مقدمة

لقد قمنا بتغطية التحقيق في حادث سيبراني باستخدام Splunk. لقد قمنا بالتحقيق في الأحداث التي تم إنشاؤها على أجهزة Windows المخترقة واكتشفنا عناصر الهجوم. كان هذا جزءًا من حاولHackMe التحقيق مع Splunk

سيناريو

شركة نفط الجنوب المحلل جوني لاحظت بعض السلوكيات الشاذة في سجلات عدد قليل من أجهزة Windows. يبدو أن الخصم لديه إمكانية الوصول إلى بعض هذه الأجهزة ونجح في إنشاء بعض الأبواب الخلفية. وقد طلب منه مديره سحب تلك السجلات من المضيفين المشتبه بهم واستيعابها في Splunk لإجراء تحقيق سريع. مهمتنا كما شركة نفط الجنوب يقوم المحلل بفحص السجلات وتحديد الحالات الشاذة.

 

ملاحظات أداة Splunk SIEM

 

إجابات التحدي

كم عدد الأحداث التي تم جمعها واستيعابها في الفهرس رئيسي?

وعلى أحد الأجهزة المضيفة المصابة، نجح الخصم في إنشاء مستخدم خلفي. ما هو اسم المستخدم الجديد؟

على نفس المضيف، تم أيضًا تحديث مفتاح التسجيل فيما يتعلق بالمستخدم الخلفي الجديد. ما هو المسار الكامل لمفتاح التسجيل هذا؟

افحص السجلات وحدد المستخدم الذي كان الخصم يحاول انتحال شخصيته.

ما هو الأمر المستخدم لإضافة مستخدم مستتر من جهاز كمبيوتر بعيد؟

كم مرة تمت ملاحظة محاولة تسجيل الدخول من مستخدم الباب الخلفي أثناء التحقيق؟

ما اسم المضيف المصاب الذي تم تنفيذ أوامر Powershell المشبوهة عليه؟

بوويرشيل تم تمكين التسجيل على هذا الجهاز. ما عدد الأحداث التي تم تسجيلها لتنفيذ PowerShell الضار؟

بدأ برنامج Powershell النصي المشفر من المضيف المصاب طلب ويب. ما هو عنوان URL الكامل؟

تجول الفيديو

, , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات