System Monitor (Sysmon) – Windows tizim xizmati va qurilma drayveri bo‘lib, tizim qayta yuklanishlari davomida ishlashni davom ettiradi va Windows event logga tizim faoliyatini kuzatib, qayd qiladi. Sysmon jarayon yaratilishi, tarmoq ulanishlari, fayl yaratilish vaqtidagi o‘zgarishlar va boshqa ko‘p narsalar haqida batafsil ma’lumot beradi.
Sysmon’ning asosiy tarkibiy qismlari quyidagilardan iborat:
- Tizim faoliyatini kuzatish uchun Windows xizmati.
- Tizim faoliyati ma’lumotlarini yig‘ishda yordam beruvchi qurilma drayveri.
- Kuzatilgan faoliyat ma’lumotlarini ko‘rsatish uchun event log.
Sysmon’ning noyob imkoniyati shundaki, u odatda Security Event loglarda paydo bo‘lmaydigan ma’lumotlarni qayd qilish imkonini beradi, bu esa uni tizimni chuqur kuzatish va kiberxavfsizlik bo‘yicha sud ekspertizasi (Forensic) tahlili uchun kuchli vositaga aylantiradi.
Sysmon turli xil tizim faoliyatlarini event ID'lar orqali tasniflaydi, har bir ID ma’lum bir event turiga mos keladi. Masalan, Event ID 1 "Process Creation" (jarayon yaratilishi) eventlariga, Event ID 3 esa "Network Connection" (tarmoq ulanishi) eventlariga tegishli. Sysmon event ID'larining to‘liq ro‘yxatini quyidagi link orqali topishingiz mumkin.
https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
Sysmon configuration file: https://github.com/SwiftOnSecurity/sysmon-config
Sysmon For Linux: https://github.com/microsoft/SysmonForLinux
#BlueTeam #Log_Analyse #Sysmon
Sysmon’ning asosiy tarkibiy qismlari quyidagilardan iborat:
- Tizim faoliyatini kuzatish uchun Windows xizmati.
- Tizim faoliyati ma’lumotlarini yig‘ishda yordam beruvchi qurilma drayveri.
- Kuzatilgan faoliyat ma’lumotlarini ko‘rsatish uchun event log.
Sysmon’ning noyob imkoniyati shundaki, u odatda Security Event loglarda paydo bo‘lmaydigan ma’lumotlarni qayd qilish imkonini beradi, bu esa uni tizimni chuqur kuzatish va kiberxavfsizlik bo‘yicha sud ekspertizasi (Forensic) tahlili uchun kuchli vositaga aylantiradi.
Sysmon turli xil tizim faoliyatlarini event ID'lar orqali tasniflaydi, har bir ID ma’lum bir event turiga mos keladi. Masalan, Event ID 1 "Process Creation" (jarayon yaratilishi) eventlariga, Event ID 3 esa "Network Connection" (tarmoq ulanishi) eventlariga tegishli. Sysmon event ID'larining to‘liq ro‘yxatini quyidagi link orqali topishingiz mumkin.
https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
Sysmon configuration file: https://github.com/SwiftOnSecurity/sysmon-config
Sysmon For Linux: https://github.com/microsoft/SysmonForLinux
#BlueTeam #Log_Analyse #Sysmon
Docs
Sysmon - Sysinternals
Monitors and reports key system activity via the Windows event log.
👍2🔥1
SIEM Nima?
SIEM (Security Information and Event Management) — bu xavfsizlik yechimi bo'lib, xavfsizlik ma'lumotlarini va voqealarni (Event) boshqarishni birlashtiradi. Bu tizim atrof-muhitda voqealarni real vaqt rejimida yozib olishni o'z ichiga oladi. Voqealarni yozib olishning asosiy maqsadi — xavfsizlik tahdidlarini aniqlashdir.
SIEM mahsulotlarida ko'plab xususiyatlar mavjud. Bizni eng ko'p qiziqtiradigan xususiyatlar — ma'lumotlarni yig'ish (log) va filtrlash, shuningdek, shubhali voqealar uchun ogohlantirishlarni taqdim etishdir.
Example:
Agar biror kishi Windows operatsion tizimida 10 soniya ichida 20 marta noto'g'ri parolni kiritishga urinsa, bu shubhali faoliyat hisoblanadi. Parolni unutgan kishi shuncha qisqa vaqt ichida shuncha marta noto'g'ri parolni kiritishga urinish ehtimoli past. Shu sababli, biz bunday faoliyatni aniqlash uchun SIEM qoidasi(rules)/filtr yaratamiz, agar bunday holat yuz bersa, ogohlantirish (alert) yaratiladi.
#BlueTeam #SIEM #SOC
SIEM (Security Information and Event Management) — bu xavfsizlik yechimi bo'lib, xavfsizlik ma'lumotlarini va voqealarni (Event) boshqarishni birlashtiradi. Bu tizim atrof-muhitda voqealarni real vaqt rejimida yozib olishni o'z ichiga oladi. Voqealarni yozib olishning asosiy maqsadi — xavfsizlik tahdidlarini aniqlashdir.
