هل سبق لك أن لعبت ألعاب الكمبيوتر مثل Halo أو Gears of War؟ إذا كان الأمر كذلك، فمن المؤكد أنك لاحظت وجود وضع لعب يسمى التقاط العلم يضع فريقين في مواجهة بعضهما البعض - أحدهما مسؤول عن حماية العلم من الخصوم الذين يحاولون سرقته.
هذه نوع التمرين يتم استخدامه أيضًا من قبل المؤسسات لقياس قدرتها على اكتشاف الهجمات الإلكترونية والاستجابة لها والتخفيف من حدتها. في الواقع، تعد عمليات المحاكاة هذه أساسية لتحديد نقاط الضعف في أنظمة المؤسسات وأفرادها وعملياتها قبل أن يستغلها المهاجمون. ومن خلال محاكاة التهديدات السيبرانية الواقعية، تسمح هذه التمارين لممارسي الأمن أيضًا بضبط إجراءات الاستجابة للحوادث وتعزيز دفاعاتهم ضد التحديات الأمنية المتطورة.
في هذه المقالة، ألقينا نظرة، بعبارات عامة، على كيفية تغلب الفريقين على الأمر والأدوات مفتوحة المصدر التي قد يستخدمها الجانب الدفاعي. أولاً، تجديد سريع للغاية لأدوار الفريقين:
- يلعب الفريق الأحمر دور المهاجم ويستفيد من التكتيكات التي تعكس تلك التي يتبعها ممثلو التهديد في العالم الحقيقي. ومن خلال تحديد نقاط الضعف واستغلالها، وتجاوز دفاعات المنظمة وتعريض أنظمتها للخطر، توفر هذه المحاكاة العدائية للمؤسسات رؤى لا تقدر بثمن حول الثغرات الموجودة في دروعها السيبرانية.
- في هذه الأثناء، يتولى الفريق الأزرق الدور الدفاعي حيث يهدف إلى كشف وإحباط توغلات الخصم. يتضمن ذلك، من بين أمور أخرى، نشر أدوات الأمن السيبراني المختلفة، ومراقبة حركة مرور الشبكة بحثًا عن أي حالات شاذة أو أنماط مشبوهة، ومراجعة السجلات التي تم إنشاؤها بواسطة أنظمة وتطبيقات مختلفة، ومراقبة البيانات وجمعها من نقاط النهاية الفردية، والاستجابة بسرعة لأي علامات وصول غير مصرح به أو سلوك مشبوه.
كملاحظة جانبية، هناك أيضًا فريق أرجواني يعتمد على نهج تعاوني ويجمع بين الأنشطة الهجومية والدفاعية. ومن خلال تعزيز التواصل والتعاون بين الفرق الهجومية والدفاعية، يتيح هذا الجهد المشترك للمؤسسات تحديد نقاط الضعف واختبار الضوابط الأمنية وتحسين وضعها الأمني العام من خلال نهج أكثر شمولاً وتوحيدًا.
الآن، وبالعودة إلى الفريق الأزرق، يستخدم الجانب الدفاعي مجموعة متنوعة من الأدوات مفتوحة المصدر والملكية لإنجاز مهمته. دعونا الآن نلقي نظرة على بعض هذه الأدوات من الفئة السابقة.
أدوات تحليل الشبكة
اركيمي
مصممة لمعالجة وتحليل بيانات حركة مرور الشبكة بكفاءة، اركيمي هو نظام واسع النطاق للبحث عن الحزم والتقاطها (PCAP). إنه يتميز بواجهة ويب بديهية لتصفح ملفات PCAP والبحث عنها وتصديرها بينما تسمح لك واجهة برمجة التطبيقات (API) الخاصة به بتنزيل واستخدام بيانات الجلسة بتنسيق PCAP وJSON مباشرة. ومن خلال القيام بذلك، فإنه يسمح بدمج البيانات مع أدوات التقاط حركة المرور المتخصصة مثل Wireshark أثناء مرحلة التحليل.
تم تصميم Arkime ليتم نشره على العديد من الأنظمة في وقت واحد ويمكن توسيع نطاقه للتعامل مع عشرات الجيجابت/الثانية من حركة المرور. تعتمد معالجة PCAP لكميات كبيرة من البيانات على مساحة القرص المتاحة للمستشعر وحجم مجموعة Elasticsearch. يمكن توسيع نطاق هاتين الميزتين حسب الحاجة، وهما تحت السيطرة الكاملة للمسؤول.
