المرحلة 1: مقدمة وفهم المجال
الهدف: تبني الفكر والأساس بتاع Threat Hunting
تتعلم:
-
إيه هو Threat Hunting؟
-
الفرق بين Detection وHunting وMonitoring
-
أنواع التهديدات والـ TTPs
-
MITRE ATT&CK framework
الكورسات:
-
Intro to Threat Hunting | Cybrary – Chris Kubecka -
TryHackMe – Threat Hunting -
Introduction to Threat Hunting | Red Canary -
MITRE ATT&CK Fundamentals | MITRE.org
المدة:
🕒 10 أيام
التطبيق: راجع كل TTP على MITRE واكتب مثال عليه من العالم الحقيقي
💡 نصيحة: الصيّاد مش بيسيب الحاجة توصل للـ alert… هو بيطارد اللي مش ظاهر أصلاً
المرحلة 2: فهم البيئات والتحليل الجنائي
الهدف: تكون فاهم الـ Logs وأنظمة التشغيل كويس جدًا
تتعلم:
-
Windows Internals
-
Event Logs (Security, System, Application)
-
Sysmon
-
PowerShell Logs
-
Linux Logs (auth.log – bash_history – auditd)
الأدوات:
-
Windows Event Viewer
-
Sysmon
-
Auditd
-
Log Parser
-
Elastic Stack / Wazuh
الكورسات:
-
Windows Event Logs for DFIR | 13Cubed -
TryHackMe – Windows Event Logs -
Logging in Linux | OverTheWire / Practical Linux Forensics
المدة:
🕒 14 يوم
التطبيق: اجمع Logs من جهاز وهمي بعد تنفيذ أوامر، وحللها يدويًا
💡 نصيحة: الصيّاد الممتاز بيشم ريحة الغريب من سطر واحد في اللوج
المرحلة 3: بناء فرضيات الصيد (Hunting Hypotheses)
الهدف: تبدأ تطوّر تفكيرك كصياد حقيقي
تتعلم:
-
كيفية إنشاء فرضية بناءً على Threat Intelligence
-
قراءة تقارير الهجمات (APT reports)
-
ربط MITRE TTPs مع الأدلة
الأدوات:
-
MITRE ATT&CK Navigator
-
MISP
-
Threat Intel Feeds (AlienVault OTX, VirusTotal)
الكورسات:
-
SANS SEC511 – Advanced Monitoring & Hunting (مدفوع) -
Threat Hunting & Investigation | CrowdStrike Webinars -
Detecting Threats with ATT&CK | MITRE AttackIQ -
APT Reports Analysis | RecordedFuture / FireEye Blogs
المدة:
🕒 10 – 12 يوم
التطبيق: اقرأ تقرير APT، وحاول تحوّله لفرضية صيد واكتب خطوات التحقق
💡 نصيحة: الفرضية القوية أهم من 100 أداة
المرحلة 4: أدوات Threat Hunting
الهدف: تبدأ تشتغل فعليًا على أدوات التحقيق والصيد
الأدوات:
-
ELK Stack (Elasticsearch – Logstash – Kibana)
-
Splunk
-
Wazuh SIEM
-
Velociraptor
-
Sigma rules
الكورسات:
-
TryHackMe – Threat Hunting Lab (SIEM) -
Hunting with Splunk | Splunk Security Essentials -
Velociraptor Training | Official Docs + 13Cubed -
SIEM Fundamentals | Wazuh Academy
المدة:
🕒 15 – 18 يوم
التطبيق:
-
اجمع Logs
-
حلل استخدام PowerShell أو RDP Sessions
-
ابني Dashboard بسيط في Kibana أو Splunk
-
اكتب Rule على Sigma
💡 نصيحة: الأداة مش بتصطاد… دماغك هي اللي بتصطاد، والأداة بتسجّل بس
المرحلة 5: سيناريوهات تهديد حقيقية
الهدف: تبدأ تشتغل كأنك داخل شبكة شركة
