در دنیای امروز که حملات سایبری هر روز پیچیدهتر و پنهانکارانهتر میشوند، دیگر نمیتوان تنها با تکیه بر هشدارهای خودکار از سازمان دفاع کرد. ابزارهای سنتی مانند آنتیویروس یا حتی SIEMها، تنها بخشی از حمله را میبینند و دقیقاً همینجاست که نقش Threat Hunting معنا پیدا میکند. تهدیدیابی (Threat Hunting) یعنی جستجوی فعالانه، هوشمندانه و مبتنی بر فرضیه برای کشف تهدیداتی که از چشم سیستمهای خودکار پنهان ماندهاند. در این دوره، با ترکیب قدرت ابزار SIEM حرفهای Splunk و دادههای دقیق رفتاری Sysmon، یاد میگیریم چطور تهدیدات پنهان را درون شبکه شناسایی کنیم، مسیر حمله را تحلیل کرده و حتی قبل از فعال شدن یک تهدید، آن را مهار کنیم
آنچه در این دوره خواهید آموخت:
مبانی و تفاوتهای Hunting، Detection و Investigation
معماری صحیح شکار تهدید در SOC
تحلیل دقیق رفتارهای مشکوک با Sysmon
ایجاد فرضیه شکار و پیادهسازی آن در Splunk
طراحی سناریوهای حمله و شکار عملی و در نهایت
افزایش توان تحلیلگر برای کشف تهدیدات واقعی این دوره مناسب کارشناسان SOC، تحلیلگران امنیت، مدیران امنیت اطلاعات و علاقهمندان به امنیت پیشرفته است که میخواهند از یک سطح هشدار ساده، به سطح کشف تهدیدات واقعی و ناشناخته برسند.
اهداف این جلسه:
آشنایی با مفاهیم پایه Threat Hunting
درک تفاوت Detection، Investigation و Hunting
معرفی معماری کلی محیط شکار تهدید اهمیت Threat Hunting در Incident Response نقش آن در کشف دامنه پنهان حمله
آماده شو برای قسمت دوم: در جلسه بعدی میپردازیم به:
ساخت فرضیه در Threat Hunting استفاده از MITRE ATTCK
اولین کوئریهای شکار: بررسی اجرای مشکوک PowerShell در Splunk
..
