Incident Response Roadmap (বাংলা গাইড): Incident Handling → Threat Hunting → SIEM → Memory & Log Analysis
Blue Team IR Forensics
Digital Forensics শেষ করে ক্যারিয়ারকে পরের ধাপে নিতে Incident Response হলো সবচেয়ে যৌক্তিক পথ। এই পোস্টে ধাপে ধাপে শেখার রোডম্যাপ, প্র্যাকটিস টাস্ক, এবং কাজের কুয়েরি/কমান্ড পাবেন।
1) Incident Handling Process
IR Lifecycle বোঝা হলো ফাউন্ডেশন: Preparation → Detection & Analysis → Containment → Eradication → Recovery → Lessons Learned. সঙ্গে ডকুমেন্টেশন, চেইন-অফ-কাস্টডি, এবং কমিউনিকেশন প্লেবুক প্রস্তুত রাখুন।
Must-Learn
- Incident Categories, Severity & SLAs
- Runbooks/Playbooks (ফিশিং, র্যানসমওয়্যার, প্রিভ-এস্ক)
- Case Management: TheHive / RTIR / Jira
Quick Win
- একটি টেমপ্লেটেড Incident Report বানান
- Lessons Learned মিটিং নোট ফরম্যাট
2) Threat Hunting Techniques
“Assume Breach” মাইন্ডসেটে Hypothesis তৈরি করে লগ/এন্ডপয়েন্ট ডেটা থেকে প্রমাণ খুঁজুন। MITRE ATT&CK দিয়ে TTP ট্র্যাক করুন, IOC/IOA আলাদা করুন।
Starter Hunts (আইডিয়া)
- Suspicious PowerShell (EncodedCommand, AMSI bypass)
- Credential dumping (LSASS access, Mimikatz indicators)
- Lateral Movement (RDP/SMB brute, Pass-the-Hash)
- Persistence (Run Keys, Scheduled Tasks, WMI event filters)
3) SIEM Tools: Splunk · ELK (Elastic Security) · QRadar
SIEM IR-এর হৃদয়—লগ কালেকশন, করেলেশন, অ্যালার্টিং, ড্যাশবোর্ড। শুরুতে যেটা হাতে পান সেটা নিয়েই প্র্যাকটিস করুন।
Splunk (SPL) – কুয়েরি উদাহরণ
| tstats count from datamodel=Endpoint.Processes
where (Processes.process="*powershell*" OR Processes.process="*cmd.exe*")
by _time, host, Processes.user, Processes.parent_process, Processes.process
span=5mElastic (Kibana Query/KQL) – কুয়েরি উদাহরণ
process.name : "powershell.exe" and process.command_line : "*EncodedCommand*"
| sort @timestamp descQRadar (AQL) – কুয়েরি উদাহরণ
SELECT "sourceIP", "username", COUNT(*) as hits
FROM events
WHERE "eventName" ILIKE '%logon%' AND QID IN (SELECT QID FROM QIDMAP WHERE CATEGORY='Authentication')
GROUP BY "sourceIP","username" ORDER BY hits DESC LAST 24 HOURS4) Memory & Log Analysis
Compromise নিশ্চিত করতে RAM ডাম্প ও ইভেন্ট লগ বিশ্লেষণ প্রয়োজন।
Memory (Volatility3) – কমান্ড উদাহরণ
# প্রোসেস লিস্ট
vol.py -f memdump.raw windows.pslist
# সন্দেহজনক DLL ইনজেকশন
vol.py -f memdump.raw windows.malfind
# নেটওয়ার্ক কানেকশন
vol.py -f memdump.raw windows.netscan
# LSASS ডাম্প আর্টিফ্যাক্ট/হ্যান্ডলস
vol.py -f memdump.raw windows.handles --pid <lsass_pid>Windows Logs + Sysmon
# PowerShell (Event ID 4104), Script Block Logging
# Sysmon: Event ID 1 (Process Create), 3 (Network), 7 (Image Loaded), 10 (Process Access)
# উদাহরণ KQL (Elastic):
event.code : "1" and process.parent.name : "winword.exe" and process.name : "powershell.exe"Linux Logs
# Auth logs
sudo tail -f /var/log/auth.log
# Auditd rules (ফাইল/সিস্টেম কল মনিটর)
sudo auditctl -w /etc/passwd -p wa -k passwd_changes
# Suspicious new SUID files
find / -perm -4000 -type f 2>/dev/null৫) ৬ মাসের Suggested Timeline
- Month 1: IR Lifecycle, রিপোর্টিং, প্লেবুক
- Month 2–3: Threat Hunting + MITRE ATT&CK + ELK কুয়েরি
- Month 4–5: Splunk SPL + QRadar AQL বেসিক + ড্যাশবোর্ড
- Month 6: Volatility3 + Sysmon টিউনিং + Windows/Linux লগ ডিপ-ডাইভ
৬) Free Lab Setup (Home Lab)
কি লাগবে
- ১টি Host PC (16GB RAM সুপারিশকৃত)
- VirtualBox/VMware
- Windows VM (Sysmon ইনস্টল), Ubuntu VM (Elastic Stack)
স্টেপস
- Elastic Stack (Elasticsearch + Logstash + Kibana) সেটআপ
- Windows VM-এ Sysmon + Winlogbeat/Elastic Agent
- PowerShell আক্রমণ সিমুলেট করে ড্যাশবোর্ডে হান্ট
- Memdump সংগ্রহ করে Volatility3 বিশ্লেষণ
FAQ (দ্রুত উত্তর)
শুরুতে কোন লগ সোর্সগুলো নেব?
Windows Event Logs + Sysmon, Auth/SSH (Linux), Firewall/Proxy, DNS, Endpoint AV/EDR—এগুলো দিয়ে শুরু করুন।
কোন স্ক্রিপ্টিং দরকার হবে?
PowerShell (Windows automation), Python (পার্সিং, হান্টিং হেল্পার), Regex—এসব কাজে লাগবে।
কোথায় প্র্যাকটিস করবো?
Blue Team Labs Online, CyberDefenders, TryHackMe (IR/Hunt rooms), Splunk Boss of the SOC datasets ইত্যাদি।
CTA: আপনি চাইলে আমি আপনার জন্য ready-to-use Sysmon config, Elastic index pattern ও ১০টা স্টার্টার হান্ট কুয়েরি কাস্টমাইজ করে দিতে পারি—আপনার টার্গেট এনভায়রনমেন্ট (Windows/Linux mix) জানালেই!
No comments:
Post a Comment