EDR & Endpoint Security Roadmap
ملحوظه - لايوجد روابط لكي تتعلم مهاره البحث بنفسك
الفكرة الأساسية:
أنت مش بس بتحمي جهاز موظف، أنت بترائب كل حركة بتتم عليه:
مين فتح إيه؟ إيه البروسيس اللي اشتغل؟ إيه ملف الـ .exe الغريب؟ هل في كود Powershell بتشغّل فجأة؟ هل في اتصال C2؟
وده بيتم من خلال أدوات اسمها EDR tools زي: CrowdStrike, SentinelOne, Elastic Agent, Wazuh, Microsoft Defender for Endpoint.
مراحل التعلم
المرحلة 1: أساسيات Endpoint Security
الهدف: تبقى فاهم إيه اللي بيحصل على جهاز الموظف
هتتعلم:
-
إزاي الهجمات بتحصل على الجهاز (Execution, Persistence, Privilege Escalation)
-
أنواع الملفات التنفيذية
-
كيف تشتغل البرامج الخبيثة
-
الفرق بين Antivirus و EDR
-
مفهوم Behavioral Detection
الكورسات:
-
– Malware Analysis Introduction -
– Windows Internals Basics -
– Endpoint Security Fundamentals
⏱️ المدة: 10 أيام
💡 النصيحة: أول خطوة في الدفاع إنك تفهم "المهاجم بيشغل إيه وإزاي؟"
المرحلة 2: فهم Logs الخاصة بالـ Endpoint
الهدف: تعرف تراقب كل خطوة بتحصل على الجهاز
هتتعلم:
-
Sysmon logs (Process Create, Network Connect, Registry, File Create)
-
Event Logs المهمة (4624, 4688, 7045...)
-
Event ID = قصة
-
علاقة اللوجات بالـ MITRE ATT&CK
الأدوات:
-
Sysmon
-
Event Viewer
-
Wazuh / Winlogbeat
-
Sigma rules
الكورسات:
-
– Windows Logging Series -
LogonTracer + Sysmon Investigation ( -
– Windows Event Logs
⏱️ المدة: 12 يوم
💡 النصيحة: أي حركة غريبة على الجهاز بتسيب أثر، وإنت شغلتك تلاقيه
المرحلة 3: EDR Architecture & Concepts
الهدف: تفهم الـ EDR بيشتغل إزاي من جوه
هتتعلم:
-
Architecture بتاع EDRs
-
Agent-Based vs Agentless
-
Data Collection → Analysis → Response
-
الفرق بين EDR و AV و SIEM
-
مفاهيم: Sandboxing – Threat Intel – Live Response
الكورسات:
-
EDR Fundamentals -
EDR Concepts Explained -
Microsoft Defender for Endpoint – Intro Course
⏱️ المدة: 10 أيام
💡 النصيحة: الأداة بدون فهم هتبقى بس شاشة جميلة، بس مش حماية
المرحلة 4: Hands-On مع أدوات EDR مجانية / مفتوحة
الهدف: تبدأ تطبق وتراقب endpoint فعلي
أدوات تقدر تبدأ بيها:
-
Wazuh (Free SIEM + EDR capabilities)
-
Elastic Agent with Elastic Security
-
Velociraptor (Endpoint DFIR)
-
Sysmon + Sigma Rules
خطوات التطبيق:
-
فعل Sysmon على Windows
-
اربطه بـ Wazuh أو Elastic Agent
-
جرب سيناريوات:
-
تشغيل Powershell مشبوه
-
تنفيذ برنامج غريب
-
تعديل في registry
-
-
شوف الـ EDR هيكشف إيه
-
جرب تعمِل isolate للجهاز من الواجهة
الكورسات:
-
Wazuh EDR Use Cases – -
Elastic Agent + SIEM Room – -
Velociraptor Training –
⏱️ المدة: 15 – 18 يوم
💡 النصيحة: إيدك لازم تشتغل على لوجات حقيقية عشان تبقى محلل بجد
المرحلة 5: Threat Detection & Hunting via EDR
الهدف: تبدأ تصطاد الهجمات بنفسك
هتتعلم:
-
تحليل Process Tree
-
Detection Engineering
-
Reverse Timeline من اللوج
-
صياغة فرضيات من الـ TTPs
-
ارتباط الـ Events بسلوك حقيقي زي C2, Beaconing, Malware Drop
الأدوات:
-
Velociraptor
-
Sigma Rules
-
Elastic SIEM
-
Wazuh Dashboards
-
Red Team Tools (لتوليد التهديد)
الكورسات:
-
Threat Hunting via Velociraptor – -
Practical Threat Detection | SANS DFIR Webinars -
TryHackMe – Threat Hunting + EDR Room
⏱️ المدة: 15 – 20 يوم
💡 النصيحة: أقوى دفاع هو إنك تبقى أذكى من المهاجم وتفكر زيه
المرحلة 6: الاستجابة للحوادث (EDR Response)
الهدف: تعرف تتصرف لما تكتشف تهديد
هتتعلم:
-
Isolate Endpoint
-
Kill Process
-
Collect Artifacts
-
Timeline Reconstruction
-
كتابة تقرير Incident Response
الكورسات:
-
Microsoft Defender for Endpoint Incident Response -
Wazuh Incident Playbooks -
DFIR Report Case Study Practice
⏱️ المدة: 10 – 12 يوم
💡 النصيحة: رد الفعل السريع هو اللي بيمنع الانفجار الكبير
حساباتي على منصات التواصل:
المنصة الرابط أو المعرف فيسبوك
لينكدان [حسابي الشخصي]
[حسابي الشخصي] يوتيوب [قناتي الرسمية] تويتر (X) [Sen00oo] تليجرام (شخصي) @Sen00oo جروب تليجرام [انضم للجروب] قناة تليجرام [تابع القناة] جروب واتساب [انضم للجروب]
| المنصة | الرابط أو المعرف |
|---|---|
| فيسبوك لينكدان | [حسابي الشخصي] [حسابي الشخصي] |
| يوتيوب | [قناتي الرسمية] |
| تويتر (X) | [Sen00oo] |
| تليجرام (شخصي) | @Sen00oo |
| جروب تليجرام | [انضم للجروب] |
| قناة تليجرام | [تابع القناة] |
| جروب واتساب | [انضم للجروب] |
💰 للدعم المادي:
| الطريقة | التفاصيل |
|---|---|
| InstaPay | sen00oo@instapay |
| رقم الهاتف | 01272834923 |
| PayPal | [رابط PayPal |