إزاي تطبق اللي بتذاكره في SIEM & Log Analysis
أولاً: ابني بيئة لاب واقعية
قبل أي حاجة، لازم تبني بيئة تقدر تطبق عليها كل اللي بتتعلمه.
البيئة اللي هتحتاجها:
| مكون | الوظيفة |
|---|---|
| 🖥️ Windows 10 | توليد لوجات و Event Logs حقيقية |
| 🐧 Ubuntu أو Kali | أدوات هجوم أو تحليل إضافية |
| 🧰 ELK Stack أو Wazuh أو Splunk | SIEM Platform لتحليل اللوج |
| ⚙️ Sysmon + Winlogbeat | لجمع وتحليل Logs من ويندوز |
ثانياً: كل درس أو كورس تخلصه = لازم تطبقه فورًا
لو بتتعلم "أنواع الـ Logs"
التطبيق:
-
فعل Sysmon على Windows
-
شغّل أوامر PowerShell عادية ومشبوهة
-
راقب الأحداث من Event Viewer
-
استخرج Event ID زي:
-
4688 (Process Creation)
-
4624 (Login)
-
1 (Sysmon Process Create)
-
لو بتتعلم "إزاي تربط SIEM بالـ Logs"
التطبيق:
-
نزل Winlogbeat
-
اربطه بـ ELK Stack أو Wazuh
-
اتأكد إن الـ logs بدأت توصل
-
اعمل Index في Kibana
-
ابدأ تعمل Visualization بسيطة (عدد لوجات Login، لوجات 404 في الويب...)
لو بتتعلم "تحليل سلوك الهجمات"
التطبيق:
-
شغّل Mimikatz أو PowerShell encode على Windows
-
تابع الـ Event ID من Sysmon
-
شوف أثر الهجوم على الـ logs
-
اعمل Rule على Wazuh أو Sigma لكشف نفس الحدث تاني
لو بتتعلم "كتابة Rules"
التطبيق:
-
استخدم SigmaHQ
-
اختار TTP (مثلاً: Persistence via Registry Run Key)
-
شوف الـ Sigma Rule الخاصة بيه
-
جرّب تكتب Rule مشابهة بنفسك
-
اختبرها على بيانات في اللاب وشوف هل فعلاً بتكشف ولا لأ
ثالثاً: استخدم منصات تطبيق واقعية (من غير تخمين)
| المنصة | تطبق فيها إيه |
|---|---|
| TryHackMe – SIEM & Log Analysis Rooms | Labs جاهزة بتحليل Logs على Splunk / Wazuh |
| CyberDefenders.org | ملفات لوج جاهزة وتحقيقات حقيقية |
| BlueTeamLabs.online | هجمات بتحصل وانت بتحللها مباشرة |
| SigmaHQ.org | كتابة Rules وتحليلها |
| LogMIRA | قراءة وتحليل لوجات DNS / Web / Sysmon حقيقية |
رابعاً: كل Log تحلله → اكتبه في ملفك الشخصي
كل تحقيق أو Log تحلله لازم تخرج منه بـ:
-
ملف PDF أو Markdown فيه:
-
نوع اللوج
-
الحدث المشبوه
-
الـ Event ID
-
التفسير
-
الـ TTP المحتمل (لو عارفه)
-
لو كتبت Rule أو Visualization، ضيفها
-
📌 مثال لملف Log Analysis
Log: Security.evtx
خامساً: ابنِ Dashboard لقراءة البيانات بسرعة
لو بتستخدم Kibana أو Splunk:
-
ابني لوحة فيها:
-
محاولات تسجيل الدخول حسب الوقت
-
الـ Process الأكثر تكرارًا
-
IPs اللي بتتصل بالسيرفر
-
أنواع الأحداث الأعلى خطرًا
-
✅ الهدف: تبدأ تشوف الصورة الكبيرة وتفهم الهجوم مشي إزاي
سادساً: اقرأ تقرير حقيقي (DFIR Report – مثلا)
-
خده كمثال حقيقي
-
دور في اللوجات عندك على أي أثر للهجوم ده
-
لو لقيت حاجة، اكتب Rule تكشفه
-
لو ما لقيتش، اكتب فرضية تقدر تكشفه في المستقبل
سابعاً: كل أسبوع اعمل Mini Investigation
-
اختار Log معين (مثلاً Sysmon أو DNS)
-
اختلق سيناريو بسيط للهجوم
-
شغّله في اللاب
-
اجمع الـ logs
-
حللهم
-
اكتب Report مصغر في ملف PDF
أدوات تساعدك تطبق بإيدك:
| الأداة | الوظيفة |
|---|---|
| EventLog Explorer | قراءة وتحليل Event Logs بسهولة |
| Kibana / Splunk | Dashboards و Search queries |
| Velociraptor | Endpoint hunting متقدم |
| LogParser Studio | فلترة وتحليل لوجات Windows |
| SigmaHQ | كتابة وتحليل قواعد اكتشاف الهجمات |
ختامًا: نصيحة ذهبية
"لو قعدت 5 أيام تقرأ كورسات من غير ما تطبق، هتنسى كل حاجة في 3 أيام.
لكن لو طبقت 5 حاجات بإيدك، هتفتكرهم لسنين."
__________________________________
حساباتي على منصات التواصل:
| المنصة | الرابط أو المعرف |
|---|---|
| فيسبوك | [حسابي الشخصي] |
| يوتيوب | [قناتي الرسمية] |
| تويتر (X) | [Sen00oo] |
| تليجرام (شخصي) | @Sen00oo |
| جروب تليجرام | [انضم للجروب] |
| قناة تليجرام | [تابع القناة] |
| جروب واتساب | [انضم للجروب] |
💰 للدعم المادي:
| الطريقة | التفاصيل |
|---|---|
| InstaPay | sen00oo@instapay |
| رقم الهاتف | 01272834923 |
| PayPal | [رابط PayPal ] |