أهم كتب EDR & Endpoint Security
ملحوظه - لايوجد روابط لكي تتعلم مهاره البحث بنفسك
______________
1. Blue Team Field Manual (BTFM)
نوعه: مرجع سريع
ليه مهم؟
دليل أوامر سريع لمراقبة وتحليل الأنظمة، شامل لوجات، اكتشاف هجمات، Incident Response.
المستوى: مبتدئ – متوسط
تستخدمه: من أول يوم كمرجع في أي مرحلة
فيه:
-
أوامر تحليل على Windows
-
أوامر التعامل مع Logs
-
Incident Response Steps
2. Practical Windows Forensics (Apress)
نوعه: عملي
ليه مهم؟
بيعلمك إزاي تحلل أي Windows endpoint حصل عليه هجوم، من اللوجات لحد الملفات، بأسلوب عملي.
المستوى: متوسط
تستخدمه: بعد ما تتعلم Sysmon وEvent Logs
فيه:
-
Registry analysis
-
Prefetch وShimcache
-
LNK file analysis
-
تحليل timeline للهجمات
3. DFIR Windows Forensics – by Harlan Carvey
نوعه: احترافي
ليه مهم؟
من أقوى كتب الـ Endpoint Investigation. بيركز على الأدلة الرقمية في أجهزة ويندوز واستخدامها في التحقيق.
المستوى: متوسط – متقدم
تستخدمه: لما تبدأ تعمل تحقيق حقيقي أو تستخدم Velociraptor
فيه:
-
Event Log parsing
-
User activity artifacts
-
Memory & Disk forensics
4. The DFIR Report (مجاني – موقع)
نوعه: تقارير حقيقية
ليه مهم؟
دي مش كتب، دي تقارير من واقع هجمات حقيقية حصلت واتحققت فيها من خلال EDR.
المستوى: كل المستويات
تستخدمه: مع كل مرحلة تطبق فيها سيناريو
فيه:
-
Hacking timeline
-
Tools used
-
Indicators of compromise (IOC)
-
التحليل كامل لكل Endpoint Log
5. Windows Internals – Part 1 & 2 (Mark Russinovich)
نوعه: نظري عميق
ليه مهم؟
لو عايز تبقى محترف في تفسير كل Log وسلوك النظام، لازم تعرف النظام نفسه بيشتغل إزاي من جوه.
المستوى: متقدم جدًا
تستخدمه: بعد ما تبدأ تطبق وتحلل فعليًا
فيه:
-
Kernel, Processes, Threads
-
Security model
-
Process injection detection
6. Elastic Security User Guide
نوعه: عملي
ليه مهم؟
لو بتستخدم Elastic كـ EDR/SIEM، الدليل الرسمي بيوضح كل حاجة عن Dashboards، Rules، والتحقيقات.
المستوى: مبتدئ – متوسط
تستخدمه: أثناء مرحلة التطبيق على Elastic Agent
فيه:
-
خطوات التفعيل
-
Search Queries
-
Alerts configuration
7. Velociraptor Documentation & Tutorials
نوعه: تقني وعملي
ليه مهم؟
Velociraptor واحد من أقوى أدوات الـ Endpoint Threat Hunting، والدليل بتاعه كنز.
المستوى: متوسط – متقدم
تستخدمه: لما تبدأ تعمل تحقيقات endpoint حقيقية
فيه:
-
Writing custom hunts
-
Timeline analysis
-
Live memory capture
8. SANS Blue Team Books & Cheat Sheets
نوعه: تلخيصات قوية
ليه مهم؟
بتديك خلاصة المفاهيم المهمة، أنواع اللوجات، أدوات التحليل، وخطوات التحقيق، مفيد في وقت الشغل والامتحانات كمان.
المستوى: كل المستويات
تستخدمه: كدعم لأي مرحلة
فيه:
-
Windows log cheat sheets
-
Timeline Investigation
-
Quick IR playbooks
ترتيب الكتب حسب مراحل دراستك:
| المرحلة | الكتب المقترحة |
|---|---|
| مرحلة الفهم الأساسي | BTFM + Windows Internals Part 1 + SANS Sheets |
| مرحلة تحليل اللوجات | Practical Windows Forensics + DFIR Windows + Elastic Docs |
| مرحلة أدوات الـ EDR | Velociraptor Docs + Elastic Security Guide + Wazuh Rules |
| مرحلة التحقيق والاستجابة | DFIR Report + Windows Internals Part 2 + Custom Labs Reports |
حساباتي على منصات التواصل:
| المنصة | الرابط أو المعرف |
|---|---|
| فيسبوك | [حسابي الشخصي] |
| يوتيوب | [قناتي الرسمية] |
| تويتر (X) | [Sen00oo] |
| تليجرام (شخصي) | @Sen00oo |
| جروب تليجرام | [انضم للجروب] |
| قناة تليجرام | [تابع القناة] |
| جروب واتساب | [انضم للجروب] |
💰 للدعم المادي:
| الطريقة | التفاصيل |
|---|---|
| InstaPay | sen00oo@instapay |
| رقم الهاتف | 01272834923 |
| PayPal | [رابط PayPal ] |