⚠️ Multiple Splunk Vulnerabilities Attackers Bypass SPL Safeguards : Patch Now‼️

CVE-2024-29945 (CVSS score: 7.2): This vulnerability could allow attackers to expose authentication tokens if Splunk Enterprise is running in debug mode or has specific logging configurations.

CVE-2024-29946 (CVSS score: 8.1): This vulnerability is more severe because it allows attackers to bypass safeguards for risky commands within the Dashboard Examples Hub of Splunk Enterprise. An attacker could potentially trick a user into initiating a malicious request.

🌐https://cybersecuritynews.com/splunk-vulnerabilities-spl-safeguards/

#CVE #splunk
@splunk_kb

🔴آموزش نصب 🔴Universal Forwarder
🔵https://www.linkedin.com/feed/update/urn:li:activity:7195347493507809281

#اسپلانک #splunk
@splunk_kb

💻💻معرفی دوره جامع اسپلانک (Analyst , Administration , ES )💬🛡 :

✅امروزه، استفاده از نرم‌افزار اسپلانک در SOCها به طور فزاینده‌ای رواج یافته است. کارشناسان مانیتورینگ از این ابزار قدرتمند برای تحلیل حملات سایبری و ارتقای امنیت شبکه سازمان خود بهره می‌برند.

✈️این دوره آموزشی با تمرکز بر سه بخش اصلی طراحی شده است:

1️⃣ کار با اسپلانک:
- آشنایی با محیط کاربری اسپلانک
- جستجو و تحلیل داده‌ها با زبان اختصاصی اسپلانک (SPL)
- ساخت ريپورت ها، داشبوردها و الرت ها

2️⃣ مديريت اسپلانک:
- شناخت كامپوننت هاي اسپلانك
- پيكربندي كامپوننت هاي كلاستر شده
- مديريت ساختار كلاسترينگ اسپلانك

3️⃣ کار با Splunk Enterprise Security :
- نصب و پیکربندی ES
- مدیریت و بهینه‌سازی ES
- استفاده از ES در تحلیل و شناسایی حملات سایبری

این دوره با ارائه مثال‌های عملی و تمرین‌های متعدد، به دانش‌پذیران در یادگیری و تسلط بر مفاهیم تئوری کمک می‌کند و شامل محتوای زیر میباشد :
🟩Intro To Splunk
🟩 Using Splunk
🟩Using Search
🟩Exploring Events
🟩Search Processing Language
🟩What are Commands
*️⃣Understand the anatomy of Splunk’s Search language:
1️⃣ Search term
2️⃣ Commands
3️⃣ Functions
4️⃣ Arguments
5️⃣ Cluses
🟩What are knowledge Objects
➕Identify the five categories of knowledge object:
1️⃣Data Interpretation
2️⃣Data Classification
3️⃣Data Enrichment
4️⃣Data Normalization
5️⃣Data Models
🟩 Creating Reports and Dashboards
🟩Deploying Splunk
🟩Monitoring Splunk
🟩Licensing Splunk
🟩Using Configuration Files
🟩Creating Indexes
🟩Managing Index
🟩Managing Users
🟩Configuring Basic Forwarding
🟩Configuring Distributed Search
🟩Getting Started with ES
🟩Security Monitoring and Incident Investigation
🟩Risk-Based Alerting
🟩Incident Investigation
🟩Installation
🟩Security Domain Dashboards
🟩security threats
🟩User Intelligence
🟩Web Intelligence
🟩Threat Intelligence
🟩 threat intel is configured in ES
🟩 interacting with your environment
🟩Protocol Intelligence
🟩Creating Correlation Searches
🟩Asset & Identity Management

🧠 مدرس : مهندس احمدرضا نوروزی
🌟برگزار کننده : سورین
⏳مدت دوره : 70 ساعت
🎓 نوع برگزاری:‌ حضوری / آنلاین
🏪ساعات برگزاری: شنبه و چهارشنبه – ساعت17:30 الی 20:30
⏲زمان شروع : ۱۹ خرداد
💰شهریه : شش میلیون تومان

👩‍💻 پیش نیازها
• آشنایی با شبکه و سیستم عامل لینوکس
• آشنایی اولیه با حملات شبکه و میزبان
• آشنایی نسبی با لاگ و سنسورهای امنیتی

🔗 نحوه ثبت نام:
📬 برقراری ارتباط با ادمین در صفحات اجتماعی ( تلگرام ، اینستاگرام ، لینکدین)
☎️ شماره تماس : 09102144597

#اسپلانک #دوره_اسپلانک #Splunk #امنیت_سایبری
تیم سورین

⚙️ Splunk Integration with PersistenceSniper

This integration allows you to detect persistence techniques at the Windows level.

