-
ملخص اول محاظرة من كورس eCIR
هذا ملخص اول محاظرة من كورس eCIR
بفقرة يومية نتعلم شي جديد
اليوم ناخذ موضوع SOC قبل ما ندخل بل Incident Response
تكلمت عن SOC ب 5 بوستات سابقة ولكن هذا يعتبر الاساس والخطوة الأولى لفهم ال SOC.
eCIR
elearnSecurity Certified Incident Responseاستجابة الحدوات الامية، وال Incident حادث امني سبب ضرر او (تنبيه Alert)
او حالة طارئة عند حصول حدث يحتاج أن نعمل لها Hanelling. كيفة التعامل معها
اي ضرر سببه، كيف حصلة وكيف نمنع ذلك من حصوله مستقبلاً وهذا العمل
هو اختصا ص أل SOCما هو SOC?
Security Operations Center
هو مركز العمليات الامنة، يراقبب الانظمة الشبكة الداخلية وال traffic
يدخل للمؤسة او يخرج باستخدام Tools ويقسم الى ثلاث اقسام ثم يليها الرابع
ويسمى SOC manager ,والقسم يمسى بـ Tier او Level.
SOC-Tier 1 –> SOC-Tier2 –> SOC-Tier 3 —->SOC Managerيتكون الSOC من جزئين الي هم People و ال Process
وتقسم ال Process على الPeople, حيث ان كل Tier يأخد جزء من ال Processمستويات ال SOC او المسمى الوظيفي “Tier 1 & Tier 2 & Tier 3 & Manager”
ال SOC Tier 1 :
خط الدفاع الاول، مهتمه جمع كل data الي قادمة من Event و ال Logs ، تكون data جدا كبيرة ، وال data تكون نوعين الس قادمة من logs او Event، نوع اول طبيعية مافيها اي Alert وتسمى بعض الاحيان حميدة ،واستخراج منها Incident ، يسمى أيضا هذا SOC Analyst
هنا يبدي عمل ال SOC يعملون Triage للdata ويقوم بتحويلها لل SOC-Tier 2
ياخذ SOC Analyst جزء من ال Process ، ال Preparatio+ Identificationsال SOC Tier 2
يسمى بل Incident Response
المستوى الثاني مهتمه عمل Investigation لل data المرسلة من Tier-1 يقوم بلتحقيق فيها باستخدام Tools وتنكينك معين ، ثم ياخذ جزء من ال Process الي هم ال Containment احتواء لل data او Eradication تدمير او حذف او تلف للdata، او يقوم بارجاعها لل Tier-1 على انه تنبيه خاطى.ال SOC Tier 3
يسمى بل Hunter او Exper
المستوى الاعمق بل SOC, يكون خط الدفاع الثالث والاخير ، الية عملهم بحث بشكل دوري على اخر الاحدث السيبرانية والاختراقات الي حصلت على الشركات ،من أجل حماية المؤسسة ويصدرون بعض ال Policy siem solutions tools و اوامر تحديثات لل SOC Tier1-2
من اجل تجنب اي حدث طاري. ياخذ هذا مستوى جزء من Process و هو Recovery,ال SOC Manager
مدير مركز العمليات الامنية ويكون اعلى مستوى داخل SOC, ياخذ جزء من Process وهو Lessons Learned،تتمثل مهامه في إصدار السياسات واتخاذ القرارات وغيرهاوهذا diagram مبسط لتوضيخ كل ما ذكر اعلاه.
سجل دخول للرد