شم
شم هو نظام مفتوح المصدر لمنع التطفل (IPS) يقوم بمراقبة وتحليل حركة مرور الشبكة لاكتشاف التهديدات الأمنية المحتملة ومنعها. يُستخدم على نطاق واسع لتحليل حركة المرور في الوقت الفعلي وتسجيل الحزم، ويستخدم سلسلة من القواعد التي تساعد في تحديد النشاط الضار على الشبكة وتسمح لها بالعثور على الحزم التي تتطابق مع مثل هذا السلوك المشبوه أو الضار وتقوم بإنشاء تنبيهات للمسؤولين.
وفقًا لصفحته الرئيسية، لدى Snort ثلاث حالات استخدام رئيسية:
- تتبع الحزمة
- تسجيل الحزم (مفيد لتصحيح أخطاء حركة مرور الشبكة)
- نظام منع اختراق الشبكة (IPS)
للكشف عن التطفلات والأنشطة الضارة على الشبكة، لدى Snort ثلاث مجموعات من القواعد العالمية:
- قواعد لمستخدمي المجتمع: تلك المتاحة لأي مستخدم دون أي تكلفة وتسجيل.
- قواعد للمستخدمين المسجلين: من خلال التسجيل في Snort، يمكن للمستخدم الوصول إلى مجموعة من القواعد المحسنة لتحديد التهديدات الأكثر تحديدًا.
- قواعد للمشتركين: لا تسمح مجموعة القواعد هذه بتحديد التهديدات وتحسينها بشكل أكثر دقة فحسب، ولكنها تأتي أيضًا مع القدرة على تلقي تحديثات التهديدات.
أدوات إدارة الحوادث
الخلية
الخلية عبارة عن منصة قابلة للتطوير للاستجابة للحوادث الأمنية توفر مساحة تعاونية وقابلة للتخصيص للتعامل مع الحوادث والتحقيق فيها وأنشطة الاستجابة. إنه متكامل بشكل وثيق مع MISP (منصة مشاركة معلومات البرامج الضارة) ويسهل مهام مركز العمليات الأمنية (SOCs) وفريق الاستجابة لحوادث أمن الكمبيوتر (CSIRTs) وفريق الاستجابة لطوارئ الكمبيوتر (CERTs) وأي محترفين أمنيين آخرين يواجهون حوادث أمنية تحتاج إلى تحليل والتصرف بسرعة. وعلى هذا النحو، فهو يساعد المؤسسات على إدارة الحوادث الأمنية والاستجابة لها بشكل فعال
هناك ثلاث ميزات تجعله مفيدًا جدًا:
- التعاون:: تعمل المنصة على تعزيز التعاون في الوقت الفعلي بين محللي (SOC) وفريق الاستجابة لطوارئ الكمبيوتر (CERT). فهو يسهل تكامل التحقيقات الجارية في الحالات والمهام والملاحظات. يمكن للأعضاء الوصول إلى المعلومات ذات الصلة، كما تعمل الإشعارات الخاصة بأحداث MISP الجديدة والتنبيهات وتقارير البريد الإلكتروني وعمليات تكامل SIEM على تعزيز الاتصال.
- إعداد: تعمل الأداة على تبسيط إنشاء الحالات والمهام المرتبطة بها من خلال محرك قالب فعال. يمكنك تخصيص المقاييس والحقول عبر لوحة المعلومات، ويدعم النظام الأساسي وضع علامات على الملفات الأساسية التي تحتوي على برامج ضارة أو بيانات مشبوهة.
- الأداء: أضف في أي مكان من واحد إلى آلاف العناصر القابلة للملاحظة لكل حالة تم إنشاؤها، بما في ذلك خيار استيرادها مباشرة من حدث MISP أو أي تنبيه يتم إرساله إلى النظام الأساسي، بالإضافة إلى التصنيف والمرشحات القابلة للتخصيص.
الاستجابة السريعة لـ GRR
الاستجابة السريعة لـ GRR هو إطار عمل للاستجابة للحوادث يتيح تحليل الطب الشرعي المباشر عن بعد. يقوم بجمع وتحليل بيانات الطب الشرعي من الأنظمة عن بعد من أجل تسهيل تحقيقات الأمن السيبراني وأنشطة الاستجابة للحوادث. يدعم GRR جمع أنواع مختلفة من بيانات الطب الشرعي، بما في ذلك البيانات التعريفية لنظام الملفات، ومحتوى الذاكرة، ومعلومات التسجيل، وغيرها من العناصر المهمة لتحليل الحوادث. لقد تم تصميمه للتعامل مع عمليات النشر واسعة النطاق، مما يجعله مناسبًا بشكل خاص للمؤسسات ذات البنى التحتية المتنوعة والشاملة لتكنولوجيا المعلومات.
