PowerShell يشبه سكين الجيش السويسري لمشرفي النظام. يمكن أن تتم أتمتة والتحقيق وحتى الدفاع. أداة صغيرة رائعة في مجموعة PowerShell؟ SUNDRING (). قد يبدو الأمر صغيرًا ، لكنه أقوياء. خاصة عندما يتعلق الأمر بالبرامج النصية الأمنية. دعنا نغوص في بعض الأمثلة الواقعية ، ونبقي الأمور ممتعة وبسيطة!
ما هو السلسلة الفرعية في PowerShell؟
SUNDRING () هي طريقة تستخدم لسحب قطعة من السلسلة. إنه مثل تقطيع شطيرة وتناول أفضل جزء. لنفترض أن لديك سطرًا من النص أو رمز – يساعدك SubString على الاستيلاء على ما تحتاجه.
$text = "SecretPassword123"
$short = $text.Substring(0, 6)
Write-Output $short # Output: Secret
هذا يأخذ أول 6 أحرف من السلسلة.
لماذا هذا مفيد للأمن؟
في الأمن السيبراني ، فإن السجلات والمسارات مليئة بالنص. تساعد السلسلة الفرعية في استخراج بتات العصير مثل:
- ملحقات الملف
- قصاصات رمز الحدث
- أسماء المستخدمين
- نطاقات IP المشبوهة
دعونا نلقي نظرة على كيفية عمله في هذا المجال.
1. تصفية عناوين IP المشبوهة
تخيل أنك تقوم بمسح سجل يحتوي على آلاف الخطوط. تريد فقط التحقق من IPS التي تبدأ بـ “192.”
$ip = "192.168.1.200"
if ($ip.Substring(0,3) -eq "192") {
Write-Output "Internal network traffic"
}
يمكن أن يساعد هذا في تصفية حركة المرور الداخلية مقابل حركة المرور الخارجية بسرعة.
2. شيكات التصيد عبر البريد الإلكتروني
غالبًا ما تبحث فرق الأمن في رؤوس البريد الإلكتروني عن الأشياء المظللة. ماذا لو كنت تريد التحقق مما إذا كان المرسلين ينتهيون في “.xyz”؟
$email = "[email protected]"
$domain = $email.Substring($email.Length - 3)
if ($domain -eq "xyz") {
Write-Output "Potential phishing email!"
}
هذا المثال يتحقق من آخر 3 أحرف من المجال. سريع وفعال.
3. تقليم أسماء المستخدمين
هل سبق لك أن شاهدت أسماء المستخدمين مع مجالات مثل “[email protected]”؟ قد تريد فقط “John.doe”.
$user = "[email protected]"
$trimmed = $user.Substring(0, $user.IndexOf("@"))
Write-Output $trimmed # Output: john.doe
هذا أقصر بكثير وأفضل للإبلاغ عن البرامج النصية أو تسجيل الدخول.
4. تحليل مسارات الملف في استجابة الحوادث
لنفترض أن البرنامج النصي يكتشف الوصول غير المصرح به للملف. المسار الكامل طويل ، لكنك تريد فقط اسم الملف.
$filepath = "C:\Users\Admin\Desktop\malware.exe"
$filename = $filepath.Substring($filepath.LastIndexOf("\") + 1)
Write-Output $filename # Output: malware.exe
الآن نحن نعرف بالضبط ما تم لمس الملف. عظيم لتلخيص السجلات!
5. قراءة إدخالات سجل للطوابع الزمنية
يتم تنسيق العديد من إدخالات السجل مثل: “2024-04-15 14:22:03 محاولة تسجيل الدخول”. إذا كنت تريد فقط الوقت:
$log = "2024-04-15 14:22:03 Login Attempt"
$time = $log.Substring(11, 8)
Write-Output $time # Output: 14:22:03
يمكن أن يساعدك هذا النوع من الدقة في تتبع محاولات تسجيل الدخول غير المصرح بها إلى الثانية.
حيث يضيء السلسلة الفرعية
- تصفية سريعة
- تقصير الإخراج للسجلات
- اكتشاف الأنماط في السلاسل
- تسليط الضوء على الأعلام الحمراء
الأفكار النهائية
قد يبدو السلسلة الفرعية PowerShell صغيرة ، ولكن في البرامج النصية الأمنية ، تلعب دورًا كبيرًا. إنه يستخرج بالضبط ما تحتاجه – لا شيء أكثر ، لا شيء أقل. سواء كنت تقوم بتحليل السجلات أو تصفية رسائل البريد الإلكتروني أو تنبيهات التسمية ، فإن Sundring يبقي البرامج النصية الخاصة بك نظيفة ومركزة.
في المرة القادمة التي تقوم فيها بالتحقق من سجل أو مسح دليل ، تذكر: الأحرف الصحيحة مهمة. اخرج ، وشريحة تلك السلاسل مثل PowerShell Ninja!
PowerShell Script ، الدفاع الإلكتروني ، تحليل السجل[/AI-IMG>
