انتقل إلى المحتوى

مرجع الاستعلامات ولوحات المعلومات المدمجة

💡 لا حاجة إلى SQL أو معرفة عميقة بـ AWS — فقط اختر عملية تتبع من القائمة المنسدلة واحصل على النتائج فورًا.

🎯 عمليات التتبع المدمجة — أكثر من 100 استعلام

تُرتَّب الفئات حسب أولوية الفرز في DFIR — تحقق أولًا من العبث بأدوات الكشف، ثم إساءة استخدام الهوية، ثم تأثير البيانات.

الفئة الاستعلامات التهديدات الرئيسية المغطاة
🛡 الكشف والاستجابة 12 العبث بخدمة التدقيق (CloudTrail/GuardDuty/Config/SecurityHub/Macie) · حذف SCP · إخماد الإنذارات · تسريب السجلات
🔑 الهوية والوصول 26 استخدام الجذر · تسجيل الدخول إلى وحدة التحكم/MFA · تصعيد الامتيازات · باب خلفي في سياسة الثقة · إساءة استخدام PassRole · AssumeRole عبر الحسابات · SSO/SAML/OIDC · تعداد بيانات الاعتماد
🪣 البيانات والتخزين 21 حذف/تنزيل جماعي في S3 · قراءة جماعية للأسرار · العبث بالنسخ الاحتياطية · عمليات KMS · مشاركة اللقطات · تسريب EBS Direct API · تصدير DynamoDB · نسخ S3 عبر الحسابات
⚡ الحوسبة وبلا خوادم 14 إيقاف/إنهاء جماعي لـ EC2 · حركة جانبية عبر SSM · العبث بـ Lambda/ECS/EKS/ECR · استمرارية EventBridge · تعدين العملات المشفرة · إساءة استخدام Lightsail
🌐 الشبكة والبنية التحتية 14 SG مفتوحة للإنترنت · حذف سجل تدفق VPC · اختطاف CloudFront · أنفاق VPN/TGW سرية · Elastic IP للقيادة والتحكم · مفاتيح API Gateway
🕵 أنماط التهديد 5 الكتابة خارج ساعات العمل · دفعة استطلاع · انتشار متعدد المناطق · وكلاء مستخدم غير معتادين · استدعاءات API لأول مرة
📊 النشاط وخط الأساس 3 أحداث الكتابة في وحدة التحكم · ارتفاعات الأخطاء · الأخطاء الأخيرة
🌍 تحليل GeoIP ✦ 12 السفر المستحيل · بيانات اعتماد متعددة البلدان · تسجيلات الدخول/الرفض/الكتابة المرتبة جغرافيًا · تفصيل البلد/المدينة/ASN · event_name × country · identity × country
☁ IaC والمنصة 2 سلسلة توريد CI/CD · إساءة استخدام CloudFormation
📋 القائمة الكاملة — جميع الاستعلامات الأكثر من 100 (انقر للتوسيع) ## عمليات التتبع المدمجة ### 🛡 الكشف والاستجابة | # | التسمية | المخطط | الوصف | |---|-------|:-----:|-------------| | 1 | 🛑 العبث بـ CloudTrail | timeseries | يكتشف أي محاولة لإيقاف أو تعديل CloudTrail — أهم مؤشر على التستر | | 2 | 🛡️ العبث بكاشف GuardDuty | timeseries | يكتشف تعطيل GuardDuty وحذفه والتلاعب باستخبارات التهديدات | | 3 | ⛔ العبث بـ Security Hub | timeseries | يكتشف تعطيل Security Hub وتعطيل المعايير وإخماد النتائج | | 4 | ⚙️ العبث بـ AWS Config | timeseries | يكتشف حذف مُسجِّل/قاعدة AWS Config (يزيل أدلة الامتثال) | | 5 | 🛡 تغييرات SCP في Organizations | timeseries | يكتشف إنشاء وتحديث وحذف SCP — إزالة SCP من نوع Deny يلغي الضوابط الواقية عبر كل حساب في وحدة OU | | 6 | 🚫 العبث بـ AWS Macie | timeseries | يكتشف تعطيل Macie وإنشاء مرشح النتائج (التهرب من الدفاع قبل التسريب) | | 7 | 🚨 حذف / تعطيل إنذار CloudWatch | timeseries | يكتشف حذف الإنذار وDisableAlarmActions — يُسكِت التنبيهات الأمنية دون حذف الإنذار | | 8 | 📜 تغييرات اشتراك CloudWatch Logs | timeseries | يكتشف إنشاء/حذف مرشح اشتراك CW Logs (تسريب السجلات في الوقت الفعلي إلى Kinesis/Lambda الخاصة بالمهاجم) | | 9 | 🏹 تغييرات WAF WebACL | timeseries | يكتشف إنشاء وتحديث وحذف WAF WebACL عبر WAFv2/WAF Classic | | 10 | 🔍 قراءة نتائج GuardDuty | timeseries | يكتشف ListFindings / GetFindings — يقرأ المهاجم النتائج النشطة لفهم ما اكتشفه مركز SOC بالفعل | | 11 | 💰 تغييرات الميزانية / شذوذ التكلفة | timeseries | يكتشف حذف Budget/AnomalyMonitor (إخفاء تكاليف تعدين العملات المشفرة) | | 12 | 🚫 أخطاء رفض الوصول | bar | يجمّع أخطاء AccessDenied حسب الهوية وAPI — أبرز المخالفين يشيرون إلى إساءة استخدام بيانات الاعتماد | ### 🔑 الهوية والوصول | # | التسمية | المخطط | الوصف | |---|-------|:-----:|-------------| | 1 | 🔑 نشاط حساب الجذر | timeseries | يكتشف أي استدعاء API من حساب الجذر — لا ينبغي استخدام الجذر أبدًا في الإنتاج | | 2 | 🔓 تسجيل الدخول إلى وحدة التحكم بدون MFA | timeseries | يكتشف تسجيلات الدخول إلى وحدة التحكم التي لم يُستخدم فيها MFA — مؤشر عالي الخطورة على اختراق الحساب | | 3 | 🌐 تسجيلات الدخول إلى وحدة التحكم | timeseries | يسرد جميع محاولات تسجيل الدخول إلى وحدة التحكم بما فيها النجاحات والإخفاقات (كشف القوة الغاشمة) | | 4 | 🔐 تغييرات MFA وكلمة المرور | timeseries | يكتشف تعطيل MFA وإعادة تعيين كلمات المرور — مؤشر قوي على الاستيلاء على الحساب | | 5 | 🔄 تصعيد الامتيازات (IAM) | timeseries | يكتشف إرفاق سياسة IAM والتلاعب بالأدوار (PutUserPolicy, AttachRolePolicy, CreatePolicyVersion، إلخ) | | 6 | 🔄 تغييرات سياسة ثقة دور IAM | timeseries | يكتشف UpdateAssumeRolePolicy — إضافة كيانات خارجية إلى سياسة الثقة يُنشئ بابًا خلفيًا مستمرًا | | 7 | 🚧 تغييرات حدود أذونات IAM | timeseries | يكتشف أحداث وضع/حذف حدود الأذونات — إزالة الحد توسّع الأذونات الفعلية فورًا | | 8 | 👑 إضافة مستخدم إلى مجموعة المسؤولين | timeseries | يكتشف المستخدمين المضافين إلى مجموعات تحتوي على 'admin' في الاسم — تصعيد امتيازات تقليدي | | 9 | 👥 تغييرات عضوية مجموعة IAM | timeseries | يكتشف جميع أحداث AddUserToGroup / RemoveUserFromGroup / CreateGroup / DeleteGroup بغض النظر عن اسم المجموعة | | 10 | 👤 مستخدمو / مفاتيح IAM الجدد | timeseries | يحدد أحداث إنشاء مستخدم IAM ومفتاح الوصول — قد يشير الإنشاء غير المتوقع إلى الاستمرارية | | 11 | 🎯 إساءة استخدام IAM PassRole | timeseries | يكتشف استخدام iam:PassRole عبر فحص أحداث الخدمة المستقبِلة (RunInstances, CreateFunction, CreateNotebookInstance، إلخ) حيث يُمرَّر ARN دور | | 12 | 🔐 AssumeRole عبر الحسابات | timeseries | يعرض أحداث AssumeRole حيث يكون المستدعي والهدف في حسابات AWS مختلفة (حركة جانبية) | | 13 | 🏢 الوصول عبر الحسابات | timeseries | يجد جميع الأحداث حيث يختلف حساب المستدعي عن حساب المستلم | | 14 | 🔑 إصدار رمز اتحاد STS | timeseries | يكتشف GetFederationToken