امن افزار رایکا

درباره کتاب:

کتاب 450.3 – Understanding Endpoints, Logs, and Files سومین بخش از دوره آموزشی SANS SEC450: Blue Team Fundamentals است. این کتاب با تمرکز بر سه حوزه‌ی کلیدی در امنیت سایبری یعنی ایستگاه‌های کاری (Endpoints)، لاگ‌ها (Logs) و فایل‌ها (Files) یکی از بخش‌های حیاتی و کاربردی برای تحلیل‌گران امنیتی و اعضای تیم‌های Blue Team محسوب می‌شود. مطالب این بخش به‌گونه‌ای طراحی شده که خواننده بتواند ردپای مهاجمان را در عمق سیستم‌عامل‌ها، لاگ‌ها و فایل‌ها تشخیص دهد.

خلاصه کتاب:

در این کتاب ابتدا روش‌های متداول حملات به Endpoints آموزش داده می‌شود؛ از ساده‌ترین تاکتیک‌ها تا تکنیک‌های پیچیده‌ای مانند استفاده از PowerShell مخرب، اجرای فایل‌های مخفی، بای‌پَس کردن آنتی‌ویروس و غیره. سپس مدل دفاع-in-depth در سطوح مختلف سیستم‌عامل‌ها تحلیل شده و اقدامات لازم برای سخت‌سازی ایستگاه‌های کاری ویندوز و لینوکس با ابزارهایی مانند GPO، Sysmon، AppLocker و Auditd آموزش داده می‌شود. در ادامه تمرکز کتاب به بررسی سیستم لاگ‌گیری در ویندوز (Event Viewer، ETW) و لینوکس (journalctl، syslog) اختصاص می‌یابد. همچنین مفاهیمی همچون جمع‌آوری لاگ‌ها، تجزیه و تحلیل وقایع ثبت‌شده، جستجوی رفتار مشکوک در لاگ‌ها و نرمال‌سازی داده‌ها بررسی می‌شوند. در پایان، محتوای فایل‌ها (Contents)، بررسی فایل‌های مشکوک، شناسایی فایل‌های مخرب با ابزارهایی مثل VirusTotal، YARA و sandbox tools به‌صورت عملی آموزش داده می‌شود.