سلام وخسته نباشید در این قسمت، تمرکز ما بر روی شناسایی تلاش مهاجم برای جمع‌آوری اطلاعات هویتی قربانی مانند نام کاربران، ایمیل‌ها، اعتبارنامه‌ها و نقش‌های سازمانی خواهد بود. این اطلاعات اغلب برای فازهای بعدی مانند Brute Force، Phishing، و Lateral Movement مورد سوءاستفاده قرار می‌گیرند.

برای مشاهده کامل دوره آموزشی Threat Hunting با Splunk و Sysmon  اینجا کلیک کنید 

برای مشاهده کامل دوره آموزشی Threat Hunting با Splunk و Sysmon  اینجا کلیک کنید 

بررسی لاگ‌های Zeek DNS و HTTP برای دسترسی به صفحاتadmin
فرض: مهاجم از طریق مرورگر در حال بررسی آدرس‌های پورتال ایمیل سازمان است.

بررسی لاگ‌های Zeek DNS و HTTP برای دسترسی به صفحات ایمیل یا OWA

فرض: مهاجم از طریق مرورگر در حال بررسی آدرس‌های پورتال ایمیل سازمان است.

index=zeek sourcetype=zeek:http | search uri_path="*/owa/*" OR uri_path="*/mail/*" | stats count by id.orig_h, uri_path, host

در این قسمت یاد گرفتیم که چگونه تلاش برای جمع‌آوری اطلاعات هویتی کاربر را از طریق لاگ‌های مختلف شناسایی کنیم. با استفاده از  stream و تحلیل فرآیندها، اتصالات شبکه و دسترسی‌ها می‌توان فرضیه‌هایی ساخت و رفتار مهاجم را در همان مراحل اولیه کشف کرد.