صيد التهديدات يقلب نموذج الأمان التقليدي رأساً على عقب: بدلاً من انتظار التنبيهات، فإنك تفترض بشكل استباقي أن الاختراق حدث وتبحث عن الأدلة. عندما يتم إجراؤه بشكل صحيح، يكتشف الخصوم الذين يتجاوزون الدفاعات الآلية. يوضح هذا الدليل عملية عملية قابلة للتكرار يمكنك تطبيقها بغض النظر عن حجم منظمتك أو مجموعة الأدوات الخاصة بك.
لماذا يهم الصيد
الكشف القائم على التوقيع وحتى معظم تحليل السلوك يكتشف فقط الأنماط المعروفة كضارة أو الشذوذ الواضح. المهاجمون الماهرون يعملون عن قصد تحت هذا الحد الأدنى، باستخدام الأدوات الشرعية (living-off-the-land binaries)، بيانات اعتماد صحيحة، والحركة البطيئة والصبورة. يغلق صيد التهديدات هذه الفجوة من خلال جعل محلل بشري يشكل فرضيات حول سلوك المهاجم والبحث النشط عن أدلة داعمة في البيانات الخاصة بك.
بناء عملية قائمة على الفرضيات
الصيود الفعالة تبدأ بفرضية محددة وقابلة للاختبار بدلاً من حملة صيد عشوائية بلا توجيه. تأتي الفرضيات الجيدة عادة من ثلاثة مصادر:
- ذكاء التهديدات: يصف تقرير جديد تقنية تستخدمها مجموعة تستهدف صناعتك. الفرضية: "إذا كانت هذه المجموعة نشطة في بيئتنا، سنرى PowerShell تحمل أحمالاً عبر نمط محدد."
- فجوات MITRE ATT&CK: اربط تغطية الكشف الحالية بتقنيات ATT&CK وحدد أولويات الصيود للتقنيات التي لا يمكنك الكشف عنها تلقائياً حالياً.
- الفضول المدفوع بالشذوذ: أوقات تسجيل دخول غير عادية، علاقات عملية أب-طفل نادرة، أو اتصالات خارجية غير متوقعة لا تؤدي إلى تنبيهات لكنها تبدو غريبة عند المراجعة.
وثق كل فرضية، مصادر البيانات التي ستستعلم عنها، والأدلة التي ستؤكد أو تنفي ذلك. هذا الانضباط يمنع الصيود من أن تصبح غير منظمة ويجعل النتائج قابلة للتكرار.
تعرف على مصادر البيانات الخاصة بك
الصيد لا يكون أفضل من البيانات الكامنة وراءه. تشمل المصادر الأساسية:
- سجلات كشف نقاط النهاية والاستجابة (EDR): إنشاء العمليات، وسيطات سطر الأوامر، وكتابة الملفات، والاتصالات الشبكية لكل عملية.
- سجلات أحداث Windows: خاصة الأمان (4624/4625 تسجيلات الدخول)، Sysmon (إنشاء العملية، الشبكة، السجل)، وسجلات PowerShell التشغيلية.
- البيانات الشبكية: سجلات NetFlow/Zeek لبيانات الاتصال، سجلات استعلامات DNS، وسجلات proxy لحركة الويب الخارجية.
- سجلات المصادقة: من مزودي الهوية، والشبكات الخاصة الافتراضية، وخدمات الدليل لاكتشاف السفر المستحيل أو إساءة استخدام بيانات الاعتماد.
- سجلات تدقيق السحابة: CloudTrail أو Azure Activity Logs أو GCP Audit Logs لتغييرات الامتيازات وإساءة استخدام API.
ركز هذه البيانات في SIEM أو بحيرة بيانات حيث يمكنك تشغيل الاستعلامات المخصصة بسرعة. إذا كان الاحتفاظ بك قصيراً جداً، يصبح الصيد ضد الاختراقات التاريخية مستحيلاً—استهدف 90 يوماً على الأقل حيث يكون ممكناً.
تقنيات الصيد العملية
عد المكدس (تحليل التكرار): عد تكرارات الحقل—أسماء العمليات الأب، أسماء المهام المجدولة، أسماء الخدمات—عبر بيئتك. المشاهد الشاذة (عملية تعمل على مضيف واحد من عشرة آلاف) غالباً ما تشير إلى شيء يستحق التحقيق.
SELECT parent_process, COUNT(*) as cnt
FROM process_events
GROUP BY parent_process
ORDER BY cnt ASC
LIMIT 50;
أقل تكرار للحدوث (LFO): مشابه للتكديس لكن مطبق على التركيبات، مثل أزواج (user, source_ip) للمصادقة، لإظهار أنماط الوصول النادرة.
انحراف خط الأساس: حدد ما يبدو "طبيعياً" بالنسبة لمضيف أو مستخدم (ساعات تسجيل الدخول النموذجية، العمليات الشائعة) وحدد الانحرافات. يتطلب هذا استثماراً أولياً في التنميط لكنه يستحق جهد الصيود الجارية.
الالتفاف على IOCs و TTPs: ابدأ من مؤشر معروف (hash، domain، IP) أو تقنية (مثل T1055 process injection) وابحث عبر جميع السجلات المتاحة عن النشاط ذي الصلة، ثم انعطف للخارج من أي نتائج للعثور على البنية الأساسية ذات الصلة أو المضيفين المتأثرين.
الأدوات التي تستحق التعلم
- Sysmon + Sigma rules: يوفر Sysmon بيانات نقطة نهاية غنية؛ Sigma يعطيك تنسيق قاعدة محمول للكشف والصيد عبر منصات SIEM.
- Velociraptor أو osquery: للاستعلام المباشر على مستوى الأسطول عندما تحتاج للتحقق من مئات النقاط النهائية لبحث عن بيان معين الآن.
- Zeek: لتحليل بروتوكول الشبكة العميق بما يتجاوز NetFlow البسيط.
- MITRE ATT&CK Navigator: لتتبع وتصور تغطية الصيد بمرور الوقت.
إغلاق الحلقة
كل صيد يجب أن ينتج عنه نتيجة تتجاوز "لم نجد شيئاً". إذا أكدت النشاط الضار، اغذه في الاستجابة للحادث. إذا وجدت فجوات في الرؤية، اسحب تذكرة هندسة الكشف. إذا ثبت أن تقنية صيد قيمة، حولها إلى قاعدة كشف آلية حتى تؤدي الحالات المستقبلية إلى تنبيهات بدون جهد يدوي. يحول هذا صيد التهديدات إلى محرك تحسين مستمر لبرنامج الأمان بأكمله بدلاً من تمرين لمرة واحدة.
احتفظ بسجل صيد يحتوي على الفرضيات والاستعلامات المستخدمة والنتائج—هذه المعرفة المؤسسية تتراكم بمرور الوقت وتجعل إدماج الصيادين الجدد أسرع بكثير.
هل أنت مستعد للذهاب أعمق؟ استكشف قطاعات Digital Forensics و Blue Team في Korra Studio لبناء مهارات الكشف والتحقيق التي تقترن بشكل طبيعي مع صيد التهديدات.