Splunk> Knowledge Base

01 Dec 2024 12:39

🔔ثبت نام دوره ES Splunk

🧑🏻‍🏫 مدرس : احمدرضا نوروزی

🗣محتوای دوره به صورت کلی :‌

۱. Getting Started with ES
۲. Security Monitoring and Incident Investigation
۳. Risk-Based Alerting
۴. Incident Investigation
۵. Installation
۶. Security Domain Dashboards
۷. User Intelligence
۸. Web Intelligence
۹. Threat Intelligence
۱۰. Protocol Intelligence
۱۱. Creating Correlation Searches
۱۲.Asset & Identity Management

✨جهت ثبت نام :

📱تلگرام : @Soorin_sec

☎️ شماره تماس :
+98 903 759 5594


تیم سورین

Splunk> Knowledge Base

13 Nov 2024 15:45

🔔ثبت نام دوره ES Splunk

🧑🏻‍🏫 مدرس : احمدرضا نوروزی

🗣️محتوای دوره به صورت کلی :‌

۱. Getting Started with ES
۲. Security Monitoring and Incident Investigation
۳. Risk-Based Alerting
۴. Incident Investigation
۵. Installation
۶. Security Domain Dashboards
۷. User Intelligence
۸. Web Intelligence
۹. Threat Intelligence
۱۰. Protocol Intelligence
۱۱. Creating Correlation Searches
۱۲.Asset & Identity Management

✨جهت ثبت نام :

📱تلگرام : @Soorin_sec

☎️ شماره تماس :
+98 903 759 5594


تیم سورین

Splunk> Knowledge Base

03 Nov 2024 09:26

📝چگونه تکه تکه شدن دستورات CMD مانع تشخیص و پاسخگویی می‌شود؟

درک اینکه چگونه کاراکترهای خاص و دستورات داخلی بر ثبت لاگ‌ها تأثیر می‌گذارند، برای تشخیص تهدیدات و تحلیل نفوذ مهم است. در این مقاله ، به بررسی مشکلات تکه تکه شدن دستورات خط فرمان و چگونگی منجر شدن آن به از دست دادن داده‌های حیاتی در تحقیقات پرداخته شده است .

🔍چرا حذف و تکه تکه شدن دستورات در تحقیقات مهم است؟
تکه تکه شدن دستورات خط فرمان می‌تواند به طور قابل توجهی بر اثربخشی نظارت امنیتی و پاسخ به حوادث تأثیر بگذارد:

1️⃣ لاگ‌های ناقص: دستورات تکه تکه شده می‌توانند منجر به لاگ‌های ناقص یا گم شده شوند و بازسازی اقدامات مهاجم را دشوار کنند.
2️⃣ از دست دادن نشانه‌های نفوذ: حذف دستورات داخلی از لاگ‌ها می‌تواند باعث شود که محققان مراحل حیاتی انجام شده توسط مهاجم، مانند فعالیت‌های آماده‌سازی یا سرقت داده، را نادیده بگیرند.
3️⃣ پنهان‌سازی فعالیت‌های مخرب: مهاجمان می‌توانند از این رفتار لاگ‌گیری برای پنهان کردن ردپای خود استفاده کنند و با استفاده از دستورات داخلی و کاراکترهای خاص، از ثبت کامل دستورات جلوگیری کنند.

ℹ️چگونه کاراکترهای خاص و دستورات داخلی بر لاگ‌گیری تأثیر می‌گذارند؟

هنگامی که از برخی کاراکترهای خاص در دستوراتی که از طریق CMD اجرا می‌شوند استفاده می‌شود، می‌توانند باعث تکه‌تکه شدن خط فرمان در لاگ‌های اجرای فرآیند (Event ID 4688) شوند. این تکه‌تکه شدن بر نحوه ثبت دستورات داخلی تأثیر می‌گذارد:

▫️دستورات با | (pipe ): دستورات داخلی به صورت جداگانه در لاگ‌ها ظاهر می‌شوند.
▫️دستورات با && یا &: دستورات داخلی ممکن است اصلاً در لاگ‌ها ظاهر نشوند وقتی که همراه با باینری‌های مستقل اجرا می‌شوند.

