إزاي تطبق اللي بتذاكره في Threat Hunting
أولاً: ابني لاب بسيط تقدر تصطاد فيه
قبل أي حاجة، محتاج بيئة تقدر تشتغل عليها:
اللاب يتكون من:
-
جهاز Windows 10 (يشتغل كجهاز موظف)
-
جهاز Kali Linux أو Ubuntu (كمهاجم/مراقب)
-
جهاز ELK Stack أو Wazuh (لجمع وتحليل الـ logs)
-
Sysmon على الجهاز الـ Windows عشان يسجّل أحداث مهمة
ثانياً: كل حاجة تذاكرها لازم تطبقها بإيدك
مثال 1: ذاكر Sysmon Logs؟
تطبيق:
-
نزل Sysmon على ويندوز
-
شغّل أمر PowerShell مشبوه
-
شوف اللوج اللي طلع
-
اربطه بواحدة من MITRE TTPs (زي T1059)
مثال 2: ذاكر MITRE ATT&CK؟
تطبيق:
-
اختار TTP زي "Credential Dumping – T1003"
-
نفّذ سيناريو عليها (مثلاً تشغيل mimikatz على الجهاز)
-
تابع الـ logs في Splunk أو Kibana
-
استخرج IOC أو pattern ودوّنه
مثال 3: بتتعلم تحليل الشبكة؟
تطبيق:
-
شغّل برنامج بيعمل DNS requests غريبة
-
التقط الـ traffic ببرنامج Wireshark
-
ابحث عن anomalous DNS queries أو beaconing
-
اربطها بسلوك هجوم حقيقي
ثالثاً: استخدم المنصات التدريبية الجاهزة
المنصات اللي هتطبق فيها بشكل احترافي:
| المنصة | تطبق فيها إيه |
|---|---|
| TryHackMe – Threat Hunting | لابات على Logs وتحقيق فعلي |
| CyberDefenders | ملفات Logs حقيقية + تقارير مطلوبة منك |
| BlueTeamLabs.online | سيناريوهات معقدة وواقعية |
| SigmaHQ + Velociraptor | كتابة rules + تحليل endpoint data |
مثال تطبيقي:
-
ادخل على CyberDefenders
-
حل challenge بعنوان: Unusual RDP behavior
-
اقرأ Logs → حللها → استنتج السيناريو → اكتب تقرير مصغر
رابعاً: دوّن كل تطبيقك في ملفات وتقارير
كل لاب تعمله لازم في الآخر تنتج منه:
-
ملف فيه الـ logs المشبوهة اللي اكتشفتها
-
ربط بالسلوك في MITRE ATT&CK
-
تقرير PDF فيه:
-
اسم السيناريو
-
إيه اللي حصل
-
الدليل (صور أو logs)
-
إزاي كنت هتمنعه أو تكشفه بدري
-
خامساً: كرر نفس الهجوم بأنماط مختلفة
يعني لو اكتشفت PowerShell Script في المرة الأولى،
المرة الجاية شوف المهاجم هيعمل إيه لو استخدم نفس السكريبت بس بإسم تاني؟ أو obfuscation؟
هل هتقدر تصيده؟
ساعتها هتبدأ تفكّر زي الصياد الحقيقي مش زي المحقق.
سادساً: مارس الـ Threat Intelligence
– اقرأ تقارير APT على مواقع زي Mandiant / RecordedFuture
– حوّل كل تقرير لفرضية hunting
– جرب تدور في الـ logs بتاعتك على أي أثر لنفس الـ TTPs اللي استخدموها
– دوّن اللي لقيته، حتى لو "ما لقيتش حاجة"
سابعاً: حوّل كل حاجة لقصة
في الآخر شغلك كله لازم يتحول لتقرير احترافي تقول فيه:
-
حصل إيه
-
ازاي اكتشفته
-
ايه حجم التأثير
-
إزاي تمنعه
-
ايه الدروس المستفادة
نصايح سريعة وانت بتطبق:
-
ماتستناش تعرف كل حاجة عشان تبدأ
-
طبق بعد كل كورس على طول حتى لو بنسبة بسيطة
-
إكتب logbook لنفسك، كل يوم اكتبت فيه إيه / شفت إيه / حللت إيه
-
خليك باني فرضية دايمًا، مش بس بتدور على alert
-
العب دايمًا دور الـ "صياد اللي عايز يسبق الهجوم"
حساباتي على منصات التواصل:
| المنصة | الرابط أو المعرف |
|---|---|
| فيسبوك | [حسابي الشخصي] |
| يوتيوب | [قناتي الرسمية] |
| تويتر (X) | [Sen00oo] |
| تليجرام (شخصي) | @Sen00oo |
| جروب تليجرام | [انضم للجروب] |
| قناة تليجرام | [تابع القناة] |
| جروب واتساب | [انضم للجروب] |
💰 للدعم المادي:
| الطريقة | التفاصيل |
|---|---|
| InstaPay | sen00oo@instapay |
| رقم الهاتف | 01272834923 |
| PayPal | [رابط PayPal ] |