تم انشاء هذه الصفحة لكي تكون دليلك الارشادي للعمل في مركز العمليات السيبرانية المستوى الاول Level -1 وهو المستوى الاولي في مركز العمليات السيبرانية وسنقوم بالتدرج حسب جدول المحتويات ادناة
-
🔰 مقدمة عن محلل التهديدات السيبرانية المستوى الاول SOC-LEVEL 1
-
📑 الوصف لمحلل التهديدات السيبرانية
-
👨🏻💻 المهام لمحلل التهديدات السيبرانية
-
📃 المعارف لمحلل التهديدات السيبرانية
-
👨🏻💻 المهارات لمحلل التهديدات السيبرانية
-
🔱 القدرات لمحلل التهديدات السيبرانية
-
📜 الشهادات الاحترافية لمحلل التهديدات السيبرانية
-
📚 الكتب الخاصة بمحلل التهديدات السيبرانية
-
📑 ادلة التعامل مع التهديدات السيبرانية PlayBooks
-
📑 نماذج لتقارير الحوادث السيبرانية وكيفية كتابتها
-
📖 مواقع الالكترونية تساعدك في عمليات التحليل اليومي لتهديدات
-
📚 مصادر ومراجع مفيدة في عملك اليومي
حسب تصنيف الهيئة الوطنية للامن السيبراني ان محلل الامن السيبراني المستوى الاول يندرج تحت مجال التخصص "ادارة التهديدات" و المسمى الوظيفي الخاص به هو "محلل معلومات التهديدات السيبرانية” لذلك سنقوم باستخدام هذا الاسم في جميع ما يخص هذا المحتوى
حسب تعريف الهيئة الوطنية للامن السيبراني : جمع معلومات عن التهديدات السيبرانية من مصادر مختلفة وتحليلها لتكوين فهم وإدراك عميقين للتهديدات السيبرانية، وخطط المخترقين، والأساليب والإجراءات المتبعة، لاستنباط وتوثيق مؤشرات من شأنها مساعدة المنظمات في الكشف عن الحوادث السيبرانية والتنبؤ بها، وحماية ال ُنظم والشبكات من التهديدات السيبرانية.
ان المهام المذكورة ادناة هي مهام مقتبسة من اطار سيوف الخاص بالهيئة الوطنية للامن السيبراني
رمز المهمة | الوصف |
---|---|
T5056 | تتبع حالة طلبات المعلومات، بما يتوافق مع سياسات المنظمة. |
T5502 | الإجابة عن طلبات المعلومات بما يتوافق مع سياسات المنظمة. |
T5502 | الإجابة عن طلبات المعلومات بما يتوافق مع سياسات المنظمة. |
T5503 | استخدام المعرفة بممثلي التهديد وبالأنشطة لبناء فهم مشترك عن حالة المخاطر الحالية للمنظمة. |
T5504 | استخدام المعرفة بممثلي التهديد وبالأنشطة لإفادة المنظمة في الاستجابة لحادث سيبراني. |
T5505 | تنسيق مصادر المعلومات الإستباقية لتهديدات الأمن السيبراني ونقاط التغذية، والتحقق من مصداقيتها وإدارتها. |
T5506 | تحديد الثغرات في المعلومات الإستباقية للتهديدات وتقييم آثارها على المنظمة. |
T5507 | إعداد وتقديم ملخصات عن تهديدات معينة للمنظمة. |
T5508 | التعاون ومشاركة المعلومات مع محللي معلومات التهديدات الذين يعملون في المجالات ذات الصلة. |
T5510 | إجراء التحليل العقدي الشبكة. |
T5515 | تقييم عمليات صنع القرار بشأن التهديدات. |
T5517 | تحديد التهديدات الأساسية للثغرات المعروفة بالمنظمة. |
T5519 | تحديد أساليب التهديد ومنهجياته. |
T5524 | المراقبة والإبلاغ عن التغيرات في ميول التهديدات وأنشطتها وأساليبها وقدراتها وغاياتها. |
T5525 | مراقبة أنشطة التهديد التي تمت مصادقتها والإبلاغ عنها. |
T5526 | مراقبة المواقع مفتوحة المصدر للمحتوى العدائي الموجه ضد مصالح المنظمة أو شركائها. |
T5527 | مراقبة أنشطة الجهات التي تمثل مصدر للتهديدات والإبلاغ عنها، لتحقيق متطلبات المنظمة المتعلقة بالمعلومات الإستباقية للتهديدات والبلاغات. |
