For 4697 EventID: A service was installed in the system
1. Monitor for all events where “Service File Name” is not located in %windir% or “Program Files/Program Files (x86)” folders. Typically new services are located in these folders.
2. check “Service Type” equals “0x1 (Kernel Driver)”, “0x2 (File System Driver)” or “0x8 (Recognizer Driver)”. These service types start first and have almost unlimited access to the operating system from the beginning of operating system startup. These types are rarely installed.
3. check “Service Start Type” equals “0 (Boot)” or “1 (System)”. These service start types are used by drivers, which have unlimited access to the operating system.
4. check “Service Start Type” equals “4”. It is not common to install a new service in the Disabled state.
5. check “Service Account” not equals “localSystem”, “localService” or “networkService” to identify services which are running under a user account.
Credit by : Ahmadreza Norouzi
#SOC #UseCase #Detection
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Linkedin
#Security_Monitoring_Recommendations: | Ahmadreza Norouzi
#Security_Monitoring_Recommendations:
For 4697 EventID: A service was installed in the system
1. Monitor for all events where “Service File Name” is not located in %windir% or “Program Files/Program Files (x86)” folders. Typically new services are located…
For 4697 EventID: A service was installed in the system
1. Monitor for all events where “Service File Name” is not located in %windir% or “Program Files/Program Files (x86)” folders. Typically new services are located…
حضور شرکت سورین در هشتمین جشنواره ملی امنیت فضای تبادل اطلاعات
با ارائه مهندس آهنگری در مورد نکات کلیدی و کاربردی در خصوص مرکز عملیات امنیت
👨💻👩💻
[ لینکدین ]
با ارائه مهندس آهنگری در مورد نکات کلیدی و کاربردی در خصوص مرکز عملیات امنیت
👨💻
[ لینکدین ]
Please open Telegram to view this post
VIEW IN TELEGRAM
Linkedin
Soorin on LinkedIn: #سورین #soc
حضور شرکت سورین در هشتمین جشنواره ملی امنیت فضای تبادل اطلاعات
با ارائه مهندس آهنگری: نکات کلیدی و کاربردی در خصوص مرکز عملیات امنیت
👨💻 👩💻
join our…
با ارائه مهندس آهنگری: نکات کلیدی و کاربردی در خصوص مرکز عملیات امنیت
👨💻 👩💻
join our…
🔥3🏆3❤2🥰1🤩1🕊1👀1
https://www.linkedin.com/posts/soorinsec_playbook-runbook-dfir-activity-7210156907968266240-jFSg?utm_source=share&utm_medium=member_desktop
تیم سورین
تیم سورین
Linkedin
#playbook #runbook #dfir #ir #soc #siem #blueteam | Soorin
به طور خلاصه، playbook یک طرح کلی است که استراتژی را تعریف می کند، در حالی که یک runbook اقدامات خاصی را که باید برای رسیدگی به حوادث امنیتی انجام شود، شرح می دهد.
#playbook
#runbook
#dfir #ir #soc
#SIEM #blueteam
#playbook
#runbook
#dfir #ir #soc
#SIEM #blueteam
👩💻 Difference between Default and Local folder in Splunk
https://www.linkedin.com/posts/soorinsec_splunk-default-local-activity-7210259662208704513-8q5x?utm_source=share&utm_medium=member_desktop
تیم سورین
https://www.linkedin.com/posts/soorinsec_splunk-default-local-activity-7210259662208704513-8q5x?utm_source=share&utm_medium=member_desktop
تیم سورین
Linkedin
#splunk #default #local #اسپلانک #siem #soc | Soorin
👩💻 Difference between Default and Local folder in Splunk
#splunk #default #local #اسپلانک
#SIEM #SOC
#splunk #default #local #اسپلانک
#SIEM #SOC
https://www.linkedin.com/posts/soorinsec_aepaesagpaepaetafy-aebaewaezahyaeu-soc-activity-7215063940563689473-7SuC?utm_source=share&utm_medium=member_desktop
تیم سورین
تیم سورین
Linkedin
Soorin on LinkedIn: #الکامپ #سورین #soc #cybersecurity
با تشکر از شما برای حضور در الکامپ!
دوستان عزیز،
نمایشگاه الکامپ به پایان رسید و ما از تک تک شما که از غرفه ما بازدید کردید سپاسگزاریم.
حضور شما، شور و اشتیاق…
دوستان عزیز،
نمایشگاه الکامپ به پایان رسید و ما از تک تک شما که از غرفه ما بازدید کردید سپاسگزاریم.
حضور شما، شور و اشتیاق…
💻Security lists for SOC/DFIR detections✨
🔗 https://github.com/mthcht/awesome-lists
#soc #dfir
تیم سورین
🔗 https://github.com/mthcht/awesome-lists
#soc #dfir
تیم سورین
GitHub
GitHub - mthcht/awesome-lists: Awesome Security lists for SOC/CERT/CTI
Awesome Security lists for SOC/CERT/CTI. Contribute to mthcht/awesome-lists development by creating an account on GitHub.
#SOC #DFIR
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - mthcht/awesome-lists: Awesome Security lists for SOC/CERT/CTI
Awesome Security lists for SOC/CERT/CTI. Contribute to mthcht/awesome-lists development by creating an account on GitHub.
در این مقاله بررسی شده است که چگونه حملات SMTP یک تهدید مهم برای امنیت ایمیل هستند و از آسیب پذیری های ذاتی پروتکل سوء استفاده می کنند. درک انواع حملات SMTP و نحوه مانیتورینگ موثر بر لاگ های SMTP برای حفظ امنیت ایمیل بسیار مهم است.
#smtp
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Linkedin
درک حملات و مانیتورینگ لاگ های SMTP | Soorin
👩🏫 Understanding SMTP Attacks and Monitoring SMTP Logs
💫 Our Community : https://xn--r1a.website/hypersec
#SMTP
#Network
#log
#monitoring
#dfir
#blueteam
#SOC
#cybersecurity
💫 Our Community : https://xn--r1a.website/hypersec
#SMTP
#Network
#log
#monitoring
#dfir
#blueteam
#SOC
#cybersecurity
❤🔥2🔥1😎1