Cybersecurity

قد يهمك أيضا

 

القسم الأول: 25 سؤال تقني مع إجابات تفصيلية

1. ما هو SIEM؟
   نظام لإدارة معلومات وأحداث الأمن السيبراني، يجمع السجلات من الأنظمة المختلفة (logs)، يحللها، وينبه عن الأنشطة المشبوهة. مثال: Splunk، IBM QRadar.

2. اذكر مثالين على أدوات SIEM.

• Splunk: تحليل مرئي قوي للبيانات.

• IBM QRadar: تصنيف وتقييم الحوادث بناءً على المخاطر.

3. ما الفرق بين IDS وIPS؟

• IDS: يكشف الأنشطة المشبوهة فقط وينبه.

• IPS: يكشف ويمنع الأنشطة المشبوهة تلقائيًا.

4. ما الفرق بين event وalert؟

• Event: أي نشاط يُسجل (مثل تسجيل الدخول).

• Alert: يُولد عند تطابق حدث مع قاعدة تهديد.

5. ما هو IOC؟
   مؤشر اختراق، مثل IP أو Hash أو Domain يدل على تهديد فعلي.

6. ما الفرق بين IOC وIOA؟

• IOC: دلائل مادية (مثل ملف ضار).

• IOA: سلوك يدل على نية خبيثة (مثل تشغيل PowerShell غريب).

7. ما الفرق بين True Positive وFalse Positive؟

• True Positive: تنبيه صحيح لحادث حقيقي.

• False Positive: تنبيه خاطئ لحالة سليمة.

8. اشرح مفهوم التصيّد (Phishing).
   هجوم إلكتروني يخدع الضحية عبر بريد إلكتروني أو رابط للحصول على معلومات حساسة.

9. ما هو brute force attack؟
   محاولة تجربة كلمات مرور كثيرة حتى يتم اختراق الحساب، غالبًا باستخدام أدوات آلية.

10. ما الفرق بين scanning وenumeration؟

• Scanning: الكشف عن الأجهزة والخدمات.

• Enumeration: جمع معلومات أكثر عمقًا كالأسماء والبروتوكولات.

11. ما هي فوائد Sysmon؟
    يسجل الأحداث الهامة على النظام مثل تشغيل العمليات وتغييرات الملفات، مهم في التحقيقات.

12. ما هو جدار الحماية (Firewall)؟
    أداة تتحكم في تدفق البيانات بين الشبكات وتحظر الاتصالات غير المرغوب فيها حسب السياسات.

13. كيف تكتشف اتصال بسيرفر C2؟
    تحليل سلوك الجهاز، الاتصال المتكرر بنفس الـIP الغريب، استخدام DNS tunneling.

14. ما الفرق بين TCP وUDP؟

• TCP: بروتوكول موثوق يعتمد على إنشاء اتصال.

• UDP: أسرع وأخف لكنه لا يضمن التسليم.

15. ما هي البروتوكولات الخطرة؟

• Telnet: غير مشفر.

• FTP: بيانات بدون تشفير.

• SMBv1: يحتوي ثغرات أمنية.

16. ما هو ملف hosts؟
    يستخدم لتجاوز DNS وربط أسماء النطاق بـIP محدد محليًا، يمكن استغلاله لإعادة التوجيه الضار.

17. أنواع البرمجيات الخبيثة؟

• فيروس

• دودة (Worm)

• Trojan

• Ransomware

• Spyware

18. كيف تحقق في ملف مشبوه؟

• افحص الـ hash

• افتح في بيئة SandBox

• راقب العمليات والسلوك

• تحقق من التوقيع الرقمي

19. ما هو sandboxing؟
    تشغيل برنامج في بيئة معزولة لمراقبة سلوكه دون التأثير على النظام الحقيقي.

20. ما الفرق بين exe وdll؟

• exe: ملف تنفيذي مستقل.

• dll: مكتبة ديناميكية تُستدعى من برامج أخرى.

21. ما هو DNS poisoning؟
    خداع النظام لتوجيه المستخدمين إلى IP ضار عن طريق الردود المزيفة في DNS.

22. ما هو ARP Spoofing؟
    انتحال عنوان MAC على الشبكة لخداع الأجهزة وإعادة توجيه الترافيك.

23. كيف يتم جمع logs من الأجهزة؟

• باستخدام وكلاء مثل WEF أو NXLog

• أدوات مثل EDR أو SIEM Agent

• إرسال مباشر عبر Syslog

24. ما الفرق بين SIEM وEDR؟

• SIEM: تحليل شامل من مصادر متعددة.

• EDR: تركيز على نقاط النهاية (Endpoints) وتحليل عميق.

25. ما الفرق بين Signature وBehavior-based؟

• Signature: يعتمد على تطابق مع نمط معروف.

