Nerd Level Tech logo
الدرس 18 من 24

الكشف والاستجابة والحوكمة

الاستجابة للحوادث

4 دقيقة للقراءة

الاستجابة للحوادث مهارة حاسمة تُختبر في مقابلات الأمن. يغطي هذا الدرس دورة حياة الحادث، إجراءات الاستجابة، والسيناريوهات الشائعة.

دورة حياة الاستجابة للحوادث NIST

بناءً على NIST SP 800-61r3 (أبريل 2025):

┌──────────────┐     ┌──────────────┐     ┌──────────────┐     ┌──────────────┐
│   الإعداد    │ ──▶ │   الكشف     │ ──▶ │  الاحتواء   │ ──▶ │  نشاط ما    │
│              │     │  والتحليل   │     │  الإزالة    │     │ بعد الحادث  │
│              │     │              │     │  الاستعادة  │     │              │
└──────────────┘     └──────────────┘     └──────────────┘     └──────────────┘
       │                                                               │
       └────────────────────── الدروس المستفادة ─────────────────────────┘

تفاصيل المراحل

المرحلة الأنشطة الرئيسية
الإعداد خطة IR، الأدوات، التدريب، دفاتر التشغيل
الكشف والتحليل فرز التنبيهات، تحديد النطاق، جمع الأدلة
الاحتواء عزل الأنظمة المتأثرة، منع الانتشار
الإزالة إزالة التهديد، ترقيع الثغرات
الاستعادة استعادة الأنظمة، التحقق من الحالة النظيفة
ما بعد الحادث تحليل السبب الجذري، الدروس المستفادة

سؤال المقابلة: سيناريو IR

س: "تتلقى تنبيهاً بأن محطة عمل مستخدم تتصل بخادم C2 معروف. أرشدني خلال استجابتك."

إجابة منظمة:

1. الفرز الأولي (الدقائق 0-15)

• التحقق من صحة التنبيه (تقليل الإيجابيات الكاذبة)
• تحديد المستخدم والنظام المتأثر
• فحص دور المستخدم (مستخدم مميز؟ وصول لبيانات حساسة؟)
• توثيق النتائج الأولية مع الطوابع الزمنية

2. تقييم النطاق (الدقائق 15-30)

• استعلام SIEM للنشاط ذي الصلة
  - مضيفون آخرون يتصلون بنفس C2
  - مواقع تسجيل دخول المستخدم الأخيرة
  - تنزيلات/تنفيذات الملفات
• فحص EDR لشجرة العمليات
• مراجعة سجلات المصادقة

3. الاحتواء (الدقائق 30-60)

• عزل محطة العمل من الشبكة (عزل EDR أو حظر الشبكة)
• تعطيل حساب المستخدم (إذا تأكد الاختراق)
• حظر نطاق/IP C2 في جدار الحماية
• حفظ الأدلة (تفريغ الذاكرة، صورة القرص)

4. التحقيق

• تحليل عينة البرامج الضارة (إذا وُجدت)
• تحديد ناقل الوصول الأولي
  - بريد تصيد؟
  - تنزيل عابر؟
  - تهديد داخلي؟
• تعيين الحركة الجانبية
• تحديد البيانات التي تم الوصول إليها/تسريبها

5. الإزالة والاستعادة

• إعادة تصوير محطة العمل المتأثرة
• إعادة تعيين بيانات اعتماد المستخدم
• ترقيع الثغرات المحددة
• التحقق من الحالة النظيفة قبل إعادة الاتصال

6. ما بعد الحادث

• توثيق الجدول الزمني
• تحديث قواعد الكشف
• إطلاع القيادة
• تقديم تقرير (قانوني/امتثال إذا لزم)

تصنيف شدة الحادث

الشدة الوصف وقت الاستجابة مثال
P1 - حرج اختراق بيانات نشط، تأثير واسع فوري (24/7) برامج الفدية، تسريب البيانات
P2 - عالي نظام مخترق، انتشار محدود < 4 ساعات مضيف واحد مخترق
P3 - متوسط تهديد محتمل، لا تأثير مؤكد < 24 ساعة نشاط مشبوه
P4 - منخفض انتهاك سياسة بسيط < 72 ساعة برنامج غير مصرح به

جمع الأدلة

ترتيب التطاير

الأكثر تطايراً (اجمع أولاً)
1. سجلات CPU، الذاكرة المؤقتة
2. جداول التوجيه، ذاكرة ARP
3. العمليات الجارية، الذاكرة
4. اتصالات الشبكة
5. الملفات المؤقتة
6. محتويات القرص
7. السجلات البعيدة، بيانات المراقبة
الأقل تطايراً (اجمع أخيراً)

