Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L57
الفرق الزرقاء — الدفاعأساسي75mL57

محلل مركز عمليات الأمن — يوم العمل الأول

دورة المناوبة، فرز التنبيهات، الحالات، والتسليم

#SOC#Triage#SIEM#Tier 1#Handoff

ماذا يفعل محلل SOC فعلياً

SOC (Security Operations Center) يعمل 24/7. وظيفتك الأولى ليست "إيقاف الهاكرز" — بل فرز التنبيهات: هل هذا حقيقي؟ هل سبق و رأيناه؟ هل يستحق إيقاظ Tier-2؟ ثم توثيق ما رأيت و كيف.

تشبيه — شرح مبسط
تخيّل غرفة طوارئ في مستشفى. الممرض الذي يستقبلك في البوابة (Triage Nurse) لا يجري عمليات — يقرر من يدخل فوراً، من ينتظر، و من يُحوَّل لمستشفى آخر. هذا هو محلل SOC من المستوى الأول (Tier-1).

هرم الأدوار في SOC

Tier-1 — Triage
يستقبل التنبيهات من SIEM/EDR. يحدد: false positive, benign, escalate. متوسط زمن لكل تذكرة 5–15 دقيقة. غالباً 50–200 تذكرة في المناوبة.
Tier-2 — Investigation
يأخذ ما رفعه Tier-1. يبحث عمقاً: قراءة logs، تتبع process tree، رسم timeline. يقرّر: حادث أم لا.
Tier-3 — IR / Hunt
Incident Response و Threat Hunting. يقود التعامل مع الحوادث الحقيقية. يكتب detections جديدة. يعمل مع CTI و forensics.
SOC Manager + Engineers
Engineers يبنون detections و يضبطون الأدوات. Manager يتعامل مع SLAs، تقارير الإدارة، و التعاون مع فرق أخرى (Legal, IT, Product).

دورة المناوبة — أول 8 ساعات

نموذج تشغيل احترافي
  1. 15 دقيقة قبل البداية — اقرأ shift handoff من المناوبة السابقة. ما المفتوح؟ ما الذي يحتاج متابعة؟
  2. اطّلع على dashboards — حالة المصادر (SIEM ingestion، EDR coverage)، تنبيهات مفتوحة، حالات Major Incident.
  3. راجع threat intel daily — هل هناك حملة جديدة تستهدف القطاع؟ مؤشرات جديدة (IOCs)؟
  4. ابدأ بالـ queue — التنبيهات مرتّبة بأولوية. لا تختار الأسهل.
  5. وثّق كل شيء — كل query، كل ملاحظة، كل قرار. القاعدة: لو غادرت الآن هل يستطيع زميلك إكمال العمل؟
  6. قبل النهاية — اكتب handoff واضح: ما أُغلق، ما المفتوح، ما يحتاج المتابعة.

منهجية فرز التنبيه — السؤال 5W+H

أي تنبيه يجب أن يجيب على هذه الأسئلة قبل أن تتخذ قراراً:

  • What — ما القاعدة (rule) التي أطلقت التنبيه؟ ماذا تعني؟
  • Who — أي مستخدم/جهاز/IP؟ هل من المعتاد أن يفعل ذلك؟
  • When — الوقت الدقيق. هل في ساعات العمل؟ هل سبق نمط مماثل؟
  • Where — أي شبكة، أي نظام، أي subnet؟
  • Why — هل هناك سبب مشروع؟ تذاكر change، نشاط مستخدم معروف؟
  • How — كيف وصل المؤشر؟ من أين بدأت السلسلة؟
قاعدة ذهبية
"True positive حتى يثبت العكس" أفضل من "false positive حتى يثبت العكس". لا تغلق تنبيهاً بسبب الكسل — اغلقه فقط بدليل.

استعلامات SIEM شائعة — ابدأ بهذه

Splunk SPL

splunk
# تسجيل دخول فاشل متكرر ثم ناجح من نفس IP (brute force ناجح)
index=windows EventCode=4625 OR EventCode=4624
| transaction src_ip startswith="EventCode=4625" endswith="EventCode=4624" maxspan=10m
| where eventcount > 5
| table _time src_ip user host

# تنفيذ PowerShell مع تشفير base64
index=sysmon EventCode=1 CommandLine="*-EncodedCommand*" OR CommandLine="*-enc *"
| eval decoded=tostring(base64decode(replace(CommandLine, ".*-[Ee]nc(?:odedCommand)?\s+(\S+).*", "\1")))
| table _time host user CommandLine decoded

Microsoft Sentinel KQL

kql
// تواصل مع IP في threat intel feed
let badIPs = externaldata(IP:string) [@"https://feed.example.com/bad-ips.txt"];
DeviceNetworkEvents
| where TimeGenerated > ago(24h)
| where RemoteIP in (badIPs)
| project TimeGenerated, DeviceName, InitiatingProcessFileName, RemoteIP, RemotePort

// تسجيل دخول مستحيل (impossible travel)
SigninLogs
| where ResultType == 0
| summarize Locations = make_set(LocationDetails.countryOrRegion), Count=count() by UserPrincipalName, bin(TimeGenerated, 1h)
| where array_length(Locations) > 1

EDR — كيف تقرأ process tree

الـ EDR (CrowdStrike, Defender, SentinelOne) يعطيك شجرة العمليات. اقرأها من الجذر:

text
explorer.exe (PID 4321)                    ← parent شرعي
  └─ outlook.exe (PID 5678)                ← شرعي
      └─ winword.exe (PID 6789)            ← فتح مرفق Word
          └─ cmd.exe (PID 7890)            ← !! Word لا يجب أن يفتح cmd !!
              └─ powershell.exe -enc ...   ← !!! base64 → تنفيذ
إشارات حمراء كلاسيكية
  • Office app يُولّد cmd/powershell/wscript.
  • svchost.exe من path غير C:\Windows\System32.
  • rundll32.exe بدون arguments أو مع DLL في AppData/Temp.
  • PowerShell بـ -EncodedCommand, -WindowStyle Hidden, DownloadString.
  • schtasks.exe ينشئ مهمة بأسماء عشوائية.
  • net.exe يضيف مستخدماً لـ Administrators.

نظام التذاكر — قواعد التوثيق

التذكرة الجيدة قابلة للقراءة بعد سنة. هيكل قياسي:

markdown
## Summary
[سطر واحد] What happened, who, where, when

## Timeline (UTC)
- 14:23 Alert fired: [rule name]
- 14:25 Began investigation
- 14:31 Identified [process X] on [host Y]
- 14:42 Checked [user Z] activity — confirmed/denied legitimate
- 14:55 Closed as [True Positive | False Positive | Benign]

## Evidence
- Splunk query: [paste]
- Process tree: [screenshot/paste]
- IOCs extracted: hash=..., ip=..., domain=...

## Decision
[Closed/Escalated] because [reason]. If escalated: assigned to [Tier-2 name].

## Follow-up
- [ ] Add IOC to block list
- [ ] Open detection-engineering ticket if rule needs tuning

التصعيد — متى و كيف

صعّد فوراً إذا
  • Domain admin أو high-value account متورط.
  • أكثر من host واحد مصاب.
  • دليل على exfiltration (نقل بيانات للخارج).
  • Ransomware (تشفير ملفات، ransom notes).
  • Persistence مكتشف (scheduled task جديد، service جديد).
  • عدم اليقين بعد 30 دقيقة بحث جدّي.

صيغة التصعيد المثالية: "رأيت X. يبدو Y. أحتاج Z." لا تترك Tier-2 يخمّن.

معدّات شخصية تحتاج إتقانها فوراً

  • Splunk SPL أو KQL — أيهما تستخدمه شركتك. تعلّم top-10 commands خلال أسبوع.
  • regex أساسي — كل yara/sigma/grep يستخدمه.
  • JSON parsing — السجلات الحديثة كلها JSON. تعلّم jq.
  • VirusTotal Intelligence — البحث المتقدم (أكثر من رفع ملف). أساسي.
  • MITRE ATT&CK Navigator — اربط كل نشاط بتقنية.
  • Markdown للتوثيق السريع.

فخاخ Tier-1 — تجنّبها من اليوم الأول

  • الإغلاق دون توثيق. التذكرة بدون evidence لا تساوي شيئاً في المراجعة.
  • المماطلة في التصعيد. "سأنتهي منها" قد تتحول لساعتين. عند الشك صعّد بعد 30 دقيقة.
  • تنفيذ command على الـ endpoint. لا تشغّل أي شيء على جهاز ضحية بدون موافقة Tier-2/IR. قد تدمّر أدلة.
  • مشاركة معلومات حادث في chat عام. استخدم القناة المخصّصة. الحوادث حسّاسة.
  • الاعتماد على Google فقط. اسأل زميلك. السؤال يوفّر ساعات.
ثقافة
SOC الجيد لا يعاقب على false positive — يعاقب على false negative غير الموثّق. وثّق دائماً قرارك و دليلك.

معجم لا غنى عنه

  • IOC — Indicator of Compromise (hash, IP, domain).
  • TTP — Tactics, Techniques, Procedures (مستوى أعلى من IOC).
  • MTTD / MTTR — Mean Time To Detect / Respond.
  • SLA — اتفاقية مستوى الخدمة (مثلاً Tier-1 يستجيب خلال 15 دقيقة).
  • Runbook / Playbook — خطوات قياسية لمعالجة حالة معينة.
  • Triage — الفرز.
  • EDR / XDR — Endpoint Detection / Extended Detection & Response.
  • SOAR — Orchestration & Automated Response (أتمتة الـ playbook).
  • UEBA — User & Entity Behavior Analytics.
  • HVA — High-Value Asset (بنك أهداف يحتاج حماية أعلى).
السابق
التقصي في قواعد بيانات الثغرات (CVE)
التالي
التحقيق الجنائي في الشبكة — تحليل حزم البيانات