• Behavior: يعتمد على سلوك مشبوه حتى لو لم يكن معروفًا.

---

 القسم الثاني: 25 سؤال عام مع إجابات تفصيلية

26. ما هو دور SOC Analyst؟
    مراقبة السجلات، الكشف عن التهديدات، التحقيق في التنبيهات، والتنسيق مع الفرق الأخرى للاستجابة للحوادث.

27. ما الفرق بين L1 وL2 وL3؟

• L1: يراقب التنبيهات ويبلغ عن الحوادث.

• L2: يحقق بعمق ويبدأ التحليل.

• L3: يطور قواعد SIEM ويقود التحقيقات الكبرى.

28. ما أول خطوة عند وقوع حادث؟
    احتواء الحادث فورًا لمنع انتشاره ثم التحقق وتحليل الأثر.

29. كيف تتعامل مع جهاز مخترق؟

• عزله عن الشبكة

• أخذ نسخة للذاكرة

• تحليل السجلات

• إبلاغ الفريق المختص

30. كيف توثق حادث أمني؟

• وقت الاكتشاف

• الأجهزة المتأثرة

• تحليل الأسباب

• الإجراءات المتخذة

• التوصيات المستقبلية

31. ما الفرق بين event وincident؟

• Event: حدث تقني مسجل.

• Incident: تهديد أمني فعلي.

32. ما أنواع الحوادث الأمنية؟

• التصيّد

• برامج الفدية

• الوصول غير المصرح

• تسريب البيانات

33. اشرح مراحل الاستجابة للحوادث؟

34. الكشف

35. التحليل

36. الاحتواء

37. المعالجة

38. التعافي

39. الدروس المستفادة

40. ماذا يحتوي تقرير الحادث؟
    شرح للحادث، الأنظمة المتأثرة، التحليل الفني، التوصيات، الإجراءات التصحيحية.

41. ما الإجراءات عند هجوم Ransomware؟

• عزل الأجهزة

• مراجعة النسخ الاحتياطية

• التنسيق مع الجهات المختصة

• عدم الدفع للمهاجم

36. ما هو playbook؟
    إجراء مكتوب خطوة بخطوة للتعامل مع نوع محدد من الحوادث.

37. ما هو chain of custody؟
    توثيق تسلسل التعامل مع الأدلة لضمان صحتها القانونية.

38. ما الفرق بين الأمن السيبراني والمعلوماتي؟
    السيبراني: يركز على الأنظمة والشبكات.
    المعلوماتي: يشمل الأفراد والسياسات والتقنية.

39. ما هو Defense in Depth؟
    استخدام طبقات متعددة للحماية مثل: الجدران النارية + التشفير + مراقبة الدخول.

40. ما فائدة التقسيم الشبكي؟
    يقلل من الانتشار في حال حدوث اختراق، ويحدد نطاق كل شبكة.

41. كيف تتعامل مع ضغط تنبيهات كثيرة؟

• تحديد الأولويات

• استخدام التصنيف التلقائي

• تحسين قواعد التنبيه

42. ما هو MITRE ATT&CK؟
    إطار عمل يوثق أساليب المهاجمين ويساعد في التحليل والاستجابة.

43. لماذا نُدرب الموظفين على التوعية؟
    لأن أكثر الحوادث تأتي من أخطاء بشرية، مثل النقر على روابط تصيّد.

44. ما هو Least Privilege؟
    إعطاء كل مستخدم أقل صلاحيات ممكنة لأداء مهامه.

45. ما الفرق بين التحديث الأمني والتقني؟
    الأمني: يعالج ثغرات.
    التقني: تحسين أو ميزة جديدة.

46. ما التحديات التي تواجه محلل SOC؟

• التنبيهات الكثيرة

• العمل بنظام الورديات

• ضغط الحوادث المفاجئة

47. كيف تدير وقتك خلال عدة حوادث؟

• استخدام نظام الأولويات (Severity)

• التعاون مع الفريق

• الالتزام بخطة الاستجابة

48. ما هو Threat Hunting؟
    البحث الاستباقي عن تهديدات غير مكتشفة باستخدام التحليل.

49. ما الفرق بين SOC داخلي وخارجي؟

• داخلي: داخل الشركة.

• خارجي (MSSP): يُدار من طرف ثالث.

50. ما الفرق بين الاستجابة الاستباقية والتفاعلية؟

• استباقية: منع الهجمات قبل وقوعها.

• تفاعلية: الاستجابة بعد وقوع الحادث.

الأقسام:

شارك المقال:

• مشاركة
• غرد
• أرسل
• المزيد

• حفظ
• مشاركة
• مشاركة
• مشاركة
• مشاركة
• إرسال
• طباعة

شاهد أيضا :