برای مثال :

echo "test" | whoami

echo "test" && whoami

Splunk> Knowledge Base

27 Oct 2024 15:05

👤ما در سورین به دنبال یک کارشناس منابع انسانی با انگیزه و پر انرژی هستیم تا به تیم پویای ما بپیوندد.

➕شرح شغل:
• توسعه و پیاده‌سازی استراتژی‌های منابع انسانی جهت حمایت از اهداف استراتژیک شرکت.
• نظارت و مدیریت فرآیند جذب و استخدام نیروی انسانی و نگه داشت نیرو.
• ارزیابی، پیاده سازی و بهبود فرآیندهای مدیریت عملکرد و توسعه کارکنان.
• تشکیل، رهبری و هدایت تیم منابع انسانی به منظور ارتقای بهره‌وری.
• مدیریت عملکرد و ارزیابی کارایی کارکنان.
• حفظ و تعالی فرهنگ سازمانی مثبت و پایبند به اصول اخلاقی.
• ارائه مشاوره به مدیران در زمینه مسائل منابع انسانی و قوانین کار.

👀شرایط احراز:

• مسلط به نرم‌افزارهای حضور و غیاب.
• توانایی رهبری و مدیریت موثر.
• مهارت‌های قوی در استعدادیابی و ارزیابی عملکرد.
• توانایی تفکر انتقادی و حل مسائل پیچیده.
• مهارت‌های استدلال کلامی و درک مطلب قوی.
• حداقل 3 سال سابقه کاری در موقعیت شغلی مشابه.

📦ارسال رزومه به :

لینکدین سورین یا آدرس ایمیل soorinsec.ir@gmail.com

تیم سورین

Splunk> Knowledge Base

27 Oct 2024 10:32

یک نمونه سند جانمایی سامانه hashtag#اسپلانک (مدل توزیع شده)

ویژگی های سند :
✔️ مدل طراحی Top-Down
✔️ سطح طراحی High Level Design
✔️ استفاده از آیکون های استاندارد اسپلانک
✔️ سادگی و خوانایی بالا

برگرفته شده از لینکدین : Hesam Hosseini

@splunk_kb

Splunk> Knowledge Base

20 Oct 2024 21:14

🔮آسیب پذیری های جدید اسپلانک 📢

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2024-45733
https://www.cve.org/CVERecord?id=CVE-2024-45732
https://www.cve.org/CVERecord?id=CVE-2024-45731

@splunk_kb

Splunk> Knowledge Base

29 Sep 2024 14:54

🧩 Splunk Use Cases

🔗 https://0xcybery.github.io/blog/Splunk+Use+Cases

#splunk #usecase
@splunk_kb

Splunk> Knowledge Base

22 Sep 2024 10:59

📖 ۳ روز تا برگزاری دوره جامع مانیتورینگ امنیتی 💻🔍

✔️سر فصل های دوره :
دوره جامع مانیتورینگ امنیتی 😎 🕵️‍♀️
سر فصل های دوره :

Module 1 - Security Monitoring Fundamentals
Module 2 - Windows Security Monitoring
Module 3 - Linux Security Monitoring
Module 4 - Network Security Monitoring
Module 5 - Advanced Detection and Analysis

👨‍🏫مدرس : Ali Ahangari

💬پیش نیاز دوره :

آشنایی با شبکه و سرویس ها
آشنایی اولیه با حملات شبکه و میزبان
آشنایی نسبی با لاگ و سنسورهای امنیتی
تیم سورین

Splunk> Knowledge Base

31 Aug 2024 12:38

👺 قابل توجه علاقه مندان به امنیت :

شرکت سورین جهت تکمیل تیم فنی مرکز عملیات امنیت (SOC)، به دنبال جذب همکاری با مشخصات ذیل میباشد:

💻نیازمندی‌ها

آشنایی با مفاهیم امنیت شبکه و سیستم عامل

آشنایی با مهمترین تهدیدات و حملات سایبری

آشنایی با لاگ تجهیزات امنیتی

آشنایی با حداقل یک SIEM

دارای روحیه کار تیمی و علاقه مند به یادگیری

حداقل یک سال سابقه کار مرتبط

🟡شرح شغلی

رصد و پایش رخداد های سایبری به صورت شیفتتی

گزارش نویسی(مستند سازی)

