استخبارات التهديد
تعرض صفحة استخبارات التهديد في AuroraSOC مؤشرات الاختراق IOCs التي اكتشفها النظام أو استوردها من مصادر خارجية، مع الإثراء والمشاركة بين المواقع والبحث الدلالي عن التهديدات المشابهة.
إدارة مؤشرات الاختراق
الأنواع المدعومة
| النوع | أمثلة | الاستخراج التلقائي |
|---|---|---|
| عنوان IP | 192.168.1.100، 10.0.0.0/24 | ✅ من التنبيهات والسجلات |
| نطاق | evil.example.com | ✅ عبر تحليل DNS |
| URL | https://malware.site/payload | ✅ من سجلات الوكيل أو البروكسي |
| تجزئة ملف | MD5، SHA1، SHA256 | ✅ من EDR والأدلة الجنائية |
| بريد إلكتروني | phisher@evil.com | ✅ من بوابة البريد |
| CVE | CVE-2024-12345 | ✅ من ماسحات الثغرات |
جدول IOC
| العمود | الوصف |
|---|---|
| النوع | فئة IOC مثل IP أو domain أو hash |
| القيمة | المؤشر نفسه |
| المصدر | من أين تم اكتشافه |
| الثقة | درجة الثقة من 0.0 إلى 1.0 |
| أول ظهور | أول وقت اكتشاف |
| آخر ظهور | أحدث وقت رصد |
| التنبيهات المرتبطة | عدد التنبيهات ذات الصلة |
| الحالة | نشط / منتهي / إيجابي كاذب |
خط إثراء IOC
لماذا هذا التصميم؟
يخزن AuroraSOC بيانات IOC العلائقية والبحث الدلالي في قاعدة بيانات واحدة، بينما يستخدم Redis للتخزين المؤقت السريع:
- PostgreSQL للمطابقة التامة، والاستعلامات العلائقية، وإزالة التكرار.
- pgvector للبحث الدلالي باستخدام embeddings مخزنة داخل PostgreSQL نفسه.
- Redis Cache لتخزين نتائج المسار السريع مدة ساعة وتجنب تكرار الاستعلامات الخارجية.
المطابقة التقليدية تسأل: "هل هذا العنوان موجود حرفيًا؟" أما pgvector فيمكّن
سؤالًا أوسع: "ما المؤشرات ذات السياق المشابه لهذه الحملة؟" من دون الحاجة إلى خدمة
متجهية منفصلة.
مشاركة IOC بين المواقع
مشاركة IOC عبر NATS JetStream تعطي:
- بقاء الرسائل على القرص.
- تسليمًا موثوقًا بين المواقع.
- إمكانية replay لأن المستهلكين يحتفظون بموضع القراءة.
أدوات استخبارات التهديد
LookupIOC
يبحث في قاعدة البيانات المحلية والمصادر الخارجية:
Input: {"ioc_type": "ip", "ioc_value": "203.0.113.50"}
Output: {
"found": true,
"sources": ["virustotal", "abuseipdb"],
"risk_score": 87,
"categories": ["command-and-control", "malware-distribution"],
"first_seen": "2024-01-15",
"related_campaigns": ["APT29-Cozy-Bear"]
}
EnrichIOC
يضيف سياقًا إضافيًا إلى IOC من خلال:
- توليد embedding من الوصف والسياق.
- تخزين embedding داخل PostgreSQL عبر
pgvector. - ربط المؤشر بمؤشرات مشابهة دلاليًا.
ShareIOC
ينشر IOC إلى NATS JetStream للمشاركة بين المواقع مع:
- تنسيق STIX/TAXII قياسي.
- درجة ثقة وإسناد للمصدر.
- إزالة تكرار تلقائية عند جهة الاستقبال.
إزالة التكرار
تزال تكرارات IOC بواسطة قيد فريد على (type, value):
- إذا وصل IOC مكرر، يتم تحديث
last_seenوconfidenceبدل إنشاء سجل جديد. - يضاف المصدر الجديد بدل استبدال القديم.
- تدمج التنبيهات المرتبطة في نفس السجل.
وهذا يحافظ على قاعدة IOC نظيفة مع الاحتفاظ بتاريخ المصدر كاملًا.