- وبلاگ مرکز اوتیسم جواهرات
- اوراق قرضه ایالات متحده محافظت شده از تورم تجمع کرده است اما همه داستان را خریداری نمی کنند
- خطوط و پیش بینی های ریاضی فارکس
- الگوی صخره ای Hikkake - نحوه ضرب و شتم بازار
- 3 ستون عملکرد تجارت
- 5 راه برای رشد تجارت خود در دنیای Covid-19
- برنامه مربی و کارشناسی ارشد Okex Beacon برای ایجاد فرصت های شغلی در بخش رمزنگاری
- تورنتو آبی جیز در مدیریت بار کار هارون سانچز خلاق است و پارچ را به کلاس یک Dunedin ارسال می کند
- معاملات را بالا ببرید معاملات را بالا ببرید معاملات
- سایه طولانی در شمع تأیید برک آوت
آخرین مطالب
امکانات وب
در این نسخه چیزهای زیادی وجود داشت (همانطور که در اینجا مشاهده می کنید) ، اما من می خواستم به چند ویژگی و پیشینه آنها اشاره کنم. حتی اگر شما یک کاربر تریاژ سایبری نیستید ، ممکن است برخی از انگیزه های ویژگی های جالب را پیدا کنید.
سه مضمونی که ما در اینجا به آن توجه خواهیم کرد عبارتند از:
- یافتن فرآیندهای مخرب سریعتر
- صادر کردن شاخص های بیشتر برای به اشتراک گذاری اطلاعات
- افزودن ویژگی های حساب سیستم عامل بیشتر برای آسانتر کردن حساب های غیر عادی
می توانید آخرین نسخه را از اینجا بارگیری کنید.
فرایندهای مخرب را سریعتر پیدا کنید
چرا لازم است
مهاجمان دائماً از اشکال جدید نرم افزار مخرب برای کنترل سیستم ها استفاده می کنند. نرم افزار مخرب می تواند ابزار رمزگذاری باج افزار ، یک لودر بدافزار مانند QBOT یا یک پشتی باشد. پیدا کردن فرآیندهای مخرب که اخیراً انجام شده برای بررسی و درک یک نفوذ ضروری است. این می تواند چالش برانگیز باشد زیرا مهاجم در تلاش است تا در آن مخلوط شود و ممکن است این روند دقیقاً هنگام اجرای مجموعه اجرا نشود.
چه کار کردیم
در آخرین نسخهما چندین تغییر اضافه کردیم تا به شما در یافتن سریعتر این فرایندها کمک کنیم:
- ما تجربه کاربر را ساده کردیم و اکنون یک بخش واحد داریم که شامل فرآیند در حال اجرا و فرآیندهای تاریخی (آنچه ما برای اجرای برنامه دوم استفاده می کردیم). این بدان معنی است که می توانید به جای دو نفر در یک مکان نگاه کنید و اطلاعات همپوشانی را مشاهده نکنید.
- ما رابط را تغییر دادیم تا بیشتر از یک رابط جستجو مانند با فیلتر قدرتمندتر باشد. این به شما امکان می دهد تا سریعتر فرایندهای استاندارد را نادیده بگیرید و روی ناهنجاری ها تمرکز کنید.
- ما یک ناوبری درخت اضافه کردیم تا به شما امکان دهد هنگام اجرای ابزار مجموعه ، درخت فرآیندها را طی کنید (اگر از ابزار مجموعه ما استفاده نکردید ، این ویژگی کار نمی کند).
همه این ویژگی ها اطمینان می دهند که می توانید سریعتر روی فرآیندهای غیر عادی تمرکز کنید.
نحوه استفاده از آن
بعد از اینکه داده ها را با استفاده از روش های جمع آوری بیشمار ما به تریاژ سایبری اضافه کردید ، می توانید به دنبال فرآیندهای مخرب در زیر مورد "فرآیند" در سمت چپ باشید. بسته به آنچه در حال حاضر به دنبال آن هستید ، از تنظیمات مختلف استفاده خواهید کرد.