سلسلة الحفظ

عنصر الدليل:
  ID: IR-2026-001-HDD-001
  الوصف: "SSD 256GB من محطة العمل WS-1234"
  جمعه: جون سميث، محلل أمن
  التاريخ/الوقت: 2026-01-05 14:32 UTC
  التجزئة (SHA-256): a1b2c3d4e5f6...
  موقع التخزين: خزانة الأدلة #3
  سجل الوصول:
    - 2026-01-05 14:35: جون سميث - الجمع الأولي
    - 2026-01-05 15:00: جين دو - التصوير الجنائي

سيناريوهات الهجوم الشائعة

استجابة برامج الفدية

الإجراءات الفورية:
1. عزل الأنظمة المصابة (عزل الشبكة)
2. تحديد متغير برنامج الفدية
3. حفظ عينات مشفرة
4. فحص سلامة النسخ الاحتياطية
5. تحديد نطاق التشفير

لا تفعل:
• دفع الفدية بدون استشارة قانونية
• محاولة فك التشفير على بيانات الإنتاج
• حذف الملفات المشفرة (قد تحتاج للاستعادة)
• التواصل مع المهاجم بدون تفويض

حادث التصيد

التحقيق:
1. عزل البريد الإلكتروني عبر المنظمة
2. تحديد كل المستلمين
3. تحديد من نقر/قدم بيانات الاعتماد
4. فحص الحركة الجانبية من الحسابات المخترقة

المعالجة:
1. إعادة تعيين كلمات المرور المخترقة
2. إلغاء الجلسات النشطة
3. حظر نطاق/IP المرسل
4. تحديث فلاتر البريد الإلكتروني

استجابة اختراق البيانات

المتطلبات القانونية:
• GDPR: إخطار 72 ساعة للسلطة الإشرافية
• HIPAA: 60 يوماً لإخطار الاختراق
• قوانين الولاية: تختلف حسب الولاية القضائية

قائمة فحص الإخطار:
□ إعلام الفريق القانوني/الخصوصية
□ الإخطار التنظيمي (إذا مطلوب)
□ خطة إخطار العملاء
□ موجز العلاقات العامة/الاتصالات
□ مراقبة الائتمان (إذا قابل للتطبيق)

دفاتر تشغيل IR

هيكل دفتر التشغيل

playbook:
  name: "بيانات اعتماد مخترقة"
  severity: high
  triggers:
    - alert_type: "impossible_travel"
    - alert_type: "credential_stuffing"

  steps:
    - name: "التحقق من التنبيه"
      action: "فحص إذا كان سفر/VPN شرعي"
      tools: ["سجلات HR", "نظام السفر"]

    - name: "الاحتواء"
      action: "تعطيل الحساب، إلغاء الرموز"
      tools: ["Azure AD", "Okta"]

    - name: "التحقيق"
      action: "مراجعة سجل تسجيل الدخول، الموارد المُوصل إليها"
      tools: ["SIEM", "سجلات تدقيق السحابة"]

    - name: "المعالجة"
      action: "إعادة تعيين كلمة المرور، تمكين MFA"
      tools: ["وحدة تحكم IAM"]

    - name: "التوثيق"
      action: "إنشاء تقرير الحادث"
      tools: ["نظام التذاكر"]

  escalation:
    - condition: "حساب مميز مخترق"
      action: "استدعاء قائد الحادث"

تمرين الطاولة

قد يطلب منك المحاورون المرور بتمرين طاولة:

السيناريو: "إنها الجمعة الساعة 5 مساءً. SIEM ينبه على استعلامات قاعدة بيانات غير عادية من خادم ويب. الاستعلامات تستخرج PII للعملاء. ماذا تفعل؟"

الاعتبارات الرئيسية:

  • التأثير على العمل (نظام إنتاج)
  • المتطلبات التنظيمية (كشف PII)
  • الاستجابة خارج ساعات العمل (توفر الفريق)
  • حفظ الأدلة مقابل الاحتواء السريع

نصيحة المقابلة: في سيناريوهات IR، صِف دائماً عملية تفكيرك بصوت عالٍ. أظهر أنك توازن السرعة مع الدقة، وأنك تعتبر تأثير العمل جنباً إلى جنب مع متطلبات الأمان.

في الدرس التالي، سنغطي الامتثال وأطر GRC. :::

اختبار

الوحدة 5: الكشف والاستجابة والحوكمة

خذ الاختبار
نشرة أسبوعية مجانية

ابقَ على مسار النيرد

بريد واحد أسبوعياً — دورات، مقالات معمّقة، أدوات، وتجارب ذكاء اصطناعي.

بدون إزعاج. إلغاء الاشتراك في أي وقت.