Review LRSA Course
سنشرح بشكل مبسط عن الـ Course المخصص لشهادة الـ LRSA أو الـ LogRhythm Security Analyst المقدمة من شركة LogRhythm محتوى الدورة يتركز على أساسيات الـ LogRhythm ويحتوي على 6 Modules سنذكر أهم ماتم طرحه في الـ Course كنظرة مبدائية لما يحتويه عليه.
Module 1 - Web Console Overview
في البداية نتحدث عن إحدى الأدوات وهي مايُسمى بالـ Security Operations Maturity Model (SOMM) وهي تُعتبر وسيلة لقياس أداء ونضج قدرات الـ Security Operation لمواجهة التهديدات السيبرانية.
لقياس هذه المرونة تعتمد على شيئين وهما :
متوسط الوقت اللازم لإكتشاف التهديد ( Mean Time to Detect (MTTD) ) متوسط الوقت المستغرق حتى نتّعرف على وجود تهديد ما.
متوسط وقت الاستجابة ( Mean Time to Respond (MTTR) ) متوسط الوقت المستغرق للإستجابة وحل مشكلة الحدث الذي تم الكشف عنه.
يتكون كل من MTTD وMTTR من الفئات الفرعية التالية:
• الـ ( Time to Qualify TTQ ) وهذا يعني الوقت بين تاريخ الدليل أو الـ Evidence الذي يؤدي إلى إنشاء الـ Evidence وتاريخ إنشاءها.
• الـ ( Time to Investigate TTI) وهذا يعني عندما يتم تحديد الـ Case على أنها ليست Incident ويتم إغلاقها بأنها "Case Completed" بحيث يعتبر المقياس بأن الـ Case إكتمل التحقيق الخاص بها وهذا يعني بأن الوقت بين إنشاء الـ case وتاريخ إغلاقها بإعتبارها انها Non-Incident.
• الـ ( Time to Triage TTT) هنا يأتي مقياس قدرة الفريق على فحص الإنذار بشكل عاجل.
• الـ ( Time to Detect TTD) تاريخ الـ Evidence التي تدفع لإنشاء الـ Case ومتى تم إنشاء هذه الـ Case ايضاً
• الـ ( Time to Respond TTR) الوقت بين تاريخ إنشاء الـ Case وتاريخ معالجة الحادث ، ينطبق فقط على الحالات التي تم تصعيدها كحوادث.
تشير إدارة دورة حياة التهديدات ( Threat Lifecycle Management TLM ) إلى سير العمل الموصى به لتقليل MTTD وMTTR الخاصين بـ SOC.
يتم تنظيم سير عمل TLM حول الستة المختلفة التالية وهي تعتبر مراحل الكشف والإستجابة (Detection and Response Steps ) :
1. الـ Collect نجمع معطيات الـ Case.
2. الـ Discover نكتشف عن الـ Case متى كانت وأين حدثت.
3. الـ Qualify بعد ذلك إن كانت Incident نبدأ بالخطوة التالية.
4. الـ Investigate نبدأ نتعمق في التحقيق عن الـ Incident التي حدثت.
5. الـ Neutralize تأتي بمعنى الإصلاح وهي بنفس معنى الـ Mitigation.
6. الـ Recover لما بعد الـ Incident التي وقعت..
الـ LogRhythm يوفّر وحدتي تحكم إداريتين، لكل منهما مهام SIEM الخاصة بها متاحة للمسؤول والمحلل ايضاً.
وحدة تحكم العميل أو مايُسمى بالـ Client Console :
وحدة تحكم خاصة بالـ Client وهي واجهة مستخدم للمسؤولين لتكوين LogRhythm وكيفية عرض النظام الأساسي، وتنفيذ أنشطة إدارة الـ Logs ، وإدارة التقارير، والـ Alerts ، ومراقبة صحة وصول البيانات في الـ LogRhythm ، أيضاً توفر وحدة التحكم هذه واجهة للمحللين لإجراء عمليات البحث، وتحليل البيانات،إعداد التقارير وإنشاء الإنذارات الشخصية .