وهو يتألف من جزأين، العميل والخادم.
يتم نشر عميل GRR على الأنظمة التي تريد التحقق منها. في كل من هذه الأنظمة، بمجرد نشرها، يقوم عميل GRR باستقصاء خوادم الواجهة الأمامية لـ GRR بشكل دوري للتحقق مما إذا كانت تعمل أم لا. نعني بكلمة "العمل" تنفيذ إجراء محدد: تنزيل ملف، وتعداد دليل، وما إلى ذلك.
تتكون البنية التحتية لخادم GRR من عدة مكونات (الواجهات الأمامية، والعمال، وخوادم واجهة المستخدم، وFleetspeak) وتوفر واجهة المستخدم الرسومية على شبكة الإنترنت ونقطة نهاية واجهة برمجة التطبيقات التي تسمح للمحللين بجدولة الإجراءات على العملاء وعرض ومعالجة البيانات المجمعة.
تحليل أنظمة التشغيل
هيلك
هيلك، أو The Hunting ELK، تم تصميمه لتوفير بيئة شاملة لمحترفي الأمن لإجراء مطاردة استباقية للتهديدات، وتحليل الأحداث الأمنية، والاستجابة للحوادث. إنه يعزز قوة حزمة ELK جنبًا إلى جنب مع أدوات إضافية لإنشاء منصة تحليلات أمنية متعددة الاستخدامات وقابلة للتوسيع.
فهو يجمع بين أدوات الأمن السيبراني المختلفة في منصة موحدة لصيد التهديدات والتحليلات الأمنية. مكوناته الأساسية هي Elasticsearch وLogstash وKibana (ELK stack)، والتي تُستخدم على نطاق واسع لتحليل السجلات والبيانات. تقوم HELK بتوسيع حزمة ELK من خلال دمج أدوات الأمان الإضافية ومصادر البيانات لتعزيز قدراتها على اكتشاف التهديدات والاستجابة للحوادث.
الغرض منه هو البحث، ولكن نظرًا لتصميمه المرن ومكوناته الأساسية، يمكن نشره في بيئات أكبر مع التكوينات الصحيحة والبنية التحتية القابلة للتطوير.
تطاير
• تقلب الإطار عبارة عن مجموعة من الأدوات والمكتبات لاستخراج القطع الأثرية الرقمية من الذاكرة المتطايرة (RAM) للنظام. ولذلك، فهو يستخدم على نطاق واسع في الطب الشرعي الرقمي والاستجابة للحوادث لتحليل عمليات تفريغ الذاكرة من الأنظمة المخترقة واستخراج المعلومات القيمة المتعلقة بالحوادث الأمنية الحالية أو السابقة.
نظرًا لأنه مستقل عن النظام الأساسي، فهو يدعم عمليات تفريغ الذاكرة من مجموعة متنوعة من أنظمة التشغيل، بما في ذلك Windows وLinux وmacOS. في الواقع، يمكن لـ Volatility أيضًا تحليل عمليات تفريغ الذاكرة من البيئات الافتراضية، مثل تلك التي تم إنشاؤها بواسطة VMware أو VirtualBox، وبالتالي توفير رؤى حول حالات النظام الفعلية والافتراضية.
تتمتع Volatility ببنية قائمة على المكونات الإضافية - فهي تأتي مع مجموعة غنية من المكونات الإضافية المضمنة التي تغطي نطاقًا واسعًا من التحليلات الجنائية، ولكنها تسمح أيضًا للمستخدمين بتوسيع وظائفها عن طريق إضافة مكونات إضافية مخصصة.
وفي الختام
إذن هذا هو الحال. وغني عن القول أن تمارين الفريق الأزرق/الأحمر ضرورية لتقييم مدى استعداد دفاعات المنظمة، وبالتالي فهي حيوية لاستراتيجية أمنية قوية وفعالة. توفر المعلومات الوفيرة التي تم جمعها خلال هذا التمرين للمؤسسات نظرة شاملة لوضعها الأمني وتسمح لها بتقييم مدى فعالية بروتوكولاتها الأمنية.
بالإضافة إلى ذلك، تلعب الفرق الزرقاء دورًا رئيسيًا في الامتثال والتنظيم للأمن السيبراني، وهو أمر بالغ الأهمية بشكل خاص في الصناعات شديدة التنظيم، مثل الرعاية الصحية والتمويل. توفر تمارين الفريق الأزرق/الأحمر أيضًا سيناريوهات تدريب واقعية لمحترفي الأمن، وتساعدهم هذه الخبرة العملية على صقل مهاراتهم في الاستجابة الفعلية للحوادث.
في أي فريق ستسجل؟
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/
- :لديها
- :يكون
- :ليس
- $ UP
- 22
- 36
- a
- القدرة
- الوصول
- دقيق
- اكشن
- الإجراءات
- أنشطة
- نشاط
- الجهات الفاعلة
- يقدم
- تضيف
- مضيفا
- إضافة
- إضافي
- الإداريين
- مميزات
- الخصومة
- ضد
- وتهدف
- ملاحظه
- التنبيهات
- يسمح
- على طول
- أيضا
- من بين
- المبالغ
- an
- تحليل
- المحللين
- تحليلات
- تحليل
- حلل
- تحليل
- تحليل
- و
- الشذوذ
- أي وقت
- في أى مكان
- API
- التطبيقات
- نهج
- هندسة معمارية
- هي
- البند
- AS
- تقييم
- تقييم
- أسوشيتد
- At
- مهاجم
- محاولة
- متاح
- الى الخلف
- على أساس
- BE
- لحم البقر
- قبل
- سلوك
- ما بين
- الأزرق
- على حد سواء
- يجلب
- واسع
- تصفح
- بنيت
- مدمج
- لكن
- by
- تسمى
- CAN
- قدرات
- أسر
- حقيبة
- الحالات
- الفئة
- مركز
- التحديات
- تهمة
- تصنيف
- زبون
- عميل
- كتلة
- للاتعاون
- متعاون
- جمع
- مجموعة شتاء XNUMX
- يجمع بين
- يأتي
- Communication
- مجتمع
- الالتزام
- مكونات
- شامل
- تسوية
- مساومة
- الكمبيوتر
- حماية الحاسوب
- إدارة
- يتكون
- محتوى
- مراقبة
- ضوابط
- تعاون
- جوهر
- التكلفة
- بهيكل
- خلق
- خلق
- خلق
- حرج
- حاسم
- على
- للتخصيص
- تصميم
- هجوم الانترنت
- الأمن السيبراني
- التهديدات السيبرانية
- لوحة أجهزة القياس
- البيانات
- تحليل البيانات
- الدفاعات
- دفاعي
- حدد
- قطعا
- نشر
- نشر
- نشر
- تصميم
- تصميم
- بكشف أو
- كشف
- مختلف
- رقمي
- مباشرة
- دليل
- عدة
- فعل
- بإمكانك تحميله
- اثنان
- دوق
- أثناء
- كل
- يخفف
- الطُرق الفعّالة
- فعالية
- فعال
- بكفاءة
- جهد
- البريد الإلكتروني
- حالة طوارئ
- تمكن
- نقطة النهاية
- محرك
- تعزيز
- الشركات
- البيئة
- البيئات
- خاصة
- أساسي
- إلخ
- حتى
- الحدث/الفعالية
- أحداث
- EVER
- المتطورة
- تنفيذ
- ممارسة
- الخبره في مجال الغطس
- استغلال
- تصدير
- مد
- يمتد
- واسع
- استخراج
- استخلاص
- الوجه
- تسهيل
- يسهل
- زائف
- المميزات
- قليل
- مجال
- قم بتقديم
- ملفات
- مرشحات
- تمويل
- الاسم الأول
- مرن
- في حالة
- الطب الشرعي
- التحاليل الجنائية
- سابق
- تعزيز
- الإطار
- تبدأ من
- الواجهة
- نهاية المقدمة
- الوفاء
- بالإضافة إلى
- وظيفة
- إضافي
- لعبة
- ألعاب
- مقياس
- التروس
- ولدت
- يولد
- العالمية
- يذهب
- الذهاب
- خمنت
- مقبض
- معالجة
- تشابك الايدى
- يملك
- الرعاية الصحية
- مساعدة
- يساعد
- جدا
- كلي
- الصفحة الرئيسية
- كيفية
- HTML
- HTTPS
- صيد
- هوية
- تحديد
- تحديد
- if
- صورة
- استيراد
- تحسن
- in
- حادث
- استجابة الحادث
- بما فيه
- في الواقع
- فرد
- الصناعات
- معلومات
- البنية التحتية
- البنية التحتية
- رؤى
- المتكاملة
- دمج
- التكامل
- التكاملات
- السطح البيني
- إلى
- حدسي
- بحث
- تحقيق
- التحقيقات
- ينطوي
- IT
- انها
- مشترك
- حفظ
- القفل
- كبير
- على نطاق واسع
- أكبر
- اسمحوا
- روافع
- المكتبات
- لينكس
- حي
- سجل
- تسجيل
- بحث
- ماك
- الرئيسية
- جعل
- القيام ب
- خبيث
- البرمجيات الخبيثة
- إدارة
- إدارة
- كثير
- مباراة
- مايو..