T5528 | تسخير الخبرة حيال ممثلي التهديد لدعم أنشطة التخطيط والتطوير لاستراتيجية وموارد الأمن السيبراني للمنظمة. |
T5529 | توفير المعلومات والتقييمات عن ممثلي التهديد لدعم أصحاب المصلحة في تخطيط وتنفيذ أنشطة الأمن السيبراني. |
T5530 | تقديم التحليل والدعم الحي في مجال المعلومات الإستباقية للتهديدات خلال تمارين وحوادث الأمن السيبراني. |
T5531 | مراقبة مصادر التغذية للمعلومات الإستباقية للتهديدات والإبلاغ عن الأحداث الشبكية الكبيرة وحالات التسلل. |
T5535 | المحافظة على تصور مشترك للمعلومات الإستباقية. |
T5536 | القيام بأبحاث وعمليات تحليل متعمقة. |
T5537 | تطوير متطلبات المعلومات اللازمة للاستجابة لطلبات المعلومات ذات الأولوية. |
T5538 | إنشاء طلبات للمعلومات. |
T5539 | إصدار معلومات إستباقية مدمجة وفي الوقت المناسب من كافة مصادر العمليات السيبرانية ومن دلائل وتحذيرات منتجات المعلومات الإستباقية (مثل تقييمات التهديدات، والإيجازات، ودراسات المعلومات الإستباقية، ودراسات الدول). |
T5540 | توفير دعم المعلومات الإستباقية الآني لأصحاب المصلحة الداخليين والخارجيين المهمين، حسب الملائم. |
T5541 | توفير التقييم والتغذية الراجعة اللازمة لتحسين إنتاج المعلومات الإستباقية و تقاريرها عمليات و متطلبات جمعها. |
T5542 | توفير إخطارات آنية بالمقاصد أو الأنشطة الوشيكة أو العدائية، أو الأنشطة التي قد تؤثر على غايات المنظمة أو مواردها أو قدراتها. |
T5543 | العمل الوثيق مع المخططين ومحللي معلومات التهديدات ومديري التجميع؛ لضمان دقة وحداثة متطلبات المعلومات الإستباقية وخطط تجميعها. |
T5544 | تحديد أساليب ومنهجيات التهديد السيبراني. |
ان المعارف المذكورة ادناة هي المعارف المقتبسة من اطار سيوف الخاص بالهيئة الوطنية للامن السيبراني
رمز المعرفة | الوصف |
---|---|
K0066 | معرفة مكونات الحاسبات المادية و المعماريةو ملحقاتها ووظائفها. |
K0043 | معرفة بأفضل الممارسات لمنهجيات تحليل حركة المرور عبر الشبكات. |
K0027 | معرفة بمبادئ التفاعل بين الإنسان والحاسب. |
K0006 | معرفة بالتبعات التشغيلية المتوقعة على المنظمة جراء الاختراقات الأمنية. |
K0005 | معرفة بالتهديدات والثغرات ذات العلاقة بالأمن السيبراني. |
K0004 | معرفة بمبادئ الأمن السيبراني والخصوصية. |
K0003 | معرفة بجوانب الأمن السيبراني لمتطلبات القوانين والأنظمة فيما يتعلق بالأخلاق والخصوصية. |
K0002 | معرفة وفهم بتقييم المخاطر وبمنهجيات المعالجة والإدارة. |
K0001 | معرفة بمكونات الشبكة وبتشغيلها وبضوابط ومنهجيات أمن الشبكة المناسبة. |
K5500 | معرفة بمفاهيم ومصطلحات وعمليات وسائط الاتصال. |
K0165 | معرفة بكل ما يمثل تهديدًا لأمن الشبكة. |
K0163 | معرفة بأساسيات أمن الشبكات. |
K0161 | معرفة بأجهزة الشبكة المادية والمنطقية وكذلك البنية التحتية. |
K0159 | معرفة بأمن عمليات تقنية المعلومات. |
K0157 | معرفة بخوارزميات التشفير. |
K0155 | معرفة بمصطلحات اتصالات البيانات. |
K0099 | معرفة بمراحل الهجوم السيبراني. |
K0074 | معرفة بمتطلبات ولوائح الأمن السيبراني الوطنية ذات الصلة بالمنظمة. |
K5511 | معرفة بالمنتجات الأمنية المخصصة للاستضافة وكيفية تأثير هذه المنتجات في الحد من التعرض للاستغلال. |
K5509 | معرفة بتقنيات الاتصالات الناشئة والمتطورة وآثارها على الأمن السيبراني. |