🟡مزایا

بیمه تکمیلی

پاداش سه ماهه

امکان اخذ امریه سربازی

محیط پویا و دانش محور

آموزش

تیم سورین

Splunk> Knowledge Base

30 Aug 2024 18:39

دوره جامع مانیتورینگ امنیتی 💻🔍

✔️سر فصل های دوره :
دوره جامع مانیتورینگ امنیتی 😎 🕵️‍♀️
سر فصل های دوره :

Module 1 - Security Monitoring Fundamentals
Module 2 - Windows Security Monitoring
Module 3 - Linux Security Monitoring
Module 4 - Network Security Monitoring
Module 5 - Advanced Detection and Analysis

👨‍🏫مدرس : Ali Ahangari

💬پیش نیاز دوره :

آشنایی با شبکه و سرویس ها
آشنایی اولیه با حملات شبکه و میزبان
آشنایی نسبی با لاگ و سنسورهای امنیتی

تیم سورین

Splunk> Knowledge Base

06 Aug 2024 14:36

👩‍💻در این مقاله، قصد دارم به یکی از تکنیک‌های پایداری (persistence) مهاجمان بپردازم که به آن‌ها امکان می‌دهد تا پس از نفوذ اولیه، حضور خود را در محیط هدف پایدار کنند. اگرچه اکثر SIEM‌ها با قوانین از پیش تعریف شده (predefined rules) قادر به شناسایی برخی از این تکنیک‌ها هستند (مثلاً با بررسی تغییرات در رجیستری)، اما برخی دیگر از این تکنیک‌ها به دلیل پیچیدگی یا نوظهور بودن، ممکن است از دید این سیستم‌ها پنهان بمانند.

💬برای مطالعه بیشتر ؛ لینکدین

#windows #persistance #AddMonitor
تیم سورین

Splunk> Knowledge Base

03 Aug 2024 09:52

📝Windows Terminal Tips, Tricks, and Productivity Hacks

#windows
تیم سورین

Splunk> Knowledge Base

28 Jul 2024 16:34

@splunk_kb
تیم سورین

Splunk> Knowledge Base

28 Jul 2024 09:40

👤Security lists for SOC/DFIR detections

👁 https://github.com/mthcht/awesome-lists

#SOC #DFIR
تیم سورین

Splunk> Knowledge Base

22 Jul 2024 11:55

🔠ابزار Web-Check - یک ابزار جهانی OSINT برای تجزیه و تحلیل هر وب سایت

وب چک اطلاعاتی در مورد آدرس IP، زنجیره SSL، سوابق DNS، کوکی ها، هدرها، اطلاعات دامنه، مکان سرور، میزبان های مرتبط ارائه می دهد.

با بیش از 30 چک پشتیبانی شده، می توانید فوراً اطلاعات کلیدی وب سایت را مشاهده و تجزیه و تحلیل کنید

این ابزار همچنین برای انجام تحقیقات OSINT و درک زیرساخت وب سایت و اقدامات امنیتی مفید است.

↘️ https://github.com/Lissy93/web-check
↘️ https://web-check.xyz/

#osint #tool
تیم سورین

Splunk> Knowledge Base

13 Nov 2024 15:45

محتوای دوره Enterprise Security به صورت جزئی تر 👆

جهت ثبت نام :

📱تلگرام : @Soorin_sec

☎️ شماره تماس :
+98 903 759 5594


تیم سورین

Splunk> Knowledge Base

09 Nov 2024 05:37

✅Technical Tip: Send Syslog over TLS to a rsyslog server

نحوه ارسال لاگ فوتی گیت رمز شده به اسپلانک

🌐https://community.fortinet.com/t5/FortiGate/Technical-Tip-Send-Syslog-over-TLS-to-a-rsyslog-server/ta-p/248101

#splunk #fg #fortigate

@splunk_kb

Splunk> Knowledge Base

02 Nov 2024 13:09

استخدام توسعه‌دهنده‌ی Frontend (Next.js, React.jd, Tailwind Css)

📝توضیحات شغلی:

ما به دنبال یک توسعه‌دهنده‌ی متخصص و خلاق در زمینه‌ی Frontend هستیم که تجربه‌ی کار با Next.js، React و Tailwind CSS را داشته باشد. اگر به دنبال فرصت‌های جدید و جذاب برای مشارکت در پروژه‌های پیشرو و چالش‌برانگیز هستید، ما مشتاق همکاری با شما هستیم!

