Task 1 (Introduction)

📌 الفكرة: البحث عن "السياق" (Context)

المشكلة: عملية فرز التنبيهات معقدة. التنبيه وحده لا يكفي، تحتاج لمعلومات إضافية (Context) عن الموظفين أو السيرفرات المتأثرة.
الحل: ستتعلم في هذه الغرفة أداتين أساسيتين:
1. ال SOC Workbooks: "كتيبات الإرشادات" التي ترشدك خطوة بخطوة لتبسيط الفرز.
2. ال Lookups: طرق سريعة لاستخراج معلومات عن المستخدمين والأنظمة (مثل البحث في قاعدة بيانات الموظفين).

🎯 أهداف التعلم (Learning Objectives)

في هذه الغرفة، سنركز على مهارات عملية جداً:

ال SOC Workbooks: التعرف على أدلة التحقيق (كيف تمشي في التحقيق بدون ما تنسى شي).
ال Asset Inventory: تعلم أين تجد "جرد الأصول" (قائمة بأجهزة الشركة) وكيف تستخدمه.
ال Network Diagrams: فهم أهمية "خرائط الشبكة" لمعرفة مكان الجهاز المصاب.
ال Practice: تطبيق عملي لبناء مسار عمل (Workflow) داخل واجهة تفاعلية.

📚 المتطلبات (Prerequisites)

يفضل أن تكون قد أنهيت غرفتي:

SOC L1 Alert Triage
SOC L1 Alert Reporting

وأن تكون ملماً بأساسيات الشبكات والهجمات الشائعة.

Task 2: Assets & Identities (الأصول والهويات)

🌃 السيناريو (The Scenario)

تخيل أنك في مناوبة ليلية، ووصلك تنبيه يقول:

"المستخدم G.Baker سجل دخول على السيرفر HQ-FINFS-02، وحمّل ملفاً اسمه Financial Report US 2024.xlsx وأرسله للمستخدم R.Lund."

لكي تحكم هل هذا "طبيعي" أم "اختراق"، لازم تجاوب على أسئلة مهمة:

من هو G.Baker؟ وشو وظيفته؟
ما هو السيرفر HQ-FINFS-02؟ وهل مسموح لـ G.Baker يدخله؟
لماذا R.Lund يحتاج ملفات مالية؟

لحل هذا اللغز، نحتاج لقائمتين (Inventories):

🆔 1. سجل الهويات (Identity Inventory)

هذا هو "دليل الهاتف" الخاص بالشركة. هو كتالوج يحتوي على كل الموظفين وحسابات الخدمات (Service Accounts) وتفاصيلهم.

الفائدة: يخبرك من هم الأشخاص في السيناريو.
- مثلاً: نكتشف أن Gregory Baker (G.Baker) هو المدير المالي (CFO)، وأن Raymond Lund (R.Lund) هو مستشار مالي.
- النتيجة: تبادل ملفات مالية بين المدير المالي والمستشار المالي يبدو أمراً منطقياً وطبيعياً!
من أين نأتي بهذه المعلومات؟ (Sources):
- ال Active Directory (AD): المصدر الأشهر في الشركات.
- ال SSO (Single sign-on) Providers: مثل Okta أو Google Workspace.
  (خدمة مصادقة الجلسة والمستخدم، تتيح للمستخدم استخدام مجموعة واحدة من بيانات اعتماد تسجيل الدخول للوصول إلى تطبيقات متعددة).
- ال HR Systems: أنظمة الموارد البشرية (تعطيك تفاصيل دقيقة عن الموظف).
- ال Excel Sheets: بعض الشركات تعتمد على ملفات إكسل يدوية.

💻 2. سجل الأصول (Asset Inventory)

هذا هو "جرد الممتلكات". هو قائمة بكل الأجهزة (سيرفرات، لابتوبات) الموجودة في الشركة.

الفائدة: يخبرك ما هي الأجهزة في السيناريو.
- مثلاً: نكتشف أن HQ-FINFS-02 هو سيرفر ملفات خاص بالسجلات المالية (File server for financial records) وموجود في مركز بيانات بريطانيا.
- النتيجة: دخول المدير المالي على سيرفر الملفات المالية هو أمر متوقع.
من أين نأتي بهذه المعلومات؟ (Sources):
- ال Active Directory: لا يخزن المستخدمين فقط، بل الأجهزة أيضاً.
- ال SIEM or EDR: أدوات الحماية تجمع معلومات عن الأجهزة التي تراقبها.
- ال MDM (Mobile device management) Solution: أنظمة إدارة الأجهزة مثل MS Intune.

Task 3: Network Diagrams (خرائط الشبكة)

🕵️‍♂️ لغز الـ Firewall

أنت تتابع سجلات جدار الحماية (Firewall) ورأيت هذا التسلسل المريب:

08:00: عنوان IP خارجي 103.61.240.174 يحاول الاتصال بالشركة على المنفذ 10443.
08:23: هذا الـ IP تحول فجأة إلى IP داخلي 10.10.0.53. (كيف دخل؟!).
08:25: الـ IP الداخلي بدأ يفحص شبكة 172.16.15.0/24.
08:32: ثم انتقل ليفحص شبكة 172.16.23.0/24.