وGetSessionToken — يحوّل المفاتيح طويلة الأمد إلى بيانات اعتماد مؤقتة مستمرة | | 15 | 🧩 STS AssumeRoleWithWebIdentity | timeseries | يكتشف إساءة استخدام ثقة OIDC (مطالبة sub خاطئة التهيئة / GitHub Actions بدون شرط المستودع) | | 16 | 🆔 أحداث IAM Identity Center (SSO) | timeseries | يكتشف إجراءات إدارة AWS IAM Identity Center (CreatePermissionSet, CreateAccountAssignment، إلخ) | | 17 | 🔗 تحديثات موفّر SAML / OIDC | timeseries | يكتشف تغييرات موفّر هوية SAML/OIDC — تحديث بيانات SAML الوصفية بموفّر هوية يتحكم فيه المهاجم يُنشئ بابًا خلفيًا مستمرًا للمصادقة | | 18 | 🧐 استدعاءات IAM Access Analyzer | timeseries | يكتشف أي استخدام لـ IAM Access Analyzer — يستفيد المهاجمون من المحلل الأصلي لتعداد الموارد المتاحة خارجيًا دون نصوص استطلاع مخصصة | | 19 | 🔄 تقرير بيانات الاعتماد والتعداد | timeseries | يكتشف تعداد IAM (GenerateCredentialReport, ListUsers, ListRoles, GetAccountAuthorizationDetails، إلخ) | | 20 | 🗝 إساءة استخدام مفتاح الوصول | bar | يكتشف مفاتيح الوصول المستخدمة من 3 عناوين IP مصدرية متمايزة أو أكثر خلال 7 أيام — مؤشر قوي على تسريب المفتاح | | 21 | 📰 إنشاء حساب AWS Organizations | timeseries | يكتشف إنشاء حساب Organizations وتغييرات المسؤول المفوّض (استمرارية الحساب الظلي) | | 22 | 👥 الوصول غير المصادق إلى Cognito | timeseries | يكتشف Cognito Identity Pools حيث allowUnauthenticatedIdentities=true | | 23 | 🧪 تصعيد امتيازات Glue DevEndpoint | timeseries | يكتشف إنشاء Glue DevEndpoint (iam:PassRole + glue:CreateDevEndpoint = نقطة نهاية يمكن الوصول إليها عبر SSH تعمل بكامل أذونات الدور المُمرَّر) وتعداد الاتصالات لجمع بيانات الاعتماد | | 24 | 🧪 تصعيد امتيازات SageMaker Notebook | timeseries | يكتشف إنشاء دفتر SageMaker وتوليد عنوان URL مُوقّع مسبقًا — iam:PassRole + sagemaker:CreateNotebookInstance يطلق بيئة Jupyter بكامل أذونات AWS للدور المُمرَّر | | 25 | 🛠 تصعيد امتيازات Data Pipeline / CodeStar | timeseries | يكتشف إنشاء موارد Data Pipeline وCodeStar المستخدمة لتصعيد iam:PassRole (CreateProjectFromTemplate ينشئ دور IAM للمسؤول كأثر جانبي) | | 26 | 🧩 تصعيد امتيازات Step Functions | timeseries | يكتشف إنشاء آلة حالة Step Functions (iam:PassRole + states:CreateStateMachine ينفّذ مهام Lambda/ECS تحت الدور المُمرَّر) | ### 🪣 البيانات والتخزين | # | التسمية | المخطط | الوصف | |---|-------|:-----:|-------------| | 1 | 💣 حذف جماعي لكائنات S3 | bar | يكتشف الهويات التي تنفّذ 50 استدعاء DeleteObject/DeleteObjects أو أكثر في الساعة — نمط تدمير بيانات برامج الفدية / المساحات | | 2 | 🔥 العبث بـ AWS Backup | timeseries | يكتشف حذف Backup Vault / Plan / RecoveryPoint وإزالة Vault Lock — الخطوة الأولى لبرامج الفدية لإلغاء خيارات الاسترداد | | 3 | 🔓 عمليات مفتاح KMS | timeseries | يُعلِّم عمليات KMS الحساسة (DisableKey, ScheduleKeyDeletion, CreateGrant, PutKeyPolicy, Decrypt عالي الحجم) | | 4 | 🔓 تعطيل منع الوصول العام لـ S3 | — | يكتشف تعطيل إعدادات منع الوصول العام لـ S3 — خطر تعرّض البيانات الفوري | | 5 | 🪣 تغييرات سياسة / ACL في S3 | timeseries | يكتشف تعديلات سياسة دلو S3 وACL (PutBucketPolicy مع Principal='*' بالغ الخطورة بشكل خاص) | | 6 | 🪣 شذوذ الوصول إلى بيانات S3 | bar | يكتشف استدعاءات GetObject الجماعية (100/ساعة أو أكثر) — نمط تسريب البيانات الآلي | | 7 | 🔐 GetSecretValue الجماعي في Secrets Manager | bar | يكتشف الهويات التي تسترجع 10 أسرار متمايزة أو أكثر في ساعة واحدة — إشارة جمع بيانات الاعتماد | | 8 | 🗝 حذف Secrets Manager والسياسة عبر الحسابات | timeseries | يكتشف حذف السر وPutResourcePolicy (المشاركة عبر الحسابات) وCancelRotateSecret | | 9 | 🔐 قراءة جماعية لـ SSM Parameter Store | bar | يكتشف الهويات التي تقرأ 20 معاملًا أو أكثر في ساعة واحدة — قناة تسريب غالبًا ما يُغفل عنها | | 10 | 💾 مشاركة لقطة RDS عبر الحسابات | timeseries | يكتشف لقطات RDS/Aurora المشتركة مع حسابات AWS خارجية (تسريب قاعدة البيانات عبر اللقطة) | | 11 | 💣 حذف RDS بدون لقطة نهائية | — | يكتشف حذف RDS مع skipFinalSnapshot=true — احتمال تدمير البيانات | | 12 | 💽 تمكين إمكانية الوصول العام لـ RDS | timeseries | يكتشف مثيلات RDS المُنشأة أو المعدّلة مع publiclyAccessible=true | | 13 | 🗄 تصدير / تسريب جماعي لـ DynamoDB | timeseries | يكتشف ExportTableToPointInTime (تصدير كامل الجدول من جانب الخادم متجاوزًا منع تسرب بيانات GetItem) وDeleteTable وتعطيل PITR | | 14 | 💾 تسريب لقطة EBS Direct API | timeseries | يكتشف EBS Direct API (ListSnapshotBlocks / GetSnapshotBlock) — يبثّ Pacu ebs__download_snapshots بيانات اللقطة الخام دون EC2، متجاوزًا كشف ModifySnapshotAttribute | | 15 | 🌊 قناة تسريب Kinesis Firehose / Stream | timeseries | يكتشف إنشاء/تحديث تدفق تسليم Firehose يشير إلى S3 خارجي — خط أنابيب بيانات في الوقت الفعلي غير مرئي لمنع تسرب بيانات الشبكة | | 16 | 🔁 نسخ S3 عبر الحسابات | timeseries | يكتشف PutBucketReplication — ينسخ بصمت كل الكائنات الجديدة إلى دلو يتحكم فيه المهاجم دون توليد أحداث GetObject إضافية | | 17 | 📂 تعطيل الإصدارات / التسجيل في S3 | timeseries | يكتشف تعليق الإصدارات (يتيح الحذف الدائم) وتعطيل تسجيل وصول الخادم (يزيل أثر الأدلة) | | 18 | 📧 تغييرات هوية SES وتهيئة إعادة التوجيه | timeseries | يكتشف تغييرات قاعدة استلام SES وتهيئة الهوية — قواعد إعادة التوجيه ترحّل كل البريد الوارد إلى عناوين المهاجم؛ الهويات المُتحقَّق منها تمكّن حملات التصيد | | 19 | 📡 تغييرات سياسة SQS / SNS عبر الحسابات | timeseries | يكتشف تغييرات سياسة SQS/SNS التي تمنح الوصول للحسابات الخارجية (بث رسائل صامت إلى نقاط نهاية المهاجم) | | 20 | 📸 مشاركة لقطة / AMI عامة لـ EC2 | timeseries | يكتشف لقطات EBS أو AMIs المشتركة علنًا (group=all) — يتيح لأي شخص نسخ صور القرص واستخراج البيانات | | 21 | 📧 قنوات تسريب البيانات | bar | يكتشف استدعاءات SNS/SQS/SES/S3 PutObject عالية الحجم (50/ساعة أو أكثر) من هوية واحدة | ### ⚡ الحوسبة وبلا خوادم | # | التسمية | المخطط | الوصف | |---|-------|:-----:|-------------| | 1 | 💥 إيقاف / إنهاء جماعي لـ EC2 | timeseries | يكتشف الهويات التي تنفّذ 5 استدعاءات StopInstances/TerminateInstances أو أكثر في ساعة واحدة — مؤشر برامج الفدية / المساحات | | 2 | 🖥️ جلسة SSM / تشغيل أمر | timeseries | يكتشف SSM StartSession وSendCommand وStartAutomationExecution — المسار الأساسي للحركة الجانبية عبر المثيلات المُدارة | | 3 | 🔑 EC2 Instance Connect / الوصول إلى وحدة التحكم التسلسلية | timeseries | يكتشف SendSSHPublicKey وSendSerialConsoleSSHPublicKey — يتجاوز أزواج مفاتيح EC2 (صالح 60 ثانية، لا يترك أي آثار لمفتاح SSH) | | 4 | 📝 تعديل بيانات مستخدم EC2 | timeseries | يكتشف ModifyInstanceAttribute مع تغيير userData — يعمل النص كجذر عند الإقلاع التالي | | 5 | ⚡ العبث بدالة Lambda | timeseries | يكتشف إنشاء Lambda وتحديثات الشيفرة (UpdateFunctionCode) وتغييرات الأذونات (AddPermission) | | 6 | 📦 إضافة طبقة Lambda | timeseries | يكتشف نشر طبقة Lambda وAddLayerVersionPermission بكيان أساسي عام (هجوم سلسلة توريد عام) | | 7 | 📦 تعريف مهمة ECS | timeseries | يكتشف RegisterTaskDefinition / UpdateService — يحقن Pacu ecs__backdoor_task_def حاوية جانبية خبيثة دون لمس ECR | | 8 | 👤 تغييرات ملف تعريف مثيل EC2 | timeseries | يكتشف AssociateIamInstanceProfile / ReplaceIamInstanceProfileAssociation — يرفق ملف تعريف ذي امتيازات يمكّن الحركة الجانبية | | 9 | 🖥 عمليات إطلاق مثيل EC2 | timeseries | يسرد جميع أحداث RunInstances بما فيها نوع المثيل والعدد واسم المفتاح وAMI (كشف تعدين العملات المشفرة) | | 10 | 💰 إساءة استخدام Spot Fleet / Reserved Instance في EC2 | timeseries | يكتشف طلبات Spot Fleet الكبيرة (ec2) وإنشاء مجموعة Auto Scaling بسعة عالية (autoscaling) — مؤشر التأثير المالي لتعدين العملات المشفرة | | 11 | ☸️ استدعاءات API لمجموعة EKS | timeseries | يكتشف تعديلات مستوى التحكم بمجموعة EKS (تعريض خادم API العام، ملفات تعريف Fargate المارقة) | | 12 | 🐳 تغييرات مستودع / صورة ECR | timeseries | يكتشف أحداث مستودع/صورة ECR (PutImage الموسومة 'latest' تسمم كل عمليات النشر اللاحقة) | | 13 | 📅 تغييرات قاعدة EventBridge / CloudWatch | timeseries | يكتشف تعديلات قاعدة EventBridge وScheduler (PutRule, CreateSchedule) — يُرسّخ الاستمرارية دون عملية قيد التشغيل | | 14 | 💡 إساءة استخدام مثيل ومفتاح Lightsail | timeseries | يكتشف استرجاع مفتاح Lightsail وتعريض المنافذ والوصول إلى المثيل — Pacu lightsail__download_ssh_keys / lightsail__generate_temp_access | ### 🌐 الشبكة والبنية التحتية | # | التسمية | المخطط | الوصف | |---|-------|:-----:|-------------| | 1 | 🌍 مجموعة أمان مفتوحة للإنترنت | timeseries | يجد قواعد مجموعة الأمان التي تسمح بحركة المرور من 0.0.0.0/0 — خطر التعرّض العