استخبارات التهديد — تتبّع نماذج المهاجمين ومشاركة IOCs

من مؤشرات الاختراق إلى تكتيكات الخصم — كيف نبني استخبارات تهديد فعّالة؟

مقدمة

استخبارات التهديد (Threat Intelligence) ليست مجرد قائمة عناوين IP محجوبة، بل عملية مستمرة لجمع وتحليل مؤشرات الاختراق (IOCs)، وفهم تكتيكات وأساليب وإجراءات المهاجمين (TTPs)، ثم تحويل هذه المعرفة إلى قرارات دفاعية قابلة للتنفيذ عبر أدوات الكشف والاستجابة والتنسيق بين الفرق.

بداية القصة — إشارات صغيرة تكشف خصمًا كبيرًا

بدأ فريق مركز العمليات (SOC) يلاحظ أنماط اتصالٍ مكررة إلى نطاقات لم تُستخدم سابقًا، مع User-Agent غريب في سجلات الوكلاء. أظهرت المقارنة أن هذه المؤشرات تكررت على أجهزة مختلفة لكنها مرتبطة بنفس مجموعة المستخدمين. جُمعت المؤشرات الأولية (IPs, Domains, Hashes) وربطت بوقت الهجمات وأهدافها، لتبدأ رحلة التحليل.

جمع IOCs وتطبيعها

مصادر داخلية: سجلات الوكلاء، الـ EDR، جدران الحماية، البريد، الـ DNS.
مصادر خارجية: خلاصات استخبارات (TI Feeds)، شراكات صناعية، تقارير عامة.
تطبيع: تحويل المؤشرات لصيغة موحدة، مع بيانات وصفية (زمن الرصد، الثقة، السياق).

أبعد من الـ IOCs — فهم الـ TTPs

لتقليل “الضجيج” والتركيز على ما يؤلم الخصم فعلاً، حلّل الفريق سلوك المهاجم عبر مراحل السلسلة الهجومية (Initial Access → Execution → Persistence → Lateral Movement → Exfiltration) وربط كل خطوة بتقنيات من إطار MITRE ATT&CK. هذا الربط مكّن الفريق من بناء قواعد كشف أعلى قيمة من الحجب القائم على القوائم فقط.

بناء صورة الخصم

الاستطلاع: استعلامات DNS متتابعة لأنماط نطاقات قريبة (DGA محتمل).
الوصول الأولي: مرفقات بريدية مع ماكرو/ملف LNK معدّل.
الثبات: مهام مجدولة، مفاتيح تسجيل Run/RunOnce.
الحركة الجانبية: استغلال مشاركة Admin$، وسرقة اعتماديات LSASS.
جمع/إخراج: ضغط ملفات حساسة وإرسالها على دفعات صغيرة عبر HTTPS.

تحويل الذكاء إلى كشف واستجابة

قواعد كشف: إنشاء تنبيهات SIEM لسلوكيات محددة (مثل تسلسل أوامر مشبوه/اتصالات غير اعتيادية).
تهديدات مدعومة بالقواعد: صياغة Sigma/YARA/Suricata لمطابقة الأنماط عبر طبقات متعددة.
صيانة القوائم: إضافة/استبعاد المؤشرات ديناميكيًا بحسب مستوى الثقة وفترة الصلاحية (TTL).
Playbooks: أتمتة احتواء أولي (عزل مضيف، إبطال رموز، حجب نطاق) عبر SOAR.

المشاركة والتنسيق

شارك الفريق الحزمة الاستخباراتية بصيغة STIX وأتاحها عبر TAXII لشركاء موثوقين داخل القطاع، مع سجلّ تغيير يوضح وقت الإضافة، مستوى الثقة، ومتى جرى إهمال المؤشر لتفادي الإيجابيات الكاذبة.

قياس الفاعلية

زمن الاكتشاف (MTTD) وزمن الاستجابة (MTTR): انخفضا بعد تفعيل قواعد السلوك.
نسبة الإشعارات عالية الجودة: زيادة التنبيهات التي تؤدي إلى قضايا حقيقية.
حِدة التأثير: تراجع حجم البيانات الخارجة وتكرار الاتصالات غير المصرح بها.

الدروس المستفادة

لا تكتفِ بالـ IOCs الخام — اربطها بالـ TTPs لرفع قيمة الكشف وتقليل الضجيج.
حدّث المؤشرات باستمرار وامنحها “تاريخ صلاحية”.
شارك الذكاء بصيغ معيارية (STIX/TAXII) لتعزيز دفاع المجتمع.
حوّل الذكاء إلى قواعد قابلة للتنفيذ (Sigma/YARA/Suricata) وادمجها في الـ SIEM/EDR.
اربط كل قاعدة كشف بخطوة في Playbook لأتمتة الاحتواء الأولي.