network security monitoring (NDR)
#قبل الكلام عن ال network security monitoring احترام لوقتك الغالي ياصديقي دا نبذة عن بعض الي هنتكلم عنه من الضروري توضيح كام شئ في البداية عشان الصورة تكون واضحة والمعلومة تثبت ان شاء الله ، هنتكلم في البداية عن ال visibility في ال SOC ثم ال total visibility ثم انواع ال data في ال SOC وهنتطرق لشرح نبذة عن ال endpoint data و شرح نبذة لل network data وانواعها ثم شرح نبذة ايضا لل network security monitoring #
٣- full packet capture( full pcap) :-
بسم الله الرحمن الرحيم نبداء :-
اولا- ال visibility في ال soc :
لازم نعرف ان عصب ال soc هو ال visibility (الرؤية ) عشان من غير visibility مش هيكون فيه detection ((مسحيل تعرف تقاوم أو تتعامل مع شئ انتا لا تره )) فلازم يكون في ال soc عندك visibility كويسة جدا مينفعش تسيب نقطة عمياء ممكن يتحرك فيها المهاجم ومن هنا خلينا متفقين احنا في ال soc بنعمل collect لل data من كل مكان في الشبكة سواء كان firewall أو IDS أو IPS أو اي endpoint بصفة عامة وبننقلها لنقطة مركزية الا وهو ال SIEM solution الخاص بنا وكل دا يصب في مصلحة عمل visibility ممتازة بعد مجمعنا كل ال data الموجودة عندي في الشركة ساعتها ابداء احلل البينات دي واطلع منها بفائدة
ثانيا- انواع البينات (data ) :
احنا عندنا نوعين من البينات وهما network data او endpoint data وممكن يطلق علي ال endpoint data بأسم continuous security monitoring (CSM) مع العلم ال endpoint data فيه solution خاص لها ولاقي نجاح كبير جدا وهو ال EDR (endpoint detection and response) وطبعا الشركات لما وجدت فعالية ال EDR قررت تعمل solution اخر تحت مسمي
NDR (network detection and response) او ممكن يطلق عليه users Behaviour analysis(UBA) وهذا ال solution خاص بعمل collect لل network data ومن اشهر ال NDR solutions هو Zeek ويوجد الكثير غيره ولكن zeek مصادر تعلموا كثيرة جدا جدا
ثالثا- endpoint data:
هو كل الي بيحصل في نطاق (داخل ) الجهاز ، يعني مثلا عشان تعرف تكتشف هجوم privilege escalation أو password dump الهجمات دي مش هتقدر انك تكتشفها من ال network data في الحالة دي انتا محتاج تكون مراقب الجهاز نفسوا الي هو بيسموا endpoint وبكدة تكون محتاج solution مثل ال EDR ولنقل مثلا carbon black أو microsoft defender أو اي كان نوع ال EDR ، المهم هتأخذ ال data الي بيجمعها ال EDR دا وتعمل forward(أرسال) ليها علي SIEM solution وفيه طرق عديدة تجمع بها ال endpoint data ولكن اسهلها هو ماذكرته فوق ، فيه برضوا مثلا اي كان ال SIEM solution خاصتك ممكن تنزل agent علي ال endpoint نفسها وهي بدوره راح تجمع ال endpoint data وهيعمل forword لها علي ال SIEM ، فا مثلا علي سبيل المثال وليس الحصر { win collect في Q-reader } مثلا
رابعا- network data:
في ال network أنا براقب ال traffic المار في الشبكة في حين لو قارنها مع ال endpoint انا كنت براقب الي بيحصل علي الاجهزة نفسها فاببساطة ال network data هية أي traffic خرج من الجهاز ومر عبر الشبكة ومن هنا نقدر نقول أن مراقبة ال network data تسمي ب
(network security monitoring)
#
ملحوظة: في ال data انا ديما بيكون عندي مصطلحين data type وهو نوع ال data نفسها ودا هنطرق ليه قدام ونشرحوا بطريقة مبسطة وعندنا data source والمقصود بيها هو مصدر ال data من فين أجيب أو الاقي البينات دي؟
#
خامسا- total visibility:
