H4x0r
./ عضو
بَسم آلُِلُِهـ آلُِرٍحٍمن آلُِرٍحٍيم
في هذا المقال رح نبدأ في الكلام عن Incident HandlingDefinition
اول اشي انت محتاج تعرفه ك واحد داخل جديد على مجال SOC بدي في البداية احكي وظائف ال SOC و levels تاع SOC رح اتكلم بشكل عام بحيث يكون عندك صورة عن وظائف SOC :
زي ما هو واضح في الصورة في اكثر من level و اكثر من مسمى ممكن انت تشتغل فيه في مجال SOC .
تمام رح نتكلم في السلسة هذه فقط عن Tier1 و Tier2 خلينا نعرف شو بعمل T1 و T2:
T1 زي ما موضح في الاسم Alert Analyst وظيفته يعمل Detect لل alert كيف يعني و انت في مجال ال SOC في سجلات كثير بتيجيلك LOGS هي احداث event هذه ال event داخلها اشي بنسميه Incident كمان شو رح نعرف شو يعني Incident ولكن هي حدث بس هذا الحدث اله تأثير سلبي اذا بتلاحظ T2 هو Incident Responder يعني T1 و T2 مترابطين بس عشان تشتغل في T2 لازم تكون عديت على T1 .
Incident Handling
تمام طيب رح تحكيلي شو هو Incident ؟
Incident
يعني زي ما حكتلك طول ما انت SOC مثلا و بتشتغل على tool زي SIEM ال SIEM رح تلاقيه بعرضلك event و SIEM بكون فيها برامج هاي البرامج بتختار بعض ال event و بتحطلك ياهم على جنب بتحكيلك واللهي يا SOC انا شايف انو هذول ال event عبارة عن Incident
طيب رح تسألني شو طبيعة الاحداث بشكل عام ؟
ال event ممكن تكون انو في PC سجل دخول في user كتب كلمة السر غلط في User فشل في تسجيل الدخول 2 مرة ممكن يكون في واحد بحاول يعمل atack و firewall منعته كل هاي الاحداث ال SIEM بعرضلك ياها و هو ممكن يختار event يحكيلك انو هدول عبارة عن Incident
خلونا نشوف امثلة على ال event السلبية او مش الطبيعية :
System crashes,
Packet floods,
Unauthorized use of system privileges,
Unauthorized access to sensitive data, and
Execution of destructive malware.
تمام من احد المشاكل يلي بتواجه ال SOC كمية ال alert الكبيرة يلي بتيجي حكتلك SIEM بجمعلك اياهم و في منهم طبيعي و في مش طبيعي الان في السلسلة ان شاء الله رح نعرف كيف ممكن نعرف هل هذا ال event طبيعي او غير طبيعي , مهم او غير مهم .
كل يلي حكينا عنو تعريفففف فقط .Incident Handling Process
إن أحٍسنت فُمن آلُِلُِهـ وُ إن آسأت فُمن نفُسي وُ آلُِشُيطُآن
إن أحٍسنت فُمن آلُِلُِهـ وُ إن آسأت فُمن نفُسي وُ آلُِشُيطُآن
التعديل الأخير بواسطة المشرف:
