الفترة هذي اواجه تحدي مهم وجميل في Incident Response، حتى اتطور اكثر بالتحليل يهمني جدًا احصل على مصادر كافية لمشاكل، هجمات وسيناريوهات مختلفة، splunk وفرت لنا هالشيء من خلال مسابقة في منها 3 نسخ للان، والي هي boss of the soc
BOTS.
BOTS.
الفكرة في انهم وفروا Dataset تحتوي على logs لهجمات ومشاكل من مصادر مختلفة وكل الي علينا نسوية نحلل وبس، خل انقل لكم الي سويته عشان الكل يستفيد، بالمناسبة هذي الداتا راح تكون مصدر رائع لكم سواءًا كان مجالكم IR,TH او SOC
هنا تحصلون الdataset النسخة الأولى (غيروا الرقم الاخير في الرابط حسب النسخة الي تبونها الاولى او الثانية او الثالثة)
ايضًا راح تحصلون بنفس الصفحة كل الي مطلوب منكم اضافة تحملوه مع splunk
github.com
ايضًا راح تحصلون بنفس الصفحة كل الي مطلوب منكم اضافة تحملوه مع splunk
github.com
بعد ماتحملون splunk ادخلوا لملف app هذا الباث
opt/splunk/etc/apps، فكوا الضغط هناك، الان بمجرد تشغلوا splunk مفروض الداتا الان موجودة وجاهزة
عشان تتاكدوا انكم ربطتوه بشكل سليم اكتبوا هذا الامر ب البحث
index=botsv1 earliest=0
opt/splunk/etc/apps، فكوا الضغط هناك، الان بمجرد تشغلوا splunk مفروض الداتا الان موجودة وجاهزة
عشان تتاكدوا انكم ربطتوه بشكل سليم اكتبوا هذا الامر ب البحث
index=botsv1 earliest=0
وش الي نحتاجة قبل نبدا نحلل ونتعامل مع splunk يمكن splunk fundamentals 1 يكفي ايضًا ب pluralsight بتحصلوا كورسات جيدة ل Ryan Chapman
@rj_chap ناقش في بعضها المسابقة تحديدًا
@rj_chap ناقش في بعضها المسابقة تحديدًا
الهدف من الي قاعدة اسويه اني اتطور في التحليل وقراءة logs واستنتاج السيناريوهات والتفاصيل... الخ، يمكن انتم تستفيدوا من المصادر ب شكل اخر بالتوفيق لكم يارب
جاري تحميل الاقتراحات...