می‌شناسد. وقتی این توکن به دست مهاجم بیفتد، او دقیقاً مثل خود شما وارد حساب می‌شود — حتی اگر بعداً رمز عبورتان را تغییر دهید یا MFA فعال باشد! undefined
undefined Session Hijacking دقیقاً چیست؟
ربایش نشست زمانی رخ می‌دهد که مهاجم یک «اثر نشست» مثل Cookie، Token یا Session ID را سرقت کرده و دوباره استفاده می‌کند. از آنجایی که بیشتر سیستم‌ها به‌جای بررسی دوباره هویت، فقط معتبر بودن نشست را چک می‌کنند، مهاجم بدون هیچ لاگین جدیدی وارد سیستم می‌شود و تمام سطح دسترسی کاربر را به ارث می‌برد.
undefined این حمله چطور انجام می‌شود؟
هکرها از روش‌های مختلفی برای دزدیدن توکن استفاده می‌کنند؛ مثل تزریق اسکریپت مخرب در سایت‌های معتبر (XSS)، افزونه‌های آلوده مرورگر، شبکه‌های وای‌فای ناامن یا حتی لینک‌های فریبنده‌ای که کاربر را مجبور به افشای اطلاعات نشست می‌کنند. بعد از سرقت توکن، مهاجم آن را دوباره به سرویس هدف می‌فرستد و سیستم تصور می‌کند یک کاربر قانونی در حال فعالیت است. به همین دلیل، این حمله می‌تواند مدت‌ها بدون جلب توجه ادامه پیدا کند undefinedundefinedundefined
undefined چه سرویس‌هایی در خطر هستند؟
سرویس‌های ابری مثل Google Workspace، Office 365، پلتفرم‌های SaaS و پرتال‌های سازمانی اهداف اصلی این حملات‌اند؛ مخصوصاً سیستم‌هایی که نشست‌های طولانی‌مدت دارند یا احراز هویت مجدد را جدی نمی‌گیرند. جالب است بدانید توکن‌های دزدیده‌شده حتی در دارک‌مارکت‌ها خرید و فروش می‌شوند undefined
undefined چطور از خودمان محافظت کنیم؟
برای مقابله با Session Hijacking باید نشست را به‌اندازه رمز عبور جدی بگیریم. کوتاه کردن عمر توکن‌ها، اجبار به احراز هویت مجدد برای عملیات حساس، تنظیم امن کوکی‌ها، و بررسی رفتارهای غیرعادی مثل استفاده هم‌زمان از یک حساب در چند مکان مختلف، نقش کلیدی دارند. نظارت رفتاری و حاکمیت قوی روی هویت کاربران می‌تواند این تهدید را تا حد زیادی خنثی کند undefined


undefinedundefined Join us undefinedundefinedundefinedundefined @soclib #Splunk #SplunkES #SOC #SIEM #RiskAnalysis #RiskBasedAlerting #CyberSecurity #آموزش_رایگان

۹:۵۵

thumbnail
undefined قسمت هشتم دوره آموزش رایگان Splunk ES 7.X منتشر شدundefined Threat Intelligencehttps://aparat.com/v/ugezxsoدر این قسمت با چارچوب Threat Intelligence در Splunk ES آشنا می‌شویم و یاد می‌گیریم چگونه اطلاعات تهدیدات خارجی را به تحلیل‌های امنیتی عملی و قابل اقدام تبدیل کنیم.undefined اهداف این ویدئو:
undefined Threat Intelligence Framework در ESمرور ساختار Threat Intelligence و نحوه پیکربندی و مدیریت Threat Feedها در Splunk ESundefined Threat Activity Dashboardبررسی اینکه کدام منابع تهدید (Threat Sources) با محیط شما در تعامل هستند و چه ریسک‌هایی ایجاد می‌کنندundefined Threat Artifacts Dashboardتحلیل وضعیت IOCها شامل:IPDomainURLFile Hashو بررسی سلامت و به‌روزرسانی اطلاعات Threat Intelligence در محیطundefined این ویدئو کمک می‌کند تا دید پیش‌دستانه‌تری نسبت به تهدیدات داشته باشید و Detectionهای خود را هوشمندتر کنید.undefined این دوره کاملاً رایگان و مناسب علاقه‌مندان به SOC، SIEM و Cyber Threat Intelligence (CTI) است.undefined قسمت هشتم را ببینید و Threat Intelligence را به‌صورت عملی در ES پیاده‌سازی کنید#Splunk #SplunkES #SOC #SIEM #ThreatIntelligence #CTI #CyberSecurity #آموزش_رایگان