وحدة تحكم الويب الـ Web Console :
توفر وحدة تحكم الويب LogRhythm للمحللين معلومات في واجهة ويب سهلة الاستخدام ، حيث تعد وحدة تحكم الويب مكونًا مستقلاً يمكن تثبيته على جهاز مخصص.
Module 2 - Logs, Alarms, and Data Analysis
تتكون منصة LogRhythm من المكونات الرئيسية التالية:
• وكلاء مراقبة النظام أو الـ System Monitor Agents : يجمع بيانات الـ Logs حول سلوك المستخدمين، والملفات، والتطبيقات، و
النظام في الوقت الحقيقي لدعم التحليلات والاستجابة للحوادث.
• Open Collector وLogRhythm Authored Beats : تم إنشاء Open Collector لحل مشكلة كيفية استيعاب سجلات الـ JSON ، والتي يصعب تحليلها باستخدام التعبير العادي.
• معالج البيانات (DP) الـ Data Processor : يقوم بمعالجة الـ Logs ووظائف إعادة توجيهها والبيانات المحفوظة.
• مفهرس البيانات (DX) الـ Data Indexer : يوفر فهرسة وبحثًا قابلاً للتطوير بدرجة عالية.
• محرك الذكاء الاصطناعي الـ AI Engine : محرك تحليلات متقدم قائم على القواعد ومتكيف يقوم بتقييم بيانات الـ Logs في الوقت الفعلي
للكشف عن الهجمات ومشكلات العمليات المعقدة والتغيرات في سلوك الأنظمة.
• مدير النظام الأساسي (PM) الـ Platform Manager : يوفر التنبيهات والإشعارات وإدارة الحالة وأتمتة سير العمل والإدارة المركزية لمنصة LogRhythm.
• وحدة تحكم الويب الـ Web Console : واجهة ويب توفر سهولة الوصول إلى الأدوات التحليلية والإنذارات والبيانات ولوحات معلومات قابلة للتخصيص.
• وحدة تحكم العميل الـ Client Console : تُستخدم لإدارة وتخصيص طرق عرض مختلفة لها لتحليل والرصد وإدارة التحقيقات.
حتى نُحدّد نوع النشاط في تصنيف رسالة السجل الـ Log Message، يكون الحدث المشترك أو مايُسمى بالـ Common Event المخصصة لكل رسالة Log محددة.
هنا ليس المقصود من الأحداث المشتركة أن تكون محددة للغاية؛ ومع ذلك، فهي تهدف إلى تحسين مهمة التصنيف أو الـ Classification Assignment إلى مجموعة أكثر تحديدًا من الأنشطة.
ضمن تصنيف التدقيق “Audit” : نجاح المصادقة ( Authentication Success )، يتم تضمين الأحداث الـ Events الشائعة التالية :
• الـ User Logoff أو تسجيل خروج المستخدم.
• الـ User Logon أو تسجيل دخول المستخدم.
• الـ Computer Logoff أو تسجيل الخروج من الكمبيوتر.
• الـ Computer Logon أو تسجيل الدخول للكمبيوتر.
• الـ Service Logoff أو تسجيل الخروج من الخدمة.
• الـ Service Logon تسجيل الدخول إلى الخدمة.
الأحداث المشتركة المذكورة أعلاه أو الـ Common Events listed تندرج تحت تصنيف أوسع ( تصنيف أو الـ Classification ) حيث يتم وصف المصادقة أو الـ Authenticating بإن كل حدث مشترك يعطي إشارة أكثر تحديدًا ، فما حدث في رسالة السجل أو الـ Log Message في حالة إذا كان جهاز كمبيوتر يعمل بنظام الـ Windows يتصل بالشبكة لأول مرة في
في اليوم، سيتم إجراء تسجيل دخول للكمبيوتر (Computer Logon ) بإستخدام وحدة تحكم المجال الـ Domain Controller. ثم عندما يصل المستخدم إلى الكمبيوتر، سيتم إنشاء رسالة تسجيل دخول المستخدم ( User Logon) للإشارة إلى نشاط المصادقة الناجح لهذا المستخدم.
هناك ثلاثة أنواع من الـ Metadata في LogRhythm ويتم تحليل اثنين من هذه الأنواع مباشرة من ملف رسالة السجل الأولية أو الـ raw log message ،
التي تتضمن التالي :
• الـ Contextual Metadata ( حقول بيانات التعريف السياقية ) التي يتم تحليلها مباشرة من الـ Log Messages ، عادة ما تكون مستندة إلى النص طبيعة ووصفية فيما يتعلق بالرسالة.
تتضمن الأمثلة : تسجيل الدخول (Origin Login)، والموضوع، والمجال، والـ Object .
• الـ Quantitative Metadata ( حقول البيانات الوصفية الكمية ) التي يتم تحليلها مباشرة من رسائل السجل الـ Log Messages ويمكن إستخدامها لمقارنات رقمية.
تتضمن الأمثلة : وحدات البايت الواردة/الخارجة، ومعدلها، وحجمها.
بالإضافة إلى تحليل الـ Metadata مباشرةً من رسالة السجل أو الـ Log Messages الذي يستمد LogRhythm بعض الـ Metadata من
السجلات أو الـ Logs.
تستخدم الـ Derived metadata ( حقول البيانات التعريفية المشتقة ) المعلومات التي تم تحليلها من رسائل السجل الـ Log Messages وتربطها بـ LogRhythm وهي معلومات الـ Configuration Information لتوفير سياق إضافي حول رسالة السجل الـ Log Messages.
تتضمن الأمثلة : الـ Origin Entity، والـ Impacted Known Host ، والـ Direction.
هنا تم ذكر مايوجد في الـ Dashboards الخاصة بالـ Web Console
جميع الـ Evidence of threats والـ risks الموجودة في البيانات يتم إنشاؤها وجمعها.
لمراجعة هذه البيانات نستخدم آداتين داخل وحدة التحكم وهي كالتالي :
• الـ Dashboards
• الـ Analyzer Grid
الـ Analyzer grid تسمح بتحليل ومراجعة المعلومات الخاصة بالأحداث أو الـ Events المعروضة.
كل صف في الـ Analyzer Grid تُمثّل حدثًا أو رسالة سجل (Event, log message ).
وكل عمود في Analyzer Grid البيانات الوصفية أو الـ metadata التي تم تحليلها من رسالة السجل مُجمعة
حسب فئات المعلومات وهي كالتالي :
• الـ Metadata Fields : هذه هي البيانات التي تم تحليلها من رسالة السجل الأولية أو الـ raw log message مثل الـ Account, Sender, Object, IP Address ، ويمكن أيضاً إستخلاص المعلومات من الـ raw logs لإنتاج بيانات التعريف أو مايُسمى بالـ yield metadata مثل الـ Origin Host، و الـ Direction والـ Classification وايضاً الـ Common Event.
• الـ Log Messages : هذه هي بيانات السجل الـ log data التي تم إنشاؤها بواسطة مصدر السجل الـ Log Source والتي تم جمعها بواسطة SysMon الخاص بـ LogRhythm.
• الـ Metadata Groups : تسمح هذه المجموعات بعرض البيانات التعريفية حسب الفئة ( metadata by category ).
فمن خلال كل مجموعة من المجموعات يمكن رؤية المعلومات المقدمة بطرق مختلفة بناءً على الفئة.
• الـ Pinning : يسمح لك برؤية أعمدة محددة من البيانات..
كل صف في الـ Analyzer Grid يُمثل حدثًا واحدًا أو سلسلة من الأحداث المجمعة ، والإجراءات التي تحتوي عليها هي ثلاث :
الـ Event & Actions : تعرض هذه البيانات التعريفية الـ metadata التي تم تحليلها أو المستمدة من رسالة السجل الـ log message.
الـ Log Message : تعرض هذه رسالة السجل الأصلية أو الـ original log message قبل تحليل الـ metadata.
الـ Inferred Identity : هذه تعرض المستخدم المسؤول عن نشاط الحسابات حتى عندما يكون معلومات الحساب أو تسجيل الدخول غير موجودة في رسالة السجل الـ log message.