Skip Navigation Linksالإدارة العامة للأمن السيبرانيالوثائق التنظيميةالمعاييرالكشف عن تهديدات النقاط النهائية والاستجابة لها

​​​


EDR Standard (الكشف عن تهديدات النقاط النهائية والاستجابة لها)

-المتطلبات العامة General Requirements 

الهدف:إدارة حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" بشكل آمن واستخدامها بشكل مناسب عند الحاجة. ​

المخاطر المحتملة::قد يؤدي الخطأ في ضبط إعدادات حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" إلى إهدار فرصة تحديد التهديدات، ويؤدي إلى تسرب المعلومات والإفصاح عنها والوصول غير المصرح به إليها.

الإجراءات المطلوبة:

    • أن تعمل حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" على توفير مراقبة أمنية لحظية ومستمرة وجمع بيانات النقطة النهائية مع قدرات تحليل واستجابة تلقائية مستندة إلى القواعد.
    • استخدام حل "الكشف عن تهديدات النقاط النهائية والاستجابة لها" في البيئة التقنية عن طريق تثبيته كوكيل (agent solution) على مستوى الأجهزة.
    • أن توفر حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" الحماية والمراقبة لكل النقاط النهائية في جامعة الإمام محمد بن سعود الإسلامية. وأن يكون الحل مستقلًا عن نظام تشغيل النقطة النهائية. وإذا لم تدعم أنظمة تشغيل معينة استخدام حل "الكشف عن تهديدات النقاط النهائية والاستجابة لها"، يجب فصل تلك الأنظمة في مجموعة خاصة ومراقبتها بأسلوب مخصص ومحدد.
    • يجب ألا تقتصر حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" على توفير معلومات عن الأساليب والأنماط والعمليات التي يستعملها المهاجم، بل ويجب أن توفر أيضًا معلومات عن كيفية دخول المهاجمين إلى الشبكة الداخلية للجهة، وكيفية انتقالهم إلى الأجهزة الاخرى، وكيفية تصعيد الصلاحيات الممنوحة على النظام لتحقيق أهدافهم في الهجوم.
    • تثبيت كل التحديثات الأمنية الخاصة ببرمجيات "الكشف عن تهديدات النقاط النهائية والاستجابة لها" حال إصدار تلك التحديثات من المورد
    • أن تتبع كل التحديثات الأمنية متطلبات سياسة إدارة التحديثات والإصلاحات والتحصين.
    • أن تتم تحديثات برمجيات "الكشف عن تهديدات النقاط النهائية والاستجابة لها" وفقًا للدليل الإجرائي لإدارة التغييرات.
    • أن توفر حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" قدرات للتحليل العميق والفحوص الجنائية الرقمية عند الحاجة إلى إجراء تحقيقات.
    • أن تكون حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" قابلة للتوسع والتطوير للتصدي للمخاوف المرتبطة بالجيل التالي من تهديدات الأمن السيبراني.
    • إجراء النسخ الاحتياطي الدوري للبيانات والتحذيرات ذات الصلة، وملفات الإعدادات الخاصة بحلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" (القواعد والتقارير وأدوات المتابعة والمجموعات والإجراءات المقررة)، وإدارة ملفات التخزين وفقًا لسياسة والدليل الإجرائي للنسخ الاحتياطي في جامعة الإمام محمد بن سعود الإسلامية.
    • تحديد اتفاقية مستوى خدمة (SLA) لإيضاح المسؤوليات المحددة لمزود حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" وتلبية توقعات جامعة الإمام محمد بن سعود الإسلامية.
    • أن تتحقق جامعة الإمام محمد بن سعود الإسلامية من قائمة التصريحات التي يتعين إسنادها لضمان عمل وكيل "الكشف عن تهديدات النقاط النهائية والاستجابة لها" بالشكل السليم. وقد تختلف قائمة التصريحات استنادًا إلى وضع عمل "الكشف عن تهديدات النقاط النهائية والاستجابة لها" (الحجب أو المراقبة) ويجب تعديلها وفقًا لقاعدة الحد الأدنى من الصلاحيات والامتيازات.
-جمع البيانات ومراقبتها (Data Collection and Monitoring)


الهدف:أن يعمل وكلاء (agents) برمجيات "الكشف عن تهديدات النقاط النهائية والاستجابة لها" على مراقبة وجمع بيانات النقاط النهائية بشكل ملائم، مثل: العمليات والاتصالات وحجم  النشاط وعمليات نقل البيانات، في قاعدة بيانات مركزية.