اگر می خواهید ابتدا روی فرآیندهای مشخص شده به عنوان بد یا مشکوک تمرکز کنید ، می توانید این کار را از میزهای "موارد بد" یا "موارد مشکوک" در بالا انجام دهید. یا می توانید با انتخاب "فیلتر فرآیندهای بد و مشکوک" ، همان نتیجه اساسی را بدست آورید:
یا شاید شما می خواهید روی آنچه در 24 ساعت قبل از مجموعه اجرا شد ، تمرکز کنید. می توانید فیلتر "تاریخ اجرا" را اعمال کرده و "1 روز" را انتخاب کنید. از آنجا که فیلترهای پیش فرض پرونده هایی را که با نتیجه خوب اسکن بدافزار باز می گردند ، پنهان می کند ، تعداد کمی از فرآیند برای تمرکز روی آنها وجود دارد.
اگر می خواهید یک لیست جامع تر ببینید ، شاید برای دیدن اینکه آیا از ابزارهای زمینی استفاده شده است ، می توانید آن را انتخاب کنید و سپس ورودی های بسیاری را ببینید:
همچنین می توانید در 30 روز گذشته به ندرت بیشترین فرآیندها را انجام دهید. برای انجام این کار ، فیلتر تاریخ را تغییر داده و با "تعداد نمونه ، افزایش" مرتب کنید. ستون سمت راست تعداد دفعات راه اندازی شده را دارد.
اگر تا به حال مجموعه ای از مثبت های کاذب را برای فرآیندی که از یک مسیر غیر استاندارد خارج می شود یا با برخی از الگوی Badlist دیگر مطابقت دارد ، روبرو شده اید ، همیشه می توانید بر روی گروه کلیک راست کرده و همه آنها را به خوبی علامت گذاری کنید.
صادرات و غنی سازی شاخص های بیشتر
چرا لازم است
پاسخ دهندگان برای دفاع به طور کامل از یک شبکه و دانستن دامنه آن ، باید داده ها را از تریاژ سایبری و به برنامه های دیگر دریافت کنند. از ابزارهایی مانند فایروال ها و سیستم های تشخیص شبکه جلوگیری کنید و باید بدانند که IP ها برای مسدود کردن و تشخیص آن کدامند. سیستم های شکار باید مقادیر هش را برای نرم افزار مخرب بدانند. یادگیری آنچه در یک سیستم اتفاق افتاده است ، فقط شروع کامل رفع مشکلات است.
چه کار کردیم
در حال حاضر ماژول های گزارش بیشتری برای خروجی داده ها از تریاژ سایبری وجود دارد. به ویژه:
- تمام پرونده های بد در ZIP: این ماژول تمام پرونده هایی را که به عنوان بد ، اغلب از طریق تجزیه و تحلیل بدافزار به دست آمده ، صادر می کند. آنها در یک فایل زیپ قرار می گیرند که دارای رمز عبور "آلوده" است. می توانید از این کار برای انجام تجزیه و تحلیل بیشتر و به اشتراک گذاشتن با متخصصان مهندسی معکوس استفاده کنید.
- تمام IP ها به عنوان متن: این ماژول تمام آدرس های IP مرتبط با میزبان را صادر می کند. این شامل مواردی است که مستقیماً به آنها ارجاع شده و IP هایی که از نام میزبان برطرف شده اند.
- تمام پرونده های پرونده SHA-256 به عنوان متن: این ماژول تمام هش های SHA-256 از پرونده های جمع آوری شده را صادر می کند تا بتوانید نتایج را برای غنی سازی و همبستگی در سایر سیستم های امنیتی ادغام کنید.
نحوه استفاده از آن
به سادگی به داشبورد بروید و یکی از گزارش ها را از پایین آمدن انتخاب کنید. این امر باعث می شود که شما در کجا می توانید گزارش را ذخیره کنید.
