‫مقدمه ای بر مرکز‬

‫عملیات امنیت‬
‫)‪(SOC‬‬
 ‫مقدمه‬
‫هرچند دفاع سایبری یک موضوع بسیار عمیق است‪ ،‬اما‬
‫تعدادی از دیدگاهها‪ ،‬مدلها‪ ،‬منابع داده و تکنیکها وجود‬
‫دارند که میتوانند تیم را به سمت ایده آل هدایت کنند‪.‬‬
‫این راهنما یک مجموعه از مفیدترین اطالعات و مدلها‬
‫برای کسانی که در مراکز عملیات امنیت فعالیت میکنند‪،‬‬
‫همچنین اشاره به ابزارهای قدرتمند رایگان‪ ،‬مراجع کتاب‬
‫و موارد دیگر است تا به ساختار تیم‪ ،‬مهارتها و‬
‫تواناییهای دفاعی کمک کند‪.‬‬

‫به امید موفقیت بیشتر تیم های دفاعی کشورم‬

 ‫فهرست‬

‫مدلها و معیارهای عملیات امنیتی‬ ‫فرآیند ‪SOC‬‬

‫مدلها و چارچوبهای ارجاع حمالت‬ ‫وظایف اصلی ‪SOC‬‬

‫شناخت خود و مهاجم‬ ‫‪COLLECTION‬‬

‫‪DETECTION‬‬
‫سه سطح ‪THREAT INTELLIGENCE‬‬ ‫‪TRIAGE‬‬
‫مدلسازی تهدیدات‬ ‫‪INVESTIGATION‬‬
‫‪INCIDENT RESPONSE‬‬
‫‪ATTACK TREES‬‬
‫فرآیند های کمکی ‪SOC‬‬
‫چرخه ‪F3EAD‬‬
‫ابزارهای‪SOC‬‬
‫حلقه ‪OODA‬‬
‫بررسی اجمالی از ابزارهای‪SOC‬‬
‫حلقه ‪ OODA‬و سرعت عملیات‬
‫‪SIEM‬‬
‫‪THREAT HUNTING‬‬ ‫‪THREAT INTELLIGENCE PLATFORM‬‬
‫معیار ها‬ ‫‪INCIDENT MANAGEMENT SYSTEM‬‬
‫انواع معیار‬ ‫جمعآوری دادههای کلیدی‬
‫در نظر گرفتن معیارهای عملی‬ ‫انواع دادهها‬
‫چه چیزها باید اندازه گیری شود؟‬ ‫‪FLOW RECORD‬‬
‫‪TRANSACTION DATA‬‬
‫منابع‬ ‫‪FULL PACKET CAPTURE‬‬
‫‪SOC‬‬ ‫فرصتهای جمعآوری ترافیک‬
‫ابزار های ‪OPEN-SOURCE‬‬ ‫‪ENDPOINT MONITORING‬‬
‫پادکستها‬ ‫دستهبندی رویدادها برای ضبط و جمعآوری‬

‫کتب‬ ‫منابع الگ ویندوز‬

‫منابع‬ ‫منابع الگ ‪LINUX/UNIX‬‬

‫الگگیری در ‪CLOUD‬‬
 ‫فرآیند ‪SOC‬‬
‫در نمودار زیر‪ ،‬روند فرایند اصلی ‪ SOC‬در مستطیل آبی رنگ و در کنار آن فرآیند های‬
‫کمکی و مکان جایگیری آن‪ ،‬مشخص شده است‪ .‬مکان قرارگیری وظایف کمکی در نمودار‬
‫نباید به عنوان یک پیشنهاد در نظر گرفته شود‪ ،‬بلکه تنها به منظور نشان دادن ورودیها‬
‫از آن گروهها‪/‬وظایف به فرآیند اصلی ‪ SOC‬است‪ .‬یک نکته مهم این است که از آنجا‬
‫که این فرآیند یک زنجیره پی در پی از ورودیها و خروجیها تشکیل میدهند‪ ،‬عدم اجرای‬
‫موارد اولیه در فرآیند تاثیراتی بر قابلیتها در طول زنجیره خواهد داشت‪ .‬این به این معناست‬
‫که عملکردهای اولیه در فرآیند باید بهینه سازی شده و بر روی آنها تمرکز شود تا بهترین‬
‫نتیجه ممکن حاصل شود‪.‬‬
 ‫وظایف اصلی ‪SOC‬‬
‫موارد زیر بهعنوان فعالیتهای اصلی که تیم ‪ SOC‬مسئولیت آن را بر عهده دارد‪ ،‬فهرست‬
‫شدهاند‪ .‬در بخش زیر‪ ،‬هر فرآیند‪ ،‬اهداف آن و میزان تاثیرگذاری آن توضیح داده میشود‪.‬‬
 ‫‪Collection‬‬
‫گام اول در این فرآیند‪ ،‬جمعآوری است‪ .‬این گام شامل ثبت رویدادهای مرتبط با امنیت‬
‫(هر فعالیت مفید و قابل مشاهده‪ ،‬اما نه لزوماً مخرب) در محیط است‪ .‬ضرورت ثبت تمام‬
‫رویدادها از جمله ترافیک وب‪ ،‬ورود به سیستم و سایر عملیات مشابه برای شناسایی‬
‫فعالیتهای مشکوک که ممکن است به شناسایی حمالت در حال اجرا کمک کند‪ ،‬وجود‬
‫دارد‪ .‬انواع دادههای خاصی که باید جمعآوری شود‪ ،‬باید تحت تأثیر ‪Threat‬‬
‫‪ Intelligence‬شما باشد‪ ،‬که باید شما را در مورد انواع رویدادها و الگهایی که برای‬
‫تشخیص حمالت الزم است‪ ،‬آگاه سازد‪ .‬در بیشتر‪ SOC‬ها‪ ،‬یک استراتژی برای جمعآوری‬
‫دقیق‪ ،‬نیازمند همکاری از طریق چندین تیم و بودجه برای سختافزار و نرمافزار مورد نیاز‬
‫برای تأمین نیازهای میدان دید خوب‪ ،‬پیشبینی میشود‪ .‬خروجی این مرحله رویدادهایی‬
‫است که ممکن است الگها‪ metadata ،‬ترافیک شبکه یا سایر اطالعات درباره اتفاقی‬
‫که در یک دستگاه یا بخش شبکه خاص رخ داده باشد‪ ،‬باشد‪ .‬این داده معموالً از یک‬
‫‪ endpoint‬به عنوان یک الگ تولید میشود یا از ترافیک شبکه که مستقیماً توسط یک‬
‫دستگاه شبکه یا از طریق یک ‪ port mirror‬مشاهده میشود‪ ،‬جمعآوری‪/‬تولید میشود‪.‬‬
‫دادههای جمعآوری شده بهتر است به صورت متمرکز شده و به ‪ SIEM‬ارسال شود تا‬
‫جهت ارتباط‪ ،‬اعمال قوانین تحلیلی و ذخیرهسازی بلندمدت نگهداری شود‪ .‬هدف این مرحله‬
‫جمعآوری جامع تمام دادههای مرتبط با امنیت است که سپس میتواند در مرحله بعد برای‬
‫تحلیلهای شناسایی استفاده شود‪ .‬کارآیی یک ‪ SOC‬در این مرحله به طور مستقیم با‬
‫توانایی تشخیص موارد استفاده از امنیت و منابع داده کلیدی که نشانگر اجرای یک حمله‬
‫است مرتبط خواهد بود‬
 ‫‪Detection‬‬
‫پس از مرحله جمعآوری‪ ،‬مرحله تشخیص آغاز میشود‪ .‬در این فرآیند‪ ،‬هدف شناسایی همه‬
‫رویدادهای مشاهده شده که ممکن است به حمله ای با پتانسیل اشاره داشته باشند (بدون‬
‫از دست دادن چیزی یا تولید ‪ .)false positive‬این کار به دو روش اتفاق میافتد‪،‬‬
‫‪ reactive‬و ‪ .proactive‬شناساییهای ‪ reactive‬و خودکار توسط موتورهای تحلیل در‬
‫‪ ،SIEM‬شبکه یا حسگرهای ‪ endpoint‬اعمال میشوند‪ .‬شناسایی همچنین به وسیله‬
‫تحلیلگران به صورت ‪ proactive‬از طریق جستجوی فعال در دادهها از طریق ‪threat‬‬
‫‪( hunting‬برای جزئیات بیشتر به بخش ‪ threat hunting‬در ادامه این راهنما مراجعه‬
‫کنید)‪ .‬هدف این مرحله یافتن همه فعالیتهای مخرب است و یک هشدار مرتبط با آن را‬
‫به صف تریاژ برای اقدام توسط تیم امنیت ارسال کند‪ .‬کارآیی یک ‪ SOC‬در این مرحله با‬
‫کیفیت ابزارهای استفاده شده و همچنین قدرت توانایی ‪threat ،threat hunting‬‬
‫‪( intelligence‬هم ‪ feed‬و هم ‪ TI‬تولید شده درون شبکه) و فرآیند ‪detection‬‬
‫‪ engineering‬همبسته است‪ .‬تشخیص موفقیت طبیعتاً بر وابستگی به دادههایی که در‬
‫مرحله ‪ Collection‬در دسترس است‪ ،‬تکیه دارد‪ .‬هرچه عملکرد فرایند ‪ Collection‬شما‬
‫بهتر باشد‪ Detection ،‬بهتر کار میکند‪ ،‬و همین موضوع برای کیفیت ‪ signature‬تولید‬
‫شده توسط مهندسان ‪ threat intel‬هم صادق است‪.‬‬
 ‫‪Triage‬‬
‫هنگامی که مرحله ‪ ،Detection‬هشدارها درباره رویدادهای مورد نظر ایجاد شد‪ ،‬این‬
‫هشدارها به یک یا چند صف برای تریاژ ارسال میشوند‪ .‬در این مرحله‪ ،‬تحلیلگران ‪SOC‬‬
‫باید در میان تمام فعالیتهای بالقوه خطرناک که توسط بخش ‪ Detection‬تولید شدهاند‪،‬‬
‫بررسی کنند و ترتیب اهمیت را که هر هشدار باید بررسی شود را تعیین کنند‪ .‬ترتیب تریاژ‬
‫اغلب بر اساس عواملی مانند اینکه حمله چقدر پیشرفته است‪ ،‬اهمیت سیستمی که در حال‬
‫حمله است‪ ،‬میزان دسترسی حساب کاربری که ممکن است مورد حمله قرار گرفته باشد‪ ،‬و‬
‫یا اینکه آیا به نظر میرسد یک حمله یکتا یا هدفمند باشد‪ ،‬تعیین میشود‪ .‬مشابه یک‬
‫اورژانس بیمارستان‪ ،‬هدف تحلیلگر در این مرحله تصحیح صف تریاژ برای بررسی در یک‬
‫ترتیب اولویت منطقی بر اساس دادههای ارائهشده است‪ .‬تحلیلگران این کار را با ترکیب‬
‫دانش خود از مفاهیمی مانند ‪ Cyber Kill Chain‬و‪ TTP‬های حمله بر اساس‬
‫‪ MITRE ATT&CK‬با تجربه دفاعی قبلیشان انجام میدهند‪ .‬از آنجا که هشدارها‬
‫معموالً پیچیده هستند و در شکل خام خود بهسختی قابل فهم هستند‪ ،‬کارایی در این‬
‫مرحله به طور عمده توسط سطح جزئیات و زمینه اطالعات اضافی ارائهشده توسط ابزارهای‬
‫امنیتی به تحلیلگران در حین تریاژ هشدارها تعیین میشود‪.‬‬
 ‫‪Investigation‬‬
‫هنگامی که یک هشدار از صف تریاژ انتخاب میشود‪ ،‬تحلیلگران ‪ SOC‬هشدار را با‬
‫جزئیات بیشتر بررسی میکنند تا بررسی کنند که آیا واقعاً اتفاق امنیتی حادی در حال رخ‬
‫دادن است یا خیر‪ .‬از آنجایی که بسیاری از ‪ SOC‬ها از تجزیه و تحلیل بسیار حساس و‬
‫زیاد هشدار ها رنج می برند‪ ،‬این می تواند مرحله ای باشد که اغلب منجر به تعیین ‪false‬‬
‫‪ positive‬و رد هشدار می شود‪ .‬برای رسیدن به حقیقت موضوع‪ ،‬تحلیلگران باید اطالعات‬
‫هشدار ارائهشده را دریافت کنند و مهارتهای تحلیلی خود و هر گونه شواهد اضافی که‬
‫ممکن است پیدا کنند را استفاده کنند تا ارزیابی کنند که آیا هشدار به درستی یک حمله را‬
‫شناسایی کرده است یا خیر‪ .‬این ممکن است شامل جمعآوری داده از محصوالت امنیتی‬
‫دیگر شبکه اضافی یا الگها از منابع گوناگون یا انجام ‪ OSINT‬باشد‪ .‬هدف این مرحله‬
‫تایید دقیق این است که آیا یک هشدار واقعی یا ‪ false positive‬است‪ .‬هنگامی که‬
‫‪ false positive‬رخ میدهند‪ ،‬منطقی است که تحلیلگران بالفاصله دلیل خطا را شناسایی‬
‫کرده و این اطالعات را به تیم ‪ detection engineering‬ارسال کنند تا قوانین‬
‫‪ alerting‬را اصالح کنند‪ .‬تحلیلگران باید آموزش دیده شوند که مرحله بررسی را به روش‬
‫ساختاری و دقیق انجام دهند و از هر گونه تصمیمات اشتباه و خطاهای معمول دیگر که‬
‫ممکن است هنگام انجام یک بررسی اتفاق بیافتد‪ ،‬پرهیز کنند‪ .‬این میتواند یکی از‬
‫دشوارترین مراحل برای تحلیلگران جدید باشد‪ .‬عملکرد در این بخش با چندین عامل‬
‫مرتبط است‪ :‬تجربه تحلیلگر‪ ،‬تکنیک تحلیل‪ ،‬دسترسی به داده‪ ،‬و تکنولوژی و اتوماسیون‬
‫که به تولید و ارائه شواهد به تحلیلگران کمک میکند‪.‬‬
 ‫‪Incident Response‬‬
‫در فرآیند ‪ ،Incident Response‬بخش مورد نظر اعالنهایی را دریافت میکند که در‬
‫مرحله قبل صحت آن بررسی شده و باید واکنش های مشخصی نسبت به آن صورت‬
‫بگیرد‪ ،‬اعالم میشود‪ .‬هدف این مرحله تعیین دامنه‪ ،‬محدود کردن و بهبود مسأله با سرعت‬
‫باال است و در نهایت با حداقل آسیب از حادثه بهبود یابد‪ .‬بسته به اهمیت حادثه‪ ،‬این‬
‫فعالیت ممکن است از حذف ویروس تا تحقیقات چندماهه به همراه فارنزیک‪ ،‬گزارش آن‬
‫به مراجع قضایی و موارد دیگر را شامل باشد‪ .‬در‪ ، SOC‬ابزارهای جمعآوری و تولید داده‬
‫مانند ‪ EDR/NDR‬و الگگیری متمرکز ‪ SIEM‬به تحلیلگران و پاسخدهندگان حادثه‬
‫کمک میکنند تا به سرعت میان رویدادهای شبکه و ‪ endpoint‬ها جستوجو کنند و‬
‫دامنه آسیب دیده و میزان آن را تعیین کرده و سپس زمانبندی حادثه را مشخص کنند‪.‬‬
‫خروجیهای فرآیند ‪ Incident Response‬باید شامل برطرف کردن حادثه و درسهایی‬
‫جهت پیشگیری از دوباره به وجود آمدن این نوع مشکل در آینده‪ ،‬باشد‪ .‬جزئیات حمالت‬
‫پس از حادثه باید برای معیار ها دستهبندی شده و به ‪ Threat Intelligence‬برای‬
‫همبستگی با حمالت قبلی و آینده ارسال میشود تا پروفایل گروههای تهدید ساخته شود‪.‬‬
‫ردیابی الگوها و جزئیات حوادث در طوالنی مدت به ‪ SOC‬کمک میکند تا در حمالت‬
‫بعدی دارای یک مزیت تاکتیکی و استراتژیک باشد‪.‬‬
 ‫فرآیند های کمکی ‪SOC‬‬
‫گروههای زیر اغلب جزء سازمان ‪ SOC‬هستند یا به نزدیکی با آن همکاری میکنند تا‬
‫به امنیت سازمان‪ ،‬کمک کنند‪.‬‬

