أمان الشبكة والبنية التحتية
تسجيل الشبكة وكشف التهديدات
4 دقيقة للقراءة
بدون الرؤية، لا يمكنك كشف الهجمات. خدمات تسجيل الشبكة السحابية وكشف التهديدات توفر الأساس لعمليات الأمان والاستجابة للحوادث.
سجلات الشبكة الأساسية
أنواع السجلات حسب المزود
| نوع السجل | AWS | Azure | GCP |
|---|---|---|---|
| تدفق الشبكة | VPC Flow Logs | NSG Flow Logs | VPC Flow Logs |
| استعلامات DNS | Route 53 Query Logs | DNS Analytics | Cloud DNS Logs |
| نشاط API | CloudTrail | Activity Log | Cloud Audit Logs |
| موازن التحميل | ALB/NLB Access Logs | App Gateway Logs | Load Balancer Logs |
| WAF | WAF Logs | WAF Logs | Cloud Armor Logs |
تحليل سجلات تدفق AWS VPC
# تفعيل سجلات التدفق الشاملة
aws ec2 create-flow-logs \
--resource-type VPC \
--resource-ids vpc-12345678 \
--traffic-type ALL \
--log-destination-type s3 \
--log-destination arn:aws:s3:::flow-logs-bucket \
--log-format '${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status} ${vpc-id} ${subnet-id} ${instance-id} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'
استعلامات تحليل سجلات التدفق (Athena):
-- البحث عن حركة المرور المرفوضة (هجمات محتملة)
SELECT srcaddr, dstaddr, dstport, COUNT(*) as count
FROM vpc_flow_logs
WHERE action = 'REJECT'
AND start > date_add('hour', -24, now())
GROUP BY srcaddr, dstaddr, dstport
ORDER BY count DESC
LIMIT 100;
-- حركة المرور الصادرة غير العادية (تسريب البيانات)
SELECT srcaddr, dstaddr, SUM(bytes) as total_bytes
FROM vpc_flow_logs
WHERE dstaddr NOT LIKE '10.%'
AND dstaddr NOT LIKE '172.16.%'
AND dstaddr NOT LIKE '192.168.%'
AND start > date_add('hour', -24, now())
GROUP BY srcaddr, dstaddr
HAVING SUM(bytes) > 1000000000 -- > 1GB
ORDER BY total_bytes DESC;
كشف التهديدات السحابية الأصلية
AWS GuardDuty
كشف التهديدات الذكي باستخدام ML واستخبارات التهديدات:
# تفعيل GuardDuty
aws guardduty create-detector --enable
# تفعيل حماية S3
aws guardduty update-detector \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--data-sources S3Logs={Enable=true}
# تفعيل حماية EKS
aws guardduty update-detector \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--features '[{"Name":"EKS_AUDIT_LOGS","Status":"ENABLED"}]'
أنواع نتائج GuardDuty:
- الاستطلاع: مسح المنافذ، تعداد API
- اختراق Instance: تعدين العملات المشفرة، اتصال البرمجيات الخبيثة
- اختراق الحساب: استدعاءات API غير عادية، إساءة استخدام بيانات الاعتماد
- تسريب البيانات: أنماط وصول S3 غير عادية
Azure Defender for Cloud
# تفعيل Defender for Cloud
az security pricing create \
--name VirtualMachines \
--tier Standard
az security pricing create \
--name StorageAccounts \
--tier Standard
az security pricing create \
--name KeyVaults \
--tier Standard
GCP Security Command Center
# تفعيل Security Command Center Premium
gcloud scc settings update \
--organization=123456789 \
--enable-asset-discovery
# عرض النتائج
gcloud scc findings list \
--organization=123456789 \
--source=- \
--filter="state=\"ACTIVE\""
تكامل SIEM
جمع السجلات المركزي
┌──────────────────────────────────────────────────────────┐
│ مصادر السجلات │
├──────────────────────────────────────────────────────────┤
│ CloudTrail │ VPC Flow │ GuardDuty │ WAF │ CloudWatch │
└──────────────────────────────────────────────────────────┘
│
▼
┌──────────────────────────────────────────────────────────┐
│ منصة SIEM │
│ (Splunk, Elastic, Sumo Logic, Chronicle, Sentinel) │
├──────────────────────────────────────────────────────────┤
│ - قواعد الارتباط │
│ - التنبيه │
│ - التحقيق │
│ - التقارير │
└──────────────────────────────────────────────────────────┘
AWS Security Hub
تجميع النتائج من خدمات متعددة:
# تفعيل Security Hub
aws securityhub enable-security-hub
# تفعيل المعايير
aws securityhub batch-enable-standards \
--standards-subscription-requests '[
{"StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"},
{"StandardsArn": "arn:aws:securityhub:::ruleset/aws-foundational-security-best-practices/v/1.0.0"}
]'
أنماط مراقبة أمان الشبكة
إنشاء خط الأساس
قبل كشف الشذوذ، أنشئ الأنماط الطبيعية:
| المقياس | النطاق الطبيعي | عتبة التنبيه |
|---|---|---|
| حركة المرور الصادرة | 10GB/يوم | >50GB/يوم |
| عمليات تسجيل الدخول الفاشلة | <10/ساعة | >100/ساعة |
| التدفقات المرفوضة | <1% | >5% |
| استعلامات DNS | نطاقات معروفة | TLDs غير معروفة |
| استدعاءات API | ساعات العمل | ارتفاعات 3 صباحاً |
قواعد الكشف
نشاط SSH مشبوه:
# استعلام CloudWatch Log Insight
fields @timestamp, srcAddr, dstPort, action
| filter dstPort = 22 and action = 'REJECT'
| stats count(*) as attempts by srcAddr
| filter attempts > 100
| sort attempts desc
نمط تسريب البيانات:
# نقل صادر كبير إلى وجهات جديدة
fields @timestamp, srcAddr, dstAddr, bytes
| filter bytes > 100000000 # 100MB
| filter dstAddr not like /^10\./
| stats sum(bytes) as total_bytes by srcAddr, dstAddr
| filter total_bytes > 1000000000 # 1GB إجمالي
جاهزية الاستجابة للحوادث
دليل تشغيل أمان الشبكة
| السيناريو | الكشف | الاستجابة |
|---|---|---|
| كشف مسح المنافذ | GuardDuty/سجلات التدفق | حظر IP المصدر عبر NACL |
| صادر غير عادي | تحليل سجلات التدفق | عزل الـ instance، التحقيق |
| إساءة استخدام API | شذوذ CloudTrail | إلغاء بيانات الاعتماد، التدقيق |
| هجوم DDoS | تنبيهات WAF/Shield | التواصل مع DRT، تعديل القواعد |
| تسريب البيانات | سجلات S3/التدفق | إلغاء الوصول، الطب الشرعي |
الوحدة التالية: أمان الحاويات و Kubernetes لأعباء العمل السحابية الأصلية. :::