Mohmmad_ALmrayat
مشرف سابق
بسم الله الرحمن الرحيم
في هذه الغرفه رح نتعرف على مقدمة لمحلل أمني مبتدئ.
في هذه الغرفه رح نتعرف على مقدمة لمحلل أمني مبتدئ.
في دور محلل أمني مبتدئ (Junior Security Analyst)، رح تكون متخصص في التصنيف (Triage Specialist). رح تقضي وقتك في تصنيف أو مراقبة سجلات الأحداث والتنبيهات.
تشمل مسؤوليات محلل أمني مبتدئ أو محلل مستوى 1 في مركز العمليات الأمنية (SOC) ما يلي :
- مراقبة والتحقيق في التنبيهات (غالبًا ما تكون بيئة عمل مركز عمليات أمني على مدار 24 ساعة و طوال ايام السبوع ).
- إعداد وإدارة أدوات الأمان.
- تطوير وتنفيذ توقيعات أساسية لأنظمة كشف التسلل (IDS).
- المشاركة في مجموعات العمل والاجتماعات الخاصة بمركز العمليات الأمنية (SOC).
- إنشاء تذاكر وتصعيد الحوادث الأمنية إلى المستوى الثاني أو قائد الفريق إذا لزم الأمر.
المؤهلات المطلوبة (الأكثر شيوعاً):
- 0-2 سنوات خبرة في عمليات الأمن.
- فهم أساسي للشبكات (نموذج OSI أو نموذج TCP/IP)، أنظمة التشغيل (ويندوز، لينكس)، التطبيقات الويب.
- مهارات البرمجة أو السكربتنج تعتبر إضافة.
ينصح بأخذ شهادة +CompTIA Security قبل البدأ في تعلم .
مع تقدمك وتطوير مهاراتك كمحلل أمني مبتدئ، في النهاية ستنتقل إلى المستوى الثاني والمستوى الثالث.
لمحة عن نموذج الثلاث مستويات في مركز العمليات الأمنية (SOC):
محلل أمني مبتدئ (المستوى 1) - التصنيف:
لمحة عن نموذج الثلاث مستويات في مركز العمليات الأمنية (SOC):
محلل أمني مبتدئ (المستوى 1) - التصنيف:
- يراقب سجلات حركة مرور الشبكة والأحداث
- يعمل على التذاكر ويغلق التنبيهات
- يجري تحقيقات أساسية وتخفيف المخاطر
محلل عمليات أمنية (المستوى 2) - مستجيب الحوادث:
- يركز على التحقيقات الأعمق، التحليل، والتخفيف
- يبحث بشكل استباقي عن الخصوم
- يراقب ويحل التنبيهات الأكثر تعقيداً
محلل عمليات أمنية (المستوى 3) - صائد التهديدات:
- يعمل على تحقيقات أكثر تقدماً
- يقوم بعمليات صيد التهديدات المتقدمة والبحث عن الخصوم
- عكس البرمجيات الخبيثة (Malware reversing)
هو المكان اللي بتشتغل فيه الفرق المسؤولة عن مراقبة وتأمين الأنظمة من أي تهديدات سيبرانية (تهديدات إلكترونية) على مدار 24 الساعة , الناس اللي بيشتغلوا هناك، زي محللي الأمن، بيكون شغلهم الأساسي هو متابعة التنبيهات والتحقيق فيها، وكمان منع أي هجمات أو مشاكل قبل ما تصير، والرد السريع إذا صار في أي اختراق أمني.
حسب تعريف McAfee، فريق الـ SOC مسؤول عن:
حسب تعريف McAfee، فريق الـ SOC مسؤول عن:
- مراقبة وحماية أصول مهمة للشركة، مثل الملكية الفكرية (الاختراعات أو الأفكار)، بيانات الموظفين، أنظمة العمل، وسمعة الشركة.
- تنفيذ خطة الأمن السيبراني للشركة: الفرق اللي تشتغل في SOC تعتبر المحور الرئيسي في جهود التعاون داخل الشركة لمراقبة وتقييم والدفاع ضد أي هجمات إلكترونية.
عدد الأشخاص اللي بيشتغلوا في الـ SOC يختلف حسب حجم الشركة. يعني في شركات كبيرة عندهم فريق كبير، وفي شركات صغيرة عندهم فريق أصغر حسب احتياجاتهم.
ما هي مسؤوليات مركز العمليات الأمنية (SOC)؟
المسؤوليات التي يتعرض لها محللو الأمن في SOC تتضمن عدة جوانب مهمة مثل التحضير، الوقاية، المراقبة، التحقيق، والاستجابة.
ما هي مسؤوليات مركز العمليات الأمنية (SOC)؟
المسؤوليات التي يتعرض لها محللو الأمن في SOC تتضمن عدة جوانب مهمة مثل التحضير، الوقاية، المراقبة، التحقيق، والاستجابة.
- بصفتك محلل أمني مبتدئ، لازم تكون مطلع على أحدث التهديدات الأمنية الإلكترونية. يمكنك متابعة الأخبار المتعلقة بالأمن السيبراني من خلال منصات مثل Twitter وFeedly.
- الهدف الأساسي هو اكتشاف التهديدات والصيد الإلكتروني والعمل على خطة أمنية لحماية الشركة والاستعداد لأي سيناريو أسوأ.
أساليب الوقاية تشمل:
- جمع بيانات استخبارية عن أحدث التهديدات والمهاجمين.
- متابعة وتحديث أدوات الحماية مثل تحديث التوقيعات على جدران الحماية (firewall signatures).
- إصلاح الثغرات الأمنية في الأنظمة الحالية.
- إدارة قوائم السماح والحظر للتطبيقات وعناوين البريد الإلكتروني وعناوين الـ IP.
المراقبة والتحقيق:
- فريق SOC يستخدم أدوات مثل SIEM (إدارة المعلومات والأحداث الأمنية) وEDR (كشف الاستجابة للنقاط الطرفية) لمراقبة أي نشاط مشبوه أو ضار على الشبكة.
- فكر في الأمر وكأنك إطفائي، حيث توجد مستويات مختلفة للحرائق بناءً على خطورتها، وهنا في SOC تصنّف التهديدات إلى منخفض، متوسط، عالي، وحرج. ويجب أن تبدأ دائمًا من التهديدات الحرجة.
- المحللون الأمنيون المبتدئون يقومون بدور مهم في عملية التحقيق، حيث يتولون تصنيف التنبيهات (triaging) وفهم كيفية عمل الهجمات المختلفة لمنعها.
- أثناء التحقيق، الأسئلة الرئيسية التي يجب أن تُطرح هي "كيف؟ متى؟ ولماذا؟". يتم العثور على الإجابات من خلال تحليل سجلات البيانات والتنبيهات واستخدام أدوات مفتوحة المصدر.
الاستجابة:
بعد الانتهاء من التحقيق، يقوم فريق SOC بالتنسيق واتخاذ الإجراءات اللازمة مثل:
- عزل الأجهزة المصابة عن الشبكة.
- إيقاف العمليات الخبيثة.
- حذف الملفات الضارة وغيرها من الإجراءات.
المحللون في SOC يلعبون دورًا أساسيًا في حماية الأنظمة من الهجمات الإلكترونية عبر جميع هذه المراحل.
لكي تفهم المسؤوليات في وظيفة محلل أمني مبتدئ، دعنا نأخذك في رحلة ليوم واحد في حياة هذا الدور، ولماذا يعتبر هذا المسار الوظيفي مثيرًا.
مواجهة التحديات:
أن تكون في الخط الأمامي ليس بالأمر السهل دائمًا، حيث ستعمل مع مصادر سجلات متنوعة من أدوات مختلفة. ستتعلم كيفية:
- مراقبة حركة مرور الشبكة، بما في ذلك التنبيهات الواردة من أنظمة IPS (نظام منع التسلل) وIDS (نظام كشف التسلل).
- التعامل مع البريد الإلكتروني المشبوه.
- استخراج البيانات الجنائية (forensics) لتحليلها واكتشاف الهجمات المحتملة.
- استخدام معلومات استخباراتية مفتوحة المصدر لاتخاذ القرارات المناسبة حول التنبيهات.
الاستجابة للحوادث:
من أكثر الأمور المثيرة هو عندما تنتهي من التعامل مع حادث أمني وتتمكن من معالجة التهديد. قد تأخذ الاستجابة للحوادث وقتًا طويلًا يتراوح من ساعات إلى أيام أو حتى أسابيع، وذلك بناءً على حجم الهجوم:
- هل تمكن المهاجم من سرقة البيانات؟
- كم حجم البيانات التي تم سرقتها؟
- هل حاول المهاجم الوصول إلى أجهزة أخرى في الشبكة؟
هناك الكثير من الأسئلة التي يجب الإجابة عليها، بالإضافة إلى عمليات الكشف، الاحتواء، والمعالجة التي يجب القيام بها. سنتناول معك المعرفة الأساسية التي يحتاجها كل محلل أمني مبتدئ ليصبح مدافعًا عن الشبكات ناجحًا.
أول شيء يفعله معظم المحللين الأمنيين المبتدئين عند بدء مناوبتهم هو فحص التذاكر لمعرفة إذا كان قد تم توليد أي تنبيهات جديدة.
هل أنت مستعد لتعيش دور محلل أمني مبتدئ لبعض الوقت؟
لننطلق في حل lab :
هل أنت مستعد لتعيش دور محلل أمني مبتدئ لبعض الوقت؟
لننطلق في حل lab :
التعديل الأخير:
