Pentest və SOC Cheat Sheet
  • Reconnaissance
  • Post-Explotation
    • Linux Post-Explotation
      • Linux Local Enumeration
      • Linux Privilege Escalation
      • Dumping and cracking hashes on Linux
      • Linux Persistence
    • Windows Post-Explotation
      • Windows Local Enumeration
      • Windows Privilege Escalation
      • Windows Persistence
  • Network Services Pentesting
    • 21-Pentesting FTP
    • 22-Pentesting SSH
    • 23-Pentesting Telnet
    • 53-Pentesting DNS
    • 25,465,587-Pentesting SMTP
    • 110,995-Pentesting POP
    • 139,445-Pentesting SMB
    • 3306-Pentesting MySQL
    • 3389-Pentesting RDP
    • 1433-Pentesting MSSQL-Microsoft SQL Server
    • 389,636,3268,3269-Pentesting LDAP
  • Web Pentesting
    • Broken Access Control
      • Praktiki nümunə
    • OS Command Injection
      • Praktiki nümunə
    • SQL Injection
      • Praktiki nümunə
    • Cross-Site-Scripting (XSS)
      • Praktiki nümunə
    • File Upload
      • Praktiki nümunə
    • Directory Traversal və Path Traversal
      • Praktiki nümunə
    • CSRF
    • XXE
    • Clickjacking
      • Praktiki nümunə
    • SSRF
      • Praktiki nümunə
    • JWT (Json Web Token)
      • Praktiki nümunə
    • Local&Remote File İnclusion
      • Praktiki nümunə
      • Local File inclusion ilə reverse shell almaq
    • 401&403 Bypass
    • Login Bypass
    • Open Redirect
    • Unicode Injection
    • Security Misconfiguration
    • CRLF injection
    • LDAP Injection
    • Cookies Hacking
    • Cross site WebSocket hijacking (CSWSH)
    • SSTI (Server Side Template Injection)
    • CSTI (Client Side Template Injection)
    • XSLT Server Side Injection (Extensible Stylesheet Languaje Transformations)
    • Registration & Takeover Vulnerabilities
    • Regular expression Denial of Service - ReDoS
    • Reset/Forgotten Password Bypass
    • SAML Hücumları
    • Reverse Tab Nabbing
    • Web Tool - WFuzz
    • XPATH enjeksiyonu
    • Server-Side Includes (SSI) Injection
    • Edge Side Inclusion Injection (ESII)
    • Race Condition
    • PostMessage
    • Parameter Pollution
    • Cache Poisoning and Cache Deception
    • Captcha Bypass
  • AD Pentesting
    • Domain Enumeration
      • PowerView ilə enumeration
      • AD Module ilə enumeration
      • BloodHound ilə enumeration
        • On Site BloodHound
      • Using Adalanche
        • Remote adalanche
      • Useful Enumeration Tools
    • Local Privilege Escalation
      • Useful Local Priv Esc Tools
      • UAC Bypass
    • Lateral Movement
      • Powershell Remoting
      • Mimikatz
      • Remote Desktop Protocol
      • URL File Attacks
      • Useful Tools
    • Domain Privilege Escalation
      • Kerberoast
      • ASREPRoast
      • Password Spray Attack
      • Force Set SPN
      • Abusing Shadow Copies
      • List and Decrypt Stored Credentials using Mimikatz
      • Unconstrained Delegation
      • Constrained Delegation
      • Resource Based Constrained Delegation
      • DNSAdmins Abuse
      • Abusing Active Directory-Integraded DNS (ADIDNS) poisoning
      • Abusing Backup Operators Group
      • SID History Abuse
      • Active Directory Certificate Services
    • Domain Persistence
      • Golden Ticket Attack
      • Silver Ticket Attack
      • Skeleton Key Attack
      • DSRM Abuse
      • DCsync Attack
    • Cross Forest Attacks
      • Trust Tickets
      • Abuse MSSQL Servers
      • Breaking Forest Trusts
  • SOC - Cheat Sheet
    • SOC Nədir?
    • SOC Komponentləri Nələrdir?
    • SOC Checklist
    • SIEM
      • Splunk Qurulması və Konfiqurasiyası
    • IDS/IPS
    • Firewall
    • Firewall qurulması və konfiqurasiyası
    • EDR/XDR
    • SOAR
    • Windows Commands for SOC analysts
      • GUI Programs in Windows
      • Event Viewer
      • Task Scheduler
      • Group Policy Editor
      • Device Manager
      • Task Manager
      • Registry Manager
    • Linux Commands for SOC analysts
    • LOLBAS Apps and Commands
      • Apps and Commands
Powered by GitBook
On this page
  • EDR nədir?
  • XDR nədir?
  • IoC nədir?
  • EDR/XDR necə işləyir?
  • EDR/XDR ilə işləyən SOC analitiklər üçün əsas commandlar

Was this helpful?

  1. SOC - Cheat Sheet

EDR/XDR

PreviousFirewall qurulması və konfiqurasiyasıNextSOAR

Last updated 1 year ago

Was this helpful?

EDR nədir?

Endpoint Detection and Response (EDR) fərdi kompüterlər, serverlər və ya mobil cihazlar kimi son nöqtə səviyyəsində təhlükəsizlik insidentlərinin müəyyən edilməsinə və azaldılmasına yönəlmiş kibertəhlükəsizlik həllidir. EDR alətləri potensial təhlükələri aşkar etmək və onlara cavab vermək üçün proseslər, davranışlar və kommunikasiyalar haqqında məlumat toplayan son nöqtə fəaliyyətlərini davamlı olaraq izləyir. Onlar zərərli fəaliyyətləri müəyyən etmək və real vaxt rejimində cavab vermək üçün qabaqcıl analitika, maşın öyrənməsi və təhdid kəşfiyyatından istifadə edirlər. EDR son nöqtəyə əsaslanan hücumları aşkar etmək və saxlamaq, bütün təhlükənin həyat dövrünə dair anlayışlar təqdim etməklə təşkilatın ümumi təhlükəsizlik vəziyyətini artırmaq üçün vacibdir. Onun imkanlarına təhlükə ovlamaq, insidentlərə cavab vermək və pozulmuş son nöqtələri tez bir zamanda təcrid etmək və ya bərpa etmək bacarığı daxildir.

XDR nədir?

Extended Detection and Response (XDR) ənənəvi Endpoint Detection and Response (EDR) çərçivəsindən kənara çıxan qabaqcıl kibertəhlükəsizlik yanaşmasıdır. XDR potensial təhdidlərin hərtərəfli görünüşünü təmin etmək üçün son nöqtələr, şəbəkələr və bulud mühitləri daxil olmaqla müxtəlif təhlükəsizlik həllərindən məlumatları birləşdirir və əlaqələndirir. Çoxsaylı mənbələrdən məlumatların toplanması və təhlili ilə XDR mürəkkəb və əlaqələndirilmiş kiberhücumlara qarşı aşkarlama və reaksiya imkanlarını artırır. O, bütün İT mühitində təhdidlərin aşkarlanması və cavab iş axınlarını sadələşdirmək üçün qabaqcıl analitika, süni intellekt və avtomatlaşdırmadan istifadə edir.

IoC nədir?

Kompromis göstəricisi (IOC) kiminsə təşkilatın şəbəkəsini və ya son nöqtəsini pozmuş ola biləcəyinə dair sübutdur. Bu məhkəmə məlumatları təkcə potensial təhlükəni göstərmir, həm də zərərli proqram, təhlükəyə məruz qalmış etimadnamələr və ya məlumatların çıxarılması kimi hücumun artıq baş verdiyini bildirir.

EDR/XDR necə işləyir?

