How To Use FireEye RedLine For Incident Response P1 | TryHackMe RedLine

Motasem Hamdan | Cyber Security & Tech

16 Oct 202125:20

Summary

TLDRهذا النص يلخص محتوى فيديو يشرح استخدام البرمجيات Redline، التي تنتج بواسطة Fire Eye لتحليل الاستجابة الفورية والتحقيقات. الفيديو يتضمن تعليمات لاستخدام الواجهة والميزات والخصائص، ويعرض مثالًا على تحليل البيانات. يتحدث الفيديو أيضًا عن التحديات المتعلقة بجمع البيانات والتحليل، ويتضمن تعليمات لكيفية البدء في جمع البيانات والتحليل، بالإضافة إلى كيفية العثور على العناصر المشتبه بها في الأنظمة ال受感染.

Takeaways

🔐 يتناول الفيديو شرح برنامج Redline وهو أحد أحدث الأدوات في مجال الأمن السيبراني المستخدمة في تحليل الحوادث الجنائية الرقمية.
💼 البرنامج Redline تم تطويره بواسطة FireEye ويستخدم في جمع بيانات النظام وتحليلها عند حدوث اختراقات أو إصابات ببرمجيات خبيثة.
💻 يقدم البرنامج ثلاثة أنواع لجمع البيانات: جامع البيانات القياسي، جامع البيانات الشامل، وجامع البيانات باستخدام مؤشرات الاختراق (IOC).
🕵️‍♂️ يتناول الفيديو شرحًا لكيفية استخدام Redline لجمع البيانات من أنظمة Windows وLinux، وأهمية اختيار جامع البيانات المناسب حسب طبيعة التحليل.
📁 من الميزات التي يقدمها Redline إمكانية جمع معلومات حول العمليات الجارية في النظام، الملفات الموجودة، حسابات المستخدمين، وسجلات النظام والشبكة.
🛠 يتم شرح كيفية استخدام محرر مؤشرات الاختراق (IOC Editor) لإنشاء ملفات مؤشرات الاختراق وتحميلها في Redline للبحث عن تطابقات في النظام.
⏳ تحليل الجدول الزمني للأحداث يساعد في تحديد وقت وقوع الحادثة وفحص الأنشطة المشبوهة التي تمت في الفترة الزمنية المحددة.
📊 يتناول الفيديو أيضًا كيفية تصفية وتحليل الجدول الزمني باستخدام ميزة Time Wrinkles لتحديد الأحداث المهمة المرتبطة بالحادثة.
📜 يستعرض الفيديو أسئلة مرتبطة بتحدي TryHackMe، مثل تحديد نظام التشغيل، إصدار BIOS، والمهام المجدولة المشبوهة التي أنشأها المهاجم.
🎯 في الجزء الثاني من الفيديو، يتم التركيز على حل التحديات باستخدام بيانات التحليل المستخلصة، مثل اكتشاف رسائل المهاجم وملفات الضحايا التي تم تحميلها.

Q & A

ما هو برنامج Redline المستخدم في الفيديو؟
-برنامج Redline هو أداة طورتها شركة FireEye وتستخدم في الاستجابة للحوادث وتحليل الأدلة الجنائية الرقمية.
ما هي طرق جمع البيانات التي يوفرها برنامج Redline؟
-يوفر Redline ثلاث طرق لجمع البيانات: جامع البيانات القياسي، جامع البيانات الشامل، وجامع البحث عن مؤشرات الاختراق (IOC).
متى يُفضل استخدام جامع البيانات الشامل؟
-يفضل استخدام جامع البيانات الشامل عند تحليل جهاز تعرض لهجوم ويحتاج إلى جمع جميع المعلومات المتاحة بدون الحاجة للسرعة.
ما هي وظيفة جامع البحث عن مؤشرات الاختراق (IOC)؟
-يستخدم جامع البحث عن مؤشرات الاختراق لفحص النظام بحثًا عن تطابق مع مؤشرات اختراق معينة مثل عناوين IP، أسماء الملفات، وهاشات الملفات.
كيف يتم تشغيل عملية جمع البيانات في برنامج Redline؟
-يتم تشغيل عملية جمع البيانات من خلال تشغيل السكريبت 'runredlineaudit.bat' بعد تكوين الخيارات المطلوبة في البرنامج.
ما هي المعلومات التي يمكن جمعها حول النظام باستخدام Redline؟
-يمكن جمع معلومات حول النظام مثل قائمة العمليات، معلومات الذاكرة، الملفات، نشاط الشبكة، وسجلات النظام بما في ذلك المستخدمين والمهام المجدولة.
كيف يمكن استخدام Redline لتحليل الجدول الزمني للحدث؟
-يمكن استخدام ميزة 'Timeline' في Redline لفهم توقيت حدوث الهجوم باستخدام عوامل التصفية لتحديد الأنشطة التي حدثت في فترات زمنية محددة.
أين يمكن العثور على معلومات حول المستخدم الذي تم تسجيل دخوله في النظام باستخدام Redline؟
-يمكن العثور على معلومات حول المستخدم الذي تم تسجيل دخوله تحت قسم 'System Information' في واجهة Redline.
ما هو التهديد المكتشف في المهام المجدولة على الجهاز المصاب؟
-تم اكتشاف مهمة مجدولة مشبوهة باسم 'MS Office Update FA.K.A' حيث يتم تنفيذ ملف تحت مسار مريب غير متطابق مع اسم المهمة.
ما هو مصدر الحدث الجديد الذي تم إنشاؤه بواسطة المخترق؟
-تم إنشاء حدث جديد بواسطة المخترق باستخدام المصدر 'THM Redline User' ونوع الحدث هو 'Error' ورقم الحدث هو 546.