- تعني
- في غضون
- الأعضاء
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- البيانات الوصفية
- المقاييس
- مرآة
- الرسالة
- تخفيف
- موضة
- مراقبة
- شاشات
- الأكثر من ذلك
- كثيرا
- حاجة
- بحاجة
- شبكة
- ازدحام انترنت
- جديد
- لاحظ
- الإخطارات
- الآن
- of
- خصم
- هجومي
- on
- مرة
- ONE
- جارية
- فقط
- جاكيت
- المصدر المفتوح
- تعمل
- أنظمة التشغيل
- عمليات
- التحسين
- الأمثل
- خيار
- or
- طلب
- المنظمات
- أخرى
- خارج
- الكلي
- الحزم
- خاصة
- أجزاء
- الماضي
- أنماط
- مجتمع
- إلى
- مادي
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلايستشن
- يلعب
- الإضافات
- استطلاعات الرأي
- ان يرتفع المركز
- محتمل
- قوة
- منع
- الوقاية
- لا يقدر بثمن
- ابتدائي
- استباقية
- الإجراءات
- عملية المعالجة
- العمليات
- المهنيين
- يعزز
- الملكية
- حماية
- البروتوكولات
- تزود
- ويوفر
- غرض
- بسرعة
- رامات
- نطاق
- سريع
- العالم الحقيقي
- في الوقت الحقيقي
- واقعي
- تسلم
- أحمر
- مسجل
- تسجيل
- التسجيل
- سجل
- ما هو مقنن
- الصناعات المنظمة
- اللائحة
- ذات صلة
- ذات الصلة
- عن بعد
- بعد
- التقارير
- بحث
- الرد
- الاستجابة
- استجابة
- مراجعة
- النوادي الثرية
- حق
- قوي
- النوع
- الأدوار
- القواعد
- قول
- تحجيم
- حجم
- تحجيمها
- سيناريوهات
- جدول
- بحث
- البحث
- أمن
- الأحداث الأمنية
- تهديدات أمنية
- أرسلت
- مسلسلات
- الخادم
- خوادم
- الجلسة
- طقم
- باكجات
- عدة
- مشاركة
- جانب
- إشارة
- لوحات
- يبسط
- محاكاة
- المحاكاة
- مهارات
- So
- مصدر
- مصادر
- الفضاء
- تختص
- متخصص
- محدد
- كومة
- المسرح
- المحافظة
- الإستراتيجيات
- مشتركين
- هذه
- مناسب
- الدعم
- مشكوك فيه
- بسرعة
- نظام
- أنظمة
- التكتيكات
- أخذ
- يأخذ
- المهام
- فريق
- فريق
- قالب
- عشرات
- سياسة الحجب وتقييد الوصول
- تجربه بالعربي
- أن
- •
- من مشاركة
- منهم
- هناك.
- وبالتالي
- تشبه
- هم
- الأشياء
- هؤلاء
- الآلاف
- التهديد
- الجهات التهديد
- التهديدات
- ثلاثة
- عبر
- طوال
- إحباط
- بإحكام
- عنوان
- إلى
- سويا
- أداة
- أدوات
- حركة المرور
- قادة الإيمان
- اثنان
- أنواع
- ui
- غير مصرح
- مع
- موحد
- آخر التحديثات
- بناء على
- تستخدم
- مستعمل
- مفيد
- مستخدم
- المستخدمين
- يستخدم
- القيمة
- تشكيلة
- مختلف
- تحقق من
- متعدد الجوانب
- بواسطة
- المزيد
- افتراضي
- حيوي
- في إم وير
- متقلب
- تطاير
- نقاط الضعف
- تريد
- حرب
- we
- نقاط الضعف
- ثروة
- الويب
- على شبكة الإنترنت
- حسن
- التي
- في حين
- من الذى
- واسع
- مدى واسع
- على نحو واسع
- عرض
- سوف
- نوافذ
- مع
- بدون
- العمال
- عامل
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت