القائمة الرئيسية

الصفحات

تعديل المشاركة

نوتات الفيديو #6: كيف تكتب تقرير أمني احترافي؟ | شرح SOC L1 Alert Reporting #6



Task 1 (Introduction)

📌 المشكلة: ماذا أفعل الآن؟

كمحلل مبتدئ (L1)، قد تواجه حالتين أثناء العمل:

  1. الشك (Uncertainty): لست متأكداً كيف تصنف التنبيه، وتحتاج دعماً من "سينيور" (Senior) أو معلومات إضافية من صاحب النظام.
  2. الخطر الحقيقي (Real Breach): وجدت هجوماً حقيقياً يحتاج انتبااً فورياً وإجراءات إصلاح.

في هذه الحالات، الحل يكمن في ثلاثة مصطلحات جديدة ستتعلمها هنا:

  • ال Alert Reporting: كتابة التقرير عن التنبيه.
  • ال Escalation: التصعيد (رفع الأمر للمستوى الأعلى).
  • ال Communication: التواصل الفعال مع الفريق.

🎯 أهداف التعلم (Learning Objectives)

ستتعلم في هذه الغرفة مهارات تواصل حيوية:

  1. لماذا؟ فهم الحاجة لرفع التقارير والتصعيد في الـ SOC.
  2. كيف تكتب؟ تعلم الطريقة الصحيحة لكتابة تعليقات التنبيهات (Comments) وتقارير الحالات (Case Reports) بشكل احترافي.
  3. كيف تتواصل؟ استكشاف طرق التصعيد وأفضل ممارسات التواصل.
  4. تطبيق عملي: ممارسة الفرز وكتابة التقارير في بيئة محاكاة واقعية.

🖥️ لوحة التحكم (SOC Dashboard)

ستحتاج لفتح الرابط المرفق (SOC Dashboard) في نافذة جديدة، لأنك ستستخدمه لكتابة التقارير وتجربة التصعيد بنفسك خلال المهام القادمة.

Task 2: Alert Funnel (قمع التنبيهات)

🌪️ رحلة التنبيه من البداية للنهاية

تخيل التنبيهات كأنها كميات كبيرة من المياه تصب في قمع، وفي النهاية تخرج قطرات صافية (التهديدات الحقيقية).

☝️ شرح مراحل القمع (كما في الصورة):

  1. L1 Level (المدخل الواسع):
    • يدخل 100 تنبيه من الـ SIEM (مثل RDP Bruteforce أو MS Defender Alert).
    • مهمة L1: تصفية الضجيج (False Positives) ورفع التهديدات الحقيقية فقط.
  2. L2 Level (الوسط):
    • تصل 10 تنبيهات حقيقية (True Positives).
    • مهمة L2: التحقيق العميق والإصلاح (Remediation).
  3. DFIR Level (المخرج الضيق):
    • يتبقى حادث واحد خطير جداً (1 Incident).
    • هنا يتدخل فريق الاستجابة للحوادث للتحقيق الجنائي الرقمي.
  4. الهدف النهائي: حماية بيانات الشركة! 🛡️

🔑 المصطلحات الثلاثة الجديدة

لكي تمرر التنبيه من L1 إلى L2 بسلاسة، لازم تتقن 3 مهارات:

1️⃣ Alert Reporting (كتابة التقارير)

قبل ما تغلق التنبيه أو ترسله لغيرك، لازم توثق شغلك.

  • متى؟ خاصةً مع التنبيهات الحقيقية (True Positives).
  • كيف؟ بدل تعليق قصير، اكتب تقريراً مفصلاً بالأدلة والتحليل.

2️⃣ Alert Escalation (التصعيد)

إذا التنبيه خطير ويحتاج تصرف أكبر من صلاحياتك:

  • الإجراء: ارفعه (Escalate) للمحلل الأقدم (L2).
  • الفائدة: تقريرك المفصل سيساعد الـ L2 ليفهم القصة بسرعة ويبدأ الحل فوراً بدل ما يعيد الشغل من الصفر.

3️⃣ Communication (التواصل)

أحياناً، الحل ليس في الشاشة، بل في الهاتف!

  • مثال: تتصل بـ IT لتسألهم: "هل فعلاً أعطيتم صلاحيات أدمن لهذا المستخدم؟".
  • مثال آخر: تتواصل مع HR لتسأل عن موظف جديد.

Task 3: Reporting Guide (دليل كتابة التقارير)

❓ لماذا نكتب تقارير أصلاً؟ (Why Reporting Matters)

قد تتساءل: "أنا ضغطت زر True Positive، ليش لازم أكتب قصة حياتي؟". الجواب في ثلاثة أسباب رئيسية:

  1. توفير الوقت للـ L2: تخيل الـ L2 يفتح التنبيه ويضطر يبدأ التحقيق من الصفر لأنه لا يعرف ماذا وجدت أنت! تقريرك يختصر عليه ساعات من العمل.
  2. التوثيق للأبد (Record Keeping): سجلات الـ SIEM قد تُحذف بعد 3-12 شهر، لكن "التنبيهات وتقاريرها" تُحفظ للأبد. تقريرك قد يكون الدليل الوحيد المتبقي بعد سنوات!
  3. تطوير مهاراتك: كما يقولون: "إذا لم تستطع شرحها ببساطة، فأنت لم تفهمها جيداً". الكتابة تجبرك على ترتيب أفكارك وفهم الهجوم بعمق.

📝 هيكلية التقرير (The 5 Ws)

لكي يكون تقريرك احترافياً وشاملاً، اتبع قاعدة الخمسة أسئلة (The 5 Ws). تخيل نفسك تشرح القصة لشخص لم يرَ الشاشة:

☝️ شرح العناصر الخمسة (كما في المثال في الصورة):

  1. ال Who (من؟): من الفاعل؟ (اسم المستخدم: S.Conway، المسمى الوظيفي: HR Coordinator).
  2. ال What (ماذا؟): ماذا فعل؟ (دخل موقعاً مشبوهاً وحمل ملفاً اسمه cats2025.mp4.exe).
  3. ال When (متى؟): التوقيت بدقة (الساعة 13:56 UTC).
  4. ال Where (أين؟): على أي جهاز؟ (LPT-HR-009) ومن أي موقع؟ (freecatvideoshd.monster).
  5. ال Why (لماذا؟): لماذا اعتبرته خطيراً؟ (لأن الملف يحتوي على برمجية خبيثة LummaStealer حسب فحص VirusTotal).

Report that I submit to get the Flag

  1. Sender: Posed as Microsoft Support using the email support@microsoft.com (spoofed). Recipient: Eddie Huffman, IT Manager at TryHackMe (e.huffman@tryhackme.thm). Real Actor: Likely a malicious entity spoofing Microsoft to trick the recipient.
  2. A phishing email disguised as an urgent pricing update from Microsoft Teams. Contains alarming language like "600% price increase" and prompts to download a file ("REPORT.rar"). Phishing indicators: Suspicious attachment, spoofed sender, and urgent call to action.
  3. The email was flagged post-delivery by an automated analysis(exact timestamp not provided). - The delay in classification increased the risk of user interaction with the malicious content.
  4. Delivered to Eddie Huffman's inbox within the TryHackMe domain. Source spoofed as: Microsoft.com but failed SPF and DKIM, indicating it wasn't sent from a legitimate Microsoft server.
  5. To trick the recipient into downloading a malicious file (REPORT.rar) potentially containing malware or ransomware. The phishing attempt leverages fear and urgency to prompt quick action without scrutiny.

Task 4: Escalation Guide (دليل التصعيد)

🚨 متى يجب أن تصعد التنبيه؟ (When to Escalate)

ليس كل تنبيه يحتاج تصعيداً. ارفع التنبيه للـ L2 فقط في الحالات التالية:

  1. هجوم كبير: مؤشرات واضحة على اختراق ضخم يحتاج تحقيقاً جنائياً (DFIR).
  2. إجراءات إصلاح: نحتاج عزل جهاز، حذف فيروس، أو تغيير باسووردات (وهذا خارج صلاحياتك أحياناً).
  3. تواصل خارجي: الأمر يتطلب الاتصال بالشرطة أو الإدارة العليا أو العملاء.
  4. عدم الفهم: بصراحة، أنت مش فاهم شو صاير وتحتاج مساعدة خبير! (وهذا شيء عادي جداً ولا عيب فيه).

🆘 السيناريو الأول: طلب المساعدة (Requesting Support)

لا تخجل من السؤال! خاصة في بداياتك.