SIEM mahsulotlarida ko'plab xususiyatlar mavjud. Bizni eng ko'p qiziqtiradigan xususiyatlar — ma'lumotlarni yig'ish (log) va filtrlash, shuningdek, shubhali voqealar uchun ogohlantirishlarni taqdim etishdir.
Example:
Agar biror kishi Windows operatsion tizimida 10 soniya ichida 20 marta noto'g'ri parolni kiritishga urinsa, bu shubhali faoliyat hisoblanadi. Parolni unutgan kishi shuncha qisqa vaqt ichida shuncha marta noto'g'ri parolni kiritishga urinish ehtimoli past. Shu sababli, biz bunday faoliyatni aniqlash uchun SIEM qoidasi(rules)/filtr yaratamiz, agar bunday holat yuz bersa, ogohlantirish (alert) yaratiladi.
#BlueTeam #SIEM #SOC
👍1
SOAR (Security Orchestration Automation and Response)
SOAR — bu Security Orchestration Automation and Response iborasining qisqartmasi bo‘lib, muhitdagi xavfsizlik mahsulotlari va vositalarini bir-biri bilan integratsiyalashga imkon beradi. Bu SOC jamoasi a'zolarining vazifalarini soddalashtiradi. Masalan, SOAR SIEM alertidagi manba IP-ni VirusTotal orqali avtomatik ravishda tekshiradi va bu orqali SOC tahlilchisi ish yukini kamaytiradi.
Sanoatda keng qo‘llaniladigan ba'zi SOAR mahsulotlari:
Splunk Phantom
IBM Resilient
Logsign
Demisto
#BlueTeam #SOC #SOAR
SOAR — bu Security Orchestration Automation and Response iborasining qisqartmasi bo‘lib, muhitdagi xavfsizlik mahsulotlari va vositalarini bir-biri bilan integratsiyalashga imkon beradi. Bu SOC jamoasi a'zolarining vazifalarini soddalashtiradi. Masalan, SOAR SIEM alertidagi manba IP-ni VirusTotal orqali avtomatik ravishda tekshiradi va bu orqali SOC tahlilchisi ish yukini kamaytiradi.
Sanoatda keng qo‘llaniladigan ba'zi SOAR mahsulotlari:
Splunk Phantom
IBM Resilient
Logsign
Demisto
#BlueTeam #SOC #SOAR
Centralization (Kerakli hamma narsa uchun yagona platforma)
SOAR turli xavfsizlik vositalarini (sandbox, loglarni boshqarish, uchinchi tomon vositalari va boshqalar) birlashtiruvchi yagona dasturiy ta'minotni taqdim etadi. Ushbu vositalar SOAR yechimiga integratsiya qilinadi va bitta platformada ishlatilishi mumkin.
Playbooks
SOAR ichida turli vaziyatlar uchun yaratilgan playbooklar yordamida SIEM alertlarini osonlikcha tekshirishingiz mumkin. Agar barcha jarayonlarni bilmasangiz yoki eslay olmasangiz ham, playbooklarda ko‘rsatilgan bosqichlarni bajarib, tahlilni amalga oshirishingiz mumkin.
#BlueTeam #SOC #SOAR
SOAR turli xavfsizlik vositalarini (sandbox, loglarni boshqarish, uchinchi tomon vositalari va boshqalar) birlashtiruvchi yagona dasturiy ta'minotni taqdim etadi. Ushbu vositalar SOAR yechimiga integratsiya qilinadi va bitta platformada ishlatilishi mumkin.
Playbooks
SOAR ichida turli vaziyatlar uchun yaratilgan playbooklar yordamida SIEM alertlarini osonlikcha tekshirishingiz mumkin. Agar barcha jarayonlarni bilmasangiz yoki eslay olmasangiz ham, playbooklarda ko‘rsatilgan bosqichlarni bajarib, tahlilni amalga oshirishingiz mumkin.
#BlueTeam #SOC #SOAR
LeakIX — это мощная платформа для поиска и мониторинга утечек данных, которая активно используется специалистами по информационной безопасности и OSINT-исследователями
https://leakix.net/
#OSINT #TOOLS #LEAKIX
https://leakix.net/
#OSINT #TOOLS #LEAKIX
29 Addresses to Analyze Malware Faster
Anlyz
Any.run
Comodo Valkyrie
Cuckoo
Hybrid Analysis
Intezer Analyze
SecondWrite Malware Deepview
Jevereg
IObit Cloud
BinaryGuard
BitBlaze
SandDroid
Joe Sandbox
AMAaaS
IRIS-H
Gatewatcher Intelligence
Hatching Triage
InQuest Labs
Manalyzer
SandBlast Analysis
SNDBOX
firmware
opswat
virusade
virustotal
malware config
malware hunter team
virscan
jotti
#BlueTeam #Malware #Analys
Anlyz
Any.run
Comodo Valkyrie
Cuckoo
Hybrid Analysis
Intezer Analyze
SecondWrite Malware Deepview
Jevereg
IObit Cloud
BinaryGuard
BitBlaze
SandDroid
Joe Sandbox
AMAaaS
IRIS-H
Gatewatcher Intelligence
Hatching Triage
InQuest Labs
Manalyzer
SandBlast Analysis
SNDBOX
firmware
opswat
virusade
virustotal
malware config
malware hunter team
virscan
jotti
#BlueTeam #Malware #Analys
👍3
Registrlar Windows operatsion tizimlarida ma'lumot saqlash uchun ishlatiladigan ierarxik ma'lumotlar bazalaridir. Ularni hujumchilar ma'lumot o'g'irlash va davomiylikni ta'minlash kabi maqsadlarda ishlatishadi.