تتعلم:
-
Detect Lateral Movement
-
Detect Beaconing
-
Detect Credential Dumping
-
Detection Evasion techniques
الكورسات:
-
Threat Hunting in Active Directory | TCM Security -
Real-World Attacks Walkthrough | BlueTeamLabs.online -
CyberDefenders Challenges: Lateral Movement – Persistence – PowerShell Attacks
المدة:
🕒 15 – 20 يوم
التطبيق:
-
شغل سيناريو Malware على Windows وهمي
-
اجمع الـ Logs
-
اعمل تحليل كامل: من أول suspicious process لحد استخراج الأدلة
-
اكتشف TTPs وطبّقها على MITRE
💡نصيحة: مش أي سطر في اللوج يهمك… دور على اللي بيقولك “أنا مهاجم بس متخفي”
المرحلة 6: التقارير وتوصيات الصياد
الهدف: تتعلم توثق وتقدم شغلك بجدية
تتعلم:
-
إزاي تكتب تقرير Hunting Investigation
-
تبني Timeline
-
توصيات فنية وإدارية
-
توصيف الـ IOCs وTTPs
الكورسات:
-
DFIR Reporting | 13Cubed -
Threat Hunter Playbook | GitHub Project -
Blue Team Report Writing | SANS + MITRE
المدة:
🕒 10 – 12 يوم
التطبيق:
-
اعمل Report بصيغة PDF
-
اكتب الـ TTPs اللي اكتشفتها
-
اربط الأدلة بـ IOCs
-
اقترح طرق تحسين كشف الهجمات
💡 نصيحة: شغلك الحقيقي بيظهر في التقرير… مش في الأداة ولا في النتايج
أهم الكتب في Threat Hunting
| الكتاب | الفايدة |
|---|---|
| The Threat Hunter Playbook (GitHub) | سيناريوهات كاملة + أدوات حقيقية |
| Blue Team Field Manual (BTFM) | مرجع سريع لكل حاجة أثناء الصيد |
| Hunting Evil – SANS | شرح واقعي للفكر والأدوات |
| Practical Threat Hunting – SANS (مجاني مؤقتًا أحيانًا) | تدريبات على فرضيات الصيد |
| MITRE ATT&CK Navigator Guide | كيف تبني تحقيقات فعالة بذكاء |
أهم المنصات التطبيقية
| المنصة | الفايدة |
|---|---|
| TryHackMe | Threat Hunting Path و SIEM Labs |
| CyberDefenders | تحديات لوج وتحقيقات تهديدات حقيقية |
| BlueTeamLabs.online | Labs احترافية داخل بيئات SOC |
| Velociraptor Sandboxes | Threat Hunting على أجهزة حقيقية |
| SigmaHQ | كتابة قواعد كشف وتحليلها |
جدول المراحل والزمن المقترح
| المرحلة | المدة |
|---|---|
| مقدمة | 10 يوم |
| فهم اللوجات والأنظمة | 14 يوم |
| بناء فرضيات | 12 يوم |
| أدوات الصيد | 18 يوم |
| سيناريوهات واقعية | 20 يوم |
| كتابة التقرير | 12 يوم |
حساباتي على منصات التواصل:
| المنصة | الرابط أو المعرف |
|---|---|
| فيسبوك لينكدان | [حسابي الشخصي] [حسابي الشخصي] |
| يوتيوب | [قناتي الرسمية] |
| تويتر (X) | [Sen00oo] |
| تليجرام (شخصي) | @Sen00oo |
| جروب تليجرام | [انضم للجروب] |
| قناة تليجرام | [تابع القناة] |
| جروب واتساب | [انضم للجروب] |
💰 للدعم المادي:
| الطريقة | التفاصيل |
|---|---|
| InstaPay | sen00oo@instapay |
| رقم الهاتف | 01272834923 |
| PayPal | [رابط PayPal |