✅مسئولیت‌ها:

توسعه و پیاده‌سازی رابط‌های کاربری واکنش‌گرا و جذاب با استفاده از Next.js و React
طراحی و توسعه رابط‌های کاربری خلاقانه و تمیز با استفاده از Tailwind CSS
آشنایی با رندرینگ سمت سرور (SSR) و تولید صفحات ایستا (SSG)
کار با REST API و توانایی استفاده از ابزارهایی مانند Postman
آشنایی با مفاهیم OOP، Clean Code و نگارش داکیومنت‌های پروژه
همکاری نزدیک با تیم طراحی و توسعه برای اجرای پروژه‌ها
پیاده‌سازی اصول و مفاهیم مدرن طراحی و برنامه‌نویسی
مهارت‌ها و توانمندی‌های مورد نیاز:
تجربه‌ی کاری قوی با React و Next.js
تسلط بر Tailwind CSS و مفاهیم طراحی واکنش‌گرا (Responsive Design)
آشنایی با مفاهیم State Management در React (مانند Redux، Context API )
توانایی حل مسئله و ارائه راه‌حل‌های خلاقانه
تجربه‌ی کار با Git و مدیریت پروژه‌های مبتنی بر سیستم‌های کنترل نسخه
توانایی کار تیمی و برقراری ارتباط موثر

✅مزایا:

محیط کاری پویا و دوستانه
فرصت‌های رشد و یادگیری مستمر
پروژه‌های چالش‌برانگیز و به‌روز

📍محدوده شرکت : جردن ، عاطفی غربی

📦ارسال رزومه به :

لینکدین سورین یا آدرس ایمیل soorinsec.ir@gmail.com

تیم سورین

Splunk> Knowledge Base

27 Oct 2024 12:54

😰شرکت سورین به دنبال یک کارشناس مجرب و با انگیزه در زمینه امنیت اطلاعات است تا به تیم زیر ساخت ما در مرکز عملیات امنیت (SOC) بپیوندد.

✈️ توانمندی های مورد نیاز:

- طراحی، پیاده‌سازی، مدیریت و نگهداری از کلاستر اسپلانک
- شناسایی و بهبود جستجوها و داشبوردهای موجود در اسپلانک
- استقرار و پیکربندی Splunk Universal Forwarder برای جمع‌آوری لاگ از سیستم‌های مختلف (لینوکس، ویندوز، سرویس‌های شبکه‌ای)
- عیب‌یابی و رفع مشکلات عملکردی و فنی در کلاستر اسپلانک
- آشنایی با Splunk Enterprise Security و UEBA و توانایی استفاده موثر از آن‌ها
- ایجاد مستندات فنی و عملیاتی مرتبط با فعالیت‌های انجام شده


😩ارسال رزومه به :

لینکدین سورین یا آدرس ایمیل soorinsec.ir@gmail.com

تیم سورین

Splunk> Knowledge Base

26 Oct 2024 16:57

🔔 قابل توجه علاقه مندان به امنیت :
​
👁‍🗨 شرکت سورین جهت تکمیل تیم فنی مرکز عملیات امنیت (SOC)، به دنبال جذب همکاری با مشخصات ذیل میباشد:

💻نیازمندی‌ها

آشنایی با مفاهیم امنیت شبکه و سیستم عامل
آشنایی با مهمترین تهدیدات و حملات سایبری
آشنایی با لاگ تجهیزات امنیتی
آشنایی با حداقل یک SIEM
دارای روحیه کار تیمی و علاقه مند به یادگیری
حداقل یک سال سابقه کار مرتبط

▫️شرح شغلی

رصد و پایش رخداد های سایبری به صورت شیفتی
گزارش نویسی(مستند سازی)

📃ارسال رزوومه به :

لینکدین سورین یا آدرس ایمیل soorinsec.ir@gmail.com



تیم سورین

Splunk> Knowledge Base

07 Oct 2024 11:44

📰 چک لیست نگهداشت اسپلانک

برای نگهداری و مدیریت سامانه‌های حیاتی مثل اسپلانک ، وجود چک‌لیست‌های مدون و کاربردی در سازمان می‌تواند از بروز مشکلات جلوگیری کرده و فرآیند نگهداشت سامانه را تسهیل کند.

