الكشف والاستجابة والحوكمة
عمليات الأمن و SIEM
4 دقيقة للقراءة
مهارات مركز عمليات الأمن (SOC) أساسية لأدوار الأمن الدفاعي. يغطي هذا الدرس منصات SIEM، هندسة الكشف، وصيد التهديدات.
أساسيات SIEM
ما هو SIEM؟
أنظمة إدارة معلومات وأحداث الأمن (SIEM):
- تجمع السجلات من عبر البيئة
- تطبع البيانات بتنسيق موحد
- تربط الأحداث لاكتشاف الأنماط
- تنبه على النشاط المشبوه
- تمكن التحقيق والاستجابة
منصات SIEM الرئيسية
| المنصة | القوة | الأفضل لـ |
|---|---|---|
| Splunk | بحث قوي، نظام بيئي واسع | المؤسسات، التحليلات المخصصة |
| Microsoft Sentinel | تكامل Azure، ميزات الذكاء الاصطناعي | بيئات Microsoft |
| Google Chronicle | نطاق ضخم، استخبارات التهديدات | أحجام بيانات كبيرة |
| Elastic SIEM | مفتوح المصدر، فعال من حيث التكلفة | الشركات الناشئة |
| IBM QRadar | الامتثال، تحليل الهجمات | الصناعات المنظمة |
سؤال المقابلة
س: "أرشدني خلال إعداد كشف لهجوم القوة الغاشمة."
الإجابة:
1. مصادر البيانات
└── سجلات المصادقة (AD، LDAP، SSO)
└── سجلات VPN
└── سجلات التطبيقات
2. منطق الكشف
└── حساب تسجيلات الدخول الفاشلة لكل مستخدم/IP
└── نافذة الوقت (مثل 5 دقائق)
└── العتبة (مثل 10 فشل)
3. مثال استعلام SPLUNK:
index=auth sourcetype=windows:security EventCode=4625
| bin _time span=5m
| stats count as failures by src_ip, user
| where failures > 10
| eval severity=case(
failures > 50, "critical",
failures > 20, "high",
true(), "medium"
)
4. تكوين التنبيه
└── المشغل: في الوقت الحقيقي أو مجدول
└── الخنق: مرة واحدة لكل IP في الساعة
└── الاستجابة: إنشاء تذكرة، الحظر
هندسة الكشف
أنواع الكشف
| النوع | الوصف | مثال |
|---|---|---|
| التوقيع | أنماط سيئة معروفة | تجزئة البرامج الضارة، استغلال محدد |
| السلوكي | نشاط شاذ | أوقات تسجيل دخول غير عادية |
| الإحصائي | الانحرافات عن الخط الأساسي | ارتفاع حجم الحركة |
| استخبارات التهديدات | مؤشرات خارجية | نطاقات C2 معروفة |
تكامل MITRE ATT&CK
# قاعدة كشف مع تعيين ATT&CK
name: تنفيذ PowerShell مشبوه
description: يكتشف أوامر PowerShell المشفرة
mitre:
tactic: التنفيذ
technique: T1059.001
subtechnique: PowerShell
detection:
selection:
EventID: 4104
ScriptBlockText|contains:
- '-EncodedCommand'
- '-enc'
- 'FromBase64String'
condition: selection
severity: high
false_positive_rate: low
نموذج نضج الكشف
| المستوى | الخصائص |
|---|---|
| المستوى 0 | لا قدرة كشف |
| المستوى 1 | قواعد المورد الأساسية |
| المستوى 2 | قواعد مخصصة للبيئة |
| المستوى 3 | كشف مستنير بالتهديدات |
| المستوى 4 | صيد آلي و ML |
صيد التهديدات
إطار فرضية الصيد
هيكل الفرضية:
"بناءً على [استخبارات التهديدات/الاتجاه]، قد يستخدم المهاجمون
[التقنية] لـ [الهدف]. يمكننا اكتشاف هذا من خلال
البحث عن [الملاحظ]."
مثال:
"بناءً على حملات برامج الفدية الأخيرة، قد يستخدم المهاجمون
PsExec للحركة الجانبية. يمكننا اكتشاف هذا من خلال
البحث عن أحداث إنشاء الخدمة عن بُعد."
تقنيات الصيد
| التقنية | الوصف | مصدر البيانات |
|---|---|---|
| التكديس | إيجاد القيم النادرة | أسماء العمليات، أسماء الخدمات |
| التجميع | تجميع النشاط ذي الصلة | اتصالات الشبكة |
| الزمني | الارتباط المستند للوقت | أوقات تسجيل الدخول مقابل ساعات العمل |
| مسح IOC | البحث عن السيء المعروف | التجزئات، IPs، النطاقات |
مثال استعلام صيد Splunk
# إيجاد علاقات عملية الأب والطفل النادرة
index=sysmon EventCode=1
| stats count by ParentImage, Image
| where count < 5
| sort count
| head 20
أفضل ممارسات إدارة السجلات
ما يجب تسجيله
| الفئة | مصادر السجل | الأحداث الرئيسية |
|---|---|---|
| الهوية | AD، IAM، SSO | تسجيلات الدخول، MFA، تغييرات الصلاحيات |
| الشبكة | جدار الحماية، DNS، الوكيل | الاتصالات، الحظر، الاستعلامات |
| نقطة النهاية | EDR، Sysmon | إنشاء العمليات، تغييرات الملفات |
| السحابة | CloudTrail، Activity Log | استدعاءات API، تغييرات التكوين |
| التطبيق | خوادم الويب، قواعد البيانات | الأخطاء، الوصول، المعاملات |
استراتيجية الاحتفاظ بالسجلات
| نوع السجل | الاحتفاظ | السبب |
|---|---|---|
| أحداث الأمان | سنة واحدة | الامتثال، التحقيقات |
| المصادقة | 90 يوم | متطلبات Active Directory |
| تدفقات الشبكة | 30 يوم | تكاليف التخزين |
| سجلات التصحيح | 7 أيام | استكشاف الأخطاء فقط |
مقاييس SOC
تتبع هذه لمناقشات المقابلة:
| المقياس | الوصف | الهدف |
|---|---|---|
| MTTD | متوسط وقت الكشف | < 24 ساعة |
| MTTR | متوسط وقت الاستجابة | < 4 ساعات (حرج) |
| معدل الإيجابيات الكاذبة | التنبيهات بدون حوادث | < 10% |
| حجم التنبيهات | التنبيهات لكل محلل في اليوم | < 50 |
| تغطية الكشف | تقنيات ATT&CK المغطاة | > 70% |
نصيحة المقابلة: عند مناقشة SIEM، أكد أهمية الضبط. القواعد الخام من الصندوق تولد إيجابيات كاذبة كثيرة. أظهر أنك تفهم أن الكشف الفعال يتطلب تحسيناً مستمراً.
في الدرس التالي، سنغطي إجراءات الاستجابة للحوادث. :::