إدارة الحالة

تمثل الحالات في AuroraSOC تحقيقات منظمة تجمع التنبيهات والـ observables والأدلة وملاحظات المحللين والمهام التنفيذية ذات الصلة. وهي توفر مسار التدقيق المطلوب للامتثال ولمراجعة ما بعد الحادث.

دورة حياة الحالة

يدعم AuroraSOC الآن حالات سير العمل الموسعة إلى جانب حالات التوافق الأقدم. تظل investigating وescalated مقبولتين للتوافق مع البيانات والمهام الأقدم، بينما يكون المسار الأساسي الحالي هو open -> in_progress -> pending_approval -> contained -> eradicated -> recovered -> resolved -> closed.

تُدار الموافقات البشرية كطبقة تحكم موازية عندما تحتوي الحالة على إجراءات تتطلب تفويضًا بشريًا، لكنها لا تستبدل دورة حياة الحالة نفسها.

دلالة الحالات

الحالة	المعنى
open	حالة جديدة لم تبدأ معالجتها النشطة بعد
in_progress	تحقيق نشط يقوده محلل أو وكيل
pending_approval	التقدم متوقف على قرار بشري مطلوب
contained	تم الحد من انتشار التهديد أو عزله
eradicated	تمت إزالة الأثر أو الوجود الخبيث
recovered	تمت استعادة الخدمة أو الأصل ويجري التحقق من استقراره
investigating	حالة توافق قديمة ما زالت مدعومة
escalated	حالة توافق قديمة لمسارات التصعيد السابقة
resolved	اكتملت المعالجة الفنية للحادث
closed	اكتملت مراجعة الإغلاق وما بعد الحادث

إنشاء حالة

يمكن إنشاء الحالات بأربع طرق مدعومة:

1. من تنبيه واحد — افتح التنبيه واستخدم Create Linked Case
2. من مساحة عمل SIEM — قم بترقية حدث تم العثور عليه إلى حالة مرتبطة، مع إمكانية ربط ذلك بقاعدة كشف نشطة
3. بمبادرة من الذكاء الاصطناعي — يستطيع وكيل Orchestrator إنشاء حالات تلقائيًا للنتائج الحرجة
4. عبر API — POST /api/v1/cases أو POST /api/v1/alerts/{alert_id}/promote أو POST /api/v1/siem/logs/{log_id}/promote

حقول الحالة

الحقل	الوصف	مطلوب
العنوان	اسم وصفي للحالة	نعم
الخطورة	Critical / High / Medium / Low	نعم
الوصف	وصف تفصيلي للحادث	لا
المكلّف	المحلل البشري أو المالك الرئيسي الحالي	لا
التنبيهات المرتبطة	التنبيهات التي تمت ترقيتها أو ربطها بالحالة	لا
الثقة	درجة الثقة في التحقيق (0.0–1.0)	تلقائي
الجدول الزمني	سجل زمني لأنشطة الحالة	تلقائي
Observables	domains وIPs وURLs وhashes والمستخدمون والمضيفون	أثناء التحقيق
الأدلة	قطع أثرية منظمة مع سلسلة حيازة	أثناء التحقيق
التعليقات	ملاحظات المحللين وسجل التعاون	أثناء التحقيق
المهام	عناصر عمل داخل الحالة مع الحالة والمكلّف	أثناء التحقيق

عرض تفاصيل الحالة

لوحة الملخص

• البيانات الوصفية للحالة، وشارة الخطورة، والمحلل المعين
• درجة الثقة مع الشرح
• الوضع الحالي مع الوقت في الحالة

لوحة ملخص سير العمل

تتضمن مساحة عمل الحالات الموسعة الآن عدادات وقوائم مباشرة لـ:

• observables
• الأدلة
• ملاحظات المحللين
• المهام التنفيذية

التوجيه إلى حالة محددة

تدعم صفحة الحالات الآن deep-link routing لتسليم التحقيقات بين المحللين.

• فتح /cases?selectedCase=<id> يؤدي إلى توسيع الحالة المطابقة تلقائيًا.
• إذا لم تكن الحالة المطلوبة موجودة في قائمة التحميل الحالية، يجلب AuroraSOC سجل التفاصيل ويضيفه إلى العرض.
• عند إغلاق الحالة أو طيّها، تتم إزالة معامل المسار ليعود الرابط إلى حالته غير المثبتة.

