سلام به همه دوستان با قسمت قسمت سوم از دوره جامع تهدیدیابی (Threat Hunting) با استفاده از Sysmon و Splunk درخدمتون هستم در این جلسه وارد فاز آمادهسازی محیط تحلیلی میشویم؛ جایی که پایههای یک SOC آزمایشگاهی را برای تحلیل واقعی لاگهای امنیتی پیریزی میکنیم.
🛠 آنچه در این جلسه انجام میدهیم:
-
نصب Splunk Enterprise بهعنوان موتور مرکزی جمعآوری و تحلیل لاگها
-
راهاندازی مجموعه دادهی شبیهسازیشده BOTSv1 (Boss of the SOC) برای تمرین روی سناریوهای واقعی حمله
-
نصب افزونههای ضروری Splunk شامل:
-
TA-Windows برای لاگهای امنیتی ویندوز
-
TA-Sysmon برای تفسیر لاگهای دقیق Sysmon
-
MITRE ATT&CK Add-on برای نگاشت تکنیکها و تاکتیکهای حمله به چارچوب MITRE
-
-
معرفی ساختار دادهها در BOTSv1 و نحوه دستهبندی آنها (کاربر، ماشین، رویداد، حمله)
...
🔍 گام نهایی این جلسه:
اولین شکار تهدید واقعی را با تشخیص تاکتیک Reconnaissance از چارچوب MITRE ATT&CK آغاز میکنیم. این تاکتیک شامل رفتارهای مهاجمان برای شناسایی سیستم، کاربران، شبکه، و خدمات هدف پیش از انجام حمله اصلی است.
در این قسمت با استفاده از کوئریهای SPL میآموزیم چگونه حملاتی نظیر:
|
شماره |
تکنیک |
زیرتکنیک |
توضیح |
مثالها |
|
1 |
Active Scanning |
T1595 |
اسکن فعال هدف برای کشف آسیبپذیریها و سرویسها |
ابزارهایی مانند nmap, masscan |
|
|
└─ Port Scanning |
T1595.002 |
شناسایی پورتهای باز سیستم |
اتصالات متوالی به چند پورت مختلف |
|
|
└─ Vulnerability Scanning |
T1595.003 |
بررسی آسیبپذیریهای شناختهشده روی سیستمها |
استفاده از Nessus, OpenVAS |
|
2 |
Gather Victim Network Info |
T1590 |
جمعآوری اطلاعات درباره شبکه هدف |
تحلیل زیرساخت شبکه |
|
|
└─ Domain Properties |
T1590.001 |
اطلاعات دامنه، TTL، رکوردهای DNS |
بررسی NS و MX رکوردها |
|
|
└─ DNS |
T1590.002 |
بررسی رکوردهای DNS |
dig, nslookup برای کشف subdomain |
|
|
└─ IP Addresses |
T1590.003 |
کشف آدرسهای IP داخلی یا خارجی |
logهای فایروال یا ردیابی DNS |
|
|
└─ Network Topology |
T1590.004 |
شناخت ساختار شبکه |
ابزار traceroute, netdiscover |
|
|
└─ Routing Policy |
T1590.005 |
بررسی مسیرها و سیاستهای روتینگ |
بررسی BGP, OSPF اطلاعات |
|
3 |
Gather Victim Identity Info |
T1589 |
کشف کاربران، ایمیلها و پروفایلها |
حملات spear phishing یا credential harvesting |
|
|
└─ Email Addresses |
T1589.002 |
جمعآوری ایمیل کاربران سازمان |
جستجوی ایمیلها در لیکها |
|
|
└─ Employee Names |
T1589.003 |
یافتن اسامی کارکنان |
LinkedIn, منابع انسانی سایت |
|
4 |
Gather Victim Org Info |
T1591 |
شناخت کلی از سازمان هدف |
ساختار، زیرمجموعهها، شرکای تجاری |
|
|
└─ Business Relationships |
T1591.002 |
بررسی شرکای تجاری یا ارتباطات سازمان |
اسناد عمومی یا سایت رسمی |
|
5 |
Search Open Websites/Domains |
T1592 |
جستجوی اطلاعات از منابع عمومی |
Google Hacking, Github, Pastebin |
|
|
└─ Code Repositories |
T1592.002 |
جستجو در GitHub یا GitLab برای اطلاعات حساس |
فاش شدن API key یا credential |
|
6 |
Search Victim-Owned Websites |
T1593 |
جستجو در وبسایتهای رسمی قربانی |
بررسی subdomainها، فرمها |
|
|
└─ Social Media |
T1593.002 |
بررسی حسابهای شبکه اجتماعی سازمان |
LinkedIn, Twitter برای اطلاعات کارکنان |
|
7 |
Search Engines |
T1594 |
استفاده از موتورهای جستجو برای کشف اطلاعات |
Google, Shodan, ZoomEye |
|
8 |
Gather Victim Host Info |
T1592 |
جمعآوری اطلاعات سیستمها |
نسخه سیستمعامل، نرمافزارهای نصب شده |
|
|
└─ Hardware, Software, Firmware |
T1592.001–003 |
کشف برند، نسخه سیستم عامل و نرمافزار |
Banner grabbing |
|
9 |
Phishing for Information |
T1598 |
فیشینگ برای استخراج اطلاعات |
ارسال ایمیل فیشینگ برای دریافت credential |
|
|
└─ Spearphishing Link |
T1598.003 |
لینک مخرب به صفحهی جعلی |
ارسال لینک جعلی لاگین |
|
10 |
Drive-by Compromise (as recon) |
T1189 |
استفاده از سایت آلوده برای کشف اطلاعات مرورگر یا سیستم |
بارگذاری اسکریپت شناسایی سیستم در وبسایت |
🧩 بخش اول: نصب و راهاندازی پیشنیازها
✅ 1. نصب Splunk Enterprise
-
از وبسایت رسمی splunk.com نسخه آزمایشی یا Enterprise Trial را دانلود و نصب کنید.
-
پس از نصب، به محیط تحت وب Splunk از طریق
http://localhost:8000وارد شوید.
✅ 2. نصب و راهاندازی BOTSv1 Dataset
BOTSv1 مجموعهای از لاگهای شبیهسازیشده حملات واقعی است که برای آموزش و تمرین تحلیلگران SOC طراحی شده.
مراحل:
-
از منوی Settings → Add APPدر Splunk، فایل APP ا را از طریق فایل یا دایرکتوری بارگذاری کنید.
🧩 بخش دوم: نصب افزونهها (Add-ons) برای Parsing بهتر لاگها
جهت استخراج و تفسیر دقیق فیلدهای لاگ (Field Extraction)، نیاز به نصب Add-onهایی داریم که با نوع دادهها همخوان باشند:
| Add-on | توضیح | لینک |
|---|---|---|
| Splunk Add-on | برای لاگهای امنیتی ویندوز (.......Security, Sysmon, Application) | Splunk-Apps-and-Addons-hellodigi |
بخش سوم: اولین شکار تهدید – تشخیص Reconnaissance در Splunk
🎯 هدف:
شناسایی فعالیتهای شناسایی و جمعآوری اطلاعات مهاجم در مرحله Reconnaissance از چرخه حمله (Kill Chain).
