Task 1
🧠 ما هو الـ SIEM؟
هو اختصار لـ Security Information and Event Management.
- الدور: هو الحل الأمني "الأساسي" (Core Security Solution) الذي يستخدمه محلل الـ SOC يومياً.
- الوظيفة: الشبكات تحتوي على أجهزة كثيرة (Firewalls, Servers, PCs)، وكل جهاز "يتكلم" لغة مختلفة (Logs). الـ SIEM هو المكان المركزي الذي:
- يجمع (Collect): يسحب السجلات من كل مكان.
- يوحد (Normalize): يترجمها للغة موحدة.
- يربط (Correlate): يربط الأحداث ببعضها لكشف الهجوم.
🎯 أهداف التعلم (Learning Objectives)
في هذه الغرفة، سننتقل من فوضى السجلات إلى نظام مرتب:
- أنواع السجلات (Log Sources): فهم الأنواع المختلفة للأجهزة التي تولد البيانات.
- مشكلة العزلة (Isolated Logs): لماذا يعتبر التعامل مع كل جهاز لوحده مشكلة كبيرة؟.
- أهمية الـ SIEM: لماذا لا يمكننا العيش بدونه؟.
- المميزات (Features): استكشاف خصائص ومميزات هذا النظام.
- الاستيعاب (Ingestion): كيف ندخل البيانات إلى الـ SIEM.
- التنبيهات (Alerting): فهم العملية التي تولد التنبيهات وكيفية تحليلها.
Task 2: Logs Everywhere, Answers Nowhere (سجلات في كل مكان، ولا إجابات)
🌐 1. سجلات في كل مكان (Logs Everywhere)
تخيل شبكة بسيطة تحتوي على سيرفرات، لابتوبات، ومواقع ويب. كل جهاز من هذه الأجهزة هو "مصدر سجلات" (Log Source) يولد بيانات باستمرار.
☝️ شرح الشبكة (كما في الصورة):
- أجهزة Linux/Windows: تولد سجلات عن العمليات والملفات.
- الـ Router/Firewall: يولد سجلات عن حركة المرور والاتصالات.
- الـ Web Server: يولد سجلات عن زوار الموقع.
تصنيف مصادر السجلات:
- Host-Centric (متمحورة حول المضيف):
- تسجل ما يحدث داخل الجهاز.
- أمثلة: مستخدم فتح ملفاً، محاولة تسجيل دخول، تنفيذ أمر PowerShell، تعديل في الريجستري.
- Network-Centric (متمحورة حول الشبكة):
- تسجل ما يحدث بين الأجهزة.
- أمثلة: اتصال SSH، نقل ملف FTP، تصفح موقع ويب، اتصال VPN.
🚫 2. لا إجابات (Answers Nowhere)
طيب، عندنا سجلات كثيرة، أين المشكلة؟ المشكلة هي التشتت. إليك التحديات التي تجعل التحليل اليدوي مستحيلاً:
- تعدد المصادر (Numerous Sources): مئات الأحداث في الثانية من عشرات الأجهزة. مستحيل تفحص كل جهاز لوحده.
- غياب المركزية (No Centralization): السجلات مخزنة محلياً على كل جهاز. هل ستتصل بـ 50 جهازاً عبر RDP لتقرأ سجلاتهم واحداً تلو الآخر؟! هذا ضياع للوقت.
- نقص السياق (Limited Context): حدث واحد على جهاز واحد قد يبدو بريئاً (مثلاً: فتح ملف). لكن لو ربطته بحدث آخر (هذا المستخدم دخل للتو عبر ثغرة من جهاز آخر)، تصبح القصة مختلفة تماماً! السجلات المعزولة لا تحكي القصة كاملة.
- تحليل محدود (Limited Analysis): البشر لا يستطيعون قراءة آلاف الأسطر في الثانية واكتشاف الشذوذ فيها.
- مشاكل التنسيق (Format Issues): الويندوز يكتب السجلات بطريقة، واللينكس بطريقة أخرى، والجدار الناري بطريقة ثالثة. المحلل سيضيع وهو يحاول ترجمة كل هذه اللغات.
Task 3: Why SIEM? (لماذا الـ SIEM؟)
🦸♂️ ما هو الـ SIEM؟
هو حل أمني يقوم بأربع وظائف سحرية:
- يجمع (Collects) السجلات من كل مكان.
- يوحد (Standardizes) تنسيقها.
- يربط (Correlates) بينها.
- يكشف (Detects) الأنشطة الخبيثة.
🌟 المميزات الأساسية (Core Features)
الـ SIEM يقدم حلولاً للمشاكل التي واجهناها سابقاً عبر هذه المميزات:
1️⃣ تجميع السجلات المركزي (Centralized Log Collection)
بدل القفز من جهاز لجهاز، الـ SIEM يجمع كل شيء (من السيرفرات، الجدران النارية، الأجهزة الطرفية) ويضعها في مكان واحد. يتم ذلك عبر وكلاء (Agents) أو APIs.
2️⃣ توحيد السجلات (Normalization)
الكمبيوترات تتحدث لغات مختلفة. سجل الويندوز يختلف شكله عن سجل اللينكس.
- التحليل (Parsing): تفكيك السجل إلى حقول (اسم المستخدم، الـ IP، الوقت).
- التوحيد (Normalization): تحويل كل هذه التنسيقات المختلفة إلى "تنسيق موحد" يفهمه المحلل بسهولة.
3️⃣ ربط السجلات (Correlation)
السجل الواحد قد يبدو بريئاً، لكن تجميع السجلات يكشف الجريمة.
مثال (Haris Scenario):
- زيد دخل VPN من IP غريب لم يستخدمه سابقاً.
- زيد فتح ملفات حساسة.
- زيد شغل سكربت PowerShell.
- النظام قام باتصال خارجي.
كل حدث لوحده عادي، لكن الـ SIEM يربطهم (Correlate) ويقول: "خطر! احتمال سرقة بيانات (Data Exfiltration) بسبب سرقة حساب حارث!".
4️⃣ التنبيه اللحظي (Real-time Alerting)
الـ SIEM يحتوي على "قواعد كشف" (Rules). عندما تتحقق شروط القاعدة (مثلاً: 5 محاولات دخول فاشلة)، يطلق النظام تنبيهاً فورياً للمحلل ليبدأ التحقيق.
5️⃣ لوحات المعلومات والتقارير (Dashboards and Reporting)
بعد تجميع البيانات وتحليلها، يعرضها الـ SIEM في لوحات رسومية جميلة وسهلة القراءة.
☝️ تحليل الصورة:
هذا مثال للوحة تحكم في نظام Splunk (أشهر أنظمة الـ SIEM). تعرض ملخصاً بصرياً مثل:
- عناوين الـ IP المصدر (Source IPs) في مخطط دائري.
- نشاط المتصفحات (User Agents).
- أهم التنبيهات ومحاولات الدخول الفاشلة.
Task 4: Log Sources and Ingestion (مصادر السجلات وإدخالها)
📜 1. مصادر السجلات (Log Sources)
🪟 أ. نظام ويندوز (Windows Machine)
- كيف يسجل؟ الويندوز يسجل كل شيء في Event Viewer.
- كيف يبدو؟ كل حدث له "رقم تعريف" (Event ID) فريد، مما يسهل تتبعه.
- المسار: اكتب
Event Viewerفي شريط البحث لتراه.
🐧 ب. نظام لينكس (Linux Machine)
- كيف يسجل؟ اللينكس يخزن السجلات في ملفات نصية داخل مجلد
/var/log. - أهم الملفات:
/var/log/auth.logسجلات الدخول (Authentication)./var/log/cronسجلات المهام المجدولة (Cron jobs)./var/log/httpdسجلات الويب سيرفر.
🌐 ج. خادم الويب (Web Server)
- المهمة: مراقبة من يزور الموقع وهل يحاول اختراقه.
- المكان: عادة في
/var/log/apacheأو/var/log/httpd. - المثال:
192.168.21.200 ... "GET /cgi-bin/try/ HTTP/1.0" 200. هذا السطر يخبرك بـ IP الزائر، الصفحة التي طلبها، وحالة الطلب.
📥 2. إدخال السجلات (Log Ingestion)
كيف ننقل هذه الملفات من الأجهزة إلى الـ SIEM؟ هناك عدة طرق:
1️⃣ الوكيل / المُرسِل (Agent / Forwarder)
- الطريقة: تثبيت برنامج صغير وخفيف (Agent) على الجهاز (مثل Splunk Forwarder).
- الوظيفة: يجمع السجلات ويرسلها للـ SIEM أوتوماتيكياً.
2️⃣ بروتوكول Syslog
- الطريقة: بروتوكول عالمي يستخدمه اللينكس وأجهزة الشبكة لإرسال السجلات لحظياً (Real-time) إلى خادم مركزي.
3️⃣ الرفع اليدوي (Manual Upload)
- الطريقة: رفع ملفات السجلات (Offline Data) يدوياً للتحليل السريع (مفيد للتحقيق في جهاز معزول).
4️⃣ تحويل المنفذ (Port-Forwarding)
- الطريقة: ضبط الـ SIEM ليستمع على منفذ معين (Port)، وضبط الأجهزة لترسل بياناتها لهذا المنفذ.
☝️ شرح الصورة (مثال Splunk):
تعرض الصورة طرق الإدخال في Splunk:
- الـ Upload: لرفع الملفات من جهازك.
- الـ Monitor: لمراقبة ملفات ومنافذ.
- الـ Forward: لاستقبال البيانات من Forwarder.
Task 5: Alerting Process and Analysis (عملية التنبيه والتحليل)
⚡ 1. ما وراء التنبيهات (Detection Logic)
الـ SIEM لا يخمن، بل ينفذ "تعبيرات منطقية" (Logical Expressions) محددة مسبقاً. هذه القواعد هي التي تصطاد التهديدات.
إليك أمثلة على هذه القواعد المنطقية:
| السيناريو (الحدث) | القاعدة المنطقية (Detection Rule) |
|---|---|
| هجوم تخمين (Brute Force) | إذا فشل المستخدم في الدخول 5 مرات خلال 10 ثوانٍ ← أطلق تنبيه "Multiple Failed Login Attempts". |
| اختراق ناجح | إذا نجح الدخول بعد محاولات فاشلة متعددة ← أطلق تنبيه "Successful Login After multiple Login Attempts". |
| سرقة بيانات (Data Exfiltration) | إذا كانت البيانات الصادرة (Outbound Traffic) أكبر من 25 ميجابايت ← أطلق تنبيه "Potential Data Exfiltration". |
| سياسة الشركة | في كل مرة يتم توصيل USB ← أطلق تنبيهاً (إذا كانت الشركة تمنع الـ USB). |
🛠️ 2. كيف ننشئ قاعدة كشف؟ (Rule Creation)
لنأخذ أمثلة تقنية حقيقية من سجلات الويندوز (Event Logs) لنرى كيف تبنى القاعدة:
الحالة الأولى: مسح السجلات (Log Clearing) 🧹
الهكرز يحاولون مسح آثارهم بعد الاختراق. الويندوز يسجل حدثاً برقم 104 عند مسح السجلات.
- القاعدة:
- الـ If: مصدر السجل هو
WinEventLog - الـ AND: رقم الحدث (
EventID) هو104 - الـ Then: أطلق تنبيه "Event Log Cleared".
- الـ If: مصدر السجل هو
الحالة الثانية: تنفيذ أوامر مشبوهة (Command Execution) 💻
الهكرز يستخدمون أمر whoami بعد الاختراق ليعرفوا صلاحياتهم. الويندوز يسجل تنفيذ العمليات برقم 4688.
- القاعدة:
- الـ If: مصدر السجل هو
WinEventLog - الـ AND: رقم الحدث (
EventCode) هو4688 - الـ AND: اسم العملية الجديدة (
NewProcessName) يحتوي علىwhoami - الـ Then: أطلق تنبيه "WHOAMI command Execution DETECTED".
- الـ If: مصدر السجل هو
🕵️♂️ 3. التحقيق في التنبيه (Alert Investigation)
عندما يظهر التنبيه على الشاشة (Dashboard)، يبدأ دورك كمحلل:
- الفحص: تفحص الأحداث المرتبطة بالتنبيه وترى أي قاعدة تم كسرها.
- الحكم: تقرر هل هو True Positive (حقيقي) أم False Positive (كاذب).
ما الإجراء التالي؟
- إذا كان إنذاراً كاذباً (False Positive):
- يجب "ضبط" القاعدة (Tuning) لكي لا تزعجنا مرة أخرى بنفس الخطأ.
- إذا كان تهديداً حقيقياً (True Positive):
- تواصل: اتصل بصاحب الجهاز لتسأله عن النشاط.
- عزل: اعزل الجهاز المصاب (Isolate Host).
- حظر: احظر الـ IP المشبوه (Block IP).