‫• ‪ :Threat Intelligence‬تیمهای ‪ Threat Intelligence‬باید بطور نزدیک با‬

‫‪SOC‬همکاری کنند تا اطالعاتی را در مورد اینکه گروههای مهاجم چه کسانی‬
‫هستند‪ ،‬چه میخواهند و کدام یک احتماالً به سازمان شما عالقه دارند‪ ،‬ارائه دهند‪.‬‬
‫در نهایت‪ ،‬آنها باید به اولویتبندی کنترلها‪ ،‬ابزارهای دفاعی و استراتژیهای‬
‫‪ Detection‬کمک کنند و اطمینان حاصل کنند که تیم بر روی حوزههای صحیحی‬
‫برای تالشهای دفاعی تمرکز دارد‪.‬‬
‫• ‪ :Forensics‬به طور عمده در کمک به مرحله ‪ Incident Response‬تمرکز‬
‫دارند‪ ،‬تیمها و متخصصان فارنزیک به بازیابی حقیقت از زمان وقوع یک حادثه با‬
‫استفاده از دانش تخصصی در مورد اینکه فعالیت در یک دستگاه چگونه ممکن است‬
‫شواهد قابل تاریخنگاری را بگذارد کمک میکنند‪ .‬از آنجایی که فارنزیک یک به‬
‫تنهایی موضوع عمیقی است‪ ،‬اغلب به عنوان یک موقعیت شغلی و حوزه علمی‬
‫منحصر به فرد در نظر گرفته میشود‪.‬‬
‫• ‪ :Penetration Testing / Red Teaming‬این گروهها با شبیهسازی حمالت‬
‫به‪ ،SOC‬به بررسی افراد‪ ،‬روند و تکنولوژی کمک میکنند‪ .‬آزمونها ممکن است‬
‫اعالمشده یا اعالمنشده باشند و هر نوع آزمون میتواند بر روی پاسخهای ‪SOC‬‬
‫به سواالت خاص در مورد نگرش و توانایی ‪ SOC‬برای واکنش به یک حمله واقعی‪،‬‬
‫سرعت شناسایی حوادث و اینکه آیا تیم آموزش مورد نیاز برای شناسایی آنها را‬
‫دریافت کرده است‪ ،‬تمرکز کند‪.‬‬
‫• ‪ :Vulnerability Management‬مدیریت آسیبپذیری باید بهطور نزدیک با‬
‫‪SOC‬همکاری کند‪ ،‬عمدتاً نتایج اسکنها را بهگونهای فراهم کند که ‪ SOC‬بتواند‬
‫تشخیص دهد که چه زمانی یک اکسپلویت علیه سیستمی که ممکن است در برابر‬
‫آن آسیبپذیر باشد را شناسایی کند‪ .‬اطالع از اینکه یک تالش برای اکسپلویت که‬
‫احتماالً موفق خواهد بود رخ داده است‪ ،‬یک جزء کلیدی از اولویتبندی تالشهای‬
‫تریاژ است‪.‬‬
 ‫ابزارهای‪SOC‬‬
‫در ‪ SOC‬چندین سیستم وجود دارد که از آنها بهطور مداوم استفاده میشود‪ .‬سیستمهای‬
‫موجود در این بخش ابزارهایی هستند که تحلیلگران ‪ SOC‬به آنها مراجعه میکنند‪ ،‬از آنها‬
‫استفاده میکنند یا در تقریباً هر هشداری که تحلیل میکنند یا هر حادثهای که پوشش‬
‫میدهند‪ ،‬به دنبال آنها میگردند‪.‬‬
 ‫بررسی اجمالی از ابزارهای‪SOC‬‬
‫ابزارهای ‪ SOC‬با یکدیگر همکاری میکنند تا جریان کاری الگهای جمعآوریشده‪،‬‬
‫تشخیص و بررسی رویدادهای مشکوک‪ ،‬و پیگیری‪ ،‬کار کردن و جمعآوری متریکها‬
‫برای هر حادثه را هماهنگ کنند‪ .‬صفحه بعد نشان میدهد چگونه هر سیستم که در این‬
‫بخش توضیح دادهشده با سایر ابزارهای ‪ SOC‬کار میکند و نوع دادههای معمولی که‬
‫بین آنها تبادل میشود‪ .‬توجه داشته باشید که اینها عملکردهای منطقی جداگانهاند که‬
‫برای بحث جداگانه از یکدیگر جدا شدهاند‪ .‬در محیط شما ممکن است در یک سیستم‬
‫یکپارچه یا مثالً برخی از‪ SIEM‬ها ویژگیهای ‪ Incident Management‬را داشته‬
‫باشند‪ .‬ابزارهای اصلی تحلیلگر عبارتند از‪:‬‬

‫• ‪ :SIEM‬مرکز دادهها و الگ های جمعآوریشده در سراسر محیط‪.‬‬

‫• ‪ :Threat Intelligence Platform‬پلتفرم ‪ Threat Intelligence‬باید به‬
‫تحلیلگران اطالعاتی من باب هر ‪ IoC‬که در شبکه یافت میشود و مهاجمی که‬
‫پشت آن است ارائه دهد‪.‬‬
‫• ‪ :Incident Management System‬سیستم ‪ ticketing‬که تحلیلگران از آن‬
‫برای انجام تریاژ هشدار یا حوادث‪ ،‬نگارش گزارشهایی در مورد اتفاقات و در‬
‫نهایت بستن و دستهبندی تحقیقات حادثههای پایانیافته استفاده میکنند‪.‬‬
 ‫‪SIEM‬‬
‫اگر باید اشاره به یک ابزار پر اهمیت برای تیم امنیت باشیم‪ ،‬این ابزار ‪ SIEM‬خواهد بود‪.‬‬
‫‪SIEM‬در بهترین موقعیت برای دیدن و همبستگی تقریباً تمام دادهها از سراسر محیط‬
‫است‪ .‬این نقطه مرکزی برای همه رویدادها و هشدارهای ثبتشده توسط الگهای امنیتی‬
‫است و اغلب با سایر ابزارها ادغام میشود تا اطالعات دارایی ها‪ ،‬اطالعات اسکن‬
‫آسیبپذیری و موارد دیگر را ذخیره کند‪.‬‬

‫هیچ ابزار تکی دیگر در محیط این حجم داده را برای کار با خود ندارد‪ ،‬به این معنا است‬
‫که ‪ SIEM‬در یک موقعیت قدرتمند و منحصربهفرد در امنیت سازمان شما قرار دارد‪.‬‬

‫وظیفه اصلی ‪ SIEM‬دریافت همه الگها و تجزیهوتحلیل آنها به فیلدهای مورد نظر‬
‫است‪ ،‬که در این راستا اطالعات ممکن است در حین فرآیند غنیسازی و ارتباطبندی افزوده‬
‫شوند‪ .‬سپس‪ ،‬فیلدهای تجزیهوتحلیلشده در یک پایگاهدادهای نوعی به صورت سریع‬
‫فهرستبندی میشوند‪ .‬این دادهها هستند که میتوانید به سرعت از آنها جستجو کنید‪ ،‬بر‬
‫روی آنها هشدار دهید یا با آنها تصاویر و گزارشها ایجاد کنید‪.‬‬
 ‫‪Threat Intelligence Platform‬‬
‫یکی دیگر از ابزارهای کلیدی‪ Threat Intelligence Platform ، SOC‬است‪ .‬در هر‬
‫‪SOC‬باید یک لیست اصلی از همه دامنهها‪ ،‬هشها‪ ،‬آدرسهای ‪ IP‬و غیره که به عنوان‬
‫مهاجم شناختهشده باید با همه رویدادها در شبکه و ‪ endpoint‬ها مطابقت یابد‪ ،‬وجود‬
‫داشته باشد‪ .‬در بسیاری از موارد‪ ،‬این اطالعات در ‪ TIP‬ذخیره میشود و ‪ TIP‬به عنوان‬
‫«منبع حقیقت» برای ‪ IOC‬در جهت مطابقت با آنها عمل میکند‪ .‬برای انجام این کار‪،‬‬
‫باید همه ‪ Atomic Indicator‬ها به طور دورهای به‪ IDS ،SIEM‬یا هر ابزار دیگری‬
‫که برای مطابقت با دادهها استفاده میشود‪ ،‬صادر شود تا یک لیست نظارت بهروز روی‬
‫رویدادهای مشاهدهشده اعمال شود‪ .‬در همین حال‪ ،‬احتماالً ‪ TIP‬از منابع ‪Threat‬‬
‫‪ Intelligence‬خارجی‪ ،‬و همچنین هر اطالعاتی که توسط تیم ‪Threat Intelligence‬‬
‫یا ‪ SOC‬از حوادث واقعی به آن بازگشته است‪ ،‬دریافت خواهد کرد‪.‬‬

‫یک ‪ TIP‬باید شامل اطالعات بیشتری از یک لیست از ‪ Atomic Indicator‬باشد‪ .‬اگر‬

‫یک هشدار رخ دهد میگوید (مطابقت ‪ :Threat Intelligence‬ارتباط با ‪ IP‬مخرب)‪،‬‬
‫یک تحلیلگر باید بررسی کند که چرا این ‪ IP‬به عنوان مخرب نشانهگذاری شده است‪ .‬اگر‬
‫‪TIP‬فقط یک لیست از‪ IP‬های "مخرب" بدون زمینه باشد‪ ،‬آنها هیچ جهتی برای انجام‬
‫تحقیق نخواهند داشت‪ .‬بنابراین‪ ،‬بهتر است که ‪ TIP‬بهصورت ایدهآل اطالعات مربوط به‬
‫هر ‪ Atomic Indicator‬را شامل شود که یک تحلیلگر را مطلع کند که چگونه‪ ،‬کی و‬
‫چرا هر مورد به عنوان یک ‪ IOC‬نشانهگذاری شده است‪ .‬اگر تحلیلگران به پلتفرم دسترسی‬
‫داشته باشند و ببینند (این ‪ IP‬مربوط به ‪ APT1234‬بوده و در تاریخ ‪ 4‬فوریه ‪2020‬‬
‫برای بدافزار ‪ X‬در کمپین ‪ Y‬استفاده شده است‪ ،).‬حاال یک حرکت واضح برای اعتبارسنجی‬
‫هشدار و احتماالً مطابقت با حمالت قبلی خواهند داشت‪.‬‬
 ‫‪Incident Management System‬‬
‫‪ ،IMS‬منبع اصلی دادههای وارد شده هشدارهاست که از ‪ SIEM‬یا ابزارهای امنیتی دیگر‬
‫به آن ارسال میشوند‪ .‬مگر اینکه شما هشدارها را بهطور مستقیم در ‪ SIEM‬یا ابزار‬
‫‪SOAR‬خود یا محصوالت امنیتی جداگانه مرتب کنید ‪).‬تحلیلگران برای تریاژ هشدارها‬
‫و همچنین کار در حوادث فعال از ‪ IMS‬استفاده میکنند‪ .‬برای انجام این کار به بهترین‬
‫شکل ممکن‪ ،‬ادغام با ‪ TIP‬و پلتفرم ‪ SOAR‬شما میتواند به سرعت و بدون دردسر‬
‫اطالعات اضافی را جستجو و مرتبط کند‪.‬‬

‫هنگامی که حوادث بررسی‪ ،‬اصالح و به اتمام رسیدهاند‪ ،‬تحلیلگران تیکت مرتبط را می‪-‬‬
‫بندند‪ .‬در انجام این کار‪ ،‬یک مورد کلیدی که نباید نادیده گرفته شود‪ ،‬دستهبندی حادثه به‬
‫منظور اندازهگیری میباشد‪ .‬این معیار ها در انتهای هر هفته میتوان در گزارشات استفاده‬
‫شود و مدیران ‪ SOC‬میتوانند از تعداد حوادث و سطح آن‪ ،‬برای ارائه بازخورد در مورد‬
‫بودجه اضافی‪ ،‬استفاده کنند‪ .‬از آنجا که تحلیلگران اغلب تقریباً تمام روز را در ‪IMS‬‬
‫میگذرانند‪ ،‬این یک بخش مهم دیگر از نرمافزارهاست که باید با دقت انتخاب شود‪.‬‬
 ‫جمعآوری دادههای کلیدی‬
‫دفاع سایبری با کارآیی باال به هیچ وجه یک وظیفه آسان نیست‪ .‬جمعآوری و اعمال یک‬
‫مجموعه مداوم از ‪ Detection‬ها به مقادیر عظیمی از دادههای جاری نیازمند ‪Threat‬‬
‫‪ ،Intelligence‬یک زیرساخت قابل اطمینان و یک تیم ماهر پشت آن است‪ .‬در هر‬
‫‪ ،SOC‬عملیات جمعآوری دادههای گسترده و پیچیدهای وجود دارد‪ .‬از آنجا که تیمها به‬
‫دادهها در بخش رویدادهای شبکه و کالینت نیاز دارند‪ ،‬یکی از چالشهای اولیه که هر‬
‫تیمی باید با آن روبرو شود‪ ،‬به دست آوردن دادههای صحیح است‪.‬‬
 ‫انواع دادهها‬
‫اطالعات جمعآوریشده میتواند به دو دسته اصلی تقسیم شود‪ NSM :‬و ‪ .CSM‬این‬
‫دادهها از تمام نقاط شبکه جمعآوری میشوند و بسیاری از آنها به یک ‪ SIEM‬مرکزی‬
‫میروند تا امکان جستجوی آسان‪ ،‬تصویرسازی‪ ،‬دریافت موارد مشکوک و گزارشدهی‬
‫فراهم شود‪ .‬صفحات آینده به تفصیل به تجزیه و تحلیل هر نوع داده میپردازند و منابع‬
‫کلیدی هرکدام را که باید جمعآوری شود تا به تیم عملیات امنیتی شما بیشترین فرصت‬
‫ممکن برای شناسایی حمالت پیشرفته را بدهند‪ ،‬شرح میدهند‪.‬‬
 ‫‪Flow Record‬‬
‫‪ Flow Record‬ها در سطح باالترین الگهای نظارت امنیت شبکه قرار دارند و عمدتاً‬
‫جزئیات الیههای ‪ 3‬و ‪ OSI (TCP/IP) 4‬و همچنین جزئیات زمانی را توضیح میدهند‪.‬‬
‫مزایای ‪ Flow Record‬این است که به طور معمول به راحتی برای تیمهای امنیتی در‬
‫دسترس هستند‪ ،‬زیرا اغلب توسط تیمهای عملیات شبکه برای نظارت بر عملکرد استفاده‬
‫میشوند و به دلیل دادههای محدودی که دارند‪ ،‬حجم فضای ذخیره سازی آنها نسبت به‬
‫سایر دادهها کمتر است‪ .‬معایب ‪ Flow Record‬این است که اغلب جزئیات کافی برای‬
‫تشخیص واقعی حمله وجود ندارند‪ ،‬مگر اینکه برای مطابقت با ‪ IOC‬مانند آدرس ‪ IP‬یا‬
‫یافتن موارد مشکوک در ترافیک استفاده شوند‪.‬‬

