عمليات الأمن و SIEM

مهارات مركز عمليات الأمن (SOC) أساسية لأدوار الأمن الدفاعي. يغطي هذا الدرس منصات SIEM، هندسة الكشف، وصيد التهديدات.

أساسيات SIEM

ما هو SIEM؟

أنظمة إدارة معلومات وأحداث الأمن (SIEM):

• تجمع السجلات من عبر البيئة
• تطبع البيانات بتنسيق موحد
• تربط الأحداث لاكتشاف الأنماط
• تنبه على النشاط المشبوه
• تمكن التحقيق والاستجابة

منصات SIEM الرئيسية

المنصة	القوة	الأفضل لـ
Splunk	بحث قوي، نظام بيئي واسع	المؤسسات، التحليلات المخصصة
Microsoft Sentinel	تكامل Azure، ميزات الذكاء الاصطناعي	بيئات Microsoft
Google Chronicle	نطاق ضخم، استخبارات التهديدات	أحجام بيانات كبيرة
Elastic SIEM	مفتوح المصدر، فعال من حيث التكلفة	الشركات الناشئة
IBM QRadar	الامتثال، تحليل الهجمات	الصناعات المنظمة

سؤال المقابلة

س: "أرشدني خلال إعداد كشف لهجوم القوة الغاشمة."

الإجابة:

1. مصادر البيانات
   └── سجلات المصادقة (AD، LDAP، SSO)
   └── سجلات VPN
   └── سجلات التطبيقات

2. منطق الكشف
   └── حساب تسجيلات الدخول الفاشلة لكل مستخدم/IP
   └── نافذة الوقت (مثل 5 دقائق)
   └── العتبة (مثل 10 فشل)

3. مثال استعلام SPLUNK:

index=auth sourcetype=windows:security EventCode=4625
| bin _time span=5m
| stats count as failures by src_ip, user
| where failures > 10
| eval severity=case(
    failures > 50, "critical",
    failures > 20, "high",
    true(), "medium"
)

4. تكوين التنبيه
   └── المشغل: في الوقت الحقيقي أو مجدول
   └── الخنق: مرة واحدة لكل IP في الساعة
   └── الاستجابة: إنشاء تذكرة، الحظر

هندسة الكشف

أنواع الكشف

النوع	الوصف	مثال
التوقيع	أنماط سيئة معروفة	تجزئة البرامج الضارة، استغلال محدد
السلوكي	نشاط شاذ	أوقات تسجيل دخول غير عادية
الإحصائي	الانحرافات عن الخط الأساسي	ارتفاع حجم الحركة
استخبارات التهديدات	مؤشرات خارجية	نطاقات C2 معروفة

تكامل MITRE ATT&CK

# قاعدة كشف مع تعيين ATT&CK
name: تنفيذ PowerShell مشبوه
description: يكتشف أوامر PowerShell المشفرة
mitre:
  tactic: التنفيذ
  technique: T1059.001
  subtechnique: PowerShell

detection:
  selection:
    EventID: 4104
    ScriptBlockText|contains:
      - '-EncodedCommand'
      - '-enc'
      - 'FromBase64String'
  condition: selection

severity: high
false_positive_rate: low

نموذج نضج الكشف

المستوى	الخصائص
المستوى 0	لا قدرة كشف
المستوى 1	قواعد المورد الأساسية
المستوى 2	قواعد مخصصة للبيئة
المستوى 3	كشف مستنير بالتهديدات
المستوى 4	صيد آلي و ML

صيد التهديدات

إطار فرضية الصيد

هيكل الفرضية:
"بناءً على [استخبارات التهديدات/الاتجاه]، قد يستخدم المهاجمون
[التقنية] لـ [الهدف]. يمكننا اكتشاف هذا من خلال
البحث عن [الملاحظ]."

مثال:
"بناءً على حملات برامج الفدية الأخيرة، قد يستخدم المهاجمون
PsExec للحركة الجانبية. يمكننا اكتشاف هذا من خلال
البحث عن أحداث إنشاء الخدمة عن بُعد."

تقنيات الصيد

التقنية	الوصف	مصدر البيانات
التكديس	إيجاد القيم النادرة	أسماء العمليات، أسماء الخدمات
التجميع	تجميع النشاط ذي الصلة	اتصالات الشبكة
الزمني	الارتباط المستند للوقت	أوقات تسجيل الدخول مقابل ساعات العمل
مسح IOC	البحث عن السيء المعروف	التجزئات، IPs، النطاقات

مثال استعلام صيد Splunk

# إيجاد علاقات عملية الأب والطفل النادرة
index=sysmon EventCode=1
| stats count by ParentImage, Image
| where count < 5
| sort count
| head 20

أفضل ممارسات إدارة السجلات

ما يجب تسجيله

الفئة	مصادر السجل	الأحداث الرئيسية
الهوية	AD، IAM، SSO	تسجيلات الدخول، MFA، تغييرات الصلاحيات
الشبكة	جدار الحماية، DNS، الوكيل	الاتصالات، الحظر، الاستعلامات
نقطة النهاية	EDR، Sysmon	إنشاء العمليات، تغييرات الملفات
السحابة	CloudTrail، Activity Log	استدعاءات API، تغييرات التكوين
التطبيق	خوادم الويب، قواعد البيانات	الأخطاء، الوصول، المعاملات

استراتيجية الاحتفاظ بالسجلات

نوع السجل	الاحتفاظ	السبب
أحداث الأمان	سنة واحدة	الامتثال، التحقيقات
المصادقة	90 يوم	متطلبات Active Directory
تدفقات الشبكة	30 يوم	تكاليف التخزين
سجلات التصحيح	7 أيام	استكشاف الأخطاء فقط

مقاييس SOC

تتبع هذه لمناقشات المقابلة:

المقياس	الوصف	الهدف
MTTD	متوسط وقت الكشف	< 24 ساعة
MTTR	متوسط وقت الاستجابة	< 4 ساعات (حرج)
معدل الإيجابيات الكاذبة	التنبيهات بدون حوادث	< 10%
حجم التنبيهات	التنبيهات لكل محلل في اليوم	< 50
تغطية الكشف	تقنيات ATT&CK المغطاة	> 70%

نصيحة المقابلة: عند مناقشة SIEM، أكد أهمية الضبط. القواعد الخام من الصندوق تولد إيجابيات كاذبة كثيرة. أظهر أنك تفهم أن الكشف الفعال يتطلب تحسيناً مستمراً.

في الدرس التالي، سنغطي إجراءات الاستجابة للحوادث. :::