المخاطر المحتملة:قد تؤدي المراقبة وجمع البيانات بشكل غير سليم من جانب وكلاء البرمجيات إلى تداعيات خطيرة تسفر عن عدم كشف حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" عن التهديدات والاستجابة لها بشكل سليم.

 الإجراءات المطلوبة:

أن تستعمل حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" وحدة تحكم إدارية مركزية تتمتع بالمزايا التالية:

    • الوصول المتزامن
    • مراقبة الأحداث الجارية
    • تمثيل المعلومات المهمة مرئيًا
    • عرض تفاصيل حدث معين
    • وضع العمل متعدد النوافذ
    • قدرات تصفية متقدمة
    • تحديث تلقائي
    • الوصول دون الحاجة إلى تبديل الواجهات
    • لإبلاغ التلقائي
    • أن تعمل حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" على مراقبة وجمع بيانات النشاط التي قد تشير إلى وجود تهديدات على النقاط النهائية.
    • أن تعمل حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" على الربط التبادلي للبيانات عبر كامل البيئة ضمن نطاق مراقبتها.
    • ن تعمل حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" على جمع ومراقبة البيانات من دون التأثير على أنشطة النقطة النهائية.
    • أن تعمل حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" بغض النظر عن وجود برمجيات مكافحة الفيروسات على النقطة النهائية من عدمها.
    • أن تعمل حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" على جمع ومراقبة البيانات ذات الصلة لرسم صورة كاملة عن أنشطة النقطة النهائية.
    • أن تشتمل البيانات ذات الصلة بحلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" على معلومات تغطي المجالات التالية: العمليات والاتصالات والملفات ومحركات الأقراص والتشغيل التلقائي والأنظمة والآلات والمستخدمين.
    • ويجوز استخدام مصادر بيانات أخرى، منها على سبيل المثال لا الحصر:
      •       السجلات
      •    مراقبة الأداء
      •     تفاصيل الملف
      •    العمليات الجارية
      •     بيانات الإعدادات
    • أن تعمل حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" بشكل صحيح على جمع ومراقبة نشاط نقطة النهاية بغض النظر عن مكان وجودها.

-تحليل البيانات وتحديد أنماط التهديدات Data Analysis and Threat Pattern) Identification)

 الهدف:

تحليل لحظي بغرض التشخيص السريع للتهديدات التي لم تكن متوقعة في جداول الاستجابة التلقائية.

 المخاطر المحتملة:قد يؤدي تحليل البيانات وتحديد أنماط التهديدات بشكل غير سليم إلى تداعيات خطيرة تفضي إلى عدم عمل ميزة الإشعارات والاستجابة التلقائية بشكل صحيح.

-الإجراءات المطلوبة​:
    • أن تراقب حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" كل نقطة نهائية لدى الجهة بغرض جمع وتحليل البيانات المجمَّعة التي يمكن أن تعطي مؤشرًا على الأنشطة المشبوهة أو التهديدات المحتملة.
    • أن ترسل حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" إشارة بالهجمات إلى أعضاء فريق تقنية المعلومات في جامعة الإمام محمد بن سعود الإسلامية. يجب أن توفر حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" تفاصيل بشأن مصدر الهجوم والضرر التي تمكن المهاجم من تحقيقه.
    • يجب أن تحدد حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" أنماط التهديدات استنادًا إلى البيانات المجمَّعة من كل نقطة من النقاط النهائية، بدلًا من الاكتفاء بنقطة واحدة.
    • يجب أن تقارن حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" أنماط مجموعات البيانات الجديدة بالأنماط السابقة وذلك بغرض تحديد الأنشطة الضارة والمشبوهة سواء كانت معروفة مسبقًا أم لا.
    • يجب أن توفر حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" قدرات الكشف السلوكي عن التهديدات.
    • يجب أن تستخدم حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" قاعدة بيانات معرفية يمكن الوصول إليها عالميًا عن تصنيف تهديدات الأمن السيبراني (مثل القاعدة المعرفية لأساليب وأنماط الخصوم بالاستناد إلى مشاهدات حقيقية (MITRE ATT&CK)، والتي يمكن الوصول إليها عالميًا).
    • يجب أن تحدد حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" درجات المخاطر وأن تصنف تهديدات الأمن السيبراني استنادًا إلى مستوى الحساسية ومستوى الثقة. مستوى الحساسية يشير إلى تقدير تأثير الكشف غير الفعال على البيئة السيبرانية. ومستوى الثقة يشير إلى احتمالية أن يكون الكشف صالحًا، وليس تنبيه إيجابي خاطئ.
-الإشعارات والاستجابة التلقائية Automatic Response and Notification 

الهدف:إنشاء قواعد مسبقة الإعداد للاستجابات السريعة في حالة الانتهاك المحتمل للقاعدة، مقترنًا بتنبيه ملائم.