‫ابزارها و فرمتهای متداول‪ :‬الگهای مبتنی بر متن تولید شده توسط ابزارهایی مانند‬
‫‪Zeek‬یا ‪ Suricata‬یا فرمتهای اختصاصی مانند‪،NetStream ،JFlow ، NetFlow‬‬
‫‪ sFlow ،Zeek conn logs‬و ‪...‬‬

‫بخش های مهم‪:‬‬

‫• حجم ترافیک ‪ /‬پهنای باند‬

‫• شروع‪ ،‬پایان و طول اتصاالت‬
‫• ‪ IP‬های مبدأ و مقصد‬
‫• پورتهای مبدأ و مقصد‬
‫• پروتکلها (با این فرض که استفاده از پورتها با سرویس رایج آن است‪ .‬که‬
‫تضمینی نیست‪).‬‬
 ‫‪Transaction Data‬‬
‫‪( Transaction data‬که اغلب به عنوان الگهای سرویس شبکه نیز گفته میشوند)‬
‫دادههای ‪ Flow Record‬را گرفته و آن را تا الیه‪ ، OSI 7‬یعنی الیه ‪،Application‬‬
‫گسترش میدهند‪ .‬این نوع داده توسط ابزارهایی تولید میشود که ‪ Packet‬های کامل را‬
‫مورد بررسی قرار داده و تجزیهوتحلیل واقعی از پروتکلهای استفادهشده و جزئیات‬
‫اطالعات انجام میدهند‪ .‬این تجزیهوتحلیل اطالعاتی در مورد گواهینامههای‪، TLS‬‬
‫‪HTTP request‬و موارد دیگر فراهم میکند و بسیار بیشتر برای شناسایی حمالت مفید‬
‫است‪ ،‬زیرا بسیاری از ‪ IOC‬های جمعآوریشده توسط یک ‪ SOC‬برای مطابقت (مانند‬
‫هشها‪ ،‬نامهای دامنه‪ ،‬جزئیات گواهینامه‪ ، TLS‬عوامل کاربری و موارد دیگر) تنها زمانی‬
‫قابل مشاهده است که ترافیک به این سطح عمق تجزیهوتحلیل میشود‪. SOC‬ها باید به‬
‫عنوان حداقل سعی کنند ‪ Transaction Data‬را جمعآوری کنند‪ ،‬زیرا ‪Tansaction ،‬‬
‫‪ Data‬همچنان یک الگ مبتنی بر متن است که تنها بیشتر از ‪ Flow Record‬کمی‬
‫حجیمتر است و بنابراین میتواند به طور نسبتاً ارزان تولید و ذخیره شود‪.‬‬
‫ابزارها و فرمتهای متداول‪:‬‬
‫الگهای مبتنی بر متن تولید شده توسط ابزارهایی مانند‪ ،Suricata ، Zeek‬محصوالت‬
‫تجاری مختلف نظارت بر شبکه و راهکارهای‪NDR‬‬
‫بخش های مهم‪:‬‬
‫هرچیز که در بخش ‪ Flow Records‬به آن اشاره شد‬ ‫•‬
‫پروتکلهای الیه ‪ Application‬مورد استفاده‬ ‫•‬
‫جزئیات الیههای ‪ presentation‬و ‪session‬‬ ‫•‬
‫جزئیات ارتباط در الیه ‪( application‬به طور مثال‪ :‬متدهای‪user ، HTTP‬‬ ‫•‬
‫‪URL ،agent‬ها‪ hostname ،‬و موارد دیگر)‬
‫مطابقتهای احتمالی با ‪ IOC‬های مخرب شناخته شده‬ ‫•‬
 ‫‪Full Packet Capture‬‬
‫گاهی اوقات حتی ‪ metadata‬های الیه ‪ application‬کافی نیستند تا در حین تحقیقات‬
‫یک حادثه تصمیم صحیح‪/‬غلط گرفته شود‪ .‬در این موارد‪ Full Packet Capture ،‬تمامی‬
‫بایت های ارسال شده را فراهم میکند و توسط تیمهای امنیتی برای رسیدن به حقیقت‬
‫اینکه در یک تحقیق چه اتفاقی افتاده است‪ ،‬مورد استفاده قرار میگیرد‪ .‬دو مشکل عمده‬
‫با ‪ Full Packet Capture‬وجود دارد‪ :‬رمزگذاری و اندازه داده‪ .‬رمزگذاری میتواند فواید‬
‫‪ packet capture‬را کمتر کند‪ ،‬مگر اینکه از رمزگشایی ‪ TLS‬برای رمزگشایی قبل از‬
‫‪ Capture‬استفاده شود (اگر توان رمزگشایی را ندارید‪ ،‬فیلترهای ‪ BPF‬میتوانند برای‬
‫عدم ضبط دادههای بیهوده دیگر استفاده شوند‪ ).‬به دلیل ماهیت محتوای ‪Full Packet‬‬
‫‪ ،Capture‬اندازه داده نسبت به الگهای ‪ flow‬و ‪ transaction‬به طور قابل توجهی‬
‫بزرگتر است‪ .‬بنابراین‪ ،‬دوره نگهداری برای ‪ packet capture‬معموالً کوتاهتر از الگهای‬
‫‪ transaction‬و ‪ flow‬خواهد بود‪ .‬توجه داشته باشید که اگرچه در گذشته به دست آوردن‬
‫‪ packet capture‬برای سرویس های ابری دشوار بود‪ ،‬اکثر پلتفرمها حاال محصوالتی‬
‫برای ‪ packet capture‬برای سیستم های ابری ارائه کردهاند‪.‬‬

‫ابزارها و فرمتهای متداول‪:‬‬

‫فرمتهای ‪ PCAP‬و ‪ PCAP-NG‬تا به امروز بیشترین کاربرد را در ذخیره دادههای‬

‫‪ Full Packet Capture‬دارند‪ .‬ابزارهای زیادی برای ‪ packet capture‬بصورت‬
‫‪ open-source‬و تجاری وجود دارند‪ .‬گزینههای رایگان شامل ابزارهایی مانند‪، Moloch‬‬
‫‪Google Stenographer‬و ‪ netsniffing‬استفاده شده توسط توزیعهای ‪ NSM‬مانند‬
‫‪Security Onion‬استفاده میشوند‪ .‬برای سرویس های ابری‪Amazon VPC ،‬‬
‫‪Azure Network Watcher ،Traffic Mirroring‬و ‪Google GCP Packet‬‬
‫‪ Mirroring‬قابلیت دید به ترافیک شبکه ابری را دارند‪.‬‬
 ‫بخش های مهم‪:‬‬
‫• همه چیز که در بخش های باال من باب الگهای ‪ flow‬و ‪ transaction‬توضیح‬
‫داده شد‪.‬‬
‫• تجزیه و تحلیل محتوای کامل ‪ packet‬ها(بطور مثال‪ :‬محتوای متنی ‪HTTP‬‬
‫‪)GET/POST‬‬
‫• فایلها انتقال یافته و برنامههای مخرب برای تحلیل‬
‫• تجزیه و تحلیل فانرزیک جزئیات ‪ transaction‬شبکه‬
‫• تجزیه و تحلیل پروتکل در عمق‬
‫• پاسخ پیشرفته به حوادث و مهندسی معکوس حمالت‬
 ‫فرصتهای جمعآوری ترافیک‬
‫از آنجایی که انواع داده با جزئیات بیشتر میتوانند برای ایجاد انواع داده با جزئیات کمتر‬
‫مورد استفاده قرار گیرند‪ ،‬یک ‪ packet capture feed‬میتواند برای ایجاد ‪full packet‬‬
‫‪ ،capture‬الگهای ‪ transaction‬و ‪ flow‬مورد استفاده قرار گیرد‪ .‬اگر تیم شما دسترسی‬
‫به ‪ network tap‬یا ‪ port mirror‬برای‪ packet capture feed‬نداشته باشد‪ ،‬هنوز‬
‫هم بسیاری از دستگاههای شبکه و سنسورهای ‪ IDS‬میتوانند الگهای سطح خدمات و‬
‫جریان تولید کنند(مانند ‪ NGFW‬یا ابزارهای‪ open-source‬مانند‪ )Suricata‬تیمها باید‬
‫سعی کنند دادهها را به هر نحو که برای آنها موثر و پایدار باشد‪ ،‬جمعآوری کنند‪ .‬برخی‬
‫از گزینههای جمعآوری دادههای مانیتورینگ امنیت شبکه و نحوه تبدیل آن از یک شکل‬
‫به شکل دیگر نشان داده شدهاند‪.‬‬
 ‫‪Endpoint Monitoring‬‬
‫‪ Endpoint monitoring‬نوع دیگری از دادههای مانیتورینگ است که باید توسط‬
‫یک مرکز عملیات امنیتی )‪ (SOC‬جمعآوری شود تا حمالت به طور دقیق و به موقع‬
‫شناسایی و رفع شوند‪ .‬جمعآوری دادههای ‪( endpoint‬در بعضی مقاله ها با نام ‪CSM‬‬
‫به آن اشاره شده است)جزئیاتی در مورد پردازشها‪ ،‬ورود به سیستم‪ ،‬سرویس ها و سایر‬
‫اطالعات کلیدی در مورد اتفاقات در دستگاهها فراهم میکند‪ .‬این داده‪ ،‬معموالً به صورت‬
‫الگهای متنی‪ ،‬توسط سیستمعاملها‪ ،‬برنامهها و نرمافزارهای امنیتی موجود در‬
‫‪ endpoint‬ایجاد میشود و بیشتر به وسیله ‪ agent‬الگ ها جمعآوری شده و به یک‬
‫‪SIEM‬متمرکز میشود‪.‬‬
 ‫دستهبندی رویدادها برای ضبط و‬
‫جمعآوری‬