🧩 برگرفته شده از لینکدین : Hesam Hosseini
#SOC #splunk
تیم سورین

Splunk> Knowledge Base

28 Sep 2024 14:36

🖥دموی جلسه اول کلاس Security Monitoring

👨‍🏫مدرس : مهندس علی آهنگری

تیم سورین

Splunk> Knowledge Base

05 Sep 2024 20:16

📖 یدونه اسکریپت نوشتم که هر 30ثانیه سرویس اسپلانک و پورت های مختلفش رو چک میکنه و اگه سرویس اسپلانک به هر دلیلی Down شده باشه 3بار سعی میکنه که سرویس رو Start کنه.
حداقلش برای خودم خیلی پیش اومده که با یک Rolling Restart ساده سرویس یکی از Nodeها بالا نیومده که فقط باید از Shell دوباره Start اش کرد. این اسکریپت به صورت سرویس بالا میاد و خودش اگه مشکل توی سطح OS نباشه سعی میکنه سرویس Splunk رو Start کنه و البته از همه مراحل هم لاگ میندازه.

🌐 https://github.com/Mohammad-Mirasadollahi/Splunk-Service-Auto-Recovery

🧩 بر گرفته شده از : لینکدین Mohammad Mirasadollahi
#splunk #splunkengineer
تیم سورین

Splunk> Knowledge Base

30 Aug 2024 18:39

کاتالوگ دوره جامع مانیتورینگ 📑
📝 در این کاتالوگ جزئیات بیشتری از دوره جامع مانیتورینگ امنیتی بررسی شده است .

تیم سورین

Splunk> Knowledge Base

08 Aug 2024 12:17

📖درک حملات و مانیتورینگ لاگ های SMTP

در این مقاله بررسی شده است که چگونه حملات SMTP (Simple Mail Transfer Protocol) یک تهدید مهم برای امنیت ایمیل هستند و از آسیب پذیری های ذاتی پروتکل سوء استفاده می کنند. درک انواع حملات SMTP و نحوه مانیتورینگ موثر بر لاگ های SMTP برای حفظ امنیت ایمیل بسیار مهم است.

🎰برای مطالعه بیشتر : [ لینکدین سورین ]

#smtp
تیم سورین

Splunk> Knowledge Base

04 Aug 2024 12:07

⚠️ هشدار امنیتی جدی برای کاربران JumpServer ⚠️

دو آسیب‌پذیری بحرانی با امتیاز 10 (CVE-2024-40628 و CVE-2024-40629) در JumpServer، یک راهکار PAM متن‌باز محبوب، کشف شده است. این آسیب‌پذیری‌ها می‌توانند به مهاجمان اجازه دهند تا به سیستم‌های شما نفوذ کرده و کنترل کامل آن‌ها را در دست بگیرند.

چرا این موضوع مهم است؟

ابزار JumpServer در ایران بسیار محبوب است: بسیاری از سازمان‌ها در ایران از JumpServer برای مدیریت دسترسی به سیستم‌های خود استفاده می‌کنند.
بسیاری از PAMهای بومی بر پایه JumpServer ساخته شده‌اند: این بدان معناست که این آسیب‌پذیری‌ها ممکن است در سایر راهکارهای PAM بومی نیز وجود داشته باشد.

اقدامات ضروری:

به‌روزرسانی فوری JumpServer: آخرین نسخه امنیتی JumpServer را دانلود و نصب کنید.
بررسی PAMهای بومی: اگر از PAMهای بومی استفاده می‌کنید، با توسعه‌دهندگان آن‌ها تماس بگیرید تا از رفع این آسیب‌پذیری‌ها اطمینان حاصل کنید.
نظارت بر سیستم‌ها: سیستم‌های خود را به دقت تحت نظر داشته باشید و به دنبال هرگونه فعالیت مشکوک باشید.

