Nerd Level Tech logo
الدرس 16 من 24

أمان الشبكة والبنية التحتية

تسجيل الشبكة وكشف التهديدات

4 دقيقة للقراءة

بدون الرؤية، لا يمكنك كشف الهجمات. خدمات تسجيل الشبكة السحابية وكشف التهديدات توفر الأساس لعمليات الأمان والاستجابة للحوادث.

سجلات الشبكة الأساسية

أنواع السجلات حسب المزود

نوع السجلAWSAzureGCP
تدفق الشبكةVPC Flow LogsNSG Flow LogsVPC Flow Logs
استعلامات DNSRoute 53 Query LogsDNS AnalyticsCloud DNS Logs
نشاط APICloudTrailActivity LogCloud Audit Logs
موازن التحميلALB/NLB Access LogsApp Gateway LogsLoad Balancer Logs
WAFWAF LogsWAF LogsCloud Armor Logs

تحليل سجلات تدفق AWS VPC

# تفعيل سجلات التدفق الشاملة
aws ec2 create-flow-logs \
    --resource-type VPC \
    --resource-ids vpc-12345678 \
    --traffic-type ALL \
    --log-destination-type s3 \
    --log-destination arn:aws:s3:::flow-logs-bucket \
    --log-format '${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status} ${vpc-id} ${subnet-id} ${instance-id} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'

استعلامات تحليل سجلات التدفق (Athena):

-- البحث عن حركة المرور المرفوضة (هجمات محتملة)
SELECT srcaddr, dstaddr, dstport, COUNT(*) as count
FROM vpc_flow_logs
WHERE action = 'REJECT'
  AND start > date_add('hour', -24, now())
GROUP BY srcaddr, dstaddr, dstport
ORDER BY count DESC
LIMIT 100;

-- حركة المرور الصادرة غير العادية (تسريب البيانات)
SELECT srcaddr, dstaddr, SUM(bytes) as total_bytes
FROM vpc_flow_logs
WHERE dstaddr NOT LIKE '10.%'
  AND dstaddr NOT LIKE '172.16.%'
  AND dstaddr NOT LIKE '192.168.%'
  AND start > date_add('hour', -24, now())
GROUP BY srcaddr, dstaddr
HAVING SUM(bytes) > 1000000000  -- > 1GB
ORDER BY total_bytes DESC;

كشف التهديدات السحابية الأصلية

AWS GuardDuty

كشف التهديدات الذكي باستخدام ML واستخبارات التهديدات:

# تفعيل GuardDuty
aws guardduty create-detector --enable

# تفعيل حماية S3
aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --data-sources S3Logs={Enable=true}

# تفعيل حماية EKS
aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --features '[{"Name":"EKS_AUDIT_LOGS","Status":"ENABLED"}]'

أنواع نتائج GuardDuty:

  • الاستطلاع: مسح المنافذ، تعداد API
  • اختراق Instance: تعدين العملات المشفرة، اتصال البرمجيات الخبيثة
  • اختراق الحساب: استدعاءات API غير عادية، إساءة استخدام بيانات الاعتماد
  • تسريب البيانات: أنماط وصول S3 غير عادية

Azure Defender for Cloud

# تفعيل Defender for Cloud
az security pricing create \
    --name VirtualMachines \
    --tier Standard

az security pricing create \
    --name StorageAccounts \
    --tier Standard

az security pricing create \
    --name KeyVaults \
    --tier Standard

GCP Security Command Center

# تفعيل Security Command Center Premium
gcloud scc settings update \
    --organization=123456789 \
    --enable-asset-discovery

# عرض النتائج
gcloud scc findings list \
    --organization=123456789 \
    --source=- \
    --filter="state=\"ACTIVE\""

تكامل SIEM

جمع السجلات المركزي

┌──────────────────────────────────────────────────────────┐
│                    مصادر السجلات                          │
├──────────────────────────────────────────────────────────┤
│  CloudTrail │ VPC Flow │ GuardDuty │ WAF │ CloudWatch    │
└──────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────┐
│                   منصة SIEM                               │
│  (Splunk, Elastic, Sumo Logic, Google SecOps, Sentinel)      │
├──────────────────────────────────────────────────────────┤
│  - قواعد الارتباط                                         │
│  - التنبيه                                                │
│  - التحقيق                                                │
│  - التقارير                                               │
└──────────────────────────────────────────────────────────┘

AWS Security Hub

تجميع النتائج من خدمات متعددة:

# تفعيل Security Hub
aws securityhub enable-security-hub

# تفعيل المعايير
aws securityhub batch-enable-standards \
    --standards-subscription-requests '[
        {"StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/3.0.0"},
        {"StandardsArn": "arn:aws:securityhub:::ruleset/aws-foundational-security-best-practices/v/1.0.0"}
    ]'

أنماط مراقبة أمان الشبكة

إنشاء خط الأساس

قبل كشف الشذوذ، أنشئ الأنماط الطبيعية:

المقياسالنطاق الطبيعيعتبة التنبيه
حركة المرور الصادرة10GB/يوم>50GB/يوم
عمليات تسجيل الدخول الفاشلة<10/ساعة>100/ساعة
التدفقات المرفوضة<1%>5%
استعلامات DNSنطاقات معروفةTLDs غير معروفة
استدعاءات APIساعات العملارتفاعات 3 صباحاً

قواعد الكشف

نشاط SSH مشبوه:

# استعلام CloudWatch Log Insight
fields @timestamp, srcAddr, dstPort, action
| filter dstPort = 22 and action = 'REJECT'
| stats count(*) as attempts by srcAddr
| filter attempts > 100
| sort attempts desc

نمط تسريب البيانات:

# نقل صادر كبير إلى وجهات جديدة
fields @timestamp, srcAddr, dstAddr, bytes
| filter bytes > 100000000  # 100MB
| filter dstAddr not like /^10\./
| stats sum(bytes) as total_bytes by srcAddr, dstAddr
| filter total_bytes > 1000000000  # 1GB إجمالي

جاهزية الاستجابة للحوادث

دليل تشغيل أمان الشبكة

السيناريوالكشفالاستجابة
كشف مسح المنافذGuardDuty/سجلات التدفقحظر IP المصدر عبر NACL
صادر غير عاديتحليل سجلات التدفقعزل الـ instance، التحقيق
إساءة استخدام APIشذوذ CloudTrailإلغاء بيانات الاعتماد، التدقيق
هجوم DDoSتنبيهات WAF/Shieldالتواصل مع DRT، تعديل القواعد
تسريب البياناتسجلات S3/التدفقإلغاء الوصول، الطب الشرعي

الوحدة التالية: أمان الحاويات و Kubernetes لأعباء العمل السحابية الأصلية. :::

مراجعة سريعة: كيف تجد هذا الدرس؟

اختبار

الوحدة 4: أمان الشبكة والبنية التحتية

خذ الاختبار
نشرة أسبوعية مجانية

ابقَ على مسار النيرد

بريد واحد أسبوعياً — دورات، مقالات معمّقة، أدوات، وتجارب ذكاء اصطناعي.

بدون إزعاج. إلغاء الاشتراك في أي وقت.