‫اجرای برنامه‬
Command line and arguments •
Program name and file path •
Parent process •
Hash •
Signiture – signed or unsigned, signature details •
Application control list status (allowed or unallowed) •
‫اجرای اسکریپت‬
Windows •
cscript.exe, wscript.exe, cmd.exe o
PowerShell – script file names, transcription logs, script o
block logs, module logs
macOS – osacript (AppleScript) •
Linux – sh, zsh, bash commands •
Python ‫ مانند‬Cross-platform ‫زبان های‬ •
Authentication ‫الگ های‬
‫• چه حساب های کاربری ورود موفق به سیستم داشتند؟ چه حساب هایی ورود ناموفق‬
‫داشتند؟‬
،local ‫• دسترسی و ورود به سیستم از چه طریق صورت گرفته است؟(بهصورت‬
)... ‫ و‬SSH ،RDP
... ‫ و‬NTLM ‫ یا‬Kerberos – ‫• مکانیزم استفاده شده جهت احراز هویت‬
 ‫• اگر بهصورت ریموت صورت گرفته است‪ ،‬منبع درخواست از کجا بوده است؟‬
‫نظارت بر ‪ Configuration‬و ‪Baseline‬‬
‫• سرویس های در حال اجرا‬
‫• موارد ‪Autorun‬‬
‫• ‪ Scheduled task‬ها‬
‫• افزودن‪ ،‬حذف‪ ،‬خواندن و تغییر در فایل های حساس و ‪registry‬‬
‫وضعیت آسیبپذیری‬
‫• سیستم عامل‪ :‬نسخه و پچ های نصب شده‪.‬‬
‫• ‪Application‬ها‪ :‬چه چیزی نصب شده و نسخه آن چند است؟‬
‫وضعیت آسیبپذیری‬
‫توجه‪ :‬الگهای فایروال ‪ host‬منبع قابل توجهی برای بررسی هستند‪ ،‬اما معموالً قبل از‬
‫جمعآوری باید به شدت فیلتر شوند ‪ -‬فقط پورتهای متداول برای ‪lateral movement‬‬
‫و منابع‪/‬مقصدهایی که ترافیک در آنجا غیرمنتظره خواهد بود‪ ،‬را انتخاب کنید‪.‬‬
 ‫منابع الگ ویندوز‬
‫منابع الگ ویندوز به کانالها در ‪ Windows Event Viewer‬تقسیم میشوند‪ .‬در حالی‬
‫که سیاست حفاظت ویندوز شما تعیین میکند که کدام رویدادها باعث ایجاد یک رکورد در‬
‫یکی از کانالها میشوند‪ ،‬باز هم به تیم امنیتی وابسته است که کدام کانالها و کدام‬
‫رویدادها در هر کانال را جمعآوری کند‪ .‬توجه داشته باشید که در حالی که پیکربندی‬
‫استاندارد اغلب شروع به جمعآوری کانالهای‪ System ،Security‬و ‪Application‬‬
‫است‪ ،‬اما این کافی نیست تا بتوانید بسیاری از حمالت پیشرفته را شناسایی کنید‪ .‬برای‬
‫بهبود فعالسازی تیم شما برای تشخیص حمالت‪ ،‬کانالهای الگ ویندوز زیر (هر جا که‬
‫امکانپذیر است) نیز برای جمعآوری در نظر گرفته شوند‪ .‬توجه داشته باشید که بسیاری از‬
‫این کانالها نیازمند اجرای یک سیاست فیلترینگ دقیق توسط ‪ agent‬جمعآوری الگ‬
‫شما بر اساس ‪ EventID‬و یا دیگر بخشها هستند تا تنها رویدادهای مرتبط با امنیت‬
‫جمعآوری شوند‪.‬‬

‫کانالهای مورد توجه الگ ویندوز‪:‬‬

‫‪AppLocker‬‬ ‫•‬
‫‪DeviceGuard‬‬ ‫•‬
‫‪EMET‬‬ ‫•‬
‫‪Powershell‬‬ ‫•‬
‫)‪Security-Mitigations/Kernel-Mode (Windows Exploit Guard‬‬ ‫•‬
‫‪Sysmon‬‬ ‫•‬
‫‪Windows Defender‬‬ ‫•‬
‫‪Windows Firewall with Advanced Security‬‬ ‫•‬
‫‪WMI-Activity‬‬ ‫•‬
،‫ که ممکن است جالب باشند‬Windows ‫ های خاص‬Event ID ‫برای جزئیات در مورد‬
:‫به منابع زیر مراجعه کنید‬
: Sean Metcalf’s AD Security Blog •
adsecurity.org/?p=3299 o
adsecurity.org/?p=3377 o
Malware Archaeology Cheat Sheets •
Ultimate Windows Security Log Events Encyclopedia •
 ‫منابع الگ ‪Linux/Unix‬‬
‫منابع الگ سیستمهای مبتنی بر ‪ Unix‬معموالً یا در فایلهای متنی (همانند نمونه زیر)‬
‫ثبت میشوند‪ ،‬یا در ژورنال سیستم برای توزیعهایی که از ژورنال ‪ systemd‬استفاده‬
‫میکنند‪ .‬موارد زیر پیشنهاداتی برای شروع به ساخت استراتژی جمعآوری الگ در ‪Linux‬‬
‫هستند‪.‬‬
‫• ‪ /var/log/auth.log‬یا ‪/var/log/secure‬‬

‫• ‪ /var/log/syslog‬یا ‪/var/log/messages‬‬

‫• ‪ – /var/log/audit/kern.log‬الگهای ‪Kernel‬‬
‫• ‪ – /var/log/audit/audit.log‬الگهای ‪Auditd‬‬
‫• ‪ – /var/log/audit/ufw.log‬الگهای ‪Firewall‬‬
‫• ‪ – /var/log/httpd/access.log‬الگهای ‪Apache‬‬
‫• ‪ – /var/log/httpd/mysqld.log‬الگهای ‪MySQL‬‬
 ‫الگگیری در ‪Cloud‬‬
‫الگگیری و نظارت بر سیستمهای مبتنی بر ‪ cloud‬میتواند به چندین روش مختلف‬
‫انجام شود که به نحوی به مدیریت سیستمهای ‪ cloud‬و نظارت بر سرورها‪ ،‬پلتفرمها یا‬
‫برنامههای اجرا شده در ‪ cloud‬بستگی دارد‪ .‬دو حوزه اصلی نظارت این فرآیند عبارتاند‬
‫از نظارت بر مدیریت خود پلتفرم ‪ cloud‬و نظارت بر سرورها‪ ،‬پلتفرمها یا برنامههای اجرا‬
‫شده در ‪.cloud‬‬
‫‪Cloud Management Plane Logs‬‬
‫یکی از حوزههای اصلی نگرانی برای تمامی سرویس های مبتنی بر ‪ ،cloud‬رابطهای‬
‫مدیریت خود هستند‪ .‬هر سازمان افرادی دارد که مجوزهایی دارند‪ ،‬به عنوان مثال‪ ،‬وارد‬
‫صفحه مدیریت ‪ Amazon AWS‬میشوند و خدمات و دادهها را میخوانند‪ ،‬اصالح‬
‫میکنند‪ ،‬ایجاد یا حذف میکنند‪ .‬حملهکنندهای که به این عملکردهای مدیریتی دسترسی‬
‫پیدا کند‪ ،‬به راحتی میتواند به چندین شیوه مختلف آسیب بزند‪ .‬بنابراین‪ ،‬نظارت بر‬
‫سیستمهای ‪ cloud‬همیشه باید شامل بررسی این باشد که چه کسانی وارد پلتفرم مدیریت‬
‫میشوند و چه اقداماتی را انجام میدهند‪ .‬منابع الگ صفحه مدیریت ‪ cloud‬شامل مواردی‬
‫مانند ‪ Amazon CloudTrail‬و ‪ Azure Activity Logs‬هستند‪.‬‬
‫الگگیری ‪IaaS‬‬
‫برای سیستمهایی که میتوانند به عنوان ‪ IaaS‬در نظر گرفته شوند‪ ،‬الگگیری و نظارت‬
‫به همان ابزارها و مکانیزمهایی که در بهصورت ‪ on-premise‬اجرا میشوند مشابه مورد‬
‫استفاده قرار میگیرد‪ ،‬باز میگردد‪ .‬از آنجا که شما در تقریباً کنترل کاملی بر روی سیستم‬
‫دارید‪ ،‬الگگیری میتواند همانند هر ماشین مجازی دیگر‪ ،‬اغلب با استفاده از ‪agent‬ها‬
‫که اطالعات در مورد فعالیت سیستم‪ ،‬سیستمعامل و ‪ application‬را جمعآوری میکنند‬
‫و سپس به یک ‪ SIEM‬مرکزی ارسال میکنند‪ ،‬پیادهسازی شود‪.‬‬
‫الگگیری در ‪ PaaS‬و ‪SaaS‬‬
‫اگرچه سازمان شما کنترلی بر سیستم اصلی در ‪ PaaS‬و ‪ SaaS‬ندارد‪ ،‬اما نگرانیهای‬
‫مربوط به امنیت آنها باید به همان اولویت باال باشند همچنان که با سایر سیستمها است‪.‬‬
‫عموماً ارائه دهندگان ‪ PaaS‬و ‪ SaaS‬امکان جمعآوری الگ را از طریق ‪ API call‬یا‬
‫الگهای سرویس نوشته شده به ناحیه خاصی درون پلتفرم ابری(مانند ‪،S3 bucket‬‬
‫‪ )Azure Event Hub ،Amazon CloudWatch‬فراهم میکنند‪ .‬سپس این ‪API‬ها‬
‫و نقاط جمعآوری الگ باید در ‪ SIEM‬شما به عنوان یک منبع الگی که به صورت خودکار‬
‫بهره برداری میشود‪ ،‬تنظیم شوند‪ .‬الگهای جمعآوری شده باید شامل فعالیت برای‬
‫سرویس و همچنین کاربرانی که با نرمافزار تعامل دارند‪ ،‬باشد و باید عملیاتی که انجام شد‬
‫و یا تالش ناموفقی برای آن صورت گرفت(تغییرات‪ ،‬ورود‪/‬خروج‪ ،‬اقدامات و غیره) را بررسی‬
‫کند‪.‬‬
‫تفاوت بین ‪ SaaS‬و ‪ IaaS/PaaS‬این است که امنیت این سیستمها خارج از کنترل‬
‫شماست‪ ،‬که الگها به عنوان تنها گزینه برای نظارت باقی میمانند و تنها چیزی که‬
‫تامینکننده شما میخواهد با شما به اشتراک بگذارد‪ .‬سازمانهایی که از ‪ SaaS‬استفاده‬
‫میکنند‪ ،‬باید با دقت موارد کاربردی برای حمالت به این سیستمها و اهداف مهاجمان را‬
‫در نظر بگیرند و چگونگی ظاهر شدن این رویدادها با دید خوبی که از طریق ‪ API‬سرویس‬
‫دهنده برای شما در دسترس است را ترسیم کنند‪ .‬سپس باید قوانین تحلیل و هشدارگذاری‬
‫مرتبط با این موارد کاربرد ایجاد‪ ،‬تست و به صورت مداوم تأیید شوند تا اطمینان حاصل‬
‫شود که پوشش کاملی وجود دارد‪.‬‬
 ‫مدلها و معیارهای عملیات امنیتی‬

