أدوات CPS والشبكة و EDR والأدوات المتخصصة (CPS, Network, EDR & Specialized Tools)
بالإضافة إلى وما وراء SIEM و SOAR، توفر منصة AuroraSOC 22 أداة إضافية عبر ستة مجالات ونطاقات (domains). تغطي هذه الصفحة جميع وحدات وأقسام الأدوات المتبقية.
أدوات الاستجابة والكشف عند النقاط الطرفية (EDR Tools) (أداتان)
موجودة في aurorasoc/tools/edr/:
عزل نقطة طرفية (IsolateEndpoint)
class IsolateEndpoint(AuroraTool):
name = "isolate_endpoint"
description = "عزل مضيف مخترق عن الشبكة عبر منصة EDR (Network-isolate a compromised host via EDR platform)"
# المعلمات (Parameters): اسم المضيف (hostname)، نوع العزل (كلي/انتقائي) isolation_type (full/selective)، السبب (reason)
# المخرجات (Returns): حالة العزل (isolation status)، معلومات قناة الإدارة (management channel info)
فحص نقطة طرفية (ScanEndpoint)
class ScanEndpoint(AuroraTool):
name = "scan_endpoint"
description = "تنفيذ فحص أمني عند الطلب عبر EDR (Execute on-demand security scan via EDR)"
# المعلمات (Parameters): اسم المضيف (hostname)، نوع الفحص (سريع/كامل/مؤشرات) scan_type (quick/full/ioc)، الأهداف (targets)
# المخرجات (Returns): النتائج والمكتشفات (findings)، تقييم أو درجة الخطر (risk_score)، التوصيات (recommendations)
أدوات الأجهزة الفيزيائية السيبرانية (CPS Tools) (6 أدوات)
موجودة في aurorasoc/tools/cps/. وتعد أكبر وحدة أدوات (tool module)، مما يعكس مدى تعقيد أمن الأجهزة الفيزيائية السيبرانية (CPS).
الاستعلام عن مستشعر CPS (QueryCPSSensor)
يقرأ ويجمع بيانات القياس عن بُعد في الوقت الفعلي (real-time telemetry) من أجهزة CPS عبر جسر وبوابة MQTT:
- قراءات درجات الحرارة والاهتزاز والجهد الكهربائي
- عدادات ومؤشرات نشاط الشبكة
- الحالة الصحية للأجهزة
- طابع ووقت آخر اتصال (Last communication timestamp)
التحقق من المصادقة (VerifyAttestation)
يُطلق ويفعّل التحقق من البرنامج الثابت والمصادقة عليه (firmware attestation) لجهاز معين:
- يرسل تحدي وطلب مصادقة (attestation challenge) إلى الجهاز عبر موضوع وإصدار أوامر MQTT
- يحسب الجهاز تجزئة البرنامج الثابت (firmware hash) وتوقيع ECDSA
- يتحقق المحرك الأساسي المُصمم بلغة Rust من صحة التوقيع
- يُرجع نتيجة المصادقة والتحقق (VERIFIED/FAILED)
إبطال الشهادة (RevokeCertificate)
يُبطل ويفسخ شهادة TLS الخاصة بجهاز مُخترق أو تم الاستيلاء عليه:
- يتصل بالهيئة الداخلية لمنح الشهادات (Internal CA) أو النهاية الخلفية لـ Vault PKI
- يضيف الشهادة إلى قائمة إبطال الشهادات (CRL)
- سيفشل الجهاز في مصافحة (handshake) TLS في الاتصال والمحاولة التالية
- إجراء لا رجعة فيه (Irreversible) — يتطلب ويحتاج دائمًا إلى موافقة ومصادقة بشرية
ربط مادي سيبراني (CorrelatePhysicalCyber)
يُحلل الأحداث بحثًا عن ترابطات وعلاقات بين الأحداث المادية/الفيزيائية والسيبرانية:
- يأخذ ويسحب الحدث المادي (بيانات المستشعر) والحدث السيبراني (الإنذار)
- يتحقق من القرب والمقاربة الزمنية (temporal proximity) (نافذة وإطار زمني قابل للإعداد والتكوين)
- يقيّم ارتباط وتأثير الموقع/المنطقة (location/zone correlation)
- يُرجع نوع الارتباط ومستوى الثقة (confidence)
استعلام عن بروتوكول OT (QueryOTProtocol)
يسأل ويستعلم عن بيانات البروتوكولات الصناعية:
- Modbus — قراءة سجلات (registers) عبر pymodbus
AsyncModbusTcpClient(المنفذ الافتراضي 502، بحد أقصى 125 سجلاً) - DNP3 — قراءة نقاط المدخلات التناظرية عبر pydnp3 OpenDNP3 master (المنفذ الافتراضي 20000، بحد أقصى 1000 نقطة). يجري مسحاً للتكامل Class-0 على المحطة الخارجية (outstation) ويجمع القيم في نطاق الفهرس المطلوب.
