Cyber Dojo

ازاي تستخدم التحليل المنهجي (Structured Analysis) في تحقيق الحوادث داخل الـ SOC؟ تعال نحكي سيناريو حقيقي من قلب الشغل 👇

📩 في بداية الشيفت، Analyst استقبل إيميل من يوزر بيقول إنه شاف على جهازه رسالة مرعبة بتقول إن جهازه مصاب بـ "pornographic spyware"، مع شاشة سودا، كود بيجري في CLI، وصوت بيقوله يتصل بـ Microsoft فورًا. الجهاز اتحبس، واليوزر اضطر يعمل Hard Reboot علشان يخرج من الموقف.

🔎 أول خطوة، جمعنا الأدلة:

من إيميل اليوزر، عرفنا إنه:

- الشاشة اتحبست تمامًا.
- ظهر تحذير صوتي بيقوله يتصل فورًا.
- الكود الظاهر في CLI كان شكله غريب وغير مفهوم.
- الرسالة بتدعّي إصابة الجهاز ببرمجيات تجسس إباحية وسرقة بيانات.

ومن Suricata logs:

- اليوزر اتعمله redirect من موقع اسمه freesafesoft[.]com لموقع تاني اسمه secure-serve[.]services فيه صفحة مشبوهة.
- الصفحة دي حملت MP3 files، اللي غالبًا منها جه الصوت اللي سمعه اليوزر.
- الصفحة كانت بتتحمل عبر HTTP، مش HTTPS، يعني فيه احتمالية MitM أو تعديل في الـ Content.

ومن Windows Logs:

- مفيش أي عملية suspicious اتنفذت.
- الWindows Defender ما اكتشفش أي تهديد.
- مفيش PowerShell أو ملفات Temp بتشتغل أو Indicators بتاعة malware ex*****on.

ومن التقرير:

- الجهاز اشتغل طبيعي بعد الReboot بدون أي مشكلة.

🧠 هنا بدأنا نستخدم أسلوب التحليل المقارن ACH - Analysis of Competing Hypotheses، وطرحنا ٦ احتمالات:

1- الRansomware فعلي
2- الMalware غير تشفيري (non-ransomware)
3- صفحة ويب خادعة بتعمل Scareware (Fake AV)
4- الMitM Attack حقن الصفحة
5- رسالة حقيقية من النظام
6- بلاغ مزيف من اليوزر

💡 لما بدأنا نحلل كل دليل مقابل كل فرضية، لقينا إن السيناريو الوحيد اللي بيطابق كل الدلائل بدون تعارض هو إن اليوزر فعلاً اتعرض لـ صفحة ويب بتقلد تحذيرات Microsoft وبتستخدم Redirect + صوت مسجل + CLI مزيف + تصميم بصري مخادع علشان تخوفه وتخليه يتصل برقم دعم وهمي.

السيناريو ده اتدعم بأكتر من نقطة:

- ما فيش أي evidence على إصابة فعلية.
- ما فيش ex*****on غريب.
- الصفحة حملت MP3 بصيغة مباشرة من HTTP.
- حصل redirect واضح لموقع غير موثوق.
- المشكلة اتحلت فورًا بعد Reboot، وده مستحيل يحصل مع ransomware فعلي.

✋ أما باقي الفرضيات زي وجود فيروس حقيقي أو هجوم MitM، فهي أقل تطابقًا مع الأدلة، وبعضها تم استبعاده تمامًا (زي فرضية إن الرسالة كانت حقيقية – لأن Windows مش بيبعت تحذيرات صوتية، ولا بيطلب تتصل خلال ٥ دقايق).

📢 التوصية النهائية:

التحليل يؤكد بنسبة عالية إن الحادثة كانت نتيجة Fake AV Scare Page، ظهرت بسبب redirect من موقع غير موثوق، وتم استغلالها بصريًا وصوتيًا لإيهام المستخدم بوجود تهديد. لا يوجد أي دليل على اختراق فعلي أو Malware. نوصي بزيادة الوعي الأمني للمستخدمين، وتطبيق فلترة HTTP/URL على الشبكة لمنع الوصول للمصادر المشبوهة.

🚀 ابدأ رحلتك كمحلل SOC محترف واستعد لتكون جزء من الدفاع الأمامي ضد التهديدات الإلكترونية!
اضغط هنا لمزيد من التفاصيل عن الSOC Analyst Bootcamp:
https://cyber-dojo.co/bundles/soc-analyst-bootcamp/
اضغط هنا لمزيد من التفاصيل عن Digital Forensics and Incident Response (DFIR) Bootcamp:
https://cyber-dojo.co/bundles/dfir-bootcamp/
للحجز والاستفسار: كلمنا فورًا عبر الواتساب:
https://api.whatsapp.com/message/EKDS6MXZOI3IO1

أول حاجة لازم تبقى فاهمها إن “Suspicious Process” مش معناها Malware 100%… هي معناها “فيه ريحة دخان… دور على النار” 🔥🕵️‍♂️
ثاني نقطة إن شغل الـIncident Response الحقيقي مش “لقطة واحدة”… هو correlation بين process + parent + path + command line + network + persistence artifacts 💡

يا ترى إيه اللي يخلي Process يرن جرس الإنذار؟ 🚨

أول علامة هي إن الـprocess جديد على الجهاز أو “مش مألوف” في الـbaseline بتاع البيئة بتاعتك 🧩
ثاني علامة هي إن الاسم شكله random أو pseudo-random زي fRVWQDD أو wXexXHNeSMpQKiiZ… النوع ده بيكون معمول عشان يكسر الـpattern matching ويفلت من الـtriage السريع 🎭
ثالث علامة هي إن برنامج معروف بس شغال من path غريب… يعني svchost.exe بس مش من System32، أو powershell.exe بس طالع من Temp… هنا بتسأل نفسك: “هو نفس الـbinary ولا impersonation؟” 🧠

أقوى سؤال دايمًا: مين الـParent؟ 👨‍👦
أبسط مثال يخلّي analyst يتوتر: lsass.exe يطلع cmd.exe… دي علاقة abnormal جدًا وغالبًا معناها exploitation / injection / token abuse أو سيناريو مش طبيعي في الـWindows normal behavior ⚠️
أصعب من كده كمان: إن العلاقة نفسها تكون “منطقياً غلط” حتى لو الاتنين Legit… زي Office يطلع PowerShell يطلع mshta يطلع rundll32… هنا أنت دخلت فيلم LOLBAS كامل 🎬

أهم حتة الناس بتفوتها: Command Line 🧾
أول ما تشوف Base64 أو -EncodedCommand خصوصًا مع PowerShell… متفترضش فورًا إنه malicious… بس افترض إنه لازم يتفك ويتفهم 🧨
أغلب الـattackers بيحبوا EncodedCommand عشان يهربوا من ترك ملفات .ps1 على الديسك… يعني أقل artifacts على الـdisk، وأكتر شغل “in-memory” 🎯

بعد ما تحدد Process مش مريح… متقفش عنده ✋
لازم تعمل pivoting 🔁
يعني تسأل: هو اتولد إمتى؟ اتنفّذ كام مرة؟ ظهر على كام جهاز؟ مرتبط بـuser مين؟ وبيكلم مين على الشبكة؟

وهنا ييجي دور الـNetwork View 🌐
لما تربط process بـconnections تكتشف الدنيا:
زي إن Notepad يعمل outbound connections على port 80/443… دي مش “غرابة وخلاص”… دي “ليه أصلاً؟” 😅
أو تلاقي long-running HTTPS sessions، أو beaconing pattern (اتصالات صغيرة متكررة بفواصل شبه ثابتة)… ده signature سلوكي لـC2 أكتر من إنه مجرد browsing عادي 📡
ولو فيه lateral movement… فطبيعي تشوف حركة على SMB ports (135-139 و445)… بس الفكرة إنك تربطها بالسياق: مين اللي عملها؟ منين؟ وإمتى؟ 🧭

وبعدين تيجي منطقة الـPersistence 🧱
خد بالك من Services: أي خدمة باسم random، أو description فاضية، أو PathName داخل Temp… دي classic persistence technique 🛠️
خد بالك من Scheduled Tasks: ساعات attacker يسمّيها باسم software مشهور بس غلط إملائي بسيط… علشان عينك تعدّيها 👀
خد بالك من Registry Run keys: لأن الـautostart entries دي “مفتاح رجوع” للمهاجم بعد reboot 🔑

🚀 ابدأ رحلتك كمحلل SOC محترف واستعد لتكون جزء من الدفاع الأمامي ضد التهديدات الإلكترونية!
اضغط هنا لمزيد من التفاصيل عن الSOC Analyst Bootcamp:
https://cyber-dojo.co/bundles/soc-analyst-bootcamp/
اضغط هنا لمزيد من التفاصيل عن Digital Forensics and Incident Response (DFIR) Bootcamp:
https://cyber-dojo.co/bundles/dfir-bootcamp/
للحجز والاستفسار: كلمنا فورًا عبر الواتساب:
https://api.whatsapp.com/message/EKDS6MXZOI3IO1

عمرك سألت نفسك السؤال ده؟
❓"هو لو عندي Endpoint Data قوية، أنا كده تمام؟ ولا لازم Network Visibility كمان؟"
أو العكس…
❓"أنا شايف الدنيا كويس على مستوى الـ Network، بس مش قادر أجيب Logs من الـ Endpoints… ده كفاية؟"

🔥 الحقيقة؟ مفيش إجابة سهلة
دايمًا وجود Visibility من أكتر من Source هو الأفضل.
بس خلينا نحفر أكتر شوية ونتكلم بالسيناريوهات:

📌 أول سيناريو:
في Threat Hunting، لاحظت جهاز بيتكلم مع Domain مش معروف… مفيش عليه Intel، بس فجأة بعد الـ Connection الجهاز بدأ يتصرف بغرابة.
لو كل اللي عندك Network Logs بس؟ هتشوف الملف اللي نزل (مثلاً calc.exe)، بس هتحتاج تروح تحلله في Sandbox وتستنى...
⏳ وقت بيتاخد، وده بيدي Attacker مساحة يتحرك قبل ما تمسكه.

لكن
لو عندك Endpoint Visibility؟
💡 هتشوف الـ Process Creation
💡 مين شغّل الملف؟
💡 اشتغل بإيه Permissions؟
💡 كتب إيه في النظام؟
يعني هتوصل لحقيقة اللي حصل بسرعة الصاروخ.

📌 السيناريو التاني المؤلم:
الEDR عندك متسطب وشغال… بس Attacker دخل بـ Phishing Technique جديدة، والـ EDR ما اكتشفهوش!
وبعد ما دخل؟ قام طافي الـ Logging والـ Agent نفسه!
🚨 كده إنت فقدت عينيك على الجهاز ده تمامًا…
وهنا بقى السؤال:
هل تقدر تعتمد على Endpoint؟ لأ، ببساطة عشان الجهاز بقى Compromised وممكن يخدعك.
الحل؟
💡 الNetwork TAP أو NDR بيجمع الـ Traffic من برّا الجهاز.
يعني حتى لو الـ EDR مات…
الـ Network Logs تفضل معاك كدليل تاني.

👀 طيب تختار إيه لو لازم؟
📌 الـ Endpoint Logs دايمًا هتديك تفاصيل أكتر:
الProcess Trees
الCommand-lines
الRegistry Modifications
الFile Drops
الNetwork Connections من المصدر

بس
📌 الـ Network Logs هي Lifeline لما يحصل Bypass أو Tampering على الجهاز نفسه.

📚 الدروس المستفادة لأي SOC:
✅ اعرف إن الـ Attackers مش بيلعبوا بنص فرصة، فـ Visibility ناقصة = Blind Spot
✅ إياك تعتمد على Vendor يقولك "ده كفاية" من غير ما تفهم حدود كل Source
✅ الـ Defense in Depth مش بس Layers… دي كمان Data Sources
✅ لازم تشتغل على Aggregation، Correlation، وتعرف تـ Cross-validate بين الـ Network والـ Endpoint
✅ حدّد الـ Coverage Gaps عندك… واشتغل على تعويضها بالتدريج حسب الـ Budget والـ Risk Profile

🎯 في الآخر؟
مش الهدف تبقى عندك Data كتير…
الهدف إنك تكون شايف كل زاوية ممكن يستخبى فيها Attacker
ولما تحصل حاجة…
تكون أسرع واحد فاهم، مش آخر واحد عرف!