ال total visibility هو متمثل في انك تعرف تعمل visibility (رؤية ) ممتازة للشبكة وتحاول انك تخلي الشبكة مفيش فيها نقطة عمياء ممكن ال attacker يتحرك فيها زي مقلنا في البداية ، ال total visibility مهمة ل team ال soc عشان يعرف يقوم بعملوا علي اكمل وجه وعشان تحقق ال total visibility محتاج
* اول*شئ تجمع ال network data مع ال endpoint data وتجمعهم في نقطة مركزية ولو قدرت تجيب solution منفصل لكل نوع منهم هيكون افضل
*اتنين* تصميم الشبكة (معماريتها ) ، اماكن اجهزة ال security زي ال firewall و ال IDS و ال IPS و EDR وغيروا لازم تتحط ويتعمل implementation بطريقة صحيحة في الشبكة ليهم
* ثلاثة*تعمل ضبط مستمر وصحيح لل rules و ال use cases عندك ببساطة ديما تقعد تعدل ال rules عندك عشان تحسن من كفائتها
سادسا- (network data types):
١- statistical data(net flow)
٢- [meta data= (PTSR)=[packet string
٣- full packet capture( full pcap)
احنا هنا هندي نبذة عن كل نوع منهم ، بالتأكيد مش هنقدر نتعمق جدا بسبب ان كل عنوان من العناوين دي يحتاج لسلسلة من المقالات خاصة به
١- statistical data (net flow):-
في ال net-flow هو بيقولك من هو ال source ip ومن هو ال destination ip وجاي من انهي بورت source port ورايح الي انهي بورت destination port وايه هو البرتوكول المستخدم و مقدار أو حجم البينات (bytes) الي تم ارسالها ، بكل بساطة ال net-flow هو بروتوكول أحصائي امثلة علي استخدمات ال net-flow عشان توضح الصورة اكثر .
١-١- معرفة أكثر جهاز أستهلاك للنت ودا يتم من ال bytes المرسلة صاحب اكبر bytes هو اكبر جهاز كأستهلاك
١-٢- معرفة اكثر موقع بيتم زيارته أو بيتم ارسال بينات له وهذا ممكن يكون مؤشر علي حدوث تسريب data (يعني data بتتسحب من الشبكة بتاعتي )
١-٣- معرفة مقدار البينات المستهلكة بصفة عامة في تصفح النت ودا بيتم عن طريق اننا نبص علي كل ال bytes المرسلة للhttp
١-٤- معرفة الاجهزة الي عملت ssh connection علي ال server عندي ومن اكتر جهاز فيهم
**ببساطة اهم استخدام لل statistical data هو عمل profiling (تشخيص) يعني اعرف اعمل حاجة بتسمي Base line وهو طريقة بحدد بها نمط سير ال traffic ال normal عندي واحطها في chart بحيث لما الاحظ اي تغير في ال chart دا ، ساعتها اعرف اني فيه شئ suspicious او حاجة up-normal (شئ غير طبيعي ) ، ملخص الكلام ال Base line هو chart بحدد منوا الطبيعي بتاع أستهلاكي (الاحصائية ) ، طبعا الكلام يطول جدا جدا عن ال Base line احنا عندنا stak analysis و frequency analysis وغيروا فيه topics كتيرة جدا لو فكرنا نحكي عن ال Baseline ممكن نطرق ليها بس نكتفي بهذا القدر المهم تكون الفكرة الرئيسة وصلت ومن هنا بقا نقدر نقول الآتي:
《《كل ال malicious هو up-normal ولكن ليس كل ال up-normal هو malicious للان ساعات ممكن يكون police violation أو server Down ومن هنا اقدر اقول برضوا أني انا دائما في ال SOC عند بحثي ببحث عن ال up-normal أول شئ》》
طيب موضوع ال up-normal detection هو نفس المستخدم في اجهزة ال IDS وال IPS ؟؟
نقدر نقول نعم ولكن في ال IDS وال IPS اغلب الموجودين عندنا بيسموا signature Based يعني تقدر تقول شبيه بال antivirus يعني ببساطة إذا وجدت هذا الشئ وكلمة شئ هنا مقصود بها string أو hash اذا وجدتها في ال traffic ابداء واديني alert ، يعني ببساطة ال up-normal أو نقدر نسميه ال Batern أو نقدر نسميه برضوا النمط أو السلوك نفسوا بيحتاج حاجة اكتر من ال IDS و ال IPS بيحتاج حاجة أسمها user Behaviour analysis مثل Zeek و suricata أو dark trace مثلا