‫این بخش شامل برخی از مهمترین منابع برای درک و مدلسازی حمالت سایبری‪ ،‬ساخت‬
‫‪ ،Threat Intelligence‬و اجرا و سنجیدن عملیات امنیتی شما است‪.‬‬
 ‫مدلها و چارچوبهای ارجاع حمالت‬

‫لیستی از برخی از مدلهای ذهنی مفید معموالً در امنیت اطالعات ارجاع میشوند‪ ،‬همچنین‬
‫چارچوبهای بسیار مفیدی که برای استانداردسازی و سازماندهی تکنیکها‪Threat ،‬‬
‫‪ Intelligence‬و دفاع در برابر حمالت سایبری ارائه شدهاند‪.‬‬

‫‪The Lockheed Martin Cyber Kill Chain‬‬ ‫•‬

‫)‪Incident Response Cycle (NIST SP800-61r2‬‬ ‫•‬
‫‪David Bianco’s Pyramid of Pain‬‬ ‫•‬
‫‪The Diamond Model of Intrusion Analysis‬‬ ‫•‬
‫‪ :MITRE ATT&CK‬منبعی از تاکتیک ها‪ ،‬تکنیک ها‪ ،‬روش ها‪ ،‬ابزار ها‪ ،‬گروه‬ ‫•‬
‫های مهاجم‪ ،‬مواردی جهت پیشگیری و شناسایی و ‪...‬‬
‫‪ :ATT&CK Navigator o‬ابزاری جهت تصویرسازی تکمیلی‬
‫• ‪ :MITRE Engage‬فریمورکی برای برنامه ریزی من باب مقابله با مهاجمان و‬
‫کنترل بر این فرآیند‬
‫• ‪ :ATC RE&CT‬فریمورک و منبعی برای تکنیک های‪incident response‬‬
‫‪ :RE&CT Navigator o‬ابزاری جهت تصویرسازی تکمیلی‬
 ‫شناخت خود و مهاجم‬
‫تعریف مهاجم خود در زمینههای مختلف کلیدی است برای هماهنگی بودجه دفاعی در‬
‫برابر حمالت احتمالی‪ .‬اهداف‪ ،‬توانمندیها‪ ،‬تاکتیکها‪ ،‬تکنیکها‪ ،‬روشها و شاخصهای‬
‫مشخصی که از حوادث و اطالعات جاسوسی خارجی استخراج میشوند‪ ،‬باید به دقت‬
‫پیگیری شوند‪ .‬این کار به تدریج یک تصویر واضح از افراد و مواردی که تیم شما با آنها‬
‫مواجه خواهد شد‪ ،‬ایجاد خواهد کرد‪ .‬هر چه اطالعات بهتر جمعآوری و سازماندهی شوند‪،‬‬
‫تیم موثرتر خواهد بود و بودجه دفاعی به صورت کارآمدتر تخصیص داده خواهد شد‪ .‬این‬
‫بخش‪ ،‬برخی از مدلها و مفاهیم مهمی را که یک تیم دفاعی باید با آنها آشنا باشد تا‬
‫حداکثر از ‪ Threat Intelligence‬بهره ببرد‪ ،‬ارائه میدهد‪.‬‬
 ‫سه سطح ‪Threat Intelligence‬‬

‫‪ Threat Intelligence‬به چند نوع مختلف تقسیم میشود و همگی برای دفاع موثر‬
‫الزم است‪ .‬مراکز عملیات امنیتی (‪ )SOC‬و تحلیلگران ‪ SOC‬معموالً در سطوح پایینتر‬
‫‪ Threat Intelligence‬عملیاتی و تاکتیکی عمل میکنند‪ ،‬اما این تنها کافی نیست‪ .‬یک‬
‫‪ SOC‬موفق باید تمامی سه سطح ‪ Threat Intelligence‬را تولید‪ ،‬تهیه یا خریداری‬
‫کند تا بهترین دفاع را در سازمان خود داشته باشد‪.‬‬

‫سطح استراتژیک‪:‬‬
‫• مصرفکنندگان‪ :‬مدیران اجرایی و سیاستگذاران‬
‫• نگاه گسترده به منظر تهدیدات‪ ،‬تاثیر گذاری بر سرمایهگذاریها‪ ،‬سیاستها و ریسک‬
‫سطح عملیاتی‪:‬‬
‫• مصرفکنندگان‪ :‬پاسخگویان ارشد‪ ،‬مدیران‬
‫• اهداف و روندها‪ ،‬ردیابی حمالت‪ ،‬قابلیتهای مهاجم‬
‫سطح تاکتیکی‪:‬‬
‫• مصرفکنندگان‪ :‬تحلیلگران ‪ ،SOC‬تحلیلگران ‪Threat Intelligence‬‬
‫• سطح‪ ،domain ،IP :IOC‬شواهد ‪ + host‬تحلیل آن‬
‫• متداولترین نوع برای استفاده تحلیلگران‬
 ‫مدلسازی تهدیدات‬
‫هر سازمان و فرد باید جزئیات مدل تهدیدات خود را به عنوان اولین مرحله در توسعه دفاع‬
‫خود در نظر بگیرد‪ .‬راهنمای کلی در این فرآیند در این صفحه ذکر شده است‪.‬‬
‫ساختن یک مدل تهدید شامل پاسخ به سواالتی مانند‪:‬‬
‫‪ .1‬از چه چیز محافظت میکنید؟‬
‫‪ .2‬از دست چه کسی دارید آن را محافظت میکنید؟‬
‫‪ .3‬چقدر احتمال دارد که نیاز به محافظت داشته باشد؟‬
‫‪ .4‬عواقب آن اگر شکست بخورید چه میزان آسیب وارد میکند؟‬
‫‪ .5‬چقدر حاضرید برای جلوگیری از این پیامد ها ایستادگی کنید؟‬

‫برای کسانی که میخواهند یک مدل تهدید شخصی ایجاد کنند‪ ،‬راهنمای ‪ EFF‬در دو‬
‫لینک زیر قابل دسترس است‪:‬‬
‫‪eff.org/keeping-your-site-alive/evaluating-your-threat-model .1‬‬
‫‪ssd.eff.org/en/module/your-security-plan .2‬‬
 ‫‪Attack Trees‬‬
‫‪ Attack Trees‬یک روش برای تجسم جزئیات مدل تهدیدات شما و نحوهی‬
‫حملهکنندگان به تحقق اهداف خود در محیط شما است‪ .‬ایجاد یک ‪ Attack Tree‬برای‬
‫اهداف مختلف مهاجمان یک تمرین مفید در یافتن مسیرهایی است که مهاجمان ممکن‬
‫است دنبال کنند و نقاط کلیدی جمعآوری اطالعات را نشان میدهد تا بهبود امنیت شما‬
‫را تسریع بخشد‪.‬‬
‫ایجاد یک ‪ Attack Tree‬آسان است‪ ،‬به سادگی با شروع از لیست کردن هدف فرضی‬
‫یک حمله در یک جعبه در باالی صفحه و سپس "یک قدم عقب بروید"‪ ،‬تمام راههای‬
‫معلوم را که اجازه میدهد این اتفاق بیفتد لیست کنید‪ .‬سپس این کار را به طول صفحه‬
‫تکرار کنید تا جزئیات بیشتری بدست آید‪ .‬میتوانید اگر تمایل داشته باشید بر روی هر مورد‬
‫احتماالت‪ ،‬رتبهبندیها یا احتمالپذیریها بگذارید‪ ،‬اما این الزم نیست‪.‬‬
‫زمانی که به اتمام رسیدید‪ ،‬به صورت معکوس یک نقشه از این چگونگی ممکن است‬
‫حملهکنندگان حمله خود را شروع کنند‪ ،‬از محیط شما عبور کنند و در نهایت هدف خود را‬
‫به دست آورند‪ ،‬تولید کردهاید‪ .‬انجام این تمرین فکری ممکن است نقاط کور و سایر نقاط‬
‫ضعف سازمان شما را قبل از اینکه مهاجمان آنها را پیدا کند‪ ،‬روشن کند و به تیم دفاعی‬
‫وقت بدهد تا مشکل را قبل از اینکه در یک حمله واقعی کشف شود‪ ،‬حل کند‪ .‬در دیاگرام‬
‫مثالی از یک درخت حمله برای یک دزدی از بانک آمده است که توسط بروس شنایر در‬
‫پست منبعی که به آن ارجاع داده شده است‪ ،‬ارائه شده است و شما میتوانید جزئیات‬
‫بیشتری در مورد چگونگی عبور از این فرآیند را بیابید‪.‬‬
‫منبع ‪Attack Tree‬‬
 ‫چرخه ‪F3EAD‬‬

‫چرخه ‪ F3EAD‬یک نمایش از این است که چگونه ‪ Threat Intelligence‬و ‪SOC‬‬

‫باید با همکاری هم کار کنند تا بهبود مداوم در دفاع سایبری را ایجاد کنند‪.‬‬

‫منبع‬
 ‫حلقه ‪OODA‬‬

‫حلقه ‪ OODA‬که توسط خلبان جان بوید در دهه ‪ ۱۹۴۰‬طراحی شده است‪ ،‬به عنوان یک‬
‫مدل ذهنی نمایانگر چهار مرحلهای است که هر دو طرف درگیر در هر رقابت سر به سری‬
‫به طور مداوم آن را طی میکنند‪ .‬همچنین پیشبینی میکند که کدام طرف ممکن است‬
‫بر اساس سرعتی که هر طرف میتواند از طریق حلقه حرکت کند‪ ،‬برنده شود‪ .‬برای ‪،SOC‬‬
‫این مدل یک راه مفید برای تفکر در مورد اهمیت نرخ عملیاتی است‪ ،‬و چگونگی سرعت‬
‫در هر فرآیند ‪ SOC‬به موفقیت در مقابله با یک مهاجم کمک میکند‪.‬‬
 ‫حلقه ‪ OODA‬و سرعت عملیات‬
‫مشاهده )‪:(Observe‬این مرحله به جمعآوری اطالعات از محیط اختصاص دارد‪.‬‬
‫برای ‪ ،SOC‬این عملکرد ترجمه به فرآیند جمعآوری)‪ (Collection‬میشود‪ ،‬یعنی‬
‫توانایی مشاهده دادههای شبکه و دادههای سمت کاربر جهت شناسایی یک حمله‪.‬‬
‫جهتدهی)‪ :(Orient‬از بین تمام مراحل‪ ،‬مرحله جهتدهی یکی از اثرات بزرگترین‬
‫را دارد چرا که در آن ما سعی میکنیم وضعیت را با توجه به دادههای ارائه شده تفسیر‬
‫کنیم‪ .‬برای ‪ ،SOC‬این به معنای گرفتن محتوای دادههای موجود در شبکه برای ایجاد‬
‫فرضیه از چه اتفاقی ممکن است رخ دهد میباشد‪ .‬بدون تیمی که آموزش دیده باشد‬
‫که حمالت یا اطالعات موجود را درک کند‪ ،‬این مرحله ممکن است منجر به تفسیر‬
‫نادرست اطالعات یا واکنش اشتباه شود‪.‬‬
‫تصمیمگیری)‪ :(Decide‬در این مرحله زمان تصمیمگیری است‪ ،‬با توجه به تفسیر‬
‫شما از رویدادها از مرحله جهتیابی‪ ،‬بهترین حرکت بعدی را برای مقابله با حریف‬
‫تصمیم بگیرید‪ .‬برای ‪ ،SOC‬این به معنای تصمیمگیری در مورد بهترین راه برای‬
‫جلوگیری از مهاجمان است بهطوری که ما قادر باشیم در حلقههای بعدی مزیتی بر‬
‫آنها داشته باشیم‪ .‬برای یک ‪ ،SOC‬اثربخشی در این مرحله اغلب به تجربه و آموزش‬
‫در مورد بهترین پاسخ به هر وضعیت داده شده بستگی دارد‪ Playbook .‬ها و روشهای‬
‫پاسخ به حوادث ممکن است در این مرحله به اندازهی زیادی کمک کننده باشند‪.‬‬
‫اجرا)‪ :(Act‬مرحله اجرا‪ ،‬کامالً درباره پیگیری اقداماتی است که در مرحله تصمیمگیری‬
‫تصمیم گرفته شده است‪ .‬در ‪ ،SOC‬این میتواند به توانایی شما در پاسخ سریع به یک‬
‫حمله ترجمه شود‪ .‬آیا مجوز و ابزار و روشهای الزم برای اقدام سریع و کاهش آسیب‬
‫در اختیار شماست؟ مرحله اجرا منجر به بازخورد تأثیر اقدامات شما به مرحله بعدی‬
‫مرحله مشاهده میشود‪ ،‬جایی که ‪ SOC‬باید ببیند که آیا اقدامات انجام شده پیامدهای‬
‫مطلوب داشته است یا خیر‪.‬‬
 ‫‪Threat Hunting‬‬
‫تهدید‪ ،‬نقطه اساسی در عملیات روزانه است و دیگر قسمت اساسی از عملکرد ‪Detection‬‬
‫است که قبالً توضیح داده شده است‪ .‬در حالی که هر ‪ SOC‬یک کتابخانه بزرگ از حمالت‬
‫و ‪ Signature‬های شناخته شده برای شناسایی حمالت دارد‪ ،‬تضمین میشود که بسیاری‬
‫از قطعات ناشناختهای از ‪ malware‬ها و روشهای حمله وجود دارد که هنوز هیچ‬
‫‪ signature‬خاصی برای آنها وجود ندارد‪ .‬بنابراین‪ Threat Hunting ،‬یک فعالیت‬
‫ضروری برای همه تیمهای ‪ SOC‬است‪ ،‬بدون توجه به اندازه یا تجربه‪.‬‬

‫‪ Threat Hunting‬باید به عنوان نیمه دیگر عملیات ‪ Detection‬مشاهده شود‪ .‬به جای‬
‫‪ reactive‬بودن بر اساس مطابقت با شاخصهای حمله‪ ،‬در مدل ‪ ،proactive‬با فرض‬
‫اینکه "مورد نفوذ قرار گرفته ایم شبکه را مورد بررسی قرار میدهیم" است‪ Hunt .‬بدون‬
‫‪ signature‬بدافزار های شناخته شده اغلب شامل جمعآوری و تجزیه و تحلیل دقیق‬
‫مقادیر بزرگی از داده یا فعالیت برای شناسایی نقصانهایی است که ممکن است ما را به‬
‫سمت درست هدایت کند‪ .‬در حالی که تمام تیمها میتوانند به دنبال تهدید جستجو کنند‪،‬‬
‫طبیعت تاکتیکهای ‪ Threat Hunting‬اغلب به این معناست که کسانی که دارای‬
‫جمعآوری داده و تجزیه و تحلیل دادههای گسترده و خوب برنامهریزی شده هستند‪،‬‬
‫همچنین ‪ Threat Intelligence‬قوی برای استفاده به عنوان مرجع‪ ،‬موثرترین در پیدا‬
‫کردن موارد مخرب خواهند بود‪ .‬این فرآیند میتواند به مراحل زیر تقسیم شود‪:‬‬
 ‫معیار ها‬
‫معیار ها)‪ (Metric‬در ‪ SOC‬به عنوان یک مکانیزم بازخورد بسیار مهم استفاده میشوند‪.‬‬
‫این بازخورد هم برای اندازهگیری عملکرد ‪ SOC‬و هم به عنوان یک مکانیزم ارتباطی بین‬
‫‪ SOC‬و مدیریت استفاده میشود‪ .‬معیار های داخلی که توسط افراد داخل ‪ SOC‬نظارت‬
‫میشوند‪ ،‬باید اندازهگیریهایی را نشان دهند که به افراد داخل ‪ SOC‬بگویند آیا امور در‬
‫حد عادی اداره میشود یا خیر‪ ،‬و همچنین نشان دهند که پروژهها و اقدامات بهبود چگونه‬
‫در حال پیشرفت هستند‪ .‬معیارها خارجی باید بر روی ارائه اطالعاتی به مدیریت عالی‬
‫تمرکز داشته باشند که به آنها کمک کند تصمیمات در خصوص ریسک و بودجهها را‬
‫بگیرند‪ ،‬و همچنین بازگشت سرمایه تولید شده توسط تیم امنیتی را به وضوح نشان دهند‪.‬‬
‫این بخش حاوی مفاهیم و مالحظات ارزیابی برای معیارهای شما است‪ .‬به یاد داشته باشید‬
‫که موفقیت در ‪ SOC‬بر اساس کارایی در هر دو وظایف عملیاتی روزانه و بهبود مستمر‬
‫است‪.‬‬
 ‫انواع معیار‬
‫معیارها‬
‫یک اندازهگیری از یک فرآیند تجاری است که شامل یک نقطه مرجع یا زمینه مرتبط‬
‫نمیشود‪ .‬معیارها به عنوان جزء کلیدی از دو مورد بعدی استفاده میشوند (مثال‪ :‬هشدارها‬
‫در صف تریاژ)‪.‬‬
‫اهداف و نتایج کلیدی (‪OKR‬ها)‬
‫یک فریمورک مدیریت هدف استراتژیک برای اندازهگیری پیشرفت و فعالیتها‪ .‬سیستم‬
‫‪ OKR‬میتواند یک راه برای تولید معیارها برای فعالیتهای بهبود در ‪ SOC‬باشد‪.‬‬
‫• هدف‪ :‬هدفی که باید دستیافته شود‪.‬‬
‫• نتایج کلیدی‪ :‬راههای مشخص و قابل اندازهگیری که نشان دهنده پیشرفت به سوی‬
‫هدف است‪.‬‬
‫• فعالیتها‪ :‬اقدامات خاصی که برای پیش روی از ابتدا تا پایان هدف انجام میشوند‪.‬‬
‫• مؤلفههای قابل اندازهگیری‬
‫‪ o‬مقدار شروع‪ :‬معیاری از عالقه در آغاز پروژه‬
‫‪ o‬مقدار فعلی‪ :‬معیار وضعیت در طول دورهی اندازهگیری اخیر‬
‫‪ o‬مقدار هدف‪ :‬مقدار معیار هنگامی که پروژه به عنوان کامل محسوب میشود‪.‬‬
‫شاخصهای عملکرد کلیدی (‪KPI‬ها)‬
‫یک معیار ‪ +‬حدود یا مرزهای مطلوب آن معیار‪ .‬برای اندازهگیری و حفظ وضعیت عادی یا‬
‫کار به عنوان معمول‪ .‬وقوع یک ‪ KPI‬خارج از محدوده معموالً به معنای لزوم اقدامی برای‬
‫اصالح موضوع است‪KPI .‬ها باید برای موارد عملیاتی روزانه ‪ SOC‬توسعه داده و استفاده‬
‫شوند تا بدانیم ابزارها و فرآیندهای امنیتی همانطور که انتظار میرود‪ ،‬کار میکنند‪.‬‬
‫(مثال‪ :‬نرخ حوادث‪ false positive ،‬و هر منطقه دیگری که یک هدف مشخص شده‬
‫باشد‪).‬‬
‫مثال‬
‫• هدف‪ :‬کاهش خطر و تأثیر حمالت ‪ phishing‬موفق‬
‫• نتیجه کلیدی ‪ :1‬کمتر از ‪ ٪1‬از ایمیلهای اسپم به صندوقهای پیامها تحویل داده‬
‫شود‪.‬‬
‫• نتیجه کلیدی ‪ :2‬حداکثر زمان پاسخ ‪ 30‬دقیقه از هشدار مربوط به ‪ phishing‬تا‬
‫محافظت و کنترل موجود باشد‪.‬‬
‫• نتیجه کلیدی ‪ :3‬کمتر از ‪ 3‬مورد در هفته از ایمیلهای مخرب بر روی کاربران تأثیر‬
‫بگذارد‪.‬‬
‫• فعالیتها‪ :‬پیادهسازی ‪ sandbox‬ایمیل های مخرب‪ ،‬آگاهی رسانی برای کاربران‪،‬‬
‫مانیتورینگ ایمیل و ‪Threat Hunting‬‬