🧩 https://github.com/Mohammad-Mirasadollahi/Splunk-TA-PersistenceSniper-Deploy

Credit By : mohammad-mirasadollahi

#Splunk
تیم سورین

🔎 Splunk-CrowdStrike Hunting Cheat Sheet 🔎

با این راهنمای ضروری، مهارت های شکار تهدید خود را تقویت کنید!

#Splunk
تیم سورین

▶️splunk SIEM Pack◀️

دمو جلسه اول کلاس
برگزار شده در سورین
🕵🏻‍♂️مدرس : مهندس احمدرضا نوروزی

#splunk #SIEM
تیم سورین

📘 این راهنمای ضروری برای تقویت امنیت سایبری خود با Splunk را از دست ندهید!
📚 Ultimate Splunk for Cybersecurity

#Splunk
تیم سورین

⚠️Critical Splunk Vulnerability Exploited Using Crafted GET Commands

یک آسیب‌پذیری حیاتی در Splunk Enterprise با نام **CVE-2024-36991** را مورد بحث قرار می‌دهد. این آسیب‌پذیری یک path traversal flaw است که Splunk Enterprise را در سیستم‌های ویندوزی با Splunk Web فعال تحت تأثیر قرار می‌دهد.

1. ماهیت آسیب پذیری: این نقص به مهاجمان اجازه می دهد تا از سیستم فایل عبور کرده و به فایل ها یا دایرکتوری های خارج از دایرکتوری محدود دسترسی پیدا کنند. این به دلیل مشکلی در تابع os.path.join Python است.

2. شدت: امتیاز **CVSSv3 7.5** به آن داده شده است که نشان دهنده شدت بالا است.

3. نسخه های تحت تأثیر: نسخه های زیر 9.2.2، 9.1.5 و 9.0.10 Splunk Enterprise آسیب پذیر هستند.

4. بهره برداری : یک مهاجم می تواند با ارسال یک درخواست GET دستکاری شده به نسخه آسیب پذیر اسپلانک از این آسیب پذیری سوء استفاده کند که به طور بالقوه منجر به دسترسی غیرمجاز به فایل های حساس می شود.

⬅️به کاربران توصیه می شود به نسخه های ثابت (9.2.2، 9.1.5 و 9.0.10) ارتقا دهند یا Splunk Web را به عنوان راه حل غیرفعال کنند.


➡️https://cybersecuritynews.com/critical-splunk-vulnerability-cve-2024-36991-exploit/
➡️https://www.thehackerwire.com/cve-2024-36991-critical-windows-splunk-vulnerability-allows-unauthenticated-access-to-sensitive-files/

➡️ https://advisory.splunk.com/advisories/SVD-2024-0711

#cve #splunk
@splunk_kb
تیم سورین

📚Practical Splunk Search Processing Language
#splunk
تیم سورین

📖 یدونه اسکریپت نوشتم که هر 30ثانیه سرویس اسپلانک و پورت های مختلفش رو چک میکنه و اگه سرویس اسپلانک به هر دلیلی Down شده باشه 3بار سعی میکنه که سرویس رو Start کنه.
حداقلش برای خودم خیلی پیش اومده که با یک Rolling Restart ساده سرویس یکی از Nodeها بالا نیومده که فقط باید از Shell دوباره Start اش کرد. این اسکریپت به صورت سرویس بالا میاد و خودش اگه مشکل توی سطح OS نباشه سعی میکنه سرویس Splunk رو Start کنه و البته از همه مراحل هم لاگ میندازه.

🌐 https://github.com/Mohammad-Mirasadollahi/Splunk-Service-Auto-Recovery

🧩 بر گرفته شده از : لینکدین Mohammad Mirasadollahi
#splunk #splunkengineer
تیم سورین

📰 چک لیست نگهداشت اسپلانک

برای نگهداری و مدیریت سامانه‌های حیاتی مثل اسپلانک ، وجود چک‌لیست‌های مدون و کاربردی در سازمان می‌تواند از بروز مشکلات جلوگیری کرده و فرآیند نگهداشت سامانه را تسهیل کند.

🧩 برگرفته شده از لینکدین : Hesam Hosseini
#SOC #splunk
تیم سورین