Windows operatsion tizimi ishga tushirilganda ishlashi kerak bo'lgan dasturlarni ba'zi registr kalitlarida saqlaydi. Hujumchilar operatsion tizimning bu xususiyatidan foydalanib, o'z zararli dasturlarini bu registr kalitlariga qo'shib, davomiylikni ta'minlashni reja qiladilar.
Ba'zi registr kalitlari quyidagilar:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Registrlar normal jarayonlar tomonidan ham ko'p ishlatiladi, shuning uchun ayniqsa zararli dastur(Malware) jarayonlari tomonidan qilingan registr o'zgarishlarini tekshirish kerak.
Zararli dastur registrlarga qilgan o'zgarishlarini aniqlash uchun Regshot nomli dasturdan foydalanishingiz mumkin.
https://sourceforge.net/projects/regshot/
#BlueTeam #SOC #Regedit
Windows operatsion tizimi ishga tushirilganda ishlashi kerak bo'lgan dasturlarni ba'zi registr kalitlarida saqlaydi. Hujumchilar operatsion tizimning bu xususiyatidan foydalanib, o'z zararli dasturlarini bu registr kalitlariga qo'shib, davomiylikni ta'minlashni reja qiladilar.
Ba'zi registr kalitlari quyidagilar:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Registrlar normal jarayonlar tomonidan ham ko'p ishlatiladi, shuning uchun ayniqsa zararli dastur(Malware) jarayonlari tomonidan qilingan registr o'zgarishlarini tekshirish kerak.
Zararli dastur registrlarga qilgan o'zgarishlarini aniqlash uchun Regshot nomli dasturdan foydalanishingiz mumkin.
https://sourceforge.net/projects/regshot/
#BlueTeam #SOC #Regedit
SourceForge
regshot
Download regshot for free. Regshot is an open-source (LGPL) registry compare utility that allows you to quickly take a snapshot of your registry and then compare it with a second one - done after doing system changes or installing a new software product.
Windowsda Startup nomli katalog mavjud. Malware o'zini davomiy ravishda avtomatik ishga tushishini ta'minlash uchun, o'zini Startup katalogiga ham nusxalashi mumkin. Ushbu kataloglarda bajarilgan faoliyatlarga e'tibor qaratish kerak.
Ushbu kataloglarga kirish uchun "Win + R" tugmalarini bosib, keyin quyidagi komandalarni yozishingiz mumkin:
shell:startup
shell:common startup
#BlueTeam #Dynamic_Malware_Analys #Startup
Ushbu kataloglarga kirish uchun "Win + R" tugmalarini bosib, keyin quyidagi komandalarni yozishingiz mumkin:
shell:startup
shell:common startup
#BlueTeam #Dynamic_Malware_Analys #Startup
https://docs.remnux.org/install-distro/get-virtual-appliance
Secure sandbox environment REMnux for Dynamic Malware Analys
#BlueTeam #Malware #Analys #Sandbox
Secure sandbox environment REMnux for Dynamic Malware Analys
#BlueTeam #Malware #Analys #Sandbox
🔥2
Oletools — bu MS OLE2 fayllarini (Structured Storage, Compound File Binary Format) va MS Office hujjatlarini tahlil qilish uchun Python vositalari to‘plami bo‘lib, u zararli dasturlarni tahlil qilish, forensika va debugging uchun ishlatiladi.
https://github.com/decalage2/oletools?tab=readme-ov-file
#BlueTeam #Malware #Analys
https://github.com/decalage2/oletools?tab=readme-ov-file
#BlueTeam #Malware #Analys
AnalyticsRelationships - Discover related domains and subdomains through Google Analytics IDs!
How it works:
- Extract Google Analytics IDs from a webpage.
- Query services like BuiltWith and HackerTarget to find domains and subdomains associated with those IDs.
- A simple yet effective tool for OSINT and reconnaissance!
🔗 Get the tool here: https://github.com/Josue87/AnalyticsRelationships
How it works:
- Extract Google Analytics IDs from a webpage.
- Query services like BuiltWith and HackerTarget to find domains and subdomains associated with those IDs.
- A simple yet effective tool for OSINT and reconnaissance!
🔗 Get the tool here: https://github.com/Josue87/AnalyticsRelationships