٢- [meta data= (PTSR)=[packet string:-
دلوقتي قبل الكلام عن النوع الثاني من ال data لازم نعرف أن ال statistical data عندها نوع من القصور بمعني مثلا عندي كمية من البينات أو ال bytes المرسلة لو محتاج اعرف اسم ال source ip الي ارسل البينات دي صعب اعرف يعني هل هو ip لجوجل أو للاي موقع بظبط دا غير انها مش بتعرفني ال method المستخدمة سواء كانت get يعني بيطلب data (download) أو post يعني بيرسل data و طبعا دا المفروض اعرفوا ضروري عشان بيفيدني في التحقيق بعدين لما يحصل عندي هجوم علي الشبكة فا مثلا احنا عارفين اني ال user الطبيعي أنوا ال get تكون اكتر من ال post عندوا في حال لقيت ال post أكتر دا ممكن يكون مؤشر علي تسريب بينات او اتصال C2 cerver ومن هنا ياجي كلامنا وفائدة النوع الثاني من ال data الا وهية ال meta data وهيه عبارة عن بينات توصف البينات يعني مثلا انا بصف البينات دي أنها اتصال والاتصال دا هو بأستخدام protocol ال http مثلا و الاتصال دا رايح ل Domain ولنقل Google ونوع الاتصال دا ولنقل مثلا get ونوع ال user-agent وهو fire fox ونوع البينات المرسلة ولنقل انها json مثلا ثم حجم البينات المرسلة ، ببساطة ال metadata هية بينات وصفية تصف ما يحدث بدقة اكبر وبتفيد في عدت اشياء خلينا نضرب امثلة عشان الصورة توضح مثلا :
٢-١- معرفة اسم الموقع عشان تعمل check عليه هل هو خبيث ام لا
٢-٢- أتأكدمن نوع البينات ممكن يكون نوعها Executable (قابلة للتنفيذ) =binary
٢-٣- أبص لل user-agent عشان ممكن يكون مثلا sql map أو cmd مثلا ودا شئ غير طبيعي بالنسبة ل user عادي أنوا يستخدموا
#ملحوظة :كل protocol في الشبكة له metadata الخاصة به وله fields خاصة به زي ال http له fields زي :
ال host و ال content-type و ال user-agent و ال content-length
ثالث نوع من ال data هو full pcap وبيكون مفيد في حالة مثلا انا عرفت دلوقتي من ال content-type اني الملف الي عمل تحميل له ال user هو binary في الحالة دي أنا محتاج أحلل الملف دا ، وفي حالتنا الملف نفسوا بيكون متواجد داخل ال payload الخاص بال packet والنوعين السابقين ولا واحد منهم كان بيقرب من ال payload وعشان كدة احنا بنحتاج ال full pcap عشان نحلل الملفات ، طبعا ال full pcap فيه تحديات كتيرة اولها المساحة ومكلف جدا جدا فابعض الشركات كحل وسط بتلجئ اني ال full pcap هيفضل لمدة ثلاث ايام بعد الثلاث ايام نحذف القديم ونعمل full pcap جديد ومن هنا نقدر نقول الخلاصة ان انتا تجمع كل ال traffic الي بياجي ليك وتأخذ نسخة منه هو عملية مكلفة جدا جدا وعشان كدة بنلجئ لحل وسط وهو نخذ full pcap لمدة ثلاث ايام كحد اقصي وال meta data وال statistical data نخليها لمدة سنتين مثلا
ملحوظة:في حال انا اكتشفت من ال statistical data وال meta data أني حصل attack عندي ولكن ال full pcap اتحذف في الحالة دي بيكون لها طرق تانية زي انك بتروح لل endpoint نفسها وتبداء digital forensic للاستخلاص ال data
ملحوظة: ال data source الخاصة بال statistical data هية switch أو routers أو firewall وال full pcap بيكون switch span port أو switch mirroring أو tap device أو firewall
اخيرا هذه بعض المصادر لمن احب التعمق
(انا اتقبل النقد البناء بكل صدر رحب ❤) في حال كان عندك ملاحظة علي اي شئ او مصدر اضافي ❤
تعليقات
إرسال تعليق