Task 1 (Introduction)
📌 الفكرة: ما هو التنبيه؟
- التنبيه (Alert): هو جرس الإنذار الذي يخبرك أن "شيئاً ما قد يكون خطأً".
- أهميته: طريقتك في التعامل معه تحدد مصير الشركة:
- تعامل صحيح ← توقف الاختراق.
- تعامل خاطئ ← كارثة واختراق مدمر.
🎯 أهداف التعلم (Learning Objectives)
في هذه الغرفة، سنتعلم مهارات أساسية لأي محلل مبتدئ (L1):
- مفهوم التنبيه: ما هو؟ وما هي مكوناته؟
- تصنيف التنبيهات: كيف تعرف حالته وتصنفه (حقيقي/كاذب).
- ال Triage (الفرز): كيف تحلل التنبيه وتقرر الخطوة التالية بسرعة.
- التطبيق العملي: التدرب على تنبيهات حقيقية باستخدام لوحة تحكم SOC.
🖥️ الوصول للوحة التحكم (SOC Dashboard)
في هذه الغرفة، سنستخدم SOC Dashboard خاصة.
- اضغط على الزر المرفق في المهمة لفتح الموقع في نافذة جديدة.
- تصفح اللوحة وتعرف عليها، لأننا سنستخدمها في كل المهام القادمة.
Task 2: Events and Alerts (الأحداث والتنبيهات)
🔄 1. من حدث إلى تنبيه (From Events to Alerts)
تخيل أنك متدرب في الـ SOC وتنظر لشاشة زميلك، ترى رسائل مثل "Email Phishing" أو "Unapproved Mimikatz". كيف وصلت هذه الرسائل هنا؟
إليك الرحلة خطوة بخطوة:
- الحدث (Event): شيء ما يحدث (مستخدم سجل دخول، ملف تم تحميله).
- التسجيل (Log): النظام (ويندوز، جدار الحماية) يكتب هذا الحدث في ملف السجل.
- الإرسال (Shipping): يتم إرسال ملايين السجلات إلى نظام مركزي مثل SIEM.
- التنبيه (Alert): هنا السحر! ✨ الـ SIEM يحلل الملايين، وإذا وجد شيئاً يطابق "قاعدة خطر" (مثلاً: 5 محاولات دخول فاشلة)، يقوم بإنشاء تنبيه.
💡 الفائدة: بدلاً من قراءة ملايين السجلات يومياً، المحلل يركز فقط على عشرات التنبيهات المهمة.
🖥️ 2. أين تظهر التنبيهات؟ (Alert Management Platforms)
التنبيهات لا تظهر في الهواء، بل تحتاج لمنصة تديرها. إليك أشهر الأنواع:
| الحل (Solution) | أمثلة (Examples) | الوصف |
|---|---|---|
| SIEM (Security Information and Event Management) | Splunk, Elastic | الخيار الأفضل والأشمل لإدارة التنبيهات لمعظم الفرق. |
| EDR (Endpoint detection and response) / NDR | MS Defender, CrowdStrike | أدوات حماية الأجهزة والشبكة. لها لوحات تحكم خاصة، لكن يفضل ربطها بالـ SIEM. |
| SOAR (Security Orchestration, Automation, and Response.) | Splunk SOAR, Cortex | للفرق الكبيرة جداً. يجمع التنبيهات من كل مكان ويساعد في الرد الآلي. |
| ITSM (IT Service Management) | Jira, TheHive | أنظمة "تذاكر" (Tickets) لتنظيم العمل ومتابعة المهام. |
👮 3. دورك كمحلل L1 (The L1 Role)
أنت بصفتك L1 Analyst، أنت "خط الدفاع الأول".
قد يصلك يومياً ما بين 0 إلى 100 تنبيه، ومهمتك هي الفرز (Triage):
- ال L1 Analyst (أنت): تراجع التنبيه، تقرر هل هو خبيث (Bad) أم سليم (Good)؟ إذا كان تهديداً حقيقياً، تحوله للـ L2.
- ال L2 Analyst (الخبير): يستلم الحالات الصعبة منك ويحقق فيها بعمق.
- ال SOC Engineer: يضبط الأدوات ليتأكد أن التنبيه يحتوي على معلومات مفيدة لك.
- ال SOC Manager: يراقب السرعة والجودة لضمان عدم تفويت أي هجوم.
Task 3: Alert Properties (خصائص التنبيه)
📋 مما يتكون التنبيه؟
كل نظام SIEM قد يختلف قليلاً في الشكل، لكن المكونات الأساسية دائماً موجودة. دعنا نلقي نظرة على لوحة تحكم لتنبيه حقيقي ونشرح أجزاءه:
☝️ تحليل الخصائص (حسب الأرقام في الصورة):
- ال Alert Time (الوقت): متى تم إنشاء التنبيه؟ (عادة يكون بعد وقوع الحدث بدقائق قليلة).
