القائمة الرئيسية

الصفحات

تعديل المشاركة

الفيديو #9: أقوى من الأنتي فايروس! مقدمة في الـ EDR | شرح Introduction to EDR #9


Task 1 (المقدمة)

🔍 ما هو الـ EDR؟

هو اختصار لـ Endpoint Detection and Response.

هو حل أمني مصمم لثلاث وظائف رئيسية على مستوى الأجهزة (Endpoints):

  1. المراقبة (Monitor): يراقب كل ما يحدث في الجهاز لحظة بلحظة.
  2. الكشف (Detect): يكتشف التهديدات المتقدمة التي قد لا يراها غيره.
  3. الاستجابة (Respond): يتدخل لإيقاف الهجوم.

بصفتك محلل SOC، من الضروري جداً أن تفهم كيف يعمل الـ EDR لأنه حل معتمد على نطاق واسع في المؤسسات لحماية أجهزتها.

🎯 أهداف التعلم (Learning Objectives)

في هذه الغرفة، سننتقل من الأساسيات إلى التطبيق العملي:

  1. الأساسيات: فهم كيف يعمل الـ EDR وما الفرق بينه وبين "مكافح الفيروسات التقليدي" (Traditional Antivirus).
  2. الهيكلية: فحص مما يتكون الـ EDR (Architecture).
  3. البيانات: تحليل أنواع البيانات (Telemetry) التي يجمعها من الأجهزة.
  4. القدرات: فهم قدرات الكشف والاستجابة.
  5. تطبيق عملي: التحقيق في تنبيه حقيقي داخل نظام EDR.

Task 2: What is an EDR? (ما هو الـ EDR؟)

🏛️ أعمدة الـ EDR الثلاثة (The Three Pillars)

الـ EDR ليس مجرد برنامج مضاد للفيروسات، بل هو نظام متكامل يعتمد على 3 ركائز أساسية تجعله قوياً جداً:

☝️ شرح الأعمدة:

  1. ال Visibility (الرؤية): القدرة على رؤية كل شيء يحدث داخل الجهاز بالتفصيل الممل.
  2. ال Detection (الكشف): استخدام الذكاء لكشف الهجمات المعقدة التي تتجاوز التواقيع التقليدية.
  3. ال Response (الاستجابة): القدرة على اتخاذ رد فعل فوري لإيقاف الهجوم عن بعد.

لنغوص في تفاصيل كل ركيزة مع أمثلة من نظام CrowdStrike Falcon الشهير:

👁️ 1. الرؤية (Visibility)

الـ EDR يجمع بيانات ضخمة (Telemetry) عن كل حركة في الجهاز: تعديلات الملفات، العمليات (Processes)، وتعديلات الريجستري.

أهم ميزة هنا هي شجرة العمليات (Process Tree). بدلاً من أن يخبرك "وجدنا فيروساً"، يرسم لك القصة كاملة: "برنامج Word فتح PowerShell، والـ PowerShell اتصل بالإنترنت وحمل الملف الخبيث".

☝️ شرح الصورة (Process Tree):

تلاحظ كيف يربط الـ EDR العمليات ببعضها (cmd.exe شغل net.exe). يمكنك الضغط على أي عقدة (+) لتر التفاصيل الكاملة.

🚨 2. الكشف (Detection)

الـ Antivirus التقليدي يبحث عن "توقيع" الملف (Signature). إذا تغير بايت واحد في الفيروس، لن يكشفه.

أما الـ EDR فيستخدم Behavior-based Detection (كشف قائم على السلوك) و Machine Learning.

  • مثال: إذا حاول برنامج "الآلة الحاسبة" الاتصال بالإنترنت وسرقة ملفات، الـ EDR سيكشفه فوراً لأن هذا "سلوك غير طبيعي"، حتى لو كان الملف نظيفاً.

☝️ شرح الصورة (Detection Dashboard):

لوحة تعرض التنبيهات مع تفاصيل دقيقة: الخطورة (High)، التقنية المستخدمة (MITRE Tactic)، والعملية المسؤولة (powershell.exe).

🛠️ 3. الاستجابة (Response)

ما الفائدة من كشف الهكر إذا لم تستطع إيقافه؟

الـ EDR يعطيك أدوات للتدخل الفوري من وحدة التحكم المركزية (Console):

  • ال Isolate Host: عزل الجهاز عن الشبكة تماماً لمنع انتشار الفيروس (مع إبقاء اتصالك به مفتوحاً).
  • ال Terminate Process: قتل العملية الخبيثة فوراً.
  • ال Real Time Response (RTR): الدخول الى سطر أوامر (Command Line) عن بعد لتنفيذ أوامر تنظيف.

☝️ شرح الصورة (RTR Console):

شاشة تتيح للمحلل كتابة أوامر (مثل ls, cd, kill) مباشرة على جهاز الضحية عن بعد لإصلاح المشكلة.

Task 3: Beyond the Antivirus (ما بعد مضاد الفيروسات)

✈️ تشبيه المطار (The Airport Analogy)

النص يستخدم تشبيهاً عبقرياً ليوضح الفرق:

  1. ال Antivirus (AV) = موظف الجوازات:
    • يقف عند البوابة، ويفحص "جواز السفر" (Signature).
    • إذا كان الشخص غير موجود في "قائمة المجرمين"، يسمح له بالدخول.
    • المشكلة: ماذا لو دخل لص محترف بجواز سفر نظيف؟ الـ AV لن يكشفه لأنه يعتمد فقط على "القائمة السوداء" السابقة.
  2. ال EDR = الأمن الداخلي والكاميرات:
    • هم الحراس وكاميرات المراقبة (CCTV) المنتشرة داخل المطار.
    • حتى لو دخل الشخص من الجوازات، الـ EDR يراقب سلوكه.
    • هل يحاول دخول مناطق محظورة؟ هل يترك حقائب مشبوهة؟ هنا يتدخل الـ EDR فوراً.

⚔️ مقارنة عملية: هجوم حقيقي (Scenario Breakdown)

لنرَ الفرق تقنياً من خلال سيناريو اختراق يعتمد على ملف Word خبيث.

☝️ تحليل الصورة والسيناريو:

لاحظ في الصورة كيف أن الـ AV (باللون الأخضر الفاتح) يرى كل خطوة على حدة ويقول "Looks clean" (يبدو نظيفاً)، بينما الـ EDR يربط الأحداث ببعضها ويكشف الهجوم.

إليك التفصيل خطوة بخطوة:

خطوة الهجوم رد فعل الـ AV (التقليدي) 😴 رد فعل الـ EDR (الذكـي) 🚨
1. تحميل الملف لا يفعل شيئاً (لأن الملف جديد وليس له توقيع معروف). يسجل نشاط التحميل ويبدأ المراقبة.
2. فتح الملف (Word) لا يفعل شيئاً (لأن winword.exe برنامج رسمي). يسجل تشغيل البرنامج ويستمر بالمراقبة.
3. الماكرو يشغل PowerShell هنا الكارثة! الـ AV لا يرى مشكلة. يكشف الهجوم! الـ EDR يلاحظ علاقة مشبوهة: "لماذا برنامج Word يشغل PowerShell؟" هذا سلوك غير طبيعي (Unusual parent-child relationship).
4. تشغيل كود مموه (Obfuscated) لا يستطيع قراءة الأكواد المموهة غالباً. يضع علامة خطر على تنفيذ السكربت المموه.
5. الحقن في الذاكرة (Injection) لا يراقب الذاكرة، لذا لا يرى الحقن في svchost.exe. يكتشف عملية "Process Injection" فوراً.
6. الاتصال العكسي (Remote Access) لا يرى تفاصيل الشبكة. يلاحظ أن svchost.exe يتصرف بغرابة ويحاول الاتصال بالخارج، فيطلق التنبيه الكامل.

Task 4: How an EDR works? (كيف يعمل الـ EDR؟)

🤖 1. العملاء (Agents / Sensors)

السر الأول يكمن في "العيون والآذان".

  • ما هم؟ برامج صغيرة (Agents) يتم تثبيتها على كل جهاز (Endpoint) في الشركة (لابتوب، سيرفر).
  • وظيفتهم: الجلوس بهدوء ومراقبة كل حركة (Process, File, Network).
  • الذكاء: يقومون ببعض الكشف البسيط محلياً (على الجهاز نفسه) ويرسلون كل البيانات لحظياً إلى "المخ المركزي".

☝️ شرح الصورة:

توضح الصورة كيف يتم تثبيت الـ EDR Agents على كل لابتوب، وكلهم يرسلون البيانات في نفس الوقت إلى EDR Console (وحدة التحكم المركزية).

🧠 2. وحدة التحكم (EDR Console)

هنا يكمن "العقل المدبر".

  • ما هي؟ لوحة تحكم مركزية تجمع ملايين البيانات القادمة من العملاء (Agents).
  • كيف تفكر؟ تستخدم خوارزميات معقدة وذكاء اصطناعي (Machine Learning) لربط النقاط ببعضها.
    • مثلاً: Agent 1 رأى ملفاً غريباً، و Agent 5 رأى نفس الملف يحاول الاتصال بسيرفر مشبوه. الـ Console يربط المعلومتين ويطلق Alert (تنبيه).

☝️ شرح الصورة:

هذه لوحة تحكم حقيقية (CrowdStrike). لاحظ الأرقام الكبيرة (Current CrowdScore)، والرسوم البيانية التي تظهر التنبيهات حسب التكتيك (Detections by tactics) والخطورة. كل هذا تم تحليله مركزياً.

🚨 3. ما بعد الكشف (After Detection)

عندما يظهر التنبيه، يبدأ دورك كمحلل SOC:

  1. الأولوية: الـ EDR يرتب لك التنبيهات حسب الخطورة (Critical, High, Medium). ابدأ بالأخطر.
  2. التحقيق: بضغطة زر، ترى كل التفاصيل (العمليات، الملفات، الاتصالات).
  3. القرار: تقرر هل هو إنذار كاذب (False Positive) أم حقيقي (True Positive).
  4. الاستجابة: إذا كان حقيقياً، تتدخل فوراً من نفس الشاشة (عزل الجهاز، قتل العملية).

🧩 4. الـ EDR ضمن الفريق (The Ecosystem)

الـ EDR قوي، لكنه ليس وحيداً.

في الشركات الكبيرة، يتم ربط الـ EDR مع الجدران النارية (Firewalls) وأنظمة الإيميل، وكلهم يصبون بياناتهم في نظام أكبر يسمى SIEM. هذا يعطيك صورة بانورامية للشبكة بالكامل، وليس فقط الأجهزة.

Task 5: EDR Telemetry (بيانات الـ EDR)

📦 ما هي الـ Telemetry؟

هي البيانات الخام والمفصلة التي يجمعها الـ Agent من الجهاز ويرسلها لوحدة التحكم. هذه البيانات هي الأساس الذي يبني عليه الـ EDR قراراته للكشف والتحقيق.

🔍 أنواع البيانات المجمعة (Collected Telemetry)

الـ EDR يجمع الكثير من البيانات ليميز بين النشاط الطبيعي والنشاط الخبيث. إليك أهم 5 أنواع:

1️⃣ تنفيذ وإنهاء العمليات (Process Executions)

  • ماذا يراقب؟ كل برنامج يعمل أو يتوقف عن العمل.
  • الفائدة: يكشف العلاقات المشبوهة بين العمليات (Parent-Child Relationships).
    • مثال: هل من الطبيعي أن يشغل برنامج "Word" برنامج "PowerShell"؟ طبعاً لا! هذا دليل هجوم.

2️⃣ اتصالات الشبكة (Network Connections)

  • ماذا يراقب؟ كل اتصال صادر أو وارد للجهاز.
  • الفائدة: يكشف الاتصال بسيرفرات التحكم الخاصة بالهكر (C2 Server)، أو محاولة سرقة البيانات (Exfiltration)، أو الحركة الجانبية (Lateral Movement) داخل الشبكة.

3️⃣ نشاط سطر الأوامر (Command Line Activity)

  • ماذا يراقب؟ الأوامر المكتوبة في CMD أو PowerShell.
  • الفائدة: يكشف الأوامر الخبيثة والسكربتات "المموهة" (Obfuscated) التي غالباً ما يفشل مضاد الفيروسات التقليدي (AV) في كشفها.

4️⃣ تعديلات الملفات (Files Modifications)

  • ماذا يراقب؟ إنشاء، تعديل، أو حذف الملفات والمجلدات.
  • الفائدة: يكشف عمليات تشفير الملفات (Ransomware) أو تجهيز البيانات للسرقة (Data Staging).

5️⃣ تعديلات الريجستري (Registry Modifications)

  • ماذا يراقب؟ التغييرات في سجل النظام (Windows Registry).
  • الفائدة: الريجستري هو "كنز معلومات"، ومراقبته تكشف محاولات الهكر لتثبيت نفسه في النظام أو تغيير الإعدادات الأمنية.

🧩 لماذا نجمع كل هذا؟ (The Big Picture)

الهجمات المتقدمة تحاول الاختباء باستخدام أدوات النظام الشرعية (مثل PowerShell).

  • لو نظرنا لحدث واحد بمفرده قد يبدو بريئاً.
  • ولكن عند تجميع التيليميتري المفصلة وتحليلها بخوارزميات ذكية، تظهر القصة الكاملة للهجوم.
  • هذا يساعد المحلل (أنت) على معرفة السبب الجذري (Root Cause) وإعادة بناء جدول زمني للهجوم.

Task 6: Detection And Response Capabilities (قدرات الكشف والاستجابة)

🕵️‍♂️ أولاً: قدرات الكشف (Detection)

بدلاً من الاعتماد على التواقيع القديمة فقط، يستخدم الـ EDR تقنيات ذكية جداً لتحليل البيانات (Telemetry) القادمة من الأجهزة:

1. الكشف السلوكي (Behavioral Detection)

  • المبدأ: لا يهمني شكل الملف، يهمني "ماذا يفعل".
  • مثال: إذا قام ملف winword.exe (برنامج وورد) بتشغيل powershell.exe، الـ EDR سيكشفه فوراً لأن هذا سلوك غير طبيعي (Unusual parent-child relationship).

2. كشف الشذوذ (Anomaly Detection)

  • المبدأ: الـ EDR يتعلم العادات الطبيعية للجهاز (Baseline). أي شيء يخرج عن المألوف يعتبر مشبوهاً.
  • مثال: عملية (Process) تقوم بتعديل مفتاح ريجستري خاص ببدء التشغيل التلقائي (Auto-start)، وهو شيء لا يحدث عادة على هذا الجهاز.

3. مطابقة المؤشرات (IOC Matching)

  • المبدأ: استخدام "قوائم المطلوبين" من استخبارات التهديدات (Threat Intelligence).
  • مثال: إذا قام المستخدم بتحميل ملف له "بصمة" (Hash) معروفة بأنها خبيثة، سيتم كشفه فوراً.
    (IOC هي اختصار لـ Indicator of Compromise).

4. ربط MITRE ATT&CK

  • المبدأ: الـ EDR لا يخبرك فقط أن هناك "فيروس"، بل يخبرك بمرحلة الهجوم وتكتيكه.
  • مثال: إذا تم إنشاء "مهمة مجدولة" (Scheduled Task)، سيصنفها الـ EDR تحت تكتيك Persistence (البقاء في النظام).

5. خوارزميات التعلم الآلي (Machine Learning)

  • المبدأ: تدريب نماذج ذكاء اصطناعي على ملايين البيانات لكشف الأنماط المعقدة التي لا يراها البشر.
  • مثال: كشف الهجمات "عديمة الملفات" (Fileless attacks) وسلاسل الهجمات المعقدة.

🛠️ ثانياً: قدرات الاستجابة (Response)

بعد الكشف، يأتي دور الرد. الـ EDR يمنحك أدوات قوية للتحكم بالجهاز عن بعد:

1. عزل المضيف (Isolate Host)

  • الوظيفة: قطع اتصال الجهاز بالشبكة تماماً (ما عدا اتصالك به).
  • الفائدة: يمنع الفيروس من الانتقال للأجهزة الأخرى (Lateral Movement). هذا أقوى سلاح للاحتواء.

2. إنهاء العملية (Terminate Process)

  • الوظيفة: قتل العملية الخبيثة فقط دون عزل الجهاز.
  • الفائدة: مفيد للسيرفرات المهمة التي لا يمكن فصلها عن الشبكة، حيث يكفي إيقاف البرنامج الضار فقط.

3. الحجر الصحي (Quarantine)

  • الوظيفة: نقل الملف الخبيث لمكان معزول ومشفر بحيث لا يمكن تشغيله، لحين فحصه أو حذفه.

4. الوصول عن بعد (Remote Access)

  • الوظيفة: الدخول إلى "سطر الأوامر" (Shell) للجهاز عن بعد لتنفيذ أوامر خاصة.
  • مثال: استخدام واجهة Real Time Response (RTR) لكتابة سكربتات تنظيف أو جمع أدلة.

5. جمع الأدلة (Artefacts Collection)

  • الوظيفة: سحب ملفات مهمة للتحقيق الجنائي (Forensics) دون لمس الجهاز فيزيائياً.
  • أمثلة: سحب نسخة من الذاكرة (Memory Dump)، سجلات الأحداث (Event Logs)، أو ملفات الريجستري.

أخر المواضيع من قسم : SOC L1