K5508 | معرفة بمفاهيم عمليات الأمن السيبراني ومصطلحاتها ومبادئها وقيودها وآثارها . |
K5507 | معرفة بمصادر المعلومات الاستباقية للتهديدات السيبرانية وقدرات كل منها. |
K5506 | معرفة بمجموعات التسلل الحاسوبية. |
K5504 | معرفة بإصابات الحاسب والشبكات الشائعة ومنهجياتها. |
K5503 | معرفة بمعايير وسياسات وإجراءات تصنيف ووسم المعلومات والوثائق على المستوى الوطني وعلى مستوى المنظمة. |
K5502 | معرفة بمنهجيات الهجوم وأساليبه. |
K5501 | معرفة بأنواع مواقع الشبكة العنكبوتية وإدارتها ووظائفها، ونُظم إدارة المحتوى. |
K5520 | معرفة بأسلوب عنونة شبكة الإنترنت. |
K5519 | معرفة بالخطط التي يمكن للمنظمة تسخيرها للتنبؤ بقدرات وأعمال المهاجمين وصدها. |
K5518 | معرفة بكيفية استخدام المعلومات الاستباقية للتهديدات السيبرانية لإفادة العمليات التشغيلية للأمن السيبراني في المنظمة. |
K5517 | معرفة بكيفية استخدام المعلومات الاستباقية للتهديدات السيبرانية لإفادة التخطيط للأمن السيبراني في المنظمة. |
K5516 | معرفة بمختلف أنواع المنظمات والفرق والأفراد المشاركين في جمع المعلومات الاستباقية عن التهديدات السيبرانية. |
K5515 | معرفة بكيفية استخلاص البيانات الوصفية المجملة، وكيفية تحليلها واستخدامها. |
K5514 | معرفة بالمخاطر التي تمثلها الشبكات اللاسلكية على أمن المنظمة السيبراني. |
K5513 | معرفة بالمخاطر التي تمثلها الشبكات الهاتفية الرقمية الحديثة على أمن المنظمة السيبراني. |
K5512 | معرفة بطريقة عمل تطبيقات الاتصالات عبر الإنترنت. |
K5533 | المعرفة بالهيكل الأساسي لأنظمة الاتصالات اللاسلكية الحديثة، ومعماريتها وتصميمها. |
K5532 | معرفة بمنتجات المحاكاة الافتراضية. |
K5530 | معرفة بكيفية استخدام شبكة الإنترنت من قبل ممثلي التهديد على المنظمة، وما هي معلومات الاستهداف التي يمكنهم استخلاصها منها عن المنظمة. |
K5528 | معرفة بالهيكل الأساسي للشبكات الرقمية والهاتفية الحديثة، ومعماريتها وتصميمها. |
K5527 | معرفة بأساسيات الاتصالات بعيدة المدى. |
K5524 | معرفة بقيادات المنظمة، وهيكلها الإداري، وإجراءات صنع القرار السيبراني. |
K5523 | معرفة بالبرمجيات الضارة. |
ان المهارات المذكورة ادناة هي مهارات المقتبسة من اطار سيوف الخاص بالهيئة الوطنية للامن السيبراني
رمز المهارة | الوصف |
---|---|
S0049 | مهارة إجراء البحث باستخدام الشبكة العنكبوتية العميقة بفاعلية وأمان. |
S0051 | مهارة إعداد وتقديم الملخصات بفاعلية ووضوح واختصار. |
S0055 | مهارة استخدام التغذية الراجعة لتحسين عمليات الأمن السيبراني ومنتجاته وخدماته. |
S2536 | مهارة تفصيل التحليل إلى المستويات اللازمة بنا ًء على السياسات التنظيمية المتعلقة بالتعامل مع البيانات وتصنيف المواد الحساسة وتوزيعها. |
S5500 | مهارة إجراء بحوث غير محددة المرجعية. |
S5501 | مهارة تحديد وتوصيف جوانب البيئة التشغيلية ذات العلاقة باستراتيجية الأمن السيبراني. |
S5502 | مهارة التطوير أو التوصية بمناهج تحليلية في المواقف التي تكون فيها المعلومات غير كاملة، أو التي لا توجد لها سابقة. |
S5504 | مهارة تقييم المعلومات للتأكد من موثوقيتها ومصداقيتها وملاءمتها. |
S5507 | مهارة تحديد التفسيرات التحليلية البديلة لتقليل النتائج غير المتوقعة. |
S5509 | مهارة تحديد التهديدات السيبرانية التي تعرض مصالح المنظمة أو أصحاب المصلحة بها للخطر. |
