دوباره سلام وعرض ادب با قسمت 4 دوره اموزش Threat Hunting با Splunk و Sysmon در خدمتون هستم در این بخش از دوره شکار تهدیدات (Threat Hunting)، به یکی از ابتداییترین و در عین حال حیاتیترین مراحل حملات سایبری میپردازیم: شناسایی فعال یا Active Scanning. این مرحله، بخشی از مرحله Reconnaissance در چارچوب MITRE ATT&CK بوده و با شناسه T1595 شناخته میشود.
مهاجمان پس از دسترسی اولیه به یک سیستم یا شبکه، اغلب به دنبال یافتن اهداف جدید، سرویسهای باز، یا سیستمهای آسیبپذیر هستند. آنها با استفاده از ابزارهایی مانند nmap ، masscan ، recon-ng و سایر ابزارهای شناسایی، تلاش میکنند توپولوژی شبکه را کشف کرده و مسیر حمله خود را برنامهریزی کنند.
معرفی قسمت چهارم: تشخیص اولین نشانههای اسکن شبکه با Splunk
در قسمت چهارم از دوره شکار تهدیدات با Splunk و Sysmon، شما با اولین روشهای شناسایی یکی از رایجترین فعالیتهای مهاجمان آشنا میشوید: اسکن شبکه (Network Scanning).
در این بخش یاد میگیریم چطور با استفاده از کوئریهای SPL در Splunk، رفتارهایی را شناسایی کنیم که نشان میدهند یک مهاجم ممکن است در حال اسکن IPهای داخل شبکه ما باشد تا اهداف احتمالی را پیدا کند.
مواردی که در این قسمت یاد میگیرید:
-
مفهوم اسکن شبکه (IP Sweep / Network Sweep)
-
نوشتن کوئری برای شناسایی IPهایی که به چندین سیستم مختلف در مدت کوتاه متصل شدهاند
-
بررسی لاگهای فایروال (مثل FortiGate) برای شناسایی رفتارهای مشکوک
-
شناسایی اسکنهای مجاز (allowed) یا ناموفق (denied)
-
تحلیل تعداد IP مقصد (
dc(dest_ip)) با استفاده ازstatsوwhere
این قسمت، نقطه شروع مهمی برای درک رفتار مهاجمان در مرحله Reconnaissance است و پایهای برای شکار تهدیدات پیشرفتهتر در ادامه دوره خواهد بود.
برای مشاهده کامل دوره آموزشی Threat Hunting با Splunk و Sysmon اینجا کلیک کنید
...
برای مشاهده کامل دوره آموزشی Threat Hunting با Splunk و Sysmon اینجا کلیک کنید
🧪 تمرین 1 – شناسایی IPهایی که به چندین مقصد متصل شدهاند (شبکهگردی یا Network Sweep)
🎯 هدف:
شناسایی آدرسهایی که در مدت زمان کوتاه به تعداد زیادی IP مقصد متصل شدهاند.
🔍 SPL:
index=fortigate_logs sourcetype="fgt_traffic" action=accept | stats dc(dstip) AS unique_targets values(dstip) AS targets BY srcip | where unique_targets > 20 | sort - unique_targets
✅ انتظار:
لیستی از IPهایی که بیش از 20 سیستم را در مدت کوتاه اسکن کردهاند.
🧪 تمرین 2 – شناسایی اسکن پورت از یک IP به یک سیستم
🎯 هدف:
شناسایی زمانی که یک IP سعی کرده پورتهای زیادی از یک سیستم خاص را بررسی کند.
🔍 SPL:
index=fortigate_logs sourcetype="fgt_traffic" action=accept | stats dc(dstport) AS port_count values(dstport) AS ports BY srcip dstip | where port_count > 20 | sort - port_count
✅ انتظار:
آیپیهایی که به بیش از 20 پورت از یک سیستم متصل شدهاند (احتمال port scan).
🧪 تمرین 3 – استفاده از فیلتر زمانی (مثلاً 5 دقیقه گذشته)
🎯 هدف:
افزایش دقت با محدود کردن به بازه زمانی کوتاه
🔍 SPL:
index=fortigate_logs sourcetype="fgt_traffic" action=accept earliest=-5m@m latest=now | stats dc(dstip) AS ip_count BY srcip | where ip_count > 15 | sort - ip_count
🧪 تمرین 4 – بررسی اسکن ناموفق (action=deny)
🎯 هدف:
اسکنهایی که توسط فایروال مسدود شدهاند
🔍 SPL:
spl index=fortigate_logs sourcetype="fgt_traffic" action=deny | stats dc(dstip) AS denied_targets BY srcip | where denied_targets > 10
