security

دوره آموزشی Threat Hunting با Splunk و Sysmon قسمت دوم (چگونه شکار کنیم؟)

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

 سلام وخسته نباشید با قسمت دوم دوره آموزشی Threat Hunting با Splunk و Sysmon قسمت دوم (چگونه شکار کنیم؟)  در خدمتون هستم امید اورم قسمت قبلی برای شما مفید بوده باشه در این بخش وارد قلب شکار تهدید می‌شویم. حالا نوبت آن است که بدانیم:

🎯 چگونه شکار کنیم؟ و چه چیزی را باید شکار کرد؟

در قسمت دوم این دوره، وارد دنیای واقعی شکار تهدید می‌شویم. دیگر فقط با نصب ابزارها و دریافت لاگ‌ها سروکار نداریم، بلکه یاد می‌گیریم چگونه مانند یک شکارچی حرفه‌ای فکر کنیم، فرضیه بسازیم، و رفتارهای مشکوک را در میان انبوهی از داده‌ها شناسایی کنیم.

در این جلسه:

🔸 با مفهوم واقعی Threat Hunting فراتر از هشدارها آشنا می‌شویم
🔸 یاد می‌گیریم چگونه تهدید را تعریف کنیم: چه چیزی باید شکار شود؟
🔸 تکنیک‌های پایه شکار در ویندوز و لینوکس را مرور می‌کنیم
🔸 با مهم‌ترین مهارت شکار تهدید – فرضیه‌سازی (Hypothesis Creation) آشنا می‌شویم
🔸 و برای اولین بار، ذهن‌مان را مانند یک مهاجم آموزش می‌دهیم تا بتوانیم تهدیدات پنهان را کشف کنیم

شکار تهدید یعنی کشف آن‌چه هشدار نمی‌دهد.

یعنی حرکت پیش‌دستانه به‌جای واکنش.
یعنی درک عمیق از رفتارهای سیستم، نه فقط دنبال‌کردن هشدارها.

اگر تا دیروز با هشدار حرکت می‌کردیم،
از این جلسه به بعد با حدس تحلیلی و فرضیه‌ی دقیق، شکار را شروع خواهیم کرد.

برای مشاهده کامل دوره آموزشی Threat Hunting با Splunk و Sysmon  اینجا کلیک کنید 

 

 

برای مشاهده کامل دوره آموزشی Threat Hunting با Splunk و Sysmon  اینجا کلیک کنید 

🧠 ۲. چگونه شکار کنیم؟ (روش‌شناسی شکار)

🔹 مراحل کلی شکار تهدید:

مرحله شرح
1. فرضیه‌سازی (Hypothesis) حدس هوشمندانه بر پایه تجربه، حملات اخیر، یا مدل ATT&CK
2. انتخاب داده مرتبط مثلاً بررسی Event ID 1 (process creation) در Sysmon
3. طراحی کوئری جستجو نوشتن SPL در Splunk برای کشف رفتار خاص
4. تحلیل یافته‌ها بررسی نتایج، تطبیق با فرضیه
5. تأیید یا رد فرضیه اگر تایید شد → به تیم IR اطلاع بده، اگر نه → اصلاح فرضیه


🧠 ۳. چه چیزی را شکار کنیم؟ (اهداف شکار)

در ویندوز:

  • اجرای powershell.exe -enc توسط Word یا Excel

  • اجرای PsExec یا Remote WMI

  • دسترسی به lsass.exe → احتمال credential dumping

  • فایل‌های Dropped مشکوک در %TEMP% یا C:\Users\Public

در لینوکس:

  • اجرای مخفی bash -i >& /dev/tcp/...

  • فعالیت در مسیرهای غیرعادی مثل /tmp/.x/

  • ایجاد cronjob توسط کاربران غیرسیستمی

  • لاگ SSH از IP مشکوک


🧪 ۴. فرضیه‌سازی (Hypothesis Creation) – قلب شکار تهدید

🎯 تعریف:

فرضیه‌سازی یعنی:
"من گمان می‌کنم فلان رفتار مشکوک ممکن است در شبکه ما اتفاق افتاده باشد، بیایید آن را بررسی کنیم."


✅ مثال‌های فرضیه واقعی:

سیستم فرضیه چرا منطقی است؟
ویندوز ممکن است مهاجم از Word با macro برای اجرای PowerShell استفاده کرده باشد. Phishing با فایل Word رایج‌ترین حمله اولیه است
لینوکس ممکن است مهاجم در پوشه /tmp یک اسکریپت مخرب برای reverse shell قرار داده باشد. مسیر /tmp در لینوکس جایی‌ست که معمولاً فایل‌های مخرب موقت ذخیره می‌شوند
هر دو ممکن است مهاجم با حساب کاربری معتبر اقدام به حرکت جانبی کرده باشد. Credential reuse یکی از تکنیک‌های رایج APTهاست


🔍 تمرین این جلسه:

  1. سه فرضیه برای محیط ویندوز بنویس

  2. یک فرضیه برای لینوکس طراحی کن

  3. داده مناسب برای بررسی آن فرضیه را مشخص کن (مثلاً Event ID یا مسیر لاگ)

  4. کوئری ساده Splunk برای فرضیه‌ات بنویس


✅ آماده شو برای جلسه بعد:

در قسمت سوم، یاد خواهی گرفت:

  • چگونه یک حمله را شبیه‌سازی کنی (Atomic Red Team)

  • و آن را با Sysmon + Splunk شکار کنی!

  • وارد دنیای واقعی شکار خواهیم شد...

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد