• شروحات الأعضاء

  Containment, Eradication & Recovery

  نشر بواسطة Mohammad Mahmoud في أكتوبر 1, 2024 في 3:58 م

  ملخص المحاظرة الثالثة من كورس eCIR
  Containment, Eradication & Recovery
  المرحلة الثالثة من ال Incident Response وتنقسم الى ثلاث اقسام :-

  📍ال Containment الاحتواء يعني كل ما نكشف ال incident بشكل اسررع فانقدر نعمل لها Containment بشكل اسرعو بعد التبليغ على ال incident و يتم احتواء الحدث قبل انتشاره
  Preventing an incident from getting worse

  🟢ما قبل الاحتواء Before Containment🟢
  تم الاعلان عن incident على احدى الاجهزة
  قبل البدء يجب عمل عددة امور :
  1- هل حصل malicious insider ام لا.
  2- عمل Isolate عزل جهاز المصاب او الاجهزة المصابة.
  3-ملى form خاصة incident casualty وهي (Name , IP, Data ،Time..etc)
  4- تصنيف ال incident , وتاثيرها ودرجه خطوراتها ولها تاثير على الماده البعيد وعلى حسب التاثير نختار Response Time , اذا كان التاثير Critical فهذا يكون بشكل فوري جدا واذا كان non-critical فيكون الاحتواء long term,
  المدى هل الاختراق ينشر بين الاجهزة، هل تم تسريب بيانات والخ

  وتنقسم ال containment الى ثلاث اقسام :

  🔴ال Short term
  توقيف ال intrusion بدون اي تعديل او حذف من harddisk كيف نقوم بذلك ؟
  نقوم بفصل الجهاز عن الانترنت , وتغير DNS , عزلها في lan منفصل، استشارت manager في اي Action نقوم باخذه ،

  🟢 ال system backup
  اخذ Imag من system من اجل العمل لها Forensics عند عمل data acquisition علينا التفكير ب Valatility وتعني الذاكره المؤقته مثل البيانات المخزنه في RAM,
  Registers -> CPU Cache –>RAM –> HDD –> External & secondary storage devices
  تنقسم Data قسمين :
  🔸ال Static Acquisition : البيانات الثابتة حتى لو تم اطفاء الجهاز وتكون مخزنة في Disk
  🔸الDynamic / Live Acquisition : البيانات المتغيرة وتكون في RAM

  🔴ال Long term
  على المدى البعيد تعاون مع ISP , لتزويدنا ب logs عند اخذ Action .
  اشا عرفنا كيف دخل ال Attack فا مباشرة نتخذ القرار واذا لا فا نتبع خطوة اخرى وهي Monitoring
  وهنا يكون لدينا سنايروهات اثنين :
  🔸الاول اذا تم اطفاء الجهاز ننتقل مباشرة الى مرحلة التدمير Eradication
  🔸الثاني اذا امر ب ابقاء System on نحتاج عده امور نقوم بها وهي التعديل ال rules لل HIDS ,IPS, , Firewall,

  📍ال Eradication
  الاستئصال || تدمير : بعد معرفة ال incident وسببها واي تكنيك و تكتيك استخدمه ال Attacket ،
  منع حدوثه مره اخرى نرى السبب الرئيسي نحذف او نعمل Isolate, لل data.
  اذا اردنا تطبيق معرفه السبب والحذف تقوم بتحليل logs و وحذف اي برمجات خبيثه

  📍ال Recovery :
  الاستعادة والمراقبة لل machine الي كان عليها incident ،
  بعدك ما العمليه الاستغساله والتدمير نرجع الى system الى مكانها في Network وتقوم بثلاث خطوات
  🔸 الأولى: استرجاع نسخه من Back-up ، وادخال الsystem على الشبكة.
  🔸الثانية : قبل اتخاذ القرار بلرجوع ان نقوم بمراقبتها
  🔸 الثالثة: مراقبة ال system وعمل analysis لل los

  المرحلة الرابعة وهي Post-Incident Activity
  الدروس المستفادة من بعد اكمال الثلاث مراحل الأولى. وفي مرحلة Report نقدم تقرير بشكل تفصيلي عن الحدث وطريقة معالجته والاضرار التي تسبب بها،
  ،report the identified weaknesses, oversights, blind spots, etc.

  حاولت قدر الامكان ان يكون الملخص مكتوب بشكل سلس

  وهذه ال digram تو ضح كل ما ذكر اعلاه …

  الى هنا و ننتهي من ال sections 1

  

  Mohammad Mahmoud قام بالرد منذ 3 أيام, 8 ساعات 1 عضو · 0 ردود
• 0 ردود

سجل دخول للرد