Pentest və SOC Cheat Sheet
  • Reconnaissance
  • Post-Explotation
    • Linux Post-Explotation
      • Linux Local Enumeration
      • Linux Privilege Escalation
      • Dumping and cracking hashes on Linux
      • Linux Persistence
    • Windows Post-Explotation
      • Windows Local Enumeration
      • Windows Privilege Escalation
      • Windows Persistence
  • Network Services Pentesting
    • 21-Pentesting FTP
    • 22-Pentesting SSH
    • 23-Pentesting Telnet
    • 53-Pentesting DNS
    • 25,465,587-Pentesting SMTP
    • 110,995-Pentesting POP
    • 139,445-Pentesting SMB
    • 3306-Pentesting MySQL
    • 3389-Pentesting RDP
    • 1433-Pentesting MSSQL-Microsoft SQL Server
    • 389,636,3268,3269-Pentesting LDAP
  • Web Pentesting
    • Broken Access Control
      • Praktiki nümunə
    • OS Command Injection
      • Praktiki nümunə
    • SQL Injection
      • Praktiki nümunə
    • Cross-Site-Scripting (XSS)
      • Praktiki nümunə
    • File Upload
      • Praktiki nümunə
    • Directory Traversal və Path Traversal
      • Praktiki nümunə
    • CSRF
    • XXE
    • Clickjacking
      • Praktiki nümunə
    • SSRF
      • Praktiki nümunə
    • JWT (Json Web Token)
      • Praktiki nümunə
    • Local&Remote File İnclusion
      • Praktiki nümunə
      • Local File inclusion ilə reverse shell almaq
    • 401&403 Bypass
    • Login Bypass
    • Open Redirect
    • Unicode Injection
    • Security Misconfiguration
    • CRLF injection
    • LDAP Injection
    • Cookies Hacking
    • Cross site WebSocket hijacking (CSWSH)
    • SSTI (Server Side Template Injection)
    • CSTI (Client Side Template Injection)
    • XSLT Server Side Injection (Extensible Stylesheet Languaje Transformations)
    • Registration & Takeover Vulnerabilities
    • Regular expression Denial of Service - ReDoS
    • Reset/Forgotten Password Bypass
    • SAML Hücumları
    • Reverse Tab Nabbing
    • Web Tool - WFuzz
    • XPATH enjeksiyonu
    • Server-Side Includes (SSI) Injection
    • Edge Side Inclusion Injection (ESII)
    • Race Condition
    • PostMessage
    • Parameter Pollution
    • Cache Poisoning and Cache Deception
    • Captcha Bypass
  • AD Pentesting
    • Domain Enumeration
      • PowerView ilə enumeration
      • AD Module ilə enumeration
      • BloodHound ilə enumeration
        • On Site BloodHound
      • Using Adalanche
        • Remote adalanche
      • Useful Enumeration Tools
    • Local Privilege Escalation
      • Useful Local Priv Esc Tools
      • UAC Bypass
    • Lateral Movement
      • Powershell Remoting
      • Mimikatz
      • Remote Desktop Protocol
      • URL File Attacks
      • Useful Tools
    • Domain Privilege Escalation
      • Kerberoast
      • ASREPRoast
      • Password Spray Attack
      • Force Set SPN
      • Abusing Shadow Copies
      • List and Decrypt Stored Credentials using Mimikatz
      • Unconstrained Delegation
      • Constrained Delegation
      • Resource Based Constrained Delegation
      • DNSAdmins Abuse
      • Abusing Active Directory-Integraded DNS (ADIDNS) poisoning
      • Abusing Backup Operators Group
      • SID History Abuse
      • Active Directory Certificate Services
    • Domain Persistence
      • Golden Ticket Attack
      • Silver Ticket Attack
      • Skeleton Key Attack
      • DSRM Abuse
      • DCsync Attack
    • Cross Forest Attacks
      • Trust Tickets
      • Abuse MSSQL Servers
      • Breaking Forest Trusts
  • SOC - Cheat Sheet
    • SOC Nədir?
    • SOC Komponentləri Nələrdir?
    • SOC Checklist
    • SIEM
      • Splunk Qurulması və Konfiqurasiyası
    • IDS/IPS
    • Firewall
    • Firewall qurulması və konfiqurasiyası
    • EDR/XDR
    • SOAR
    • Windows Commands for SOC analysts
      • GUI Programs in Windows
      • Event Viewer
      • Task Scheduler
      • Group Policy Editor
      • Device Manager
      • Task Manager
      • Registry Manager
    • Linux Commands for SOC analysts
    • LOLBAS Apps and Commands
      • Apps and Commands
Powered by GitBook
On this page
  • SIEM necə işləyir?
  • SİEM mühitində SOC analitikləri üçün əsas command-lar!

Was this helpful?

  1. SOC - Cheat Sheet

SIEM

PreviousSOC ChecklistNextSplunk Qurulması və Konfiqurasiyası

Last updated 1 year ago

Was this helpful?