 المخاطر المحتملة:قد يؤدي الخطأ في إعدادات ميزة الإشعارات والاستجابة التلقائية إلى تداعيات خطيرة تؤثر على اتخاذ التدابير الملائمة لمنع أو إيقاف الاختراقات المحتملة​


الإجراءات المطلوبة:
    • يجب أن توفر حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" نظامًا للتنبيهات والاستجابة التلقائية يغطي أحدث سيناريوهات الهجمات السيبرانية.
    • يجب أن تسرّع حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" أوقات الاستجابة عبر تكامل مرئيات الأمن السيبراني ومشاركتها مع حلول الكشف عن تهديدات الشبكات والاستجابة لها Network Detection and Respons (NDR)) ونظام إدارة سجلات الأحداث ومراقبة الأمن السيبراني (SIEM) وأدوات التنسيق الأمني والأتمتة والاستجابة (SOAR).
    • يجب أن تطلق حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" استجابة تلقائية استنادًا إلى التهديدات المحددة مسبقًا (الجدول "أ"). 
    • يجب أن تمنع حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" تشغيل الملفات الضارة والمشبوهة ونشرها عبر الشبكة أثناء أو بعد إجراء التحقيق.
    • يجب أن تعزل حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" المضيف المصاب بمجرد أن تجد مؤشرًا على وقوع انتهاك أمني مقترن بتهديد سريع الانتشار
    • يجب أن تعزل حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" الملفات المرتبطة بالتهديدات المراوغة على جميع النقاط النهائية.
    • يجب أن تعمل حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" تلقائيًا على تسجيل وإشعار جامعة الإمام محمد بن سعود الإسلامية عندما تحدد تهديدًا محتملًا سواء أطلق استجابة تلقائية أم لم توجد استجابة تلقائية محددة للتهديد المكتشف.
    • يجب أن تجمع حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" في ملف السجلات أي أحداث قد يشملها نطاق تفتيش التدقيق (مثل الأنشطة المشبوهة، تحديد التهديدات، الإجراءات التلقائية، إخطار فريق تقنية المعلومات)


-معايير اخرى Other Standards:​

 الهدف :ضبط إعدادات حلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها" بشكل آمن، واستخدامها بشكل مناسب عند الحاجة.

المخاطر المحتملة:قد يؤدي عدم التزام جامعة الإمام محمد بن سعود الإسلامية بجميع المعايير والمتطلبات المقررة إلى تعريض الجهة لتهديدات خطيرة.

  الإجراءات المطلوبة
      • يجب تطبيق المعايير التالية فيما يتعلق بحلول "الكشف عن تهديدات النقاط النهائية والاستجابة لها":
        •  إدارة الهويات وحقوق الوصول
        • النسخ الاحتياطي والتعافي من الكوارث
        • التشفير
        • تسجيل الأحداث وسجلات التدقيق
        • الأمن المادي
        • الإعدادات والتحصين الآمن
        •  إدارة ومراقبة سجل الأحداث
        • الحماية من البرمجيات الضارة
        •   إدارة النسخ الاحتياطي والاستعادة
        •  الكشف عن تهديدات الشبكات والاستجابة لها ​

استرداد الملفعملية استرداد الملفات.
إنهاء العمليةإنهاء العمليات المشبوهة.
إنهاء التشعبإنهاء التشعبات المشبوهة.
إغلاق الاتصالإغلاق الاتصالات المشبوهة.
حذف الملفحذف الملفات المشبوهة.
حذف السجلحذف السجلات المشبوهة.
حذف المهمة المجدولةحذف المهام المجدولة.
حذف الخدمةحذف الخدمات التي تنطبق عليها معايير معينة.​
روابط الجهة
روابط مهمة
تابعنا على
جميع الحقوق محفوظة لجامعة الإمام © - م