💎 شرکت گیلاس کامپیوتر به منظور تقویت واحد فنی و پشتیبانی خود، از متقاضیان واجد شرایط زیر ، دعوت به همکاری می نماید :

آشنایی با مفاهیم عمومی زیر ساخت شبکه
آشنایی با مفاهیم امنیت شبکه
آشنایی با سرویسهای عمومی شبکه
سابقه در زمینه نصب و پشتیبانی آنتی ویروس حداقل 2 سال
سابقه در زمینه نصب و پشتیبانی UTM و WAF حداقل 2 سال
آشنایی به زبان انگلیسی و توانایی درک مطلب متون تخصصی
لطفا رزومه های بروزرسانی شده ی خود را به [email protected] ارسال فرمایید.

@iranopensource🐧

💎 معرفی راهکار PatrOwl به عنوان یک راهکار CTI یا Cyber-Threat Intteligence

#PatrOwl #CTI
@iranopensource🐧

💎 معرفی راهکار PatrOwl به عنوان یک راهکار CTI

پلتفرم PatrOwl یک راهکار Open Source و البته Free که مبتنی بر لایسنس AGPL است، برای Orchestrating Security Operationsها از جمله موارد زیر مورد استفاده قرار می گیرد:
📌 Penetration testing
📌 Vulnerability Assessment
📌 Code review
📌 Compliance checks
📌 SOC & DFIR Operations
📌 و البته Cyber-Threat Intelligence (CTI) / Hunting

♻️ معماری PatrOwl

📍پتلفرم PatrOwl بطور کلی با استفاده زبان Python توسعه داده شده (و از Django برای ارتباطات backend و Flask برای engine خود استفاده می کند) است.

📍پلتفرم PatrOwl می تواند یک یا چند engine با نام PatrowlEngine داشته باشد که به یک رابط گرافیکی تحت وب به نام PatrowlManager متصل بوده و توسط آن مدیریت می شوند. علاوه بر دسترسی به اینترفیس گرافیکی PatrowlManager می توانید از طریق JSON-APIها نیز به آن دسترسی پیدا کنید ولی دسترسی به PatrowlEngine(ها) فقط از طریق JSON-APIها ممکن خواهد بود.

📍کامپوننت های این پلتفرم در background توسط سرویس های RabbitMQ و Celery با یکدیگر در ارتباط هستند. همچنین Front-end این پلتفرم بسیار شبیه به Incident Response Platformهایی همچون Splunk و TheHive است و جهت مدیریت assetها، بررسی ریسک ها به صورت real-time و orchestrate کردن عملیاتی همچون scanها، searchها، API callها و... مورد استفاده قرار می گیرد. همچنین قابلیت گزارش گیری را توسط داشبوردهای مختلف فراهم می کند.

📍 لازم به ذکر از PatrowlManager از پایگاه داده PosgreSQL جهت ذخیره سازی اطلاعات خود استفاده می کند.

♻️ پیشنیازهای نصب پلتفرم PatrOwl
جهت نصب و راه اندازی پلتفرم PatrOwl تنها نیاز به یک ماشین مجازی با حداقل مشخصات 4vCPU و 8GB RAM و 60GB disk خواهید داشت و می توانید این پتلفرم را بر روی توزیع های CentOS و Debian نصب نمایید. هر چند می توانید این پلتفرم را بر روی ماشین فیزیکی با مشخصات مشابه نیز نصب و راه اندازی کنید.

♻️ حداقل packageهای مورد نیاز جهت نصب PatrOwl
📌 PosgreSQL
📌 Git client
📌 Python3
📌 Python pip
📌 Python virtualenv
📌 RabbitMQ

🌐 در صورت تمایل جهت نصب پلتفرم PatrOwl به لینک زیر مراجعه نمایید:
https://github.com/Patrowl/PatrowlDocs/blob/master/installation/installation-guide.md

🌐 همچنین می توانید User Guide این پلتفرم را در آدرس زیر مطالعه فرمایید:
https://github.com/Patrowl/PatrowlDocs/blob/master/installation/user-guide.md

🌀 میثم ناظمی

@iranopensource🐧

💎 لیستی از مهمترین ابزارهای فارنزیک سایبری

#Forensic_Tools
@iranopensource🐧

💎 لیستی از مهمترین ابزارهای فارنزیک سایبری


سایت infosecinstitute در یک اقدام خوب تعداد 21 عدد نرم افزار و ابزار مناسب امورات فارنزیک رایانه ای را معرفی نموده است.

فارنزیک رایانه ای شاخه مهمی از دانش رایانه در رابطه با جرایم صورت گرفته در حوزه رایانه و اینترنت محسوب می گردد. در گذشته رایانه ها بیشتر در امر تولید داده ها مورد استفاده قرار می گرفتند. اما امروزه استفاده از رایانه ها به سایر تجهیزات و دستگاه های دیجیتالی گسترش پیدا کرده اند.

هدف از فارنزیک رایانه ای انجام تحقیقات با استفاده از اسناد و مدارک دیجیتالی جهت مشخص نمودن مجرمین و مسببین اعمال مجرمانه است.

به منظور انجام مطلوب تحقیقات، سازندگان و توسعه دهندگان نرم افزاری، ابزارهای زیادی را تولید نموده اند. آژانس های تحقیقاتی و مراکز و کارشناسان پلیس ابزارها و نرم افزارهای خود را برا اساس فاکتورهای مختلفی شامل قیمت و کیفیت این ابزار و نیز تخصص تیم های تحقیقاتی خود انتخاب می نمایند.


این ابزارها همچنین می تواند براساس فهرست های زیر تقسیم بندی می گردند.از جمله:



📌 Disk and data capture tools
📌 File viewers
📌 File analysis tools
📌 Registry analysis tools
📌 Internet analysis tools
📌 Email analysis tools
📌 Mobile devices analysis tools
📌 Mac OS analysis tools
📌 Network forensics tools
📌 Database forensics tools

در زیر لیست 21 نمونه از ابزارهای معروف در زمینه Forensic از دیدگاه سایت infosecinstitute آورده شده است:
1️⃣ Digital Forensics Framework
2️⃣ OCFA (Open Computer Forensics Architecture)
3️⃣ CAINE (Computer Aided Investigative Environment)
4️⃣ X-Ways Forensics
5️⃣ EnCase
6️⃣ Registry Recon
7️⃣ The Sleuth Kit
8️⃣ Llibforensics
9️⃣ Volatility
🔟 WindowsSCOPE
1️⃣1️⃣ The Coroner’s Toolkit
1️⃣2️⃣ Oxygen Forensic Suite
1️⃣3️⃣ Bulk Extractor
1️⃣4️⃣ Xplico
1️⃣5️⃣ Mandiant RedLine
1️⃣6️⃣ COFEE (Computer Online Forensic Evidence Extractor)
1️⃣7️⃣ P2 eXplorer
1️⃣8️⃣ PlainSight
1️⃣9️⃣ XRY
2️⃣0️⃣ HELIX3
2️⃣1️⃣ Cellebrite UFED

📕📒📗 در صورت تمایل بیشتر به یادگیری این ابزارها پیشنهاد میکنم مطالب دوره های زیر را مطالعه نمایید:
📌 EC-Council CHFI (Forensic)
📌 SANS FOR500 - Windows Forensic Analysis
📌 SANS FOR610 - Malware Analysis Tools and Techniques

🌐 لینک مطلب:
https://resources.infosecinstitute.com/computer-forensics-tools/

🌀 میثم ناظمی
@iranopensource🐧

💎 لینک گروه الماس
@Diamond_Security 💎
#radware_DDoS_Handbook
@iranopensource🐧

💎 لینک گروه الماس
@Diamond_Security 💎
#DDoS_Testing_Methodlogy
@iranopensource🐧

💎 لینک گروه الماس
@Diamond_Security 💎
💎 بروشور معرفی تجهیزات DDoS Protection شرکت Huawei
@iranopensource🐧

💎 لینک گروه الماس
@Diamond_Security 💎
#Distributed_Denial_of_Service_DDoS
@iranopensource🐧

بی اعتقادی یک نیروی مخرب است.
فکری که ایمانش را از دست داده یا گرفتار شک شده است، پی دلائلی می گردد تا دودلی خود را توجیه کند.
مسبب بسیاری از شکست ها، بی اعتقادی، عدم اطمینان، گرایش ناخودآگاه به شکست و نداشتن رغبت چندان به پیروزی است.
کافی است تردید به خود راه دهید تا شکست بخورید و به پیروزی بیندیشید تا مؤفق شوید.

کتاب جادوی فکر بزرگ
نوشته دیوید جوزف شوارتز

@iranopensource🐧

⭕️ خبر (بدون شرح!!!)

💎منظور از SOAR و UEBA در NG-SIEMها چیست؟

#NGSIEM #UEBA #SOAR
@iranopensource🐧

💎 منظور از SOAR و UEBA در NG-SIEMها چیست؟

بطور کلی با رشد تکنولوژی SIEMها نیز به عنوان قلب تپنده SOCها رشد کرده اند و امروز شاهد نسلی جدید از آنها تحت عنوان Next-Generation SIEMها یا به اختصار NG-SIEMها هستیم که با عنوان Modern SIEMها نیز شناخته می شوند.

