الفرق الزرقاء — الدفاعخبير85mL09

الكشف والمراقبة الأمنية (SIEM / EDR)

هندسة الكشف، السجلات، وأنظمة التنبيه

#SIEM#Sigma#Suricata#Honeypots

ماذا نراقب و لماذا؟

تشبيه — شرح مبسط

الكاميرات في المتجر مفيدة فقط لو يشاهدها أحد. كذلك السجلات (logs): مفيدة فقط لو وصلت إلى نظام مركزي يحلّلها و ينبّه عند الحوادث.

هندسة الكشف — Detection Engineering

هرم Bianco للأدلة (Pyramid of Pain) — كلما صعدنا، كلما آذينا المهاجم أكثر:

Hash values — سهل للمهاجم تغييرها.
IP addresses — يبدلها بسهولة.
Domain names — أصعب قليلاً.
Network/Host artifacts.
Tools.
TTPs — أصعب شيء على المهاجم تغييره. هنا نُركّز.

مصادر السجلات الأساسية

على Linux

auditd، /var/log/auth.log، syslog، journald، eBPF (Falco / Tracee).

على Windows

Security Event Log، Sysmon (الأهم)، PowerShell ScriptBlock Logging، AMSI.

الشبكة

Zeek / Suricata / Snort، NetFlow، DNS query logs، TLS/JA3 fingerprints.

السحابة

CloudTrail (AWS), Activity Log (Azure), Audit Logs (GCP)، VPC Flow Logs، GuardDuty.

SIEM — مركز التحليل

الـ SIEM يجمع كل السجلات في مكان واحد، يطبّق قواعد، و يرفع تنبيهات.

المجاني/مفتوح: Wazuh, ELK + Elastic Security, OpenSearch, Graylog, Security Onion.
التجاري: Splunk, Microsoft Sentinel, Chronicle, QRadar, Sumo Logic.

قواعد كشف بصيغة Sigma (موحّدة)

Sigma — Linux SSH brute force

title: SSH Multiple Failed Logins
logsource: { product: linux, service: auth }
detection:
  fail:
    process_name: 'sshd'
    msg|contains: 'Failed password'
  timeframe: 5m
  condition: fail | count() by src_ip > 10
level: high
tags: [attack.credential_access, attack.t1110]

Sigma — Suspicious AWS API

title: AWS Access Key Created for Another User
logsource: { product: aws, service: cloudtrail }
detection:
  sel:
    eventName: 'CreateAccessKey'
    requestParameters.userName|cidr|not: '{{ caller_user }}'
  condition: sel
level: critical

EDR / XDR على نقاط النهاية

CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Wazuh agent + Sysmon.
يكشف: process injection, mimikatz, suspicious child processes (winword → powershell).
قاعدة الذهب: كل تنبيه يجب أن يحوّل إلى playbook آلي عبر SOAR.

IDS / NDR على الشبكة

Suricata rule — Log4Shell exploit

alert http any any -> $HOME_NET any (msg:"Log4Shell JNDI in HTTP header"; \
  flow:to_server,established; content:"jndi:"; nocase; http_header; \
  classtype:web-application-attack; sid:9000010; rev:1;)

Zeek — DNS exfil heuristic

event dns_request(c, msg, query, qtype, qclass) {
  if (|query| > 60 && /[a-f0-9]{40,}/ in query)
    NOTICE([$note=DNS::Long_Encoded_Query, $msg=fmt("possible DNS exfil: %s", query)]);
}

Honeypots و Honeytokens — أفخاخ تكشف المهاجم

تشبيه — شرح مبسط

ضع محفظة فارغة ظاهرة في الواجهة. أي لص يلمسها ينكشف. هذه فلسفة الـ honeytokens: ملفات/مفاتيح مزيفة، إن استُخدمت أعطت تنبيهاً فورياً.

Canarytokens.org — مجاني، يولّد DNS / HTTP / DOC / AWS tokens.
سيرفر SSH وهمي بـ cowrie — يسجّل كل أمر يجرّبه المهاجم.
حساب AD اسمه svc_admin — أي محاولة دخول = إنذار.
ملف passwords.xlsx مزيف على file share.

UEBA — تحليل سلوك المستخدم

الـ UEBA يبني خط أساس لكل مستخدم. لو دخل admin عادةً من القاهرة الساعة 9 صباحاً، و فجأة ظهر من فيتنام الساعة 3 فجراً يحمّل 50 ميغا من SharePoint = إنذار حتى لو كانت كلمة المرور صحيحة.

Threat Hunting — الصيد الاستباقي

لا تنتظر التنبيه. ابحث عن آثار قد تكون فاتت الكشف الآلي:

فرضية: «لو دخل مهاجم بـ phishing، سيستخدم PowerShell encoded commands».
استعلام في الـ SIEM عن powershell.exe -enc * آخر 30 يوماً.
حلّل النتائج، وثّق الـ false positives، و حوّل النتائج لقواعد Sigma دائمة.

إطار MITRE D3FEND

خريطة كل تقنية هجوم تقابلها تقنية دفاع. مفيد لتغطية الفجوات.

تحصين الأنظمة والدفاع المتعمق

الاستجابة للحوادث السيبرانية