Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L10
الفرق الزرقاء — الدفاعخبير80mL10

الاستجابة للحوادث السيبرانية

خطط الاستجابة والتحقيق الجنائي الرقمي

#IR#Forensics#Memory#Volatility

ماذا تفعل عند الحادثة؟ — NIST IR Lifecycle

تشبيه — شرح مبسط
مثل حريق في مبنى: لا تفعل أشياء عشوائية. هناك خطوات ثابتة و من ينفذها بهدوء يخسر أقل. الـ IR هو خطة الإطفاء قبل أن يبدأ الحريق.
  1. Preparation — تجهيز الأدوات و الأدوار.
  2. Detection & Analysis — تأكيد الحادثة و تحديد نطاقها.
  3. Containment — احتواء قصير ثم طويل.
  4. Eradication — إزالة الجذور.
  5. Recovery — إعادة الخدمة بثقة.
  6. Lessons Learned — نمنع التكرار.

Preparation — قبل أن يحدث شيء

  • فريق CSIRT معروف الأدوار + قائمة اتصال خارج النطاق.
  • Runbooks لكل سيناريو (ransomware, account takeover, data leak).
  • صناديق jump kits: لابتوب نظيف، write blockers، FTK Imager.
  • اتفاقيات مع جهات خارجية (DFIR retainer, legal, PR).
  • تمارين tabletop كل ربع.

Detection & Analysis — تأكيد الحادثة

01
فرز التنبيه — Triage
هل هذا تنبيه حقيقي؟ ما المضيف؟ ما المستخدم؟ ما المؤشرات؟
02
بناء خط زمني — Timeline
استخدم SIEM لجمع كل الأحداث المرتبطة بالـ IP / user / host.
03
جمع الأدلة قبل اللمس
$ # نسخة من الذاكرة قبل أي شيء
$ sudo /opt/avml memory.lime # على Linux
$ winpmem.exe memory.raw # على Windows
$ dd if=/dev/sda of=/mnt/usb/disk.img bs=4M status=progress conv=noerror,sync
$ kape.exe --target !SANS_Triage # Windows
$ uac -a ir_triage.yaml # Linux/Mac/AIX

Containment — احتواء

قصير المدى (دقائق)
عزل الجهاز عن الشبكة (EDR isolate)، تعطيل الحساب، إبطال tokens / sessions، حظر IOCs.
طويل المدى (أيام)
إعادة بناء الأنظمة من image نظيفة، تدوير كل الأسرار، تعديل القواعد لمنع الوصول الأولي مجدداً.
حذار من الـ Burning
إن أوقفت كل شيء فجأة قد يلاحظ المهاجم و يطلق ransomware. أحياناً المراقبة الصامتة لساعات لجمع الـ TTPs أفضل.

Forensics — التحليل الجنائي

الذاكرة — Memory

volatility3
vol -f memory.raw windows.pslist
vol -f memory.raw windows.netscan
vol -f memory.raw windows.malfind
vol -f memory.raw windows.cmdline
vol -f memory.raw windows.dlllist | grep -i suspicious.dll

القرص — Disk

  • Autopsy / The Sleuth Kit لاستعراض النظام.
  • plaso/log2timeline لبناء خط زمني فائق التفصيل.
  • EVTXtract / Chainsaw / Hayabusa لتحليل سجلات Windows.

السحابة

  • CloudTrail + Athena لاستعلامات سريعة.
  • أداة aws_ir / cloudgrep / Cado.

Eradication & Recovery

  1. إعادة بناء الأنظمة من golden image — لا تكتفِ بـ cleanup.
  2. تدوير كل: كلمات المرور، SSH keys, API tokens, Kerberos krbtgt (مرتين).
  3. سدّ ثغرة الدخول الأصلية.
  4. راقب لـ 30-90 يوم لرصد عودة المهاجم.

Lessons Learned — التقرير النهائي

  • خط زمني واضح للهجوم.
  • Root cause + الفجوات التي سمحت بالهجوم.
  • قائمة إجراءات وقائية مع مالك و موعد لكل بند.
  • تحديث الـ playbooks و قواعد الكشف.
نصيحة
لا تَلُم الأشخاص بل العمليات. الفريق يجب أن يحس بالأمان كي يبلّغ مبكراً عن أخطائه.
السابق
الكشف والمراقبة الأمنية (SIEM / EDR)
التالي
إسناد الهجمات والاستخبارات المضادة