Boss of the SOC v1 Scenario 1

شرح مفصل 

بسم الله الرحمن الرحيم

يواجه البعض مشكلة ظهور التدوينة ناقصة وهي خارج عن سيطرتي, يمكن حلها بتعطيل إضافة الآد بلوك في المتصفح (لا توجد إعلانات  هنا) أو بتجربة تغيير المتصفح.

هدف التحدي هو تعلم كيفية استخدام Splunk من خلال:

  1. تحليل اختراق موقع الكتروني من مجموعة اختراق تسمى “P01s0n1vy”

  2. تحليل عملية تشفير البيانات واسترجاعها بمقابل مادي

رابط التحدي

الهجمات على المواقع الإلكترونية أصبحت كثيرة فتخيل في يومك الأول في مركز علميات أمن المعلومات مطالب في فحص موقع الكتروني وأن تثبت انه تم اختراقه.

سأقوم بتحليل الجزء الأول من التحدي.

في أول أيام أليس في مركز عمليات أمن المؤسسات, استلمت أليس أول مهمة لها 


A memo from Gotham City Police Department (GCPD). Apparently GCPD has found evidence online (http://pastebin.com/Gw6dWjS9) that the website www.imreallynotbatman.com hosted on Wayne Enterprise's IP address space has been compromised.

البداية

استخدمنا SPL Query وهي لغة معالجة البحث في Splunk

في البداية لازم نعرف مصدر سجل البيانات(Logs) توجد العديد من المصادر ويمكننا معرفة جميع المصادر من خلال:

index=* | stats count by sourcetype

من خلال الاستعلام نستطيع معرفة ماهي مصادر سجلات البيانات لدينا وعمل تعداد بعدد البيانات الموجودة في كل مصدر, يمكننا ان نشاهد ان لدينا 15 مصدر.


1- What is the likely IPv4 address of someone from the Po1s0n1vy group scanning imreallynotbatman.com for web application vulnerabilities?

Join