‫منبع‪ Measure What Matters :‬از ‪John Doer‬‬

 ‫در نظر گرفتن معیارهای عملی‬
‫در حالی که معیارها‪ KPI ،‬ها و ‪ OKR‬های خاص ممکن است از تیم به تیم متفاوت‬
‫باشند‪ ،‬اما آنچه که بطور گسترده توافق شده است این است که تمام معیارها باید با اهداف‬
‫هماهنگ شوند‪ .‬به عبارت دیگر‪ ،‬آیا معیاری که شما تولید میکنید در نهایت به پاسخ دادن‬
‫به یک سوال در مورد اینکه آیا شما به یک هدف عملیاتی یا بهبود میرسید‪ ،‬کمک میکند؟‬
‫اگر نه‪ ،‬این معیار ممکن است یک انتخاب خوب برای جمعآوری نباشد‪ .‬حتی معیارهایی‬
‫که با اهداف هماهنگ هستند ممکن است مشکالتی داشته باشند‪ .‬برخی از مالحظات‬
‫اضافی برای هر عددی که تولید و جمعآوری میکنید‪ ،‬به شرح زیر است‪:‬‬
‫• چه مدت زمانی طول میکشد تا این معیار تولید شود؟ آیا این یک فرآیند دستی یا‬
‫خودکار است؟‬
‫• آیا روش جمعآوری معیار به خوبی تعریف شده است؟ آیا دو نفر نتیجه یکسانی را‬
‫ارائه خواهند داد اگر از آنها برای جمعآوری آن پرسیده شود؟‬
‫• آیا واضح است که چه کاری باید انجام داد زمانی که این معیار خارج از محدوده‬
‫مطلوب است؟ به عبارت دیگر‪ ،‬آیا قابل اجرا است؟‬
‫• آیا معیار به اندازه کافی به صورت مکرر جمعآوری میشود تا در صورت خارج شدن‬
‫از محدوده مطلوب‪ ،‬بتوان به سرعت کافی واکنش نشان داد؟ آیا آن به اندازه کافی‬
‫مکرر جمعآوری میشود؟‬
‫• هنگام گزارش معیار‪ ،‬آیا به طور بیمورد دقت را حذف و با یک رنگ یا توصیف‬
‫کیفیتی که ممکن است باعث سختی در تفسیر آن شود‪ ،‬جایگزین میکنید؟‬
‫منبع‬
 ‫چه چیزها باید اندازه گیری شود؟‬
‫به طور اصولی‪ SOC ،‬باید به هدف اندازهگیری ورودیها و خروجیهای فرآیندها بپردازد‬
‫تا اطمینان حاصل شود که آنها به عنوان انتظار عمل میکنند‪ .‬به این فکر کنید که چگونه‬
‫میتوانید میزان موفقیت در فرآیند های ‪ SOC‬از جمله ‪،Detection ،Collection‬‬
‫‪ ،Triage‬و ‪ ...‬را اندازه گیری کنید و چگونه معیارها میتوانند به طور آسان‪ ،‬خودکار و‬
‫مداوم تولید شوند تا یک نگاه ساده از اینکه آیا هر مورد کلیدی تغییر یافته یا خراب شده‬
‫است‪ ،‬یا آیا موارد مشکوک در نوع یا فراوانی حادثه رخ میدهند‪ ،‬ارائه دهند‪ .‬این یک حلقه‬
‫بازخورد کوچک و سریع است که میتواند به کشف سریع و اصالح مسائل کمک کند‪.‬‬
‫همچنین باید به دو نوع معیار فکر کنید‪ :‬معیارهای کارآمدی (آیا کارهای درست را انجام‬
‫میدهیم؟) و معیارهای کارایی (چقدر ما در اجرای کارهایی که تصمیم گرفتهایم موفق‬
‫بودهایم؟)‪.‬‬
‫منابع‬

‫‪SOC‬‬
 ‫ابزار های ‪Open-Source‬‬
‫با وجود ابزارهای تجاری بسیاری برای دفاع سایبری در همه زمینهها‪ ،‬تیمهای با بودجه‬
‫محدود نیاز به نگرانی ندارند‪ .‬با استفاده از تیمی پرانرژی و متعهد‪ ،‬میتوان به راحتی یک‬
‫دفاع سایبری کالس جهانی با استفاده از فراوانی از محصوالت ‪ Open-Source‬و رایگان‬
‫که اکنون در دسترس هستند‪ ،‬ایجاد کرد‪ .‬در زیر تعدادی از محبوبترین ابزارهای ‪Open-‬‬
‫‪ Source‬در انواع مختلف آورده شده است‪:‬‬
‫سیستمهای مدیریت حوادث (‪:)IMS‬‬
‫• ‪The Hive‬‬
‫• ‪FIR‬‬
‫مانیتورینگ امنیت شبکه‪:‬‬
‫• ‪ metadata ،IDS‬شبکه‪:‬‬
‫‪Suricata o‬‬
‫‪EVEbox -‬‬
‫‪Snort o‬‬
‫‪Zeek o‬‬
‫• ‪:Full Packet Capture‬‬
‫‪Arkime(Moloch) o‬‬
‫‪Google Stenographer o‬‬
‫‪Netsniff-ng o‬‬
‫• توزیعهای لینوکس‪:‬‬
‫‪Security Onion o‬‬
‫‪RockNSM o‬‬
‫مانیتورینگ ‪HIDS /endpoint‬‬
‫• ‪NXLog Community Edition‬‬
‫• ‪OSQuery‬‬
‫• ‪OSSEC: HIDS‬‬
 ‫• ‪Sysmon‬‬
‫• ‪Wazuh‬‬
‫پاسخ به حوادث‬
‫• ‪Kansa‬‬
‫• ‪Velociraptor‬‬
‫‪ Sandbox‬و تحلیل بد افزار‬
‫• ‪Cuckoo Sandbox‬‬
‫• ‪ :REMnux‬توزیع لینوکس برای تحلیل بد افزار‬
‫پلتفرمهای ‪Threat Intelligence‬‬
‫• ‪MISP‬‬
‫• ‪OpenCTI‬‬
‫آزمایش و گزارشدهی تیم بنفش‬
‫• ‪Vectr‬‬
‫‪Log Management / SIEM‬‬
‫• ‪Elastic Stack‬‬
‫‪Elastalert o‬‬
‫اتوماسیون و پاسخ امنیتی)‪(SOAR‬‬
‫• ‪NSA Walkoff‬‬
‫• ‪Shuffle‬‬
‫• ‪IBM Node-Red‬‬
‫تاریخ پشتیبانی و بروز رسانی بعضی از این ابزار ها به اتمام رسیده و شاید دیگر برای پیاده‬
‫سازی عملی مناسب نباشد‪ ،‬اما برای یادگیری و بررسی پیشنهاد میشود‪.‬‬
 ‫پادکستها‬
‫ و این‬،‫تعداد زیادی پادکست با کیفیت در حوزههای مختلف امنیت سایبری موجود است‬
‫ اما پادکست های ذکر شده از کیفیت خوبی برخوردار‬.‫لیست قطعا لیست کاملی نیست‬
.‫هستند و خالی از لطف نیست اگر نگاهی به آنها بیندازید‬

• BLUEPRINT - John Hubbard

• Darknet Diaries
• Security Now
• GIAC Trust Me I’m Certified – Jason Nickola
• FireEye State of the Hack
• SANS Internet Storm Center – Johannes Ullrich
• Paul’s Security Weekly, Enterprise Security Weekly
• Wait Just an InfoSec
• Cloud Ace
• Beers with Talos
• Brakeing Down Security
• Cyber Security Interviews
• The CyberWire Daily
• Defensive Security Podcast
• Hacker Valley Studio
 ‫کتب‬
SOC
• Crafting the InfoSec Playbook: Security Monitoring and
Incident Response Master Plan - Jeff Bollinger, Brandon
Enrich, and Matthew Valite
• MITRE Top 10 Strategies of a World Class CSOC -
MITRE/Carson Zimmerman
• Blue Team Handbook: Incident Response Edition: A
Condensed Field Guide for the Cyber Security Incident
Responder - Don Murdoch
• Blue Team Handbook: SOC, SIEM, and Threat-Hunting: A
Condensed Guide for the Security Operations Team and
Threat Hunter – Don Murdoch
• Blue Team Field Manual - Alan White and Ben Clark
Malware Analysis
• Practical Malware Analysis - Michael Sikorski and Andrew
Honig
• Malware Data Science - Joshua Saxe and Hillary Sanders
Incident Response
• Applied Incident Response - Steve Anson
Active Defense / Honeypot
• Intrusion Detection Honeypots: Detection Through
Deception - Chris Sanders
• Offensive Countermeasures: The Art of Active Defense -
John Strand, Paul Asadoorian, and Ethan Robish
Threat Intelligence
• Intelligence-Driven Incident Response: Outwitting the
Adversary - Scott J. Roberts and Rebekah Brown
‫برای شروع امنیت‬
• The Linux Command Line – William Shotts - FREE
• Linux Basics for Hackers – OccupyTheWeb
• Practical Packet Analysis – Chris Sanders
 ‫منابع‬

• https://www.sans.org/cyber-security-courses/blue-team-
fundamentals-security-operations-analysis/
• https://www.sans.org/cyber-security-courses/building-
leading-security-operations-centers
• https://www.sans.org/posters/guide-to-security-operations/
 ‫هرچند دفاع سایبری یک موضوع بسیار‬
‫عمیق است‪ ،‬اما تعدادی از دیدگاهها‪،‬‬
‫مدلها‪ ،‬منابع داده و تکنیکها وجود‬
‫دارند که میتوانند تیم را به سمت ایده آل‬
‫هدایت کنند‪ .‬این راهنما یک مجموعه از‬
‫مفیدترین اطالعات و مدلها برای کسانی‬
‫که در مراکز عملیات امنیت فعالیت‬
‫میکنند‪ ،‬همچنین اشاره به ابزارهای‬
‫قدرتمند رایگان‪ ،‬مراجع کتاب و موارد‬
‫دیگر است تا به ساختار تیم‪ ،‬مهارتها و‬
‫تواناییهای دفاعی کمک کند‪.‬‬

‫‪linkedin.com/in/heisalim‬‬