بدون خريطة، هذه مجرد أرقام. مع الخريطة، تصبح قصة جريمة!

🗺️ الحل باستخدام الخريطة

انظر للخريطة التالية لتعرف ماذا تعني هذه الأرقام:

☝️ تحليل الهجوم (كما تظهره الخريطة):

الدخول (Initial Access):
- المنفذ 10443 يخص VPN Server (vpn.tryhatme.thm).
- الهكر (Threat Actor) قام بهجوم تخمين (Brute Force) على الـ VPN ونجح في الدخول.
التمويه (Internal IP):
- بمجرد دخوله الـ VPN، حصل على IP داخلي 10.10.0.53 من شبكة VPN Subnet. الآن هو "داخل" الشبكة!
الاستكشاف (Reconnaissance):
- حاول الاتصال بشبكة 172.16.15.0/24، وهي Database Subnet (قواعد البيانات الحساسة)، لكن الجدار الناري منعه (Blocked).
تغيير الهدف (Pivot):
- بما أنه فشل مع قواعد البيانات، انتقل ليفحص شبكة 172.16.23.0/24 وهي Office Subnet (أجهزة الموظفين) بحثاً عن ضحية أسهل.

Task 4: Workbooks Theory (نظرية كتيبات العمل)

📚 ما هو الـ SOC Workbook؟

هو "دليل إرشادي" (كتالوج) مكتوب خطوة بخطوة، يخبرك بالضبط ماذا تفعل لتحليل تنبيه معين.

الهدف:
1. توحيد العمل: عشان الكل يشتغل بنفس الطريقة الصحيحة.
2. دعم المبتدئين (L1): السينيور يكتب الدليل، والمبتدئ يطبقه ليتجنب الأخطاء.

🗺️ مثال عملي (Workbook Example)

انظر للصورة التالية، هذا دليل عملي للتعامل مع تنبيه "دخول من موقع غير معتاد" (Unusual Login Location):

☝️ شرح مراحل الدليل (كما في الصورة):

الدليل مقسم لثلاث مراحل منطقية:

1️⃣ مرحلة الإثراء (Enrichment Stage)

الهدف: جمع المعلومات قبل الحكم.
الخطوات:
- ابحث عن الموظف في BambooHR لتعرف مكانه الحقيقي.
- افحص الـ IP في مواقع الاستخبارات (Threat Intelligence).

2️⃣ مرحلة التحقيق (Investigation Stage)

الهدف: تحليل الأدلة.
الخطوات:
- هل قام المستخدم بتغيير الباسورد أو MFA؟ (إذا نعم ← تصعيد فوراً).
- هل الدخول تم عبر VPN؟ (إذا نعم ← قد يكون آمناً).
- هل الوقت غريب؟ (دخول الساعة 3 الفجر).

3️⃣ مرحلة التصعيد (Escalation Stage)

الهدف: اتخاذ الإجراء النهائي.
الخطوات:
- إذا تأكدت أنه خبيث ← اكتب تقريراً وصعّد للـ L2.
- إذا كان آمناً ← أغلق التنبيه كـ False Positive.

Task 5: Workbooks Practice (تطبيق عملي على كتيبات العمل)

🧠 مدارس مختلفة (Different Approaches)

قبل البدء، يجب أن تعلم أن الشركات تختلف في طريقة بناء هذه الأدلة:

فرق معقدة: لديهم مئات الكتيبات التفصيلية لكل تنبيه صغير (تشبه برمجة الروبوتات SOAR).
فرق مرنة: لديهم كتيبات عامة وعالية المستوى، ويعتمدون على ذكاء المحلل (L1 Analyst) وخبرته في التفاصيل.

بغض النظر عن نوع فريقك، مهارة "تقسيم التحقيق إلى خطوات منطقية" (Modular Blocks) هي مهارة أساسية لك.

🎮 التحدي العملي (The Practice)

المطلوب منك الآن هو ترتيب "قطع البازل" لتكوين إجراء تحقيق صحيح.

اضغط على زر View Site المرفق في المهمة.
ستظهر لك خيارات وخطوات مبعثرة.
استخدم السحب والإفلات (Drag and Drop) لوضع كل خطوة في مكانها الصحيح في المخطط.
- تلميح: تذكر الترتيب المنطقي الذي تعلمناه: جمع معلومات (Enrichment) -> تحقيق (Investigation) -> قرار وتصعيد (Escalation/Action).
إذا كان ترتيبك صحيحاً، ستثبت القطعة في مكانها، وفي النهاية ستحصل على الـ Flag.

Boot2Root

القائمة الرئيسية

الصفحات

الفيديو #7: كيف تسرّع عملك وتنظم تحقيقاتك؟ | شرح SOC Workbooks and Lookups #7