-
مساء الخير يا جماعة،
حالياً أنا بحاول أعمل مركز عمليات أمنية (SOC) في الشركة عندنا من الصفر، لأن ماعندناش أي نظام مراقبة أو بنية أمنية موجودة قبل كده. الفكرة إني أبني مركز يقدر يراقب الشبكة بشكل كامل ويجمع اللوجز من الأنظمة المختلفة، ويكون عنده القدرة يكتشف أي نشاط غير طبيعي. من الأشياء اللي مركز عليها تحديداً إننا نقدر نعرف فوراً لو جهاز جديد اتوصل بالشبكة أو ظهر IP أو Device مش معروف، بحيث نقدر نتابعه ونعرف هو تابع لمين وهل هو مصرح له أو لا.
حابب أسمع من الناس اللي مرّت بنفس التجربة، خصوصاً لو حد اشتغل على بناء SOC كامل ومتكامل داخل شركة ماكانش فيها أي Monitoring قبل كده. إيه كانت أول الخطوات اللي بدأتوا بيها؟ وإزاي بنيتوا نظام يراقب الشبكة ويكشف الأجهزة الجديدة أو أي نشاط مش طبيعي؟ وأي أدوات أو حلول استخدمتوها في البداية لحد ما بقى عندكم مركز مراقبة فعلي.
Nasser Alkenani, Mostafa Khalaf و 3 آخرون3 تعليق-
مبدايا وقبل اي حاجه
في الاول لازم احدد انهي Logs اللي تهمني من الاجهزه مينفعش احدد كل لوجات اللي بتحصل عندي لازم احدد الحاجات المهم زي Process Creation و Add user وغيره وافعل اللوجات دي ع كل الاجهزه كل دا من خلال Ad تحديدا من خلال GPO
مجرد ما احدد اللوجز اللي عايزها ابتدي احط Agent علي الاجهزه دي طب اي Agent دا السينسور او البرنامج التابع لSiem اللي هشتغل عليه يعني لو هتعامل مع Splunk فلازم اسطب علي كل الاجهزه اللي هتبعت الLogs هحط عليها Forwarder عشان يبعت اللوجات للSiem
مجرد ما اعمل كدا لازم من اليمه التانيه اسطب الsiem واستقبل الLogs واعمل ليها Enrichment يعني لو فيه IP تابع لSubnet والSubnet دي تخص الHR ف تقولي ان الIP دا تابع للHR او مثال تاني لو ف IP خارجي عامل عليا Attack ف يجيلي معاه الLocation بتاعه من انهي دوله والScore علي مواقع الThreat Intel
مجرد ما استقبل اللوجات وكل حاجه تبقي تمام هبتدي اعمل Rules عندي عشان احدد اي abnormal اللي بيحصل عندي ف الشركه زي … لو حد عمل Login Failure عشرين مره علي جهاز واحد يديني Alert او لو في User اتعمله Create علي السيستم ف لازم اعمل Validate واتاكد مين User وهل يخص Attacker ولا موظف واتعمله Create عادي
ف نا كدا شرحتلك الفكره العمليه والصح تمشي فيه ازاي
-
حلو بس لو معك فروع هل بيكونو مربوطين بال ad كلهم
-
@Moh7810 ايوا لازم كلهم يبقو مربوطين بالAd
1
-
-