مهمتریم ویژگی هایی که یک Modern SIEM می بایست دارای آنها باشد، عبارتند از:
1️⃣ Collect and manage data from all available sources
2️⃣ Well-vetted, big data architecture
3️⃣ Flat pricing for log ingestion
4️⃣ Enrichment of user and asset context
5️⃣ User and Entity Behavior Analysis (UEBA) ✅
6️⃣ Automated tracking of lateral movement
7️⃣ Improved security information model
8️⃣ Prebuilt incident timelines
9️⃣ Incident prioritization
🔟 Security orchestration and automation response (SOAR) ✅


در این بین به دو ویژگی UEBA و SOAR در NG-SIEMها می پردازیم:

♻️ قابلیت UEBA یا آنالیز رفتاری رویداد کاربر

در واقع یک Modern SIEM رفتارهای پایه ای را از طریق مکانیزم های Machine Learning (یادگیری ماشین)، Statistical Analysis (آنایز آماری) و Behavioral Modeling (مدلسازی رفتاری) که به UEBA اشاره می کند، انجام می دهد. UEBA به رفتار نرمال دسترسی دارد و می تواند risk scoreهایی را به فعالیت ها و رفتارهای غیر نرمال در یک بازه زمانی خاص assign کند. برای مثال، اگر شما کاربری دارید که معمولاً logهای مربوط به آن را از آمریکا دریافت می کنید و حالا logهای آن را از طریق چین برای اولین بار می آیند، چنین anomalyی ممکن است نشان ای از حمله ای که در حال اجراست باشد.
بطور کلی ‌SIEMهای پیشرفته با استفاده‌ حداکثری از هوش مصنوعی یا AI و تکنیک‌های پیچیده‌ یادگیری برای بررسی الگوی رفتاری انسان‌ها، از قوانین و ارتباط‌ها فراتر می‌ روند. این قابلیت به شناسایی تهدیدهای داخلی، حمله‌های هدف‌دار و کلاهبرداری‌ها کمک می‌کند.

♻️ قابلیت SOAR یا هماهنگ‌سازی و خودکارسازیِ امنیت

در واقع NG-SIEMها با سیستم‌های سازمانی و پاسخگویی خودکار به حوادث ادغام می‌شوند. مثلاً ممکن است SIEM هشداری برای باج‌افزار دریافت کند و قبل از این که مهاجم‌ها بتوانند داده‌ها را رمزگذاری کنند، به ‌صورت اتوماتیک اقدامات مهارسازی را روی سیستم‌های آلوده اجرایی نمایند. بنابراین SOCهای پیشرفته می‌توانند با هماهنگ‌سازی سیستم‌های امنیتی، که به عنوان SOAR‌ شناخته می‌شود، به‌ صورت خودکار به حوادث واکنش نشان دهند.

بطور کلی کاربرد دو واژه Orchestration و Automation در SEIM Vendorها با هم متفاوت هستند که در اصطلاح SOAR نیز آورده شده اند.
⭕️ منظور از Orchestration:
📌 پیاده سازی Connectorهای از پیش ساخته شده در زیرساخت امنیتی و IT سازمان شما بدون اینکه خودتان آنها را script کنید، است.
📌 همچنین pull/push کردن اطلاعات به/از سیستم مدیریتی دسترسی شما، فایروال ها، ایمیل سرورها، کنترلرهای دسترسی به شبکه و دیگر ابزارهای مدیریتی است.

⭕️منظور از Automation:
📌استفاده از response playbookها جهت کدگذاری بهترین روش پاسخگویی به انواع تهدیدات مشخص است.
📌 فراهم کردن workflow automationها بر بالای ساختار Orchestration شماست.
📌 فعالسازی قابلیت threat response automation ضمن کاهش خستگی پرسنل
📌 توانایی کنترل تمامی ابزارهای شما از یک مکان (از یک نقطه)

🌐 جهت تمایل به کسب اطلاعات بیشتر مطالعه مستند Definitive Guide to SOAR، نوشته Crystal Bedell، منتشر شده توسط CyberEdge Group, LLC. و LogRhythm را پیشنهاد می کنم.
https://www.intelligentcio.com/me/wp-content/uploads/sites/12/2019/01/definitive-guide-to-soar.pdf

🌐 همچنین جهت آشنایی بیشتر با قابلیت UEBA نیز مستندات مربوط به Splunk و LogRhythm را مطالعه فرمایید:
https://www.splunk.com/pdfs/technical-briefs/using-splunk-user-behavior-analytics.pdf

https://www.splunk.com/pdfs/product-briefs/splunk-uba.pdf

https://www.splunk.com/pdfs/technical-briefs/using-splunk-uba-to-detect-insider-threats.pdf

https://logrhythm.com/pdfs/datasheets/logrhythm-ueba-product-overview.pdf

🌀 میثم ناظمی
@iranopensource🐧

یک بار از توماس ادیسون سوال شد پس از بیست و پنج هزار بار کوشش بی نتیجه برای ساختن باتری، نسبت به شکست چه احساسی دارد.
پاسخ او برای همه ی ما دارای اهمیت است:
"شکست؟ من ابدا شکست نخورده ام، حالا بیست و پنج هزار طریقه را میشناسم که نمی توان باتری ساخت!

کتاب زنده باد خودم
نوشته وین دایر

@iranopensource🐧