CVE-2024-40628: https://nvd.nist.gov/vuln/detail/CVE-2024-40628
CVE-2024-40629: https://nvd.nist.gov/vuln/detail/CVE-2024-40629

#cve #pam #JumpServer
تیم سورین

Splunk> Knowledge Base

31 Jul 2024 10:58

✨ معرفی CloudShark: ابزار تحلیل بسته‌های شبکه ✨

🦈 ابزار CloudShark یک پلتفرم آنلاین است که به شما این امکان را می‌دهد تا بدون نیاز به نرم‌افزار خاصی، تحلیل بسته‌های شبکه را از طریق مرورگر وب انجام دهید. این ابزار به شما اجازه می‌دهد تا فایل‌های PCAP را به سرعت و به راحتی از هر دستگاهی باز کنید، حتی از iPad یا Chromebook!

🦈ابزار CloudShark یک گزینه عالی برای کسانی است که به دنبال حل مشکلات شبکه و به اشتراک‌گذاری آموزش‌های مربوط به PCAP هستند. برای اطلاعات بیشتر و شروع استفاده، به وب‌سایت CloudShark مراجعه کنید!

#cloudshark #wireshark
تیم سورین

Splunk> Knowledge Base

28 Jul 2024 12:03

🛠 Adventures in Shellcode Obfuscation

This series of articles explores various methods for hiding shellcode, emphasizing techniques to avoid detection. The focus is on demonstrating diverse approaches to conceal shellcode.

این سری از مقالات، روش‌های مختلفی را برای پنهان کردن شل کد بررسی می‌کند و بر تکنیک‌هایی برای جلوگیری از شناسایی تأکید می‌کند. تمرکز بر نشان دادن رویکردهای متنوع برای پنهان کردن شل کد است.

🔗 Part 1: Overview
🔗 Part 2: Hail Caesar
🔗 Part 3: Encryption
🔗 Part 4: RC4 with a Twist
🔗 Part 5: Base64
🔗 Part 6: Two Array Method

تیم سورین
#shellcode #obfuscation #clang #maldev

Splunk> Knowledge Base

22 Jul 2024 15:40

⚠️Critical Splunk Vulnerability Exploited Using Crafted GET Commands

یک آسیب‌پذیری حیاتی در Splunk Enterprise با نام **CVE-2024-36991** را مورد بحث قرار می‌دهد. این آسیب‌پذیری یک path traversal flaw است که Splunk Enterprise را در سیستم‌های ویندوزی با Splunk Web فعال تحت تأثیر قرار می‌دهد.

1. ماهیت آسیب پذیری: این نقص به مهاجمان اجازه می دهد تا از سیستم فایل عبور کرده و به فایل ها یا دایرکتوری های خارج از دایرکتوری محدود دسترسی پیدا کنند. این به دلیل مشکلی در تابع os.path.join Python است.

2. شدت: امتیاز **CVSSv3 7.5** به آن داده شده است که نشان دهنده شدت بالا است.

3. نسخه های تحت تأثیر: نسخه های زیر 9.2.2، 9.1.5 و 9.0.10 Splunk Enterprise آسیب پذیر هستند.

4. بهره برداری : یک مهاجم می تواند با ارسال یک درخواست GET دستکاری شده به نسخه آسیب پذیر اسپلانک از این آسیب پذیری سوء استفاده کند که به طور بالقوه منجر به دسترسی غیرمجاز به فایل های حساس می شود.

⬅️به کاربران توصیه می شود به نسخه های ثابت (9.2.2، 9.1.5 و 9.0.10) ارتقا دهند یا Splunk Web را به عنوان راه حل غیرفعال کنند.


➡️https://cybersecuritynews.com/critical-splunk-vulnerability-cve-2024-36991-exploit/
➡️https://www.thehackerwire.com/cve-2024-36991-critical-windows-splunk-vulnerability-allows-unauthenticated-access-to-sensitive-files/

➡️ https://advisory.splunk.com/advisories/SVD-2024-0711

#cve #splunk
@splunk_kb
تیم سورین

Splunk> Knowledge Base

21 Jul 2024 11:53

📝 نحوه شناسایی ترافیک C2 در اسپلانک

@splunk_kb