إذا واجهت تنبيهاً غامضاً، لا تغلقه وأنت "مغمض". اطلب المساعدة من السينيور.

☝️ شرح الصورة (طلب الدعم الفني):

  1. السؤال (L1): يرسل للـ L2: "أنا علقت في تنبيه اسمه Reflective DLL Injection، مش متأكد كيف أحلله، ممكن مساعدة؟".
  2. الاستجابة (L2): يرد: "بسيطة، خلينا نعمل مكالمة سريعة".
  3. النتيجة: يتم حل المشكلة، ويقرر الـ L2 عمل جلسة مشاركة معرفة (Knowledge Sharing) لتعليم الفريق كله.

🪜 السيناريو الثاني: التصعيد الرسمي (Formal Escalation)

هنا أنت متأكد أن هناك مصيبة (True Positive)، وتحتاج تسلم الراية للـ L2 ليكمل الإجراءات المعقدة (مثل التواصل مع الموظفين أو عزل الأجهزة).

☝️ شرح الصورة (تصعيد حادث تصيد - Phishing):

  1. الإبلاغ (L1): يرسل للـ L2: "يا مدير، الموظفة M.Clark من الـ HR انضحك عليها ودخلت باسووردها في موقع مزيف! لازم نكلمها ونغير الباسورد".
  2. الاستلام (L2): يرد: "شكراً، سأستلم الموضوع فوراً (ASAP)".
  3. الإجراء (L2 Action): الـ L2 يقوم بـ:
    • تغيير باسوورد الموظفة (Rotate Credentials).
    • التواصل مع الموظفة لتوعيتها وتنبيهها (Contact User).

🖥️ التطبيق في لوحة التحكم (Dashboard Escalation)

في التحدي العملي القادم، إذا قررت التصعيد:

  1. اكتب التقرير والقرار (Verdict).
  2. غير الحالة لـ In Progress.
  3. في خانة Assignee، اختر اسم الـ L2 الموجود في الشفت.

Task 5: SOC Communication (التواصل في الـ SOC)

🆘 سيناريوهات تواصل حرجة (Communication Cases)

التصعيد والإبلاغ يبدو سهلاً نظرياً، لكن الواقع مليء بالمفاجآت. إليك كيف تتصرف في مواقف معينة باستخدام الصور كأمثلة عملية:

1️⃣ طلب المساعدة التقنية (Requesting Assistance)

أحياناً تواجه تنبيهاً لا تفهمه، وهذا طبيعي جداً.

  • السيناريو: وجدت تنبيهاً اسمه "Reflective DLL Injection" ولست متأكداً منه.
  • التصرف الصحيح: لا تغلقه عشوائياً! تواصل مع الـ L2 واطلب شرحاً.

2️⃣ تصعيد حادث خطير (Escalating a Breach)

في حالات أخرى، تكتشف مصيبة حقيقية (Data Exfiltration) وتحتاج تدخلاً سريعاً من جهات عليا.

  • السيناريو: مبرمج جديد حاول يحدث لغة Python، لكنه بالخطأ نزل فيروساً لسرقة البيانات (Stealer) على جهاز يحتوي بيانات عملاء!

☝️ شرح الصورة (تسلسل الكارثة):

  1. ال L1: يكتشف الكارثة ويبلغ الـ L2 فوراً مع رابط التنبيه.
  2. ال L2: يستلم الحالة ويؤكد البدء بالتحقيق.
  3. التصعيد الخارجي: الـ L2 يدرك خطورة الموقف فيقوم بـ:
    • التواصل مع DFIR Team لبدء الاستجابة للحوادث.
    • إبلاغ المدراء (Team Managers) والقسم القانوني (Legal) لأن بيانات العملاء تسربت.

3️⃣ سيناريوهات أخرى شائعة

  • المدير اختفى: إذا كان التنبيه خطيراً (Critical) والـ L2 لا يرد، اتصل بمدير الـ SOC مباشرة. الوقت أهم من التراتبية هنا.
  • التواصل مع الضحية: إذا شككت أن حساب "سلاك" لموظف مخترق، لا تراسله على سلاك! اتصل به هاتفياً.
  • ضغط العمل: إذا وصلك 100 تنبيه في دقيقة، اطلب الدعم فوراً ولا تحاول حلها وحدك وتنهار.

أخر المواضيع من قسم : SOC L1