بررسی بیشتر حساب سیستم عامل
چرا لازم است
هنگام تجزیه و تحلیل انواع مختلف میزبان ، به بسیاری از انواع حساب های سیستم عامل مراجعه خواهید کرد. همه آنها به تحقیقات شما مربوط نمی شوند. مثلا:
- کنترل کننده های دامنه برای حساب هایی که به سهم پرونده آن دسترسی داشتند ، به حساب های مربوط به پرونده های خود مراجعه می کنند ، اما دسترسی تعاملی ندارند.
- هر رایانه ای می تواند برای ورود به سیستم های ناموفق در هنگام وجود کاربری وجود داشته باشد ، چه از یک اشتباه و چه از حمله بی رحمانه.
- سیاهههای مربوط به رویداد می توانند برای حساب های کاربری که قبلاً وجود داشتند ، داشته باشند ، اما دیگر در رجیستری انجام نمی دهند.
این نوع مدخل ها می توانند برای تحقیقاتی که متمرکز بر کسانی است که دسترسی ورود به سیستم تعاملی به میزبان داشته باشند ، بی ربط باشند. اما ، می تواند در سناریوهای دیگر مرتبط باشد.
برای انجام یک تحقیق کارآمد ، مهم است که پاسخ دهنده را بر روی چه نوع ورودی های حساب سیستم عامل نشان دهید.
چه کار کردیم
در آخرین نسخه ، ما دو زمینه را برای حساب های سیستم عامل تغییر دادیم و سپس UI را تغییر دادیم.
- در صورت ورود به این رویداد ، حساب ها می توانند وضعیت "غیر موجود" داشته باشند. سایر زمینه های وضعیت شامل "فعال" و "معلول" است.
- نوع حساب قبلی "استنباط" برای جلوگیری از سردرگمی به "ناشناخته" تغییر نام داده است. انواع دیگر شامل "منظم" و "خدمات" است. ما قبلاً از اصطلاح "استنباط" استفاده کردیم که دیدیم به یک حساب کاربری وجود دارد ، اما ما مطمئن نبودیم که این نوع چیست.
هم اکنون هر دو زمینه فیلترهای مناسبی در UI دارند.
به طور پیش فرض ، تریاژ سایبری کاربران غیر موجود را پنهان می کند ، اما حساب های ناشناخته را نشان می دهد.
نحوه استفاده از آن
به قسمت "حساب ها" رابط بروید و شروع به بررسی آنچه در حساب ها در سیستم TEH منابع دارد.
- اگر در یک کنترلر دامنه هستید و ورودی های زیادی را مشاهده می کنید و می خواهید روی کسانی که دارای گزارش های تعاملی هستند تمرکز کنید ، سپس فیلتر را انتخاب کنید تا حساب های خود را با "دسترسی به پرونده یا سرویس" نشان دهید.
- اگر می خواهید ببینید که چه نوع از ورود به سیستم های بی رحمانه ناکام تلاش شده است ، گزینه "غیر موجود" را بردارید و انواع اقدامات مشاهده شده را انتخاب کنید.
- اگر می خواهید فقط روی حسابهای موجود در سیستم در زمان جمع آوری متمرکز شوید ، می توانید "معمولی" را برای نوع و "تعاملی" برای اقدامات انتخاب کنید.
امتحانش کن
هر روز ، ما سخت تلاش می کنیم تا تحقیقات شما را سریعتر و آسان تر کنیم. آخرین نسخه را بارگیری کنید تا آن را با یک ارزیابی 7 روزه رایگان امتحان کنید.
در خبرنامه تریاژ سایبری مشترک شوید
در خبرنامه ماهانه ما مشترک ترین نکات عملی ، تاکتیکی و به موقع DFIR مورد نیاز شما در 10 دقیقه یا کمتر است.
مربوط
- نسخه 3. 5 - ادغام آثار باستانی ، مشاهده پرونده های منبع و سیاهههای غیر عادی
- تحلیلی تحقیقات حساب کاربری را آسان تر می کند
ما را در سایت فارکس کاران ایران دنبال می کنید
برچسب :
نویسنده : ديناروند فهيمه
بازدید : 34
