Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L59
الفرق الزرقاء — الدفاعخبير80mL59

Incident Response — الحادثة وقعت، بتعمل إيه

Playbook و Forensics — قرارات تحت الضغط

#IR#Forensics#Memory#Volatility

حصل اختراق — تعمل إيه؟ — NIST IR Lifecycle

تشبيه — شرح مبسط
التليفون رنّ الساعة 3 الفجر. الـ SOC بيقولك "فيه حاجة بتحصل".

- طب يا حضرتك.. أعمل reboot للسيرفر بسرعة؟ أقفل الإنترنت كله؟ أصحّى المدير؟

يا مستجد.. كنت مستنيك تقول ده. متوقّع.

كل واحدة من اللي قلتهم هتحرقلك أدلة ما تتعوّضش. الـ IR هو خطة الإطفاء اللي اتكتبت قبل ما الحريق يبتدي — عشان وقت الحريق مفيش مجال تفكّر.

هو إحنا بنعمل ست مراحل ليه؟ علشان كل مرحلة قرار مختلف. اللي بيخلط بين "افهم" و"اتصرف" بيخرب القضية بإيده.

الفرق بين فريق محترم وفريق "بيعك" مش في الأدوات. الفرق في إنه عارف يقف 3 ثواني قبل ما يلمس حاجة.

  1. Preparation — جهّز قبل الكارثة، مش وقتها.
  2. Detection & Analysis — أكّد إن فيه حادثة فعلاً، وحدد نطاقها.
  3. Containment — احتواء قصير الأجل، وبعدين طويل.
  4. Eradication — اقلع الجذور، مش بس قص الورق.
  5. Recovery — رجّع الخدمة وانت واثق.
  6. Lessons Learned — تمنع التكرار، مش تلوم حد.
غلطات الـ junior في أول 10 دقائق
  • عمل reboot "عشان يجرب" → الذاكرة راحت، الـ malware اللي كان fileless ضاع، والـ C2 connections قُفلت. مبروك، حرقت القضية.
  • شغّل antivirus scan "ينضّف الجهاز" → الـ AV مسح العيّنة قبل ما حد ياخد منها نسخة للتحليل.
  • قطع الكابل من الـ switch → المهاجم حسّ، فعّل الـ ransomware كـ kill-switch، وانت كنت ممكن تراقبه ساعتين كمان.
  • قعد يكتب في group chat "فيه اختراق ولا إيه؟" → لو الـ chat نفسه مخترق، انت بتديله live updates مجاناً.

Preparation — قبل أن يحدث شيء

  • فريق CSIRT معروف الأدوار + قائمة اتصال خارج النطاق.
  • Runbooks لكل سيناريو (ransomware, account takeover, data leak).
  • صناديق jump kits: لابتوب نظيف، write blockers، FTK Imager.
  • اتفاقيات مع جهات خارجية (DFIR retainer, legal, PR).
  • تمارين tabletop كل ربع.

Detection & Analysis — تأكيد الحادثة

01
فرز التنبيه — Triage
هل هذا تنبيه حقيقي؟ ما المضيف؟ ما المستخدم؟ ما المؤشرات؟
02
بناء خط زمني — Timeline
استخدم SIEM لجمع كل الأحداث المرتبطة بالـ IP / user / host.
03
جمع الأدلة قبل اللمس
$ # نسخة من الذاكرة قبل أي شيء
$ sudo /opt/avml memory.lime # على Linux
$ winpmem.exe memory.raw # على Windows
$ dd if=/dev/sda of=/mnt/usb/disk.img bs=4M status=progress conv=noerror,sync
$ kape.exe --target !SANS_Triage # Windows
$ uac -a ir_triage.yaml # Linux/Mac/AIX

Containment — احتواء

الفرق بين containment محترم وcontainment عبيط: التوقيت. لو قطعت بدري، حرقت العملية. لو قطعت متأخر، خسرت بيانات. القرار ده هيبة المنصب لمدير الـ IR — مش هندسي.

قصير المدى (دقائق)
عزل الجهاز عن الشبكة (EDR isolate)، تعطيل الحساب، إبطال tokens / sessions، حظر IOCs.
طويل المدى (أيام)
إعادة بناء الأنظمة من image نظيفة، تدوير كل الأسرار، تعديل القواعد لمنع الوصول الأولي مجدداً.
ما تحرقش العملية
لو قطعت كل حاجة فجأة، المهاجم هيحس. هيعمل إيه؟ هيفعّل الـ ransomware كـ kill-switch، أو يمسح كل آثاره، أو يقفز لـ host تاني انت لسه ما اكتشفتوش. أحياناً المراقبة الصامتة لساعات علشان تجمع TTPs أحكم بكتير من الانقضاض السريع. APT29 في SolarWinds قعدوا 9 شهور جوه — اللي اكتشفهم كان فريق فهم إن "اقطع كل حاجة دلوقتي" مش الحل.

Forensics — التحليل الجنائي

الذاكرة — Memory

volatility3
vol -f memory.raw windows.pslist
vol -f memory.raw windows.netscan
vol -f memory.raw windows.malfind
vol -f memory.raw windows.cmdline
vol -f memory.raw windows.dlllist | grep -i suspicious.dll

القرص — Disk

  • Autopsy / The Sleuth Kit لاستعراض النظام.
  • plaso/log2timeline لبناء خط زمني فائق التفصيل.
  • EVTXtract / Chainsaw / Hayabusa لتحليل سجلات Windows.

السحابة

  • CloudTrail + Athena لاستعلامات سريعة.
  • أداة aws_ir / cloudgrep / Cado.

Eradication & Recovery

  1. إعادة بناء الأنظمة من golden image — لا تكتفِ بـ cleanup.
  2. تدوير كل: كلمات المرور، SSH keys, API tokens, Kerberos krbtgt (مرتين).
  3. سدّ ثغرة الدخول الأصلية.
  4. راقب لـ 30-90 يوم لرصد عودة المهاجم.

Lessons Learned — التقرير النهائي

  • خط زمني واضح للهجوم.
  • Root cause + الفجوات اللي سمحت بالهجوم.
  • قائمة إجراءات وقائية مع مالك وموعد لكل بند.
  • تحديث الـ playbooks وقواعد الكشف.
اكتبها على ظهر إيدك
ما تلومش الناس، لُم العملية. الفريق لازم يحس إنه آمن علشان يبلّغ بدري عن غلطاته. اللوم بيخلّي الناس تخبّي. واللي بتخبّيه النهارده هيطلعلك Incident أكبر بعد 6 شهور. بُص: انت كده كده هتغلط في شغلك، سواء قاصد أو غصب عنك. أهم حاجة: تتعلم وتبقى عارف إنه غلط.
السابق
Threat Hunting — مش مستني التنبيه
الوحدة التالية
DFIR Triage — أول ساعة بتقرر كل حاجة