- S7 — قراءة كلمات كتلة البيانات (data block) عبر python-snap7 (المنفذ الافتراضي 102، بحد أقصى 1000 كلمة). يقرأ كلمات 16-بت big-endian من كتلة البيانات المحددة (رقم DB =
unit_id).
عزل أو فصل جزء من الشبكة (IsolateNetworkSegment)
يعزل ويفصل جزءاً أو قسماً من شبكة OT من خلال الجدار الناري (firewall) أو المُحوّل (switch):
- يحظر جميع حركات المرور (traffic) من وإلى شبكة VLAN أو شبكة فرعية (subnet) محددة
- يحافظ على اتصالات السلامة الحرجة والمهمة (قائمة بيضاء whitelist قابلة للتكوين)
- يتطلب ويحتاج موافقة بشرية (Requires human approval) — حيث يمكن أن يعطل العمليات المادية ويوقفها
أدوات الشبكة (Network Tools) (3 أدوات)
موجودة في aurorasoc/tools/network/:
| الأداة (Tool) | الغرض والهدف (Purpose) |
|---|---|
| AnalyzeFlows | تحليل اتجاه وحركة مرور الشبكة (NetFlow/IPFIX) بحثًا عن الانحرافات والشذوذ (anomalies) |
| DetectDNSTunneling | اكتشاف وتتبع اختراق وأنفاق (tunneling) DNS عبر تحليل الإنتروبيا (entropy) وأنماط الاستعلام |
| BlockIP | حظر وحجب عنوان IP ضار ومشبوه في محيط الشبكة (network perimeter) |
اكتشاف أنفاق مرور DNS (DNS Tunneling Detection)
أدوات استخبارات التهديدات (Threat Intel Tools) (3 أدوات)
موجودة في aurorasoc/tools/threat_intel/:
| الأداة (Tool) | الغرض والهدف (Purpose) |
|---|---|
| LookupIOC | البحث في قاعدة البيانات المحلية (local DB) والتغذيات والمصادر الخارجية (external feeds) عن أي مؤشر اختراق (IOC) |
| EnrichIOC | إضافة السياق (context) وتخزينه في قاعدة البيانات المتجهة (vector DB) |
| ShareIOC | نشر ومشاركة مؤشر الاختراق (IOC) إلى خادم NATS للمشاركة عبر مواقع وأنظمة متعددة (cross-site sharing) |
أدوات التحليل الجنائي (Forensics Tools) (أداتان)
موجودة في aurorasoc/tools/forensics/:
| الأداة (Tool) | الغرض والهدف (Purpose) |
|---|---|
| CollectEvidence | جمع آثار وأدلة التحقيق الجنائي (forensic artifacts) من نقطة طرفية (endpoint) |
| TimelineReconstruction | بناء وتشكيل مخطط زمني وتاريخي للأحداث (chronological event timeline) |
أدوات البرامج الضارة (Malware Tools) (أداتان)
موجودة في aurorasoc/tools/malware/:
| الأداة (Tool) | الغرض والهدف (Purpose) |
|---|---|
| RunYARAScan | تنفيذ قواعد YARA (YARA rules) ضد وحيال الملفات والذاكرة |
| SandboxAnalysis | إرسال الملفات إلى بيئة معزولة (sandbox) لإجراء وتفعيل التحليل السلوكي (behavioral analysis) |
أدوات UEBA (تحليل سلوك المستخدم والكيان) (3 أدوات)
موجودة في aurorasoc/tools/ueba/:
| الأداة (Tool) | الغرض والهدف (Purpose) |
|---|---|
| HuntLOLBins | اكتشاف استخدام ثنائيات أو ملفات النظام الأصلية والمشروعة (LOLBins) لأغراض خبيثة |
| BaselineDeviation | اكتشاف ورصد الانحرافات والتجاوزات عن خطوط وأساسيات السلوك الخاصة بالمستخدم/الكيان (behavioral baselines) |
| UserRiskScore | حساب درجة أو تقييم المخاطر المُركّبة (composite risk score) لمستخدم ما |
اكتشاف أنشطة LOLBin (LOLBin Detection)
class HuntLOLBins(AuroraTool):
"""اكتشاف ثنائيات النظام المشروعة والمدمجة (LOLBins) المُستخدمة لأغراض خبيثة وضارة."""
LOLBIN_PATTERNS = [
{"binary": "certutil.exe", "suspicious_args": ["-urlcache", "-decode"]},
{"binary": "mshta.exe", "suspicious_args": ["http://", "javascript:"]},
{"binary": "regsvr32.exe", "suspicious_args": ["/s", "/u", "http://"]},
{"binary": "rundll32.exe", "suspicious_args": ["javascript:", "shell32"]},
{"binary": "bitsadmin.exe", "suspicious_args": ["/transfer"]},
# ... أكثر من 20 نمطاً إضافياً (20+ more patterns)
]
سجل وفهرس MCP (أداة واحدة)
موجود في aurorasoc/tools/registry/:
يُصدِّر ويُعرِّض خادم سجل وفهرس MCP (بروتوكول سياق النموذج أو Model Context Protocol) جميع الأدوات الـ 31 كنقطة نهاية (endpoint) واحدة متوافقة مع بروتوكول MCP. يتصل وكلاء الذكاء الاصطناعي بهذا السجل للبحث واكتشاف الأدوات المتاحة المتوفرة.
المرجع الكامل والدليل الشامل للأدوات (Complete Tool Reference)
| # | الأداة (Tool) | الوحدة/القسم (Module) | المجال والنطاق (Domain) |
|---|---|---|---|
| 1 | SearchLogs | siem | البحث في السجلات والبيانات (Log search) |
| 2 | CorrelateEvents | siem | ربط الأحداث (Event correlation) |
| 3 | ExtractIOC | siem | استخراج مؤشرات الاختراق (IOC extraction) |
| 4 | MitreMap | siem | تخطيط وربط MITRE (MITRE mapping) |
| 5 | ExecutePlaybook | soar | تنفيذ وتفعيل كتيبات اللعب (Playbook execution) |
| 6 | RequestHumanApproval | soar | بوابة للموافقة والمصادقة البشرية (Human gate) |
| 7 | CreateCase | soar | إنشاء ملف أو سجل للحالة (Case creation) |
| 8 | UpdateCase | soar | تحديث حالة (Case update) |
| 9 | GenerateReport | soar | إنشاء التقارير (Report generation) |
| 10 | IsolateEndpoint | edr | عزل وفصل مضيف (Host isolation) |
| 11 | ScanEndpoint | edr | فحص نقاط وأجهزة طرفية (Endpoint scan) |
| 12 | QueryCPSSensor | cps | القياس عن بُعد ووحدة الاستشعار (Sensor telemetry) |
| 13 | VerifyAttestation | cps | سلامة وصلاحية البرامج الثابتة (Firmware integrity) |
| 14 | RevokeCertificate | cps | إبطال وفسخ الشهادة (Certificate revocation) |
| 15 | CorrelatePhysicalCyber | cps | الترابط عبر المجالات والنطاقات (Cross-domain correlation) |
| 16 | QueryOTProtocol | cps | بروتوكول صناعي (Industrial protocol) |
| 17 | IsolateNetworkSegment | cps | عزل وتقسيم شبكة OT (OT isolation) |
| 18 | LookupIOC | threat_intel | البحث عن IOC وتدقيقه (IOC lookup) |
| 19 | EnrichIOC | threat_intel | إثراء وإضافة سياق لـ IOC (IOC enrichment) |
| 20 | ShareIOC | threat_intel | مشاركة IOC (IOC sharing) |
| 21 | AnalyzeFlows | network | تحليل دفق وحركة المرور (Flow analysis) |
| 22 | DetectDNSTunneling | network | قياسات واستطلاعات DNS للقياس عن بُعد (DNS telemetry) |
| 23 | BlockIP | network | حظر وحجب IP (IP blocking) |
| 24 | CollectEvidence | forensics | جمع الأدلة والإثباتات (Evidence collection) |
| 25 | TimelineReconstruction | forensics | بناء المخطط الزمني (Timeline building) |
| 26 | RunYARAScan | malware | فحص وبحث YARA (YARA scanning) |
| 27 | SandboxAnalysis | malware | تنفيذ واختبار في البيئة المعزولة (Sandbox execution) |
| 28 | HuntLOLBins | ueba | اكتشاف LOLBin المُسيء (LOLBin detection) |
| 29 | BaselineDeviation | ueba | تحليل السلوك (Behavior analysis) |
| 30 | UserRiskScore | ueba | تقييم مخاطر المستخدم (User risk) |
| 31 | MCP Registry | registry | اكتشاف واستكشاف الأدوات (Tool discovery) |