Təhlükəsizlik məlumatı və hadisələrin idarə edilməsi (SIEM) müəssisələr üçün təhlükəsizlik təhdidlərini proaktiv şəkildə müəyyən etmək, idarə etmək və zərərsizləşdirmək üçün vacibdir. SIEM həlli kibertəhlükəsizlik təhdidlərini aşkar etmək, yoxlamaq və onlara qarşı mübarizə aparmaq üçün hadisələrin korrelyasiyası, süni intellektə əsaslanan anomaliyaların aşkarlanması və maşın öyrənməsi ilə dəstəklənən istifadəçi və qurum davranış analitikası (UEBA) kimi mexanizmlərdən istifadə edir. Bu imkanlar SIEM sistemlərinə real vaxt rejimində təhlükəsizlik xəbərdarlığı verməyə və təşkilatın insidentlərə tez və effektiv cavab vermək qabiliyyətini gücləndirməyə imkan verir.

SIEM necə işləyir?

Məlumatların toplanması:

SIEM sistemləri serverlər, şəbəkə cihazları, proqramlar və təhlükəsizlik cihazları daxil olmaqla, təşkilat daxilində müxtəlif mənbələrdən log məlumatlarını toplayır.

Normallaşdırma və təhlil:

Toplanmış məlumatlar ardıcıl formatı təmin etmək üçün normallaşdırılır və təhlil edilir.

Xəbərdarlığın yaradılması:

Əvvəlcədən müəyyən edilmiş qaydalar və hədlər əsasında SIEM sistemi potensial şübhəli fəaliyyətlər və ya təhlükəsizlik insidentləri üçün xəbərdarlıqlar yaradır.

Hadisənin araşdırılması:

SOC analitikləri xəbərdarlıqları və insidentləri araşdırmaq üçün SIEM konsolundan istifadə edirlər. Bu, jurnal qeydlərini nəzərdən keçirmək, əlaqəli hadisələri təhlil etmək və hadisənin şiddətini və əhatə dairəsini müəyyən etməkdən ibarətdir.

Hesabat və Təhlil:

SIEM, SOC analitiklərinə təhlükəsizlik tendensiyaları haqqında anlayışlar əldə etməyə, təhlükəsizlik tədbirlərinin effektivliyini qiymətləndirməyə və uyğunluq məqsədləri üçün hesabatlar yaratmağa kömək etmək üçün hesabat və təhlil alətləri təqdim edir.

SİEM mühitində SOC analitikləri üçün əsas command-lar!

Axtarış sorğuları:

SOC analitikləri vaxt diapazonu, mənbə IP, təyinat IP və ya hadisə növü kimi meyarlara əsaslanan xüsusi jurnal məlumatlarını əldə etmək üçün axtarış sorğularından istifadə edirlər.

search source IP="192.168.1.1"

Filtrləmə:

Analitiklər axtarış nəticələrini daraltmaq üçün filtrlərdən istifadə edə bilərlər.

search eventCategory="Firewall" AND action="Deny"

Xəbərdarlıq Araşdırması:

Əlaqədar hadisələri və qeydləri sorğulayaraq xəbərdarlıqları araşdırın.

search correlationID="123456"

İdarə panelinin qarşılıqlı əlaqəsi:

Analitiklər təhlükəsizlik hadisələrini vizuallaşdırmaq və başa düşmək üçün SIEM idarə panelləri ilə qarşılıqlı əlaqədə olurlar. Onlar daha ətraflı məlumat əldə etmək üçün xüsusi elementlərə klikləyə bilərlər.

search timeRange="last 24 hours"

Hadisələrin Növü üzrə Axtarın:

Analitiklər bu əmrdən zərərli proqram infeksiyaları kimi müəyyən növ hadisələri axtarmaq üçün istifadə edə bilərlər.

search eventType="Malware Infection"

İstifadəçi fəaliyyətini araşdırın:

SOC analitikləri tez-tez müəyyən istifadəçi adı ilə əlaqəli hadisələri axtararaq istifadəçi fəaliyyətini araşdırırlar.

search username="john.doe"

İmtiyazların artırılması cəhdlərini yoxlayın:

Analitiklər imtiyazların artırılması cəhdləri ilə bağlı hadisələri axtara bilərlər.

search eventCategory="Authentication" AND action="Privilege Escalation"

Search for Suspicious File Access:

SOC analysts can investigate file access events, focusing on specific files and actions.

search fileAccess="SuspiciousFile.txt" AND action="Read"

VPN Fəaliyyətini yoxlayın:

Analitiklər potensial təhlükəsizlik insidentlərini müəyyən etmək üçün uğursuz VPN bağlantısı cəhdlərini araşdıra bilərlər.

search eventSource="VPN" AND connectionStatus="Failed"

Sistem İdarəçiliyi Fəaliyyətini nəzərdən keçirin:

Bu əmr sistem administratoru rolları ilə əlaqəli giriş hadisələrini müəyyən etməyə kömək edir.

search role="System Administrator" AND action="Login"

Brute Force Attacks üçün axtarış:

SOC analitikləri çoxsaylı uğursuz giriş cəhdləri kimi kobud güc hücumlarını göstərən nümunələri axtara bilərlər.

search eventCategory="Authentication" AND action="Failed" AND count > 5

Qeyri-adi şəbəkə trafikini yoxlayın:

Analitiklər qeyri-standart portlarda trafik kimi qeyri-adi şəbəkə trafiki ilə bağlı hadisələri axtara bilərlər.

search protocol="TCP" AND destinationPort="666"