عناصر التحكم في الحالة

تدعم مساحة العمل الموسعة للحالات الآن عمليات سير العمل المباشرة:

• تعديل العنوان والوصف والخطورة والمكلّف وحالة الحالة
• تفعيل أو تعطيل requires_human_approval
• حذف الحالة وفصل التنبيهات المرتبطة تلقائيًا
• استخدام جميع الحالات المدعومة من الواجهة الخلفية، بما في ذلك in_progress وcontained وeradicated وrecovered

لوحة الجدول الزمني

يوضح الجدول الزمني جميع الإجراءات المتخذة على الحالة بترتيب زمني، بما في ذلك:

• ربط التنبيهات بالحالة
• خطوات تحليل الوكلاء
• تسجيل الـ observables
• تسجيل الأدلة وتحويلات الحيازة
• إنشاء المهام وتغييرات حالتها
• طلبات الموافقة البشرية وقراراتها
• تغييرات الحالة
• تعليقات المحللين

لوحة الأدلة

جميع القطع الأثرية التي جُمعت أثناء التحقيق:

• إدخالات السجل الأولية من SIEM
• بيانات تدفق الشبكة
• نتائج فحص نقطة النهاية
• تم جمع الأدلة الجنائية

لوحة الـ Observables

تُدار الـ observables الآن ككيانات حالة من الدرجة الأولى بدلاً من بقائها داخل نصوص أو JSON غير منظم.

يسجل كل observable ما يلي:

• النوع والقيمة
• المصدر وعدد الرصد
• تصنيفات TLP وPAP
• سياق الإثراء ووسوم المحللين

لوحة المهام

توفر المهام سير عمل تشغيليًا خفيفًا للمحللين داخل الحالة نفسها.

تسجل كل مهمة:

• العنوان والوصف
• الحالة (todo أو in_progress أو blocked أو done)
• الأولوية والمكلّف
• تاريخ الاستحقاق ووقت الإكمال

يمكن للمحللين الآن نقل حالة المهمة مباشرة من مساحة عمل الحالة.

إجراءات حيازة الأدلة

يتضمن كل عنصر دليل سجل حيازة داخليًا ونموذج تسليم سريعًا.

يمكن استخدامه لتوثيق إجراءات مثل:

• transferred
• duplicated
• reviewed
• archived

لوحة التوصيات

التوصيات التي يولدها الذكاء الاصطناعي بناءً على التحقيق:

• إجراءات الاستجابة الفورية
• خطوات العلاج على المدى الطويل
• تغييرات السياسة المقترحة
• مرجع الحالات الماضية المماثلة (عبر الذاكرة العرضية)

سير عمل الموافقة البشرية

بالنسبة للإجراءات عالية التأثير، ينشئ AuroraSOC سجلات موافقة مرتبطة بالحالة:

1. يحدد الوكيل أن الإجراء يتطلب تصريحًا بشريًا، مثل عزل مضيف أو تعطيل مستخدم
2. يُنشأ طلب الموافقة بفترة انتهاء صلاحية تحددها سياسة الموافقات في الواجهة الخلفية
3. يُرسل الإشعار عبر WebSocket إلى المحللين المخولين
4. يراجع المحلل السياق ويوافق أو يرفض
5. تستمر الحالة أو يُتخذ مسار بديل

مهلة الموافقة

تنتهي صلاحية طلبات الموافقة وفقًا لسياسة الموافقات في الواجهة الخلفية. تُعلَّم الموافقات المنتهية على أنها expired، ويجب إعادة الحالة إلى حالة تحقيق نشطة ليعيد المحلل تقييمها.

مقاييس الحالة في لمحة

يركز رأس مساحة عمل الحالات الحالية على الرؤية التشغيلية:

• إجمالي الحالات — جميع الحالات المحملة في العرض الحالي
• Open — الحالات الموجودة في حالات سير عمل نشطة وغير نهائية
• Critical — الحالات المصنفة حاليًا كحرجة
• Resolved — الحالات الموجودة في الحالات النهائية (resolved أو closed)

مسارات API الخاصة بسير عمل الحالة

يوفر AuroraSOC الآن مسارات حالة من الدرجة الأولى لتكاملات الواجهة الأمامية وأدوات المحللين:

• GET /api/v1/cases/{case_id} — تفاصيل الحالة الكاملة بما في ذلك الجدول الزمني وobservables والأدلة والتعليقات والمهام
• PATCH /api/v1/cases/{case_id} — تحديث بيانات الحالة أو متطلب الموافقة أو المكلّف أو حالة دورة الحياة
• DELETE /api/v1/cases/{case_id} — حذف الحالة وفصل التنبيهات المرتبطة
• GET|POST /api/v1/cases/{case_id}/observables
• GET|POST /api/v1/cases/{case_id}/evidence
• POST /api/v1/cases/{case_id}/evidence/{evidence_id}/custody
• GET|POST /api/v1/cases/{case_id}/comments
• GET|POST /api/v1/cases/{case_id}/tasks
• PATCH /api/v1/cases/{case_id}/tasks/{task_id}