Pentest və SOC Cheat Sheet
  • Reconnaissance
  • Post-Explotation
    • Linux Post-Explotation
      • Linux Local Enumeration
      • Linux Privilege Escalation
      • Dumping and cracking hashes on Linux
      • Linux Persistence
    • Windows Post-Explotation
      • Windows Local Enumeration
      • Windows Privilege Escalation
      • Windows Persistence
  • Network Services Pentesting
    • 21-Pentesting FTP
    • 22-Pentesting SSH
    • 23-Pentesting Telnet
    • 53-Pentesting DNS
    • 25,465,587-Pentesting SMTP
    • 110,995-Pentesting POP
    • 139,445-Pentesting SMB
    • 3306-Pentesting MySQL
    • 3389-Pentesting RDP
    • 1433-Pentesting MSSQL-Microsoft SQL Server
    • 389,636,3268,3269-Pentesting LDAP
  • Web Pentesting
    • Broken Access Control
      • Praktiki nümunə
    • OS Command Injection
      • Praktiki nümunə
    • SQL Injection
      • Praktiki nümunə
    • Cross-Site-Scripting (XSS)
      • Praktiki nümunə
    • File Upload
      • Praktiki nümunə
    • Directory Traversal və Path Traversal
      • Praktiki nümunə
    • CSRF
    • XXE
    • Clickjacking
      • Praktiki nümunə
    • SSRF
      • Praktiki nümunə
    • JWT (Json Web Token)
      • Praktiki nümunə
    • Local&Remote File İnclusion
      • Praktiki nümunə
      • Local File inclusion ilə reverse shell almaq
    • 401&403 Bypass
    • Login Bypass
    • Open Redirect
    • Unicode Injection
    • Security Misconfiguration
    • CRLF injection
    • LDAP Injection
    • Cookies Hacking
    • Cross site WebSocket hijacking (CSWSH)
    • SSTI (Server Side Template Injection)
    • CSTI (Client Side Template Injection)
    • XSLT Server Side Injection (Extensible Stylesheet Languaje Transformations)
    • Registration & Takeover Vulnerabilities
    • Regular expression Denial of Service - ReDoS
    • Reset/Forgotten Password Bypass
    • SAML Hücumları
    • Reverse Tab Nabbing
    • Web Tool - WFuzz
    • XPATH enjeksiyonu
    • Server-Side Includes (SSI) Injection
    • Edge Side Inclusion Injection (ESII)
    • Race Condition
    • PostMessage
    • Parameter Pollution
    • Cache Poisoning and Cache Deception
    • Captcha Bypass
  • AD Pentesting
    • Domain Enumeration
      • PowerView ilə enumeration
      • AD Module ilə enumeration
      • BloodHound ilə enumeration
        • On Site BloodHound
      • Using Adalanche
        • Remote adalanche
      • Useful Enumeration Tools
    • Local Privilege Escalation
      • Useful Local Priv Esc Tools
      • UAC Bypass
    • Lateral Movement
      • Powershell Remoting
      • Mimikatz
      • Remote Desktop Protocol
      • URL File Attacks
      • Useful Tools
    • Domain Privilege Escalation
      • Kerberoast
      • ASREPRoast
      • Password Spray Attack
      • Force Set SPN
      • Abusing Shadow Copies
      • List and Decrypt Stored Credentials using Mimikatz
      • Unconstrained Delegation
      • Constrained Delegation
      • Resource Based Constrained Delegation
      • DNSAdmins Abuse
      • Abusing Active Directory-Integraded DNS (ADIDNS) poisoning
      • Abusing Backup Operators Group
      • SID History Abuse
      • Active Directory Certificate Services
    • Domain Persistence
      • Golden Ticket Attack
      • Silver Ticket Attack
      • Skeleton Key Attack
      • DSRM Abuse
      • DCsync Attack
    • Cross Forest Attacks
      • Trust Tickets
      • Abuse MSSQL Servers
      • Breaking Forest Trusts
  • SOC - Cheat Sheet
    • SOC Nədir?
    • SOC Komponentləri Nələrdir?
    • SOC Checklist
    • SIEM
      • Splunk Qurulması və Konfiqurasiyası
    • IDS/IPS
    • Firewall
    • Firewall qurulması və konfiqurasiyası
    • EDR/XDR
    • SOAR
    • Windows Commands for SOC analysts
      • GUI Programs in Windows
      • Event Viewer
      • Task Scheduler
      • Group Policy Editor
      • Device Manager
      • Task Manager
      • Registry Manager
    • Linux Commands for SOC analysts
    • LOLBAS Apps and Commands
      • Apps and Commands
Powered by GitBook
On this page
  • SOAR necə işləyir?
  • SOAR-da SOC analitikləri üçün əsas anlayışlar və commandlar

Was this helpful?

  1. SOC - Cheat Sheet

SOAR

Security Orchestration, Automation, and Response (SOAR) insidentlərə cavab proseslərini sadələşdirmək və avtomatlaşdırmaq üçün təhlükəsizlik alətləri və texnologiyalarını birləşdirən kibertəhlükəsizlik çərçivəsidir. SOAR platformaları təşkilatlara iş axınlarını idarə etməyə, təkrarlanan tapşırıqları avtomatlaşdırmağa və təhlükəsizlik insidentlərinə daha səmərəli cavab verməyə imkan verir. Onlar müxtəlif təhlükəsizlik alətləri, o cümlədən SIEM, təhlükə kəşfiyyatı və bilet sistemləri ilə inteqrasiya edərək insidentlərin idarə edilməsinə mərkəzləşdirilmiş və əlaqələndirilmiş yanaşma təmin edir. SOAR rutin tapşırıqları avtomatlaşdırmaq və kibertəhlükələrə daha fəal və sistemli cavab verməklə cavab vaxtlarını azaltmaq, təhlükəsizlik qrupları arasında əməkdaşlığı artırmaq və ümumi təhlükəsizlik əməliyyatlarını təkmilləşdirmək məqsədi daşıyır.

SOAR necə işləyir?

Təhlükəsizlik Vasitələrinin İnteqrasiyası:

SOAR platformaları SIEM, EDR, IDS/IPS, firewall, antivirus həlləri və s. daxil olmaqla geniş çeşidli təhlükəsizlik alətləri ilə inteqrasiya edir. Bu inteqrasiya təhlükəsizlik proseslərinin mərkəzləşdirilmiş şəkildə idarə edilməsinə və orkestrləşdirilməsinə imkan verir.

Playbooklar və iş axını:

SOAR avtomatlaşdırılmış hərəkətlərin və qərar qəbul etmə məntiqinin əvvəlcədən müəyyən edilmiş ardıcıllığı olan playbooklardan və ya iş axınlarından istifadə edir. Bu playbooklar xüsusi təhlükəsizlik insidentlərinə və ya hadisələrinə reaksiyaya rəhbərlik edir.

Hadisə qəbulu:

Təhlükəsizlik hadisələri və insidentləri SOAR platformasına SIEM, EDR və ya təhlükə kəşfiyyatı xəbərləri kimi müxtəlif mənbələrdən daxil edilir.

Xəbərdarlığın korrelyasiyası:

SOAR hadisələri müəyyən etmək, yanlış pozitivləri azaltmaq və təhlükə mənzərəsini daha dəqiq başa düşmək üçün müxtəlif təhlükəsizlik alətlərindən gələn xəbərdarlıqları əlaqələndirir və təhlil edir.

Avtomatlaşdırılmış cavab:

Əvvəlcədən təyin edilmiş playbooklarına əsaslanaraq, SOAR adi və dəqiq müəyyən edilmiş təhlükəsizlik insidentləri üçün avtomatik cavab tədbirləri həyata keçirə bilər. Bu, yoluxmuş endpointin təcrid edilməsi, zərərli IP ünvanlarının bloklanması və ya firewall qaydalarının yenilənməsi daxil ola bilər.

Data və Case Management:

SOAR platformaları məlumatların mərkəzləşdirilmiş idarə edilməsini və işin izlənməsini təmin edir. Buraya insident təfərrüatları, görülən tədbirlər və insidentdən sonrakı təhlil və hesabat üçün digər müvafiq məlumatların saxlanması daxildir.

SOAR-da SOC analitikləri üçün əsas anlayışlar və commandlar

SOC analitikləri SOAR platformaları ilə qrafik istifadəçi interfeysi (GUI) vasitəsilə qarşılıqlı əlaqə qurur, burada onlar oyun kitablarını yarada, dəyişdirə və icra edə bilərlər. Budur bəzi əsas anlayışlar və əmrlər:

Playbooku icra edin:

Müəyyən bir hadisə növü üçün xüsusi oyun kitabının icrasına başlayır.

execute playbook "Incident Response - Malware"

Hadisə təfərrüatlarını nəzərdən keçirin:

SOC analitikləri konkret hadisə haqqında ətraflı məlumatı, o cümlədən onun mənbəyi, şiddəti və əlaqəli xəbərdarlıqları görə bilərlər.

show incident details "Incident123"

Mövcud Playbooks Siyahısı:

SOAR platformasında mövcud playbookların siyahısını göstərir.

list playbooks

Human Decision Point:

Bəzi playbooklarda insan müdaxiləsinin tələb olunduğu qərar nöqtələri ola bilər. Analitiklər mövcud məlumatlar əsasında qərarlar qəbul edirlər.

make decision "Incident123" action="Isolate"

Case Statusunu Yeniləyin:

Analitiklər işin və ya hadisənin vəziyyətini onun cari vəziyyətini əks etdirmək üçün yeniləyə bilərlər.

update case status "Incident123" new-status="Closed"

Avtomatlaşdırılmış cavab tədbirləri:

SOAR avtomatik olaraq əvvəlcədən təyin edilmiş oyun kitabları əsasında cavab hərəkətlərini yerinə yetirə bilər.

execute automated-response "Malicious IP Block"

Axtarış və Sorğu Datası:

Analitiklər təhlil üçün məlumat əldə etmək üçün SOAR platforması daxilində məlumatları axtara və sorğulaya bilərlər.

search data "user=john.doe"

Hesabatın Yaradılması:

SOAR platformaları tez-tez insidentlərə cavab tədbirləri, avtomatlaşdırmanın effektivliyi və digər ölçülər haqqında hesabatlar yaratmaq imkanlarını təmin edir.

generate report "Monthly Incident Summary"

PreviousEDR/XDRNextWindows Commands for SOC analysts

Last updated 1 year ago

Was this helpful?