۱۳:۰۹

thumbnail
undefined تهدید سایبری شماره 4 : Watering Hole Attack (حمله گودال آب)
گاهی اوقات مهاجمان به‌جای اینکه مستقیم سراغ شما بیایند، صبورانه کمین می‌کنند تا ببینند دقیقاً کجا می‌روید. در حمله Watering Hole، هکرها به‌جای حمله به قربانیان، وب‌سایت‌های معتبر و پرمراجعه آن‌ها را آلوده می‌کنند؛ درست مثل شکارچی‌هایی که کنار گودال آب منتظر حیوانات می‌نشینند. همین موضوع باعث می‌شود کاربران، بدون هیچ نشانه مشکوکی، هدف حمله قرار بگیرند و تازه وقتی متوجه می‌شوند که کار از کار گذشته است undefinedundefined
undefined Watering Hole Attack چیست؟
در این روش، مهاجمان یک وب‌سایت کاملاً معتبر را که کاربران هدف همیشه به آن سر می‌زنند، هک و آلوده می‌کنند. به‌محض اینکه قربانی صفحه را باز می‌کند، کد مخرب در پس‌زمینه اجرا می‌شود و می‌تواند باعث نصب بدافزار، سرقت رمز عبور، ربایش نشست، خروج اطلاعات یا ایجاد دسترسی عمیق به شبکه سازمان شود.
قدرت این حمله در این است که از اعتماد کاربر به سایت معتبر سوءاستفاده می‌کند. مرورگر سایت را امن می‌داند، فایروال آن را تهدید نمی‌شناسد، و کاربر هم هیچ شکی نمی‌کند.
undefined این حمله چطور انجام می‌شود؟
هکرها ابتدا سایت‌هایی را شناسایی می‌کنند که هدف نمی‌تواند از آن‌ها دوری کند:
پرتال‌های فروشندگان، داشبوردهای شرکای تجاری، انجمن‌های تخصصی یا پورتال‌های صنفی.
سپس از طریق حفره‌های CMS، تزریق اسکریپت، یا اضافه کردن ریدایرکت‌های مخفی، سایت را آلوده می‌کنند. کاربر فقط صفحه را باز می‌کند و در همان لحظه:
• اسکریپت مخرب اجرا می‌شود
• فایل آلوده دانلود می‌شود
• یا قربانی به یک صفحه جعلی منتقل می‌شود
بدافزار می‌تواند ساده باشد (مثل Infostealer) یا پیچیده و چندمرحله‌ای با سوءاستفاده از Zero‑day ها. همه چیز در پشت پرده رخ می‌دهد و همین باعث پنهان‌کاری بی‌نظیر این حمله می‌شود undefined
undefined حمله از کجا می‌آید؟
Watering Hole معمولاً کار گروه‌های بسیار حرفه‌ای است:
• گروه‌های وابسته به دولت‌ها
• باندهای تبهکاری سازمان‌یافته
• مهاجمان زنجیره تأمین
بخش‌هایی مثل دولت، انرژی، دفاع، سلامت و مراکز تحقیقاتی بیشتر هدف قرار می‌گیرند، چون سایت‌هایی دارند که کاربران این صنایع مجبورند روزانه از آن‌ها استفاده کنند.
undefined چطور از خودمان محافظت کنیم؟
برای مقابله با Watering Hole باید فرض کنیم حتی سایت‌های معتبر هم ممکن است آلوده شوند. راهکارهای کلیدی شامل موارد زیر است:
• محدود کردن اجرای اسکریپت‌های خارجی در سیستم‌های حساس
• استفاده از Browser Isolation برای کاربران مهم
• جداسازی شبکه برای جلوگیری از پیشروی بدافزار
• پایش دقیق رفتار سایت‌ها: ریدایرکت‌های عجیب، دانلودهای غیرمنتظره، رفتارهای Beaconing
• تحلیل ترافیک وب با Threat Intelligence برای کشف دامنه‌های آلوده داخل صفحات معتبر
undefined جمع‌بندی
در این نوع حمله، هکرها سراغ شما نمی‌آیند؛ آن‌ها فقط «چاهی را که همیشه از آن آب می‌خورید مسموم می‌کنند». هرچه زودتر چاه آلوده شناسایی شود، قربانیان کمتری گرفتار می‌شوند.

undefinedundefined Join us undefinedundefinedundefinedundefined @soclib #Splunk #SplunkES #SOC #SIEM #RiskAnalysis #RiskBasedAlerting #CyberSecurity #آموزش_رایگان

۱۸:۱۴

در حال حاضر نمایش این پیام پشتیبانی نمی‌شود.