S5510 | مهارة تحديد وتحليل العلاقات المادية، والوظائفية أو السلوكية لتطوير الفهم للمهاجمين وغاياتهم. |
S5516 | مهارة صياغة الاستعلامات البسيطة والمعقدة. |
S5517 | مهارة استخدام أدوات تحليلية متعددة وقواعد البيانات والأساليب. |
S5518 | مهارة استخدام العديد من محركات البحث والأدوات لإجراء عمليات البحث مفتوحة المصدر. |
S5520 | مهارة استخدام مساحات العمل التعاوني الافتراضية وأدواتها بما يتوافق مع سياسات الأمن السيبراني للمنظمة. |
S5521 | مهارة كتابة منتجات التقييم للأمن السيبراني، ومراجعتها وتحريرها، باستخدام معلومات مستخلصة من مصادر متعددة. |
ان القدرات المذكورة ادناة هي قدرات المقتبسة من اطار سيوف الخاص بالهيئة الوطنية للامن السيبراني
رمز القدرة | الوصف |
---|---|
A0002 | القدرة على توصيل مفاهيم وممارسات الأمن لاسيبراني بطريقة فعالة. |
A0014 | القدرة على الحصول على البيانات المستخدمة في أنشطة جمع المعلومات الإستباقية للتهديدات السيبرانية والتقييم والتخطيط من مصادرها. |
A0016 | القدرة على تحديد مدى موثوقية المعلومات وصحتها وصلتها بالموضوع محل الدراسة. |
A0018 | القدرة على تركيز جهود البحث لتلبية متطلبات الأمن السيبراني وحاجات صناع القرار بالمنظمة. |
A0019 | القدرة على العمل في بيئة تعاونية للاستفادة من الخبرات التحليلية والتقنية. |
A0020 | القدرة على تحديد النقص في جمع المعلومات الإستباقية للتهديدات وغيرها من معلومات الأمن السيبراني. |
A0022 | القدرة على إدراك محاولات التدليس في المعلومات التي تم الحصول عليها ومعالجة أثرها وتقديم التقارير والتحليلات المناسبة. |
A0025 | القدرة على تطبيق التفكير النقدي. |
A2513 | القدرة على التعاون بفاعلية عبر الفرق الافتراضية والهياكل الإدارية المصفوفية. |
A2514 | القدرة على تقييم وتحليل وتحويل كميات كبيرة من البيانات إلى تقارير مدمجة وعالية الجودة. |
A2516 | القدرة على العمل بفاعلية في بيئة ديناميكية سريعة الوتيرة وكثيرة التغير. |
A2523 | القدرة على معرفة التحيزات الفكرية، التي قد تؤثر على التحليل، ومعالجتها. |
A2525 | القدرة على استخدام مصادر معلومات متعددة لإفادة جهود الأنشطة ذات العلاقة بالأمن السيبراني. |
A5500 | القدرة على التعبير بوضوح عن متطلبات المعلومات الاستباقية لتهديدات الأمن السيبراني على هيئة أسئلة بحثية جيدة الصياغة ومتغيرات تتّ ُبع البيانات لأغراض تتبع الاستعلامات. |
A5501 | القدرة على تطوير مناهج وحلول قائمة على التحليل للمشكلات التي تكون فيها المعلومات غير مكتملة أو تلك التي لم يحدث مثيل لها سابقاً. |
A5502 | القدرة على التفكير كممثلي التهديدات. |
المستوى | المهام المناطة بك |
---|---|
محلل التهديدات السيبرانية المستوى الاول | متابعة انظمة رصد التهديدات السيبرانية وانشاء التذاكر بناءاً عليها ورفعها الى الفريق المختص وقد تتطلب بعض التذاكر تدخل المستوى الثاني من فريق تحليل التهديدات السيبرانية في حال وقوع حادثة او استغلال ثغرة وكما يجب عليك معرفة كيفية استخلاص المعلومات المهمة لتذاكر من اجهزة الانذارات كـIDS وغيرها وكذلك معرفة قراءة البيانات الصادرة من Netflow وما الى ذلك. |
هي الشهادة العامة في مجال العتاد والانظمة الخاصة بالحاسب الالي وستعطيك نظرة شاملة وكاملة عن كيف يعمل الحاسب وما هي القطع الخاصة به وما هو هدف كل قطعة وسشرح لك انظمة التشغيل وانواعها المختلفة