- ال Alert Name (الاسم): عنوان سريع يلخص المشكلة (مثلاً:
Bruteforce AttackأوPhishing). - ال Alert Severity (الخطورة): أهم خانة لترتيب أولوياتك!
- ال 🟢 Low: معلومة عادية.
- ال 🟡 Medium: يحتاج انتباه.
- ال 🟠 High: خطير.
- ال 🔴 Critical: مصيبة! اترك كل شيء وابدأ به فوراً.
- ال Alert Status (الحالة): وين وصلنا في الحل؟
- ال New: لم يلمسه أحد.
- ال In Progress: المحلل يشتغل عليه حالياً.
- ال Closed: تم الحل والإغلاق.
- ال Alert Verdict (الحُكم/التصنيف): هذه نتيجة تحليلك النهائي:
- ال True Positive: تهديد حقيقي (فعلاً كان في هكر).
- ال False Positive: إنذار خاطئ (مثلاً موظف نسي الباسورد والنظام اعتبره هكر).
- ال Assignee (المسؤول): اسم المحلل الذي تكفل بحل هذا التنبيه (عشان ما يشتغل اثنين على نفس المشكلة).
- ال Description (الوصف): شرح مكتوب يوضح "ليش" اشتغل هذا التنبيه، وشو لازم تعمل.
- ال Alert Fields (الحقول التقنية): (أسفل الصورة) هذه هي الأدلة الجنائية: اسم الجهاز (Host)، اسم المستخدم (User)، الملف المشبوه (Target File)، وبصمة الملف (MD5).
Task 4: Alert Prioritisation (تحديد الأولويات)
🚦 كيف تختار التنبيه الصحيح؟ (Picking the Right Alert)
في معظم فرق الـ SOC، نقوم بترتيب التنبيهات بناءً على 3 خطوات منطقية:
1️⃣ التصفية (Filter the alerts)
أول خطوة: نظف القائمة.
- لا تضيع وقتك في تنبيهات:
- حلها زميلك قبلك (Resolved).
- زميلك يعمل عليها الآن (In Progress).
- ركز فقط على التنبيهات الجديدة (New / Unseen) التي لم يلمسها أحد.
2️⃣ الترتيب حسب الخطورة (Sort by Severity)
الآن عندك قائمة جديدة، بأيهم تبدأ؟
- القاعدة: ابدأ بالأخطر! 🔴
- الترتيب: Critical ← High ← Medium ← Low.
- السبب: التنبيه الـ Critical غالباً يعني أن الاختراق يحدث الآن ومؤكد، بينما الـ Low قد يكون مجرد خطأ بسيط.
3️⃣ الترتيب حسب الوقت (Sort by Time)
طيب، لو عندك 5 تنبيهات كلها Critical، بأيهم تبدأ؟
- القاعدة: ابدأ بالأقدم! ⏳
- الترتيب: من Oldest (الأقدم) إلى Newest (الأحدث).
- السبب: الهكر الذي دخل قبل ساعة (الأقدم) قد يكون وصل لمرحلة سرقة البيانات، بينما الهكر الذي دخل قبل دقيقة (الأحدث) ما زال في البداية. أوقف الأقرب للكارثة أولاً!
Task 5: Alert Triage (فرز التنبيه)
🔄 دورة حياة التنبيه (The Workflow)
العملية تتكون من خطوات متسلسلة، اتبع الأسهم في الصورة لترى المسار:
☝️ شرح الخطوات:
1️⃣ البداية (Initial Actions)
أول شيء تعمله عشان تضمن النظام:
- ال Assign to yourself: سجل التنبيه باسمك (عشان ما يجي زميلك ويشتغل عليه ويضيع وقته).
- ال Move to "In Progress": غير الحالة لـ "قيد العمل".
- ال Read & Note: اقرأ الاسم والوصف وسجل الملاحظات (الـ IP، اسم المستخدم).
2️⃣ التحقيق (Investigation)
هذا هو الجزء "الفني" الصعب.
- استخدم الـ Playbooks: إذا الشركة عندها "دليل إرشادي" لنوع التنبيه، اتبعه خطوة بخطوة.
- إذا ما في دليل؟ اعتمد على مهاراتك:
- من الضحية؟ (User / Host).
- ماذا حدث؟ (Login / Malware).
- ابحث في الـ SIEM عن أحداث حدثت "قبل وبعد" التنبيه لترى الصورة الكاملة.
3️⃣ القرار النهائي (Final Actions)
بعد التحقيق، لازم تأخذ قرار حاسم:
- ال Make Verdict: هل هو تهديد حقيقي (True Positive) أم إنذار خاطئ (False Positive)؟
- ال Escalate? هل يحتاج يروح للـ L2؟ (إذا نعم، حوله).
- ال Add Comment: اكتب تعليقاً يشرح "ليش" أخذت هذا القرار (مهم جداً للتوثيق).
- ال Close: غير الحالة لـ "Closed".
 📌 الفكرة: ما هو التنبيه؟ التنبيه (Alert): هو جرس الإنذار الذي يخبرك أن "شيئا…){kind=link}