تحليل الـ Event:
اولاً نختار Create case عشان نبدا بالتحليل
اولاً نختار Create case عشان نبدا بالتحليل
نروح لـ Log management ونسوي فلتر بناء على رقم الـIP للسيرفر اللي صار عليه الهجوم ونلاحظ ان المنافذ اللي عليها Traffic هو منفذ 443 ( يعني موقع ويب )
نلاحظ اذا دخلنا على الـ Traffic ان الطلبات تكون لرابط معين وحالة الطلب 200 يعني ناجح وفيه استجابه، ونلاحظ طلبات مثل
Whoami
Cat /etc/passwd
وهذا يعني ان تم ارسال الاوامر واستقبال الردود وان الاختراق ناجح
Whoami
Cat /etc/passwd
وهذا يعني ان تم ارسال الاوامر واستقبال الردود وان الاختراق ناجح
واذا رحنا الى Endpoint security عشان نعرف الجهاز بنشوف عندنا اكثر من نقطة ممكن نتحقق منها وهي محدده بالصورة
- نشوف تاريخ التصفح طبيعي مافيه شي
- تاريخ الاوامر نلاحظ عدة طلبات تمت وهنا نتأكد ان كان فيه اختراق
- من ناحية الشبكات كل شي طبيعي
- من ناحية عمليات الجهاز نلاحظ فيه اكثر من عملية تدل على الاختراق وبصلاحية root
- تاريخ الاوامر نلاحظ عدة طلبات تمت وهنا نتأكد ان كان فيه اختراق
- من ناحية الشبكات كل شي طبيعي
- من ناحية عمليات الجهاز نلاحظ فيه اكثر من عملية تدل على الاختراق وبصلاحية root
بما انه تأكدنا ان فيه هجوم نختار request containment وبكذا نعزل الجهاز عن الشبكة
واذا بحثنا عن الـIP اللي بدا بالهجوم بشكل عام بالانترنت نشوف انه مصنف كـIP كخطير وانه تم التبليغ عليه كثير
بكذا تأكدنا ان كان فيه اختراق فنروح نقفل الـEvent من Case management
- اولا الـevent صار فيه هجوم فعلي فنختار malicious
- ثانياً نوع الهجوم command injection
- اولا الـevent صار فيه هجوم فعلي فنختار malicious
- ثانياً نوع الهجوم command injection
- ثالثاً الهجوم غير مخطط له فنختار not planned
- رابعاً الهجوم جاي من الانترنت للمنشأة
- خامساً هل الهجوم ناجح ، نعم
سادساً نوضح تفاصيل الهجوم كنقاط لاغلاق الـEvent
- رابعاً الهجوم جاي من الانترنت للمنشأة
- خامساً هل الهجوم ناجح ، نعم
سادساً نوضح تفاصيل الهجوم كنقاط لاغلاق الـEvent
- تصعيد الـevent للمستوى الاعلى للتحليل بشكل اعمق
- تقرير لنوع الهجوم وتفاصيله
- اغلاق التنبيه
- تقرير لنوع الهجوم وتفاصيله
- اغلاق التنبيه
نشوف ان الاجابات صحيحة وتحليلنا صحيح ✅
جاري تحميل الاقتراحات...