Agent Yerləşdirmə:

EDR/XDR həlləri adətən fərdi son nöqtələrdə yüngül agentlərin yerləşdirilməsini nəzərdə tutur. Bu agentlər davamlı olaraq məlumat toplayır və mərkəzləşdirilmiş platformaya göndərirlər. Məlumatların toplanması:

Agentlər sistem qeydləri, şəbəkə fəaliyyəti, fayl dəyişiklikləri, proseslərin icrası və s. daxil olmaqla geniş məlumat spektrini toplayır. Bu məlumatlar son nöqtə davranışının ətraflı görünüşünü təmin edir.

Davranış təhlili:

EDR/XDR həlləri hər bir son nöqtə üçün normal davranışın əsasını yaratmaq üçün davranış analizi və maşın öyrənmə alqoritmlərindən istifadə edir. Bu bazadan kənarlaşmalar potensial təhlükəsizlik təhdidlərini göstərə bilər.

Təhlükənin aşkarlanması:

EDR/XDR həlləri məlum kompromis göstəriciləri (IoCs), şübhəli nümunələr və ya anomaliyalar üçün toplanmış məlumatları təhlil edərək təhdidləri aşkarlayır. Bura zərərli proqramların aşkarlanması, icazəsiz giriş və ya digər zərərli fəaliyyətlər daxil ola bilər.

SIEM ilə inteqrasiya:

EDR/XDR ilə işləyən SOC analitiklər üçün əsas commandlar

EDR/XDR həlləri tez-tez məlumatları bölüşmək və ümumi görünürlüğünü artırmaq üçün Təhlükəsizlik Məlumatı və Hadisə İdarəetmə (SIEM) sistemləri ilə inteqrasiya olunur. Bu inteqrasiya SOC analitiklərinə son nöqtə hadisələrini daha geniş təhlükəsizlik konteksti ilə əlaqələndirməyə imkan verir.

Endpoint Xəbərdarlıqlarını axtarın:

Analitiklər xüsusi endpoint bağlı xəbərdarlıqları və hadisələri axtarmaq üçün əmrlərdən istifadə edə bilərlər.

search endpoint="hostname" AND action="Alert"

Endpoint fəaliyyətini araşdırın:

Müəyyən bir müddət üçün müəyyən bir endpointdə ətraflı fəaliyyəti təhlil etmək.

investigate endpoint="hostname" timeRange="last 24 hours"

Quarantine endpoint (XDR):

XDR-də əmrlər təhlükələrin daha da yayılmasının qarşısını almaq üçün endpointi karantinə almaq və ya onu şəbəkədən təcrid etmək üçün istifadə edilə bilər.

quarantine endpoint="hostname"

Təhlükəsizlik Duruşunu yoxlayın:

Endpointlərin ümumi təhlükəsizlik vəziyyətini nəzərdən keçirmək, zəiflikləri və ya yanlış konfiqurasiyaları axtarmaq.

check security posture endpoint="hostname"

Endpoint qeydlərini nəzərdən keçirin:

Fayl dəyişiklikləri, proses icraları və şəbəkə əlaqələri daxil olmaqla endpoint fəaliyyətlərinin ətraflı qeydlərinə baxmaq üçün.

show logs endpoint="hostname"

Yeniləmə Agenti/Tərifləri:

Ən son təhdidlərdən qorunmaq üçün endpoint agentlərinin və təhdid təriflərinin müasir olmasını təmin edin.

update agent definitions

IoC-ləri axtarın:

Xüsusi Kompromis Göstəriciləri (IoCs) ilə əlaqəli son endpointləri müəyyən edin və araşdırın.

search IoC="malicious_file_hash"

Hadisəyə cavab verin:

Müəyyən endpointdə təhlükəsizlik hadisəsinə cavab vermək və onu aradan qaldırmaq üçün əmrləri yerinə yetirin.

respond incident="incident_ID" action="quarantine"