🚀 ابدأ رحلتك كمحلل SOC محترف واستعد لتكون جزء من الدفاع الأمامي ضد التهديدات الإلكترونية!
اضغط هنا لمزيد من التفاصيل عن الSOC Analyst Bootcamp:
https://cyber-dojo.co/bundles/soc-analyst-bootcamp/
اضغط هنا لمزيد من التفاصيل عن Digital Forensics and Incident Response (DFIR) Bootcamp:
https://cyber-dojo.co/bundles/dfir-bootcamp/
للحجز والاستفسار: كلمنا فورًا عبر الواتساب:
https://api.whatsapp.com/message/EKDS6MXZOI3IO1

اخيرا و بعد طول انتظار تم فتح Round جديدة لـ SOC Analyst Bootcamp — والهدف إنك تبقى جاهز لسوق الشغل 100% وتتعامل مع تحديات الـ SOC اليومية بثقة 💼🔥

📚 محتوى الدورة يشمل:
1️⃣ الCybersecurity Foundations: هتكتسب المعرفة الفنية الأساسية عشان تبدأ مسيرتك في الأمن السيبراني. هتفهم إزاي التكنولوجيا بتشتغل عشان تقدر تهاجمها وتدافع عنها بفعالية.
2️⃣ تحضير GSEC - SEC401: دورة تأسيسية تعرّفك على أساسيات أمن المعلومات والحماية السيبرانية.
3️⃣ تحضير GSOC - SEC450: تجهزك للعمل بكفاءة داخل مراكز العمليات الأمنية (SOC)، مع مهارات كشف وتحليل التهديدات والاستجابة السريعة لها.
4️⃣ الSOC Level 1 Labs: تعلّم الأساسيات من خلال تحديات عملية، مراقبة الأمان، والتعامل مع الحوادث باستخدام TryHackMe.
5️⃣ ال SOC Analyst Learning Path من LetsDefend هتتعلّم مهارات تقنية متقدمة في مراقبة الأمان، الاستجابة للحوادث، إدارة الثغرات، والتحضير للحصول على شهادات معترف بها، مع محاكاة واقعية لتطبيق المعرفة.
6️⃣ الCyberDefenders SOC Analyst Tier 1: ابني مهاراتك الأساسية لمراقبة وتنبيه وتصعيد الإنذارات الأمنية: تحديد والاستجابة للحوادث الأمنية البسيطة و أساسيات اكتشاف البرمجيات الخبيثة والتحليل الجنائي على الأجهزة و إتقان الأدوات للتحقيق في الأنشطة المشبوهة وتسريبات البيانات و تعميق معرفتك بالتهديدات الشائعة وتقنيات الاستجابة المتقدمة.
7️⃣ الIBM QRadar Foundations: اتقن استخدام IBM QRadar SIEM للتحقيق في المخالفات، وتنفيذ تقارير مخصصة، واستغلال إمكانيات AQL.

المحاضرين 👥:
معاك خبراء من المجال يعني انت في أيد أمينة 👌

👨‍💻 الدورة تشمل:
- دروس مسجلة مسبقًا يمكنك الوصول لها في أي وقت يناسبك!
- جلسات لايف اونلاين تفاعلية مع المدرب، مرتين أسبوعيًا!
- جلسات One-to-One مع المدرب لحل أي تساؤلات، استفسارات، أو استعداد للانترفيو!
📅 مدة الدورة: 5.5 شهور

⚙️ التطبيق العملي:
🔹 أكتر من 80 معمل عملي يغطي سيناريوهات حقيقية زي الهجمات السيبرانية، تحليل البرمجيات الخبيثة، واكتشاف التهديدات.
🔹 مشروع الامتثال للأمان: تقييم الضوابط الأمنية لشركة وإعداد خطة شاملة لتحسينها (VPN & MFA).
🔹 مشروع SOC Analyst: تحليل وتنظيم 5 تنبيهات حرجة من نظام أمان، والعمل على تمرين Tabletop لتطوير مهاراتك في الاستجابة السريعة.

🎯 جاهز لسوق العمل:
✅ تجهيز كامل لامتحانات GSEC و GSOC بشهادات معترف بها عالميًا.
✅ بناء ملف شخصي قوي مع مشاريع عملية تجذب الشركات.
✅ اترفيوهات فرضية عشان تتأكد إنك جاهز تمامًا.

اضغط هنا لمزيد من التفاصيل عن الSOC Analyst Bootcamp:
https://cyber-dojo.co/bundles/soc-analyst-bootcamp/
⏰ احجز مكانك دلوقتي! كل يوم بيعدي الفرصة بتقل!
📩 للحجز والاستفسار: كلمنا فورًا عبر الواتساب عشان تحجز وتضمن مكانك في الدفعه الجاية 🚀
https://api.whatsapp.com/message/EKDS6MXZOI3IO1

كل حاجة بتبدأ من الـ log... لكن مش أي log!🎯

الـ log في حد ذاته مجرد شوية بيانات، ساعات بيكون structured، وساعات بيكون unstructured.
المعلومة مش مهمة بس في حد ذاتها، لكن في شكلها... في تنسيقها... في قدرتك تفهمها.
وهنا بيظهر أول تحدي: الـ parsing.

🧩 الـ Parsing هو أول خطوة بتحول الـ chaos لنظام.
- تخيل log بيجيلك كله في سطر واحد، وكأنك بتحاول تفهم مقال كامل مكتوب من غير فواصل أو علامات ترقيم.
- الـ SIEM لازم يفهم كل جزء في الـ log: العنوان، المصدر، الوجهة، البروتوكول... وإلا هيبقى مجرد text بارد بتقراه بعينك بس مش بعقلك.
- من غير parsing سليم، مفيش search قوي، مفيش correlation، ومفيش detection بمعناه الحقيقي.

🔍 لكن حتى بعد ما نفهم كل field، بيظهر سؤال أصعب... كل system بيسمي الحاجة بشكل مختلف؟
- واحد بيقول عليها "SRC"، واحد تاني بيقول "source_ip"، والتالت بيكتبها بالعربي!
- وده معناه إنك لو فضلت تكتب queries حسب كل log format، هتتجنن.

الحل؟ Normalization.
- وهي ببساطة توحيد اللغة. بدل ما كل واحد ينادي المعلومة باسم مختلف، كلهم يتفقوا على اسم واحد.
- بكده، تقدر تعمل query وحدة وتجيب logs من كل sources في نفس اللحظة.

🧠 طيب... بعد ما ظبطنا شكل البيانات... ليه منكتفيش بيها؟
- علشان البيانات الخام، مهما كانت structured، فقيرة من غير context.
وده بيخلينا ندخل على أقوى خطوة: Enrichment.

- في اللحظة اللي بتضيف فيها معلومات إضافية للـ log – زي الدولة اللي جاي منها الترافيك، أو نوع الـ user، أو التصنيف الأمني –
- إنت فعليًا بتبني خريطة استخباراتية جوه الـ SIEM.
- الـ log اللي كان مجرد record بقى دلوقتي asset غني يساعدك تاخد قرار.

📌 بس لسه في خطوة سحرية أخيرة... ودي اللي بتفصل المحترف عن الهاوي: Categorization.
- في عالم مليان logs، محتاج تصنف الحاجات المهمة تحت تاغز واضحة.
- مثلاً، تقدر تلم كل أنواع الـ login مهما كان شكلها أو مصدرها تحت تاغ واحد زي "logon".
- ده بيخلي الـ analyst يقدر يركز على "الحدث"، مش "الشكل".
- وفي لحظات، تقدر تجيب كل login attempts لأي user، من كل الأجهزة، من غير ما تعرف اسم كل log أو شكله.

🌐 النتيجة؟
- دلوقتي عندك log متحول من مجرد سطر عشوائي، لقطعة معلوماتية ذكية:
📌 Parsed
📌 Normalized
📌 Enriched
📌 Categorized

كل ده بيخلي الـ SIEM مش بس search engine للـ logs...
لكنه مخ استخباراتي شغال 24/7 بيجمع، ينظف، يفسر، ويوصللك المعلومة على طبق من ذهب 🧠✨

🔥 الـ detection الحقيقي مش بيبدأ وقت ما الـ alert يضرب، لكن بيبدأ من أول خطوة في بناء الـ pipeline الصح مافيش use case هيشتغل صح، من غير ما تكون الـ data صح.
ومفيش SOC قوي، من غير foundation قوي مبني على parsing, normalization, enrichment, و categorization.

🚀 ابدأ رحلتك كمحلل SOC محترف واستعد لتكون جزء من الدفاع الأمامي ضد التهديدات الإلكترونية!
اضغط هنا لمزيد من التفاصيل عن الSOC Analyst Bootcamp:
https://cyber-dojo.co/bundles/soc-analyst-bootcamp/
اضغط هنا لمزيد من التفاصيل عن Digital Forensics and Incident Response (DFIR) Bootcamp:
https://cyber-dojo.co/bundles/dfir-bootcamp/
للحجز والاستفسار: كلمنا فورًا عبر الواتساب:
https://api.whatsapp.com/message/EKDS6MXZOI3IO1