Incident Handling
الـ Plan بتستخدمها فى عملية الـ Incident Handling بتبقى عبارة عن 3 مراحل وهى :
• Perspiration
• Discovery
• Detection & Analysis
• Post Incident & Activity
إظهار الرسائل ذات التسميات Security Operation Center. إظهار كافة الرسائل
إظهار الرسائل ذات التسميات Security Operation Center. إظهار كافة الرسائل
الاثنين، 26 يوليو 2021
الجمعة، 23 يوليو 2021
Cyber Security Operations Center
سؤال ما هو CSOC
هو هو الـ Soc بس فى بعض المنظمات بتسمية Cyber Security Operations Center و هو بيضم
فريق الاستجابة لحوادث أمن الكمبيوتر (CSIRT)
أو مركز الاستجابة لحوادث الكمبيوتر (CIRC) ، ، أو فريق استجابة طوارئ
الكمبيوتر (CERT)
و هذا يعنى أن CSOC
يعمل على الدفاع ضد الأنشطة غير المصرح بها على الشبكات الإستراتيجية وهذا يشمل
المراقبة والكشف والتحليل وكذلك أنشطة الاستجابة والاستعادة و قد يتكون من فريق
يتألف بشكل أساسي من محللي أمن الشبكات المنظمين لاكتشاف ، وتحليل ، والرد على ،
والإبلاغ ، ومنع حوادث أمن الشبكة على مدار اليوم و يوجد عدة أنواع من الـ CSOC و هى كالاتى
Virtual CSOC
Distributed CSOC
Dedicated CSOC
Command CSOC
الاثنين، 19 يوليو 2021
Depth of defense & Cyber Attack Chain
فى الـ Depth of defenseالى اتكلمنا عة فى
البوست دا
https://cutt.ly/JrGNI8y
هنلاقى ان هيا
Strategic Number One فى أى Organization ودى الى بيساعدك على تتبع
اى Cyber Attack Chain الى أكلمنا عنها فى
البوست الى فات
و دا طبعا فى ظل
وجود الـ Firewall ممكن
نراجع البوست دا
https://cutt.ly/ymNmWWo
مع وجود أيضا الـ SIEM
https://cutt.ly/DrGNJHS
أيه هو الـ Cyber-Attack Chain
جالى سؤال و حبيت أشركة معاكم و ان عبارة عن
أيه هو الـ Cyber-Attack Chain
بأختصار هو الخطوات الى بيتبعها الـ APT فى الـ Attack الى بيعملة و أغلبيا بتتمثل فى الاتى
الأحد، 18 يوليو 2021
Threat Intelligence
تعريف الـ Threat Intelligence
هو تجميع بيانات من اماكن مختلفة زى مثلا الـ Social Media / Vendor …. عشان اقدر استفاد من الداتا دى و بيتم المعامل معاها كجزئين جزء خاص بالـ Data و دى بتبقى ال IP-Domain-Url … أما الـ Threat بتبقى زى APT-Hack visit - Cybercrimes الداتا الى بيتم تجميعها بيتم عمل عليها Analysis عشان تطلع Intelligence و بتنقسم الـ Intelligence لى 3 نطاقات مختلفة و هى كالاتى Tactical & Operational & Strategic الى بيتم عمل عليها Categories عشان تقدر تاخد الـ Action حسب الـ Areas فى الـ Area Strategic ديما بيسال على الاتى Who & Why & Where و دا بيكون عن طريق CIO أما فى الـ Operational Area بيكون فى العموم سؤالة How و دا عن طريق Threat Hunter أما فى Tactical Area بيكون سؤالة عن What & When و دا عن طريق SOC Analyst
الثلاثاء، 13 يوليو 2021
SOC Technology
المرة الى فاتت أكلمنا عن أن الـ SOC عبارة عن مثلث لية 3 أضلاع مهمين جدا و أتكلمنا عن ال People النهاردة هنشوف ال Technology
السبت، 10 يوليو 2021
Security Operation Center Delivery Manager
Security Operation Center Delivery Manager
لما نركز شوية هنلاقى ان الـ SOC لية 3 أضلاع مينفعش يبقى فيهم أى خلل وهما كالاتى:
People
Operation
Technology
تعالوا اوريكم الـ People بيتمثل فى أية
الخميس، 8 يوليو 2021
SOC Part 4 "SOC major responsibilities are"
SOC major responsibilities are
- · Monitor, Analyze, Correlate & Escalate Intrusion Event
- · Develop Appropriate Responses, Protect, Detect, Respond
- · Conduct Incident Management and Forensic Investigation
- · Maintain Security Community Relationships
- · Assist in Crisis Operation
SOC Part 3 "SOC are Designed To"
SOC are Designed To
·
Protect mission critical
data and assets
· Prepare for and respond to cyber emergencies
· Help provide countintinty and efficient recovery
· Prepare for and respond to cyber emergencies
· Help provide countintinty and efficient recovery
الأحد، 4 يوليو 2021
Splunk SIEM Part 2
أثناء مذاكرة الـ Splunk Fundamentals كان فى كذا معلومة حبيت أوضحها للناس المهتمة بالـ Soc
أية Type Of Data الى بيتعامل معاها
- Computers
- Network Devices
- Virtual Machines
- Internet Devices
- Communication Devices
- Sensors
- DataBases
- Logs
- Configurations
- Messages
- Call Detail Records
- Clickstream
- Alerts
- Metrics
- Scripts
- Change
- Tickets
و لما نيجى نبص على Deploy هنلاقى
- Splunk Enterprise
- Splunk Cloud
- Splunk Light
و فى ال Solutions
- Splunk IT Services Intelligence
- Splunk Enterprise Security
- Splunk User Behavior Analytics
نيجى نبص Splunk Components
- Indexer
- Search Head
- Forwarder
الخميس، 1 يوليو 2021
IBM QRadar SIEM Part1
QRadar Capabilities
· Log Activity
· Network Activity
· Assets
· Offences
· Report
· Data Collection
QRadar Architect :
1. QRadar Console
2. QRadar Event Collector
3. QRadar Event Processor
4. QRadar QFlow Collector
5. QRadar Flow Processor
6. QRadar Data Node
7. QRadar App Host
الاشتراك في:
الرسائل (Atom)