-
🔗 الملاحظات والمصادر لشهادة A +
ان شهادة Network + هي الشهادة الاساسية و المدخل الى عالم الشبكات والامن السيبراني بكل تفرعاته حيث تعطيك الاساسيات عن الشبكات كيف تعمل وكيف هي مرتبطة ببعضها وماهي البرتوكولات المشهورة في عالم الشبكات وهي خطوة اساسية لا يجب قفزها
-
🔗 الملاحظات والمصادر لشهادة Network +
هي مدخل الى الامن السيبراني حيث ستتعرف في هذه الشهادة المعلومات في مجال الامن السيبراني وتقوم هذه الشهادة بتأسيس المبادئ لديك في الامن السيبراني القائم على السلامة والتوفر والخصوصية
-
🔗 الملاحظات والمصادر لشهادة Security +
بعد الانتهاء من شهادة Security + او الجانب النظري نتطرق في شهادة PTS الي الجانب العملي ففي هذه الشهادة ستقوم بتطبيق جميع ما تعلمتة من خلال مختبرات مجهزة وشروحات لها وكذلك الحل في حال لم تستطيع اانجاز المختبر
-
🔗 سياسة التعامل مع البرمجيات الخبيثة Malware Playbook
-
🔗 سياسة التعامل مع البريد الاحتيالي Malware phishing playbook
-
🔗 سياسة التعامل مع تسريب البيانات Data Theft playbook
-
🔗 سياسة التعامل مع الفايروسات المدمرة Vuris outbreak Playbook
-
🔗 سياسة التعامل مع هجمات حجب الخدمة ى DDOS Playbook
-
🔗 سياسة التعامل مع الوصول الغير مصرح به Unauthorized Playbook
-
🔗 سياسة التعامل مع تصعيد الصلاحيات elevation of privilege Playbook
-
🔗 سياسة التعامل مع الاستخدام الغير صحيح لانظمة الشركة improper Usage Playbook
-
🔗 سياسة التعامل مع استخدام حساب صلاحيات عالية في الاعمال اليومية Root access Playbook
النطاق | الوصف |
---|---|
https://www.virustotal.com | يقدم لك تحليل للبرمجيات الضارة وكذلك استعلام عن الملفات والعناوين الخبيثة وتستطيع استخدامة بشكل مجاني. |
https://hybrid-analysis.com | يقدم لك تحليل تلقائي للبرمجيات الضارة |
https://any.run/ | يقدم لك بيئة خاصة لتحليل البرمجيات الضارة |
https://whois.domaintools.com/ | يقدم لك معلومات شاملة عن عناوين IPs |
https://www.threatcrowd.org/ | يقدم لك رسم بياني عن علاقة العناوين او النطاقات ببعضها البعض مفيد في عمليات ربط التهديدات |
https://socprime.com/ | في حال وجود UseCase ولا تعرف كيف تقوم إنشاءها قم باستخدم هذا الموقع الذي يستطيع تحويل التواقيع لاي SIEM لديك |
https://community.riskiq.com/ | يقدم لك معلومات استخباراتية جبارة ولكن بقدرات محدودة للحساب المجاني |
https://www.paloaltonetworks.com/cortex/autofocus | يقدم لك معلومات استخباراتية محدثة |
https://unit42.paloaltonetworks.com/ | يقدم لك تقارير استخباراتية عن اخر الهجمات السيبرانية |
https://otx.alienvault.com/ | منصة مفتوحة المصدر تقدم لك معلومات استخبارتية محدثة |
https://mxtoolbox.com/ | يقدم لك خدمات متعددة لعمليات التحليل لتهديدات السيبرانية |
https://gchq.github.io/CyberChef/ | يقدم لك اداء متميزة في عمليات فك الترميز |
www.shodan.io | يقدم لك منصة بحث عن الاجهزة المتصلة بالانترنت |
https://www.abuseipdb.com/ | للبحث عن العناوين الضارة وتقييمها |
https://malware-traffic-analysis.net/ | يقدم لك تحليل كامل وشامل لاخر البرمجيات الخبيثة |
https://www.phishtank.com/developer_info.php | يقدم لك معلومات كاملة عن اخر هجمات البريد الاحتيالي |