امن افزار رایکا

درباره کتاب SANS SEC555 Workbook Sections 3-5:

کتاب SANS SEC555 Workbook Sections 3-5 بخشی از دوره SANS SEC555 برای متخصصان امنیت سایبری است که بر تحلیل SIEM، پایشِ ثبت‌های سیستمی، رفتار کاربران و تشخیص تاکتیکی تمرکز دارد. در این نسخه (بخش‌های ۳ تا ۵) مباحث مرتبط با تحلیل اندپوینت، ایجاد Baselineهای رفتاری و بررسی رویدادهای پس از رخداد (Post‑Mortem) ارائه می‌شود — منبعی عملی برای آمادگی در گواهی GCDA و افزایش دقت در تحلیل‌های SIEM.

خلاصه کتاب SANS SEC555 Workbook Sections 3-5:

کتاب به روش‌های تجزیه‌وتحلیل رویدادهای سیستم عامل در سطح ویندوز و لینوکس می‌پردازد. تمرکز اصلی بر درک ساختار EVTX، فیلتر داده‌های تکراری و تشخیص رفتارهای غیرعادی مانند PowerShell Compromise است. با استفاده از ابزارهایی مثل Kibana، Logstash و Elasticsearch، کاربر می‌آموزد چگونه داده‌های خام اندپوینت را به اطلاعات قابل تحلیل تبدیل کند تا پایه‌ای برای تشخیص و مدیریت تهدیدات ایجاد شود. در بخش‌های بعدی کتاب به Baselining و Tactical Detection می‌پردازد. در Baselining، الگوی رفتار عادی سیستم و کاربران شناخته می‌شود و هر گونه انحراف به عنوان نشانه‌ی تهدید تحلیل می‌گردد. قسمت پایانی (Post‑Mortem Analysis) بر بازسازی رخداد و استفاده از قواعد Sigma و چارچوب MITRE ATT&CK تأکید دارد. کاربر یاد می‌گیرد چگونه داده‌های SIEM را به مدارک قابل ارائه در تحلیل حادثه و پاسخ سازمانی تبدیل کند.