EDR & Endpoint Security practical

 

إزاي تطبق عمليًا اللي بتذاكره في EDR & Endpoint Security

---

 أولًا: ابني بيئة لاب بسيطة على جهازك

الأدوات اللي تحتاجها:

الأداة	الوظيفة
🖥️ Windows 10 VM	جهاز الضحية – تراقب عليه كل حاجة
🐧 Kali Linux أو Ubuntu	لو هتجرب هجمات صغيرة وتراقبها
🧰 Sysmon	عشان يسجللك Logs بالتفصيل
📡 Winlogbeat / Wazuh Agent	عشان تبعت الـ logs لـ SIEM أو تحفظها
🧠 Sigma Rules	عشان تكتب كشف الهجمات بإيدك

لو جهازك ضعيف، ممكن تكتفي بـ Windows 10 + Sysmon وتشوف اللوجات من Event Viewer أو Wazuh.

---

 كل جزء بتذاكره = ليه تطبيق عملي بالشكل ده:

---

 1. لو بتذاكر: "Process Creation / Execution"

 التطبيق العملي:

• فعل Sysmon على Windows.

• افتح Notepad – شوف Event ID 1 (Process Creation).

• شغّل cmd.exe وpowershell.exe وشوف الفرق بينهم.

• جرّب أمر زي:

  وراقب الـ Log.

• powershell -enc <base64 payload>

 الهدف: تتعلم إن أي برنامج بيتفتح بيترك Event واضح تقدر تبني عليه Rules.

---

 2. لو بتذاكر: "Persistence Mechanisms"

 التطبيق العملي:

• شغّل سكريبت يعدل الـ Registry:

  New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" -Name "Updater" -Value "C:\malware.exe"

• راقب Event ID 13 في Sysmon (Registry Key Modification).

• شوف لو فيه Rule بـ Sigma بتكشف Persistence.

 الهدف: تطبق MITRE T1547 وتتعلم إزاي الـ EDR يقدر يكتشفها.

---

 3. لو بتذاكر: "Network Connections"

 التطبيق العملي:

• افتح PowerShell واكتب:

  Invoke-WebRequest -Uri http://example.com

• شوف Event ID 3 (Network Connection) من Sysmon.

• اربط الـ Process اللي عمل الاتصال بالـ Command اللي شغلها.

 الهدف: تكشف الـ C2 channels والإتصالات الغريبة.

---

4. لو بتذاكر: "Threat Hunting with EDR"

 التطبيق العملي:

• فعّل Sigma Rules على الـ Wazuh أو Kibana.

• حمل ملفات مشبوهة (من test sites زي testmyav.com)

• حلل الـ Process Tree.

• ابني فرضية: "ليه فيه powershell شغالة مع parent = outlook.exe؟"

 الهدف: تحول اللوجات لسيناريو تهديد وتربط الأحداث ببعض.

---

 أدوات مجانية للتطبيق المباشر:

الأداة	وظيفتها
Sysmon + Event Viewer	مراقبة سلوك الجهاز
Elastic SIEM	مراقبة وكتابة Rules
Wazuh	EDR بسيط + SIEM
Velociraptor	Hunting وتحقيق مباشر
SigmaHQ	قواعد كشف الهجمات

---

 كل تجربة لازم تسجلها:

 ملف تحليل كل موقف:

 نوع الفعالية: Process Creation  
 Event ID: 1  
 البرنامج: powershell.exe  
 Command Line: -enc ...  
 الفرضية: محاولة تحميل ملف مشبوه  
 التوصية: Block via policy + Monitor future execution from Outlook

سجّل كل سيناريو زي كده في ملف PDF أو Markdown، يبقى عندك أرشيف تحقيقات.

---

 منصات جاهزة لتمارين EDR:

المنصة	إيه تطبق فيها
TryHackMe – EDR & SIEM Rooms	تطبيق سيناريوات وتحقيق على لوجات
BlueTeamLabs.online	تحليل سيناريوات Endpoint واقعية
CyberDefenders.org	ملفات لوج حقيقية (evtx / Sysmon)
Velociraptor Challenge Labs	Incident Response حقيقي
SigmaHQ Rules	كتابة واختبار Rules بنفسك

---

 نصيحة ذهبية:

"كل ما تشوف Event في اللوج، اسأل نفسك:
ده طبيعي؟
ليه حصل؟
هل أقدر أعمل عليه Rule؟
هل في Tools بتستخدمه في هجوم؟

ده هو طريقك لتفكير المحلل الحقيقي."

________________________________

 

حساباتي على منصات التواصل:

المنصة	الرابط أو المعرف
فيسبوك	[حسابي الشخصي]
يوتيوب	[قناتي الرسمية]
تويتر (X)	[Sen00oo]
تليجرام (شخصي)	@Sen00oo
جروب تليجرام	[انضم للجروب]
قناة تليجرام	[تابع القناة]
جروب واتساب	[انضم للجروب]

---

💰 للدعم المادي:

الطريقة	التفاصيل
InstaPay	sen00oo@instapay
رقم الهاتف	01272834923
PayPal	[رابط PayPal ]