الحمد لله حمداً كثيراً طيباً مباركاً فيه.
حابب أشارك تجربتي بشكل بسيط في امتحان eCIR، لعلّها تكون مفيدة لأي حد ناوي يدخل الامتحان .

الامتحان مكوّن من سيناريوهين عمليين:

السيناريو الأول: Splunk Investigation

• بيضم 8 أجهزة (machines) وبيكون بينهم جهاز مخترق (Compromised).
  بيكونوا محددينه في ال decrement الي بتنزله وقت الامتحان

• المطلوب:

  • تحديد طريقة الوصول الأولي (Initial Access).

  • تحليل أي نشاطات ضارة تمت على نفس الجهاز.

  • تحديد هل الأجهزة الأخرى تعرّضت للاختراق أم لا.

• لازم توثق كل حاجة:

  • كل Query تكتبه.

  • Screenshot لكل نتيجة.

  • شرح مفصّل لكل خطوة ونقطة تلاحظها (حتى لو كانت بسيطة أو مش مؤكدة).

السيناريو الثاني: ELK + Wireshark Analysis

• بيضم 6 أجهزة، لكن 4 منهم فقط فيهم نشاطات (hits).

• نفس خطوات السيناريو الأول

• بالإضافة لوجود ملف pcap تفتحه على Wireshark:

  • تستخرج منه أي سلوك مشبوه أو Indicators مرتبطة بالحالة.

ملاحظه مهمه:
م1اكره كورس ال eCIR لوحدها مش كافيه علاشن تدخل الامتحان
انا عملت ايه ؟
اولا: انا ذاكرت الكورس الي شرحه بمشهندس احمد سلطان ربنا يجزاه خير على الشرح الجميل والمعلومات الاضافيه الي بيضيفها
ثانيا: حليت لابات ال Threat Hunting على cyber defender
وحقيقي لابات ال Thrat hunting هتفيدكم جدا في حل الامتحان
لان الامتحان يعتبر بيعتمد على ال Hunting
فلو معندكش ال skills بتاعت ال Hunting هتتوه ومش هتعرف تدور ازاي او تدور على ايه
ثالثا : متسيبش حاجة حتى لو شايفها “بسيطة” → وثّقها في الـ report.
رابعا: خليك منظم في التنقل بين الـ machines وتوثيق التحليل بناء على ال
Cyber Kill Chain

وبالتوفيق للجميع

نقل الصورة إلى...

لم يتم العثور على ألبومات. الرجاء إنشاء واختيار الألبوم.

الألبومات

عنوان الألبوم

خصوصية

عام كل الأعضاء انا فقط

الغاء يخلق