アルマハ

مفاجأة في عالم الأمن السيبراني، تخيل فريق كامل يحمي أنظمتك 24/7 بدون تكلفة، وبأتمتة كاملة. الأداة تجمع بين قدرات الـ AGI وسهولة الاستخدام، لكن انتبه. الكود مولد بالذكاء الاصطناعي فقد يكون فيه ثغرات، ونطاق عمل الأداة لا زال غير واضح. جربها في بيئة معزولة، ولا تستخدمها مباشرة في مشروعك النهائي.

🛡️ أشهر 10 بروتوكولات شبكات يجب على كل مختص أمن سيبراني معرفتها 🕸️.. 1️⃣ بروتوكول TCP: البروتوكول الأساسي لإنشاء اتصالات موثوقة ومنظمة. يضمن تسليم البيانات بالترتيب الصحيح وإعادة الإرسال عند الفقدان. ✅ أبرز الهجمات: SYN Flood, Session Hijacking, RST Injection. 2️⃣ بروتوكول IP: المسؤول عن عنونة الحزم وتوجيهها بين الشبكات المختلفة. ✅ أبرز الهجمات: IP Spoofing, Fragmentation Attacks, Reflection/Amplification DDoS. 3️⃣ بروتوكول UDP: بروتوكول سريع وغير موثوق يُستخدم في التطبيقات التي تتطلب سرعة عالية مثل الفيديو والألعاب والاتصالات الصوتية. ✅ أبرز الهجمات: UDP Flood, Amplification Attacks, DNS Amplification. 4️⃣ بروتوكول HTTP: بروتوكول نقل صفحات الويب غير المشفر، وهو الناقل الرئيسي لمدخلات المستخدم في تطبيقات الويب. ✅ أبرز الهجمات: SQL Injection, XSS, CSRF, HTTP Flood. 5️⃣ بروتوكول HTTPS النسخة المشفرة من HTTP باستخدام بروتوكول TLS، وتوفر حماية للبيانات أثناء النقل. ✅ أبرز الهجمات: MITM, SSL Stripping, TLS Downgrade, Certificate Pinning Bypass. 6️⃣ بروتوكول DNS: نظام تحويل أسماء النطاقات إلى عناوين IP، ويُعد البوابة الأساسية للوصول إلى المواقع. ✅ أبرز الهجمات: Cache Poisoning, DNS Tunneling, DNS Amplification DDoS, NXDOMAIN Flood. 7️⃣ بروتوكول ARP: يربط عناوين IP بعناوين MAC داخل الشبكة المحلية، ويعمل دون آليات تحقق قوية. ✅ أبرز الهجمات: ARP Poisoning, ARP Spoofing. 8️⃣ بروتوكول ICMP: بروتوكول الرسائل التحكمية والتشخيصية مثل ping وtraceroute. ✅ أبرز الهجمات : Ping Sweep, ICMP Flood, Smurf Attack, ICMP Tunneling. 9️⃣ بروتوكول SSH: بروتوكول الوصول عن بعد المشفر والأكثر استخدامًا لإدارة الخوادم والأجهزة. ✅ أبرز الهجمات: Brute Force, Credential Stuffing, Key Compromise. 🔟 بروتوكول SMTP: بروتوكول إرسال البريد الإلكتروني بين الخوادم. ✅ أبرز الهجمات: Email Spoofing, Phishing, Spear-Phishing, Open Relay, Credential Harvesting. #الامن_السيبراني #الشبكات

🧵 للمبتدئين في الـ SOC: لا تبدأ من الأدوات… ابدأ من الأساس 💡 نصيحة #1 قبل SIEM وقبل Alerts تعلّم كيف الشبكة تشتغل 💡 نصيحة #2 اعرف الفرق بين: Internet 🌍 DMZ 🚧 Internal 🏢 لأن كل وحدة لها مخاطر مختلفة 💡 نصيحة #3 الـ DMZ هي المكان اللي يدخل منه المهاجم غالبًا مو لأن الحماية ضعيفة لكن لأنها مكشوفة 💡 نصيحة #4 افهم البروتوكولات الأساسية: HTTP / HTTPS SMTP DNS VPN بدونها… التحليل يكون تخمين 💡 نصيحة #5 أي اتصال تشوفه اسأل نفسك: من أرسل؟ إلى وين رايح؟ هل هذا طبيعي؟ 💡 نصيحة #6 Port مفتوح ≠ مشكلة Port مفتوح بدون سبب = خطر 💡 نصيحة #7 Login فاشل مرة؟ عادي Login فاشل كثير؟ انتبه 💡 نصيحة #8 Web Server الطبيعي يستقبل طلبات ما يطلع يتصفح الشبكة 💡 نصيحة #9 لو شفت Incident داخل الشبكة ارجع خطوة ورا غالبًا البداية كانت في الـ DMZ 💡 نصيحة #10 (الخلاصة) افهم الشبكات افهم البروتوكولات افهم الـ DMZ بعدها الأدوات تصير أسهل

