-
ملخص المحاظرة الثالثة ال Part 2
نكمل ب Incident handling Process Life Cycle
المرحلة الثانية Detection & analysis
المرحله الثانيه وهي تكون اطول مرحله في ال Process وهي المرحله الفعليه التي نعمل فيها تحليل ك SOC Tier 2 عند قدوم اي Alert من Tier 1🔴 ال Detection:
الكشف ، و وسائل الكشف means detection : اذا كانت عن طريق sensor او شخص
ال means detection: ادوات او وسائل الكشف مثل SIEM و logs و agent و IDS و Personnel
مشاركة مشاركه المعلومات بين T1 & T2 &T3, اذا توفرت اي معلومات استخبارات هي نستخدمها من اجل عمل كشف ‘detection’، + اضافة لذلك عمل segment للشبكة🟣 ال Key Point
1-ال Assign a prrimary incident handler : تعين الحوادث الامنية على الفريق
2- ال Safeguard information sharing:حماية المعلومات المشاركة، و وجود اتصال / تواصل احتياطي ، اي يعني وجود خطة بدلية اذا حصل شي
3- ال Network Categorizing: تنصيف الشبكة على 4 اقسام والي هن :
• Network Perimeter
• Host Perimeter
• Host Level
• Application Level4- ال Establish baselines, extend visibility : وتعني خط الاساس ومراقبة ، توسيع الرؤية، عمل catching لاي محاولة intrusion ,
🟢 Network Categorizing 🟢
تقسيم الشبكة الى مستويات حتى عملية ال detection تكون اسهل علينا
1- ال Network Perimeter: عمل detection على مستوى الشبكة نعمل ذلك نن خلال Security Devies مثل Fierwall و IPS و NIDS ,2- ال Host Perimeter: تعني عمل Analyze لل. Data and traffic المبعوث من Network ، يعني Host to Host ، نحلل باستخدام Local Firewall and HIPS, مهمتهم انه عمل monitoring على اي شي داخل وخارج من الشبكة. دائما نستخدم التكرار Redundancy
3- ال Host Level : انه احدى ال Hosts عليه Attacks او مصاب بفايروس . بعد قدوم ال Alert نبدا بل تحقق من antivirus و EDR , ال EDR يبعث Alert للسيرفر
4- ال Application Level: التحقيق في البرامج ، لان كل برنامج له logs وال logs تساعدنا اذا كان كان البرنامج مشبوه ؛ اذا كان execution كبيرة على service معينة يعني انه وجود shell.
🟢ال Analysis
التحليل ما بعد مرحلة الكشف، تحليل ال incident يشمل كل ما ذكر أعلاه..
يتم التحليل باستخدام عدة أدوات واهم أداة نستخدمها هي يتم تحليل كل ال Event and logs .