القائمة الرئيسية

الصفحات

تعديل المشاركة

الفيديو #13: وداعاً للمهام اليدوية! مقدمة في عالم الـ SOAR | شرح Introduction to SOAR #13

 

Task 1 (المقدمة)

😓 المشكلة: تحديات الـ SOC التقليدي

فريق الـ SOC يستخدم أدوات كثيرة جداً للدفاع (SIEM, EDR, Firewalls, Threat Intel) ويتواصل مع فرق الـ IT والإدارة.

ومع تزايد تعقيد التهديدات، يواجه الفريق مشاكل كبيرة:

  1. إرهاق التنبيهات (Alert Fatigue): عدد هائل من التنبيهات يجعل المحللين يفقدون التركيز.
  2. العمليات اليدوية (Manual Processes): تكرار نفس الخطوات يدوياً يضيع الوقت.
  3. أدوات مفككة (Disconnected Tools): التنقل بين 10 شاشات مختلفة للتحقيق في حادث واحد.
  4. صعوبات التواصل (Communication Difficulties): التنسيق بين الفرق المختلفة.

🤖 الحل: ما هو SOAR؟

هو اختصار لـ Security Orchestration, Automation, and Response.

  • فكرته: هو النظام الذي يربط كل أدواتك ببعضها (SIEM, EDR, etc.) ويجعلها تعمل معاً بتناغم (Orchestration)، ويقوم بتنفيذ المهام المتكررة بدلاً منك (Automation).

🎯 أهداف التعلم (Learning Objectives)

في هذه الغرفة، سنستكشف كيف يحل SOAR هذه المشاكل:

  1. فهم التحديات: استيعاب مشاكل الـ SOC التقليدي.
  2. الحل: كيف يتغلب SOAR على هذه التحديات.
  3. كتيبات اللعب (Playbooks): تعلم كيفية بناء "سيناريوهات الأتمتة".
  4. تطبيق عملي: تجربة سير عمل حقيقي لاستخبارات التهديدات (Threat Intel Workflow).

📚 المتطلبات (Prerequisites)

يفضل أن تكون قد اطلعت على الغرف التالية:

  • SOC Fundamentals
  • Junior Security Analyst Intro
  • Intro to Detection Engineering

Task 2: Traditional SOC and Challenges (الـ SOC التقليدي وتحدياته)

🏢 كيف يعمل الـ SOC التقليدي؟

الهدف الرئيسي للـ SOC هو أن يكون مركزاً لمراقبة وحماية الأصول الرقمية، وتحسين التعامل مع الحوادث الأمنية.

يقوم الـ SOC بذلك من خلال 4 قدرات رئيسية:

  1. المراقبة والكشف (Monitoring and Detection):
    • المسح المستمر للشبكة لكشف الأنشطة المشبوهة (مثل محاولات تسجيل الدخول الفاشلة).
    • يتم ذلك غالباً باستخدام الـ SIEM.
  2. التعافي والإصلاح (Recovery and Remediation):
    • العمل كـ "مستجيب أول" (First Responder) عند وقوع الحوادث.
    • يشمل ذلك عزل الأجهزة المصابة عبر الـ EDR، حظر عناوين IP عبر جدار الحماية، أو تعطيل حسابات المستخدمين.
  3. استخبارات التهديدات (Threat Intelligence):
    • الحصول على تدفق مستمر لبيانات التهديدات (عناوين IP خبيثة، Hashes، نطاقات) لحظرها وحماية الشبكة.
  4. التواصل (Communication):
    • التنسيق مع فرق الـ IT والإدارة (مثلاً: فتح تذكرة لفريق الـ IT للتحقق من تحديث معين).

😫 التحديات التي تواجه الـ SOC (Challenges)

رغم كل هذه العمليات، تعاني فرق الـ SOC من 4 مشاكل رئيسية تجعل العمل شاقاً وغير فعال:

1️⃣ إرهاق التنبيهات (Alert Fatigue)

  • المشكلة: كثرة الأدوات تولد عدداً هائلاً من التنبيهات.
  • النتيجة: الكثير منها إنذارات كاذبة (False Positives)، مما يجعل المحلل يشعر بالإرهاق والعجز عن التركيز على التهديدات الحقيقية الخطيرة.

2️⃣ أدوات مفككة (Too many Disconnected Tools)

  • المشكلة: الأدوات لا "تتحدث" مع بعضها البعض.
  • النتيجة: يضطر المحلل للتنقل بين شاشات متعددة (سجلات جدار الحماية منفصلة عن سجلات الـ Endpoint)، مما يسبب عبئاً وتشتتاً.

3️⃣ العمليات اليدوية (Manual Processes)

  • المشكلة: إجراءات التحقيق غير موثقة وتعتمد على "المعرفة القبلية" (Tribal Knowledge) للمحللين الخبراء فقط.
  • النتيجة: بطء شديد في التحقيق وزيادة وقت الاستجابة.

4️⃣ نقص المواهب (Talent Shortage)

  • المشكلة: صعوبة توظيف محللين أكفاء لمواجهة التهديدات المتزايدة.
  • النتيجة: الفريق الحالي يعاني من ضغط العمل الزائد، مما يؤدي لانخفاض الكفاءة وتأخر الاستجابة، وهو ما يعطي فرصة للمهاجمين لإحداث أضرار أكبر.

Task 3: Overcoming SOC Challenges with SOAR (التغلب على التحديات)

❓ ما هو SOAR؟

هو اختصار لـ Security Orchestration, Automation, and Response.

  • وظيفته: هو أداة "توحد" جميع أدوات الأمن في الـ SOC (مثل SIEM, EDR, Firewall) في واجهة واحدة.
  • الفائدة: بدلاً من التبديل بين 10 شاشات، يعمل المحلل من شاشة SOAR واحدة، والتي توفر أيضاً نظاماً لإدارة التذاكر (Ticketing) وتوثيق الحوادث.

شاهد الفرق الشاسع بين "قبل" و "بعد" استخدام SOAR في الصورة أدناه:

☝️ شرح الصورة:

  • يسار (Before): أدوات مبعثرة، تنبيهات كثيرة، ومحلل حزين ومرهق.
  • يمين (After): الـ SOAR في المنتصف يربط الجميع، استجابة آلية، تنبيهات أقل، وسير عمل منظم.

💎 القدرات الثلاث الرئيسية (The 3 Main Capabilities)

قوة الـ SOAR تأتي من اسمه (O-A-R):

1️⃣ التنسيق (Orchestration) 🎼

  • المشكلة: المحلل يضيع وقته في التنقل بين الأدوات (يفحص الـ IP في SIEM، ثم يفحصه في مواقع السمعة، ثم يذهب للـ Firewall للحظر).
  • الحل: الـ Orchestration يربط هذه الأدوات ببعضها من خلال Playbooks (كتيبات اللعب).
  • الـ Playbook: هي خطوات محددة مسبقاً تقول للنظام: "عندما يحصل كذا، افعل كذا وكذا".

2️⃣ الأتمتة (Automation) 🤖

  • المشكلة: التكرار الممل (كل مرة أفحص نفس الـ IP يدوياً).
  • الحل: الأتمتة تعني أن الـ SOAR ينفذ الـ Playbook لوحده دون تدخل بشري.
    • مثال: وصل تنبيه -> الـ SOAR يفحص التاريخ -> يفحص السمعة -> يعطل المستخدم -> يفتح تذكرة. كل هذا يحدث في ثوانٍ دون أن تحرك الماوس!.

3️⃣ الاستجابة (Response) 🛡️

  • المشكلة: التأخر في رد الفعل.
  • الحل: الـ SOAR يمتلك صلاحية اتخاذ إجراءات (Actions) على الأنظمة الأخرى. يمكنه حظر IP في الجدار الناري أو عزل جهاز في الـ EDR مباشرة من واجهته الموحدة.

☝️ شرح الصورة:

توضح كيف يستقبل SOAR البيانات من (SIEM, TI, Firewall)، ثم يقوم بالأتمتة، وتكون النتيجة: استجابة سريعة، تقليل إرهاق التنبيهات، وسير عمل ثابت.

🤔 هل ما زلنا بحاجة لمحللين بشر؟ (Do We Still Need Analysts?)

مع كل هذه الأتمتة، هل سيأخذ الروبوت وظيفتك؟

  • الجواب: لا، وألف لا! الـ SOAR لا يستبدل المحلل.
  • لماذا؟
    1. التحقيقات المعقدة تحتاج حكماً بشرياً (Judgment Call).
    2. المحلل هو من يفهم سياق العمل (Business Context).
    3. المحلل هو من "يصنع" هذه الـ Playbooks في الأساس.

الـ SOAR يزيل عنك "العمل الروتيني الممل" لتتفرغ أنت "للتحليل الذكي".

Task 4: Building SOAR Playbooks (بناء كتيبات اللعب)

📧 السيناريو الأول: التصيد الاحتيالي (Phishing Playbook)

هجمات التصيد هي الأكثر شيوعاً وتستهلك وقتاً طويلاً في فحص الروابط والمرفقات يدوياً. يمكن للـ SOAR تولي هذه المهمة المملة.

إليك كيف يبدو المخطط الذي يبنيه المحلل للتعامل مع إيميل مشبوه:

☝️ شرح المخطط (Phishing Workflow):

  1. البداية: استلام إيميل مشبوه.
  2. التحقق الآلي: هل يحتوي على روابط (URLs) أو مرفقات؟
    • إذا لا: أغلق التذكرة وأبلغ المستخدم.
  3. الفحص الآلي: إذا وجد رابطاً، يرسله أوتوماتيكياً إلى VirusTotal لحساب الـ Hash وفحصه.
  4. القرار:
    • إذا كان خبيثاً (Malicious): يقوم الـ SOAR بحذفه فوراً (Delete emails).
    • إذا كان غير معروف: يرسله للمحلل البشري (Manual Analysis) ليفحصه في بيئة معزولة (Sandbox).

🩹 السيناريو الثاني: إدارة الثغرات (CVE Patching Playbook)

الثغرات الأمنية (CVEs) تظهر يومياً، ومتابعتها وتحديث الأنظمة يدوياً عملية مرهقة جداً وقد تؤدي لتراكم العمل وترك الشبكة مكشوفة.

إليك كيف يمكن للـ SOAR أتمتة عملية التحديث بالكامل:

☝️ شرح المخطط (CVE Workflow):

  1. المراقبة: الـ SOAR يراقب قوائم الثغرات الجديدة (Advisory Lists).
  2. التحقق: يفحص الشبكة: "هل لدينا هذا البرنامج المصاب؟" (Is CVE applicable?).
    • إذا لا: يغلق الموضوع.
  3. التنفيذ:
    • ينشئ تذكرة (Ticket).
    • يطبق التحديث (Patch) على الأجهزة.
    • يفحص الأجهزة مرة أخرى للتأكد من نجاح التحديث (Verify patch rollout).
  4. دور المحلل: يظهر دوره فقط للمراجعة أو في حال فشل التحديث الآلي.

🧠 ملاحظة هامة: دور البشر

لاحظ في الصور وجود "أيقونة شخص" في بعض الخطوات.

هذا يؤكد ما قلناه سابقاً: الـ SOAR يقوم بـ 90% من العمل الروتيني (الأتمتة)، لكن القرارات الحاسمة أو التحليل المعقد (مثل الـ Manual Analysis في الـ Phishing) تتطلب تدخل المحلل البشري.

Task 5: Threat Intel Workflow Practical (تطبيق عملي)

🧠 المنطق: كيف نفكر مثل الـ SOAR؟

الهدف هو بناء تسلسل منطقي للتعامل مع "عنوان IP مشبوه".

التسلسل الطبيعي لأي عملية أمنية هو:

  1. المدخلات (Trigger): من أين يأتي التنبيه؟
  2. الإثراء (Enrichment): كيف نتأكد من صحة التنبيه؟
  3. الإجراء (Response): ماذا نفعل إذا كان التهديد حقيقياً؟

🛠️ خطوات الحل (The Walkthrough)

عند فتح الموقع (View Site)، ستجد شاشات مختلفة وعناصر تحتاج للتفعيل. اتبع هذا الترتيب المنطقي:

1️⃣ الخطوة الأولى: التنبيه (The Alert)

  • السؤال: من يخبرنا بوجود مشكلة؟
  • الإجراء: ابحث عن SIEM أو مصدر التنبيه وقم بتفعيله. هذا هو "زر التشغيل" للعملية كلها.

2️⃣ الخطوة الثانية: التحقق (The Intelligence)

  • السؤال: لدينا IP مشبوه، كيف نعرف سمعته؟
  • الإجراء: قم بتفعيل خدمة Threat Intelligence (مثل VirusTotal أو أي اسم مشابه في المعمل).
  • الهدف: الـ SOAR سيرسل الـ IP لهذه الخدمة وسيعود له بـ "النتيجة" (Score/Reputation).

3️⃣ الخطوة الثالثة: الاستجابة (The Action)

  • السؤال: الخدمة قالت إن الـ IP خبيث، ماذا نفعل؟
  • الإجراء: قم بتفعيل الجدار الناري Firewall لحظر الـ IP.
  • إجراء إضافي: قد تحتاج لتفعيل نظام التذاكر (Ticketing System) لتوثيق ما حدث وإغلاق القضية.

4️⃣ التشغيل والاختبار (Run & Test)

  • بعد تفعيل العناصر الصحيحة بالترتيب، اضغط على زر Run.
  • راقب الخطوط الخضراء وهي تتحرك. إذا توقفت عند خطوة معينة، فهذا يعني أن هناك شيئاً ناقصاً أو في غير مكانه.
  • استمر في التعديل حتى يكتمل المسار من البداية للنهاية بسلاسة (Smooth Transition).

أخر المواضيع من قسم : SOC L1