🧵 ثريد | SOC Use Cases في Security Operations Center 1️⃣ وش هي Use Cases؟ Use Case في الـ SOC هو سيناريو كشف أمني مصمم لاكتشاف سلوك خبيث أو غير طبيعي يمثل خطرًا فعليًا على بيئة العمل. هو ليس Alert، بل منطق كشف هادف. ⸻ 2️⃣ كيف نبني Use Cases؟ نبنيها بخطوات بسيطة: •نحدد الخطر •نفهم سيناريو الهجوم •نحدد السلوك القابل للكشف •نصمم كشف يعتمد على Logs حقيقية ⸻ 3️⃣ بناء Use Cases يكون مبني على ماذا؟ Use Cases تُبنى بناءً على: •المخاطر (Risk-Based) •سلوك المهاجم (MITRE ATT&CK) •المتطلبات التنظيمية (NCA / NIST) •البيئة والـ Logs المتوفرة ⸻ 4️⃣ الخلاصة SOC فعّال = Use Cases مربوطة بالمخاطر وليس بعدد Alerts. ⸻ 🎯 سؤال للمقابلة الشخصية؟! Q: What are SOC Use Cases? How do you build them, and based on what? A: SOC Use Cases are detection scenarios designed to identify malicious or abnormal behavior that poses real risk to the organization. They are built by identifying risks, understanding attacker behavior using frameworks like MITRE ATT&CK, and mapping them to regulatory requirements such as NIST or NCA, based on the organization’s environment and available log sources.

💡عشره نصائح تجعل منك (محلل سيبراني) ناجح 1- لا تبدأ بالأدوات قبل المنهجية. الأدوات تتغير، لكن التفكير التحقيقي ثابت. افهم كيف تُبنى الفرضيات، كيف تُختبر، ومتى تُرفض. 2- اشتغل دائمًا من منظور الهاكر. اسأل نفسك: كيف دخل؟ لماذا هذا المسار؟ ما الخيار التالي المنطقي له؟ هذا السؤال أهم من أي Alert. 3- فرّق بين الضجيج والإشارة. ليس كل IOC مهم. القيمة في السياق، التسلسل الزمني، والربط بين الأحداث. 4- تعلّم قراءة البيئات لا فقط الحوادث. AD، IAM، Backup، Network Segmentation، EDR Coverage. الهجوم غالبًا يستغل “تصميم سيّئ” أكثر من ثغرة. 5- لا تحفظ TTPs… افهم سبب استخدامها. لماذا هذا الـLOLBIN؟ لماذا هذا البروتوكول؟ لماذا هذا التوقيت؟ 6- قراءة وفهم التقارير جزء من الدفاع. التحقيق الذي لا يُترجم إلى Detection أو Control هو جهد ناقص. 7- لا تبالغ في تصنيف كل شيء على إنه APT. الأهداف والقدرات تُستنتج من السلوك والاستمرارية، لا من التعقيد الظاهري. 8- الوقت عامل حاسم جدًا. Detection متأخر = Incident مكلف Response متأخر = Crisis السرعة المدروسة أهم من الكمال. 9- تعلّم من كل حادثة حتى لو كانت “بسيطة”. أغلب الاختراقات الكبيرة بدأت بأحداث بدت غير مهمة. 10- المجال هذا تراكم خبرة لا سباق شهادات الشهادة قد تفتح باب، لكن التحليل الجيد هو اللي يبني خبرتك الفعلية.

🚨الرعب النفسي وإرهاق التنبيهات - SOC Analyst وظيفة المراقب الأمني ليست مجرد شاشات، بل هي معركة نفسية تسمى Alert Fatigue. الحقيقة الصادمة: المحلل قد يرى 1000 تنبيه في اليوم، 990 منها كاذبة📉 الخطر الحقيقي ليس الهكر، بل أن يعتاد عقلك على تجاهل الإنذارات فيقوم بإغلاق التنبيه رقم 1001 الذي يكون هو الاختراق الحقيقي. الشركات الآن تبحث عن محللين يتقنون الأتمتة (SOAR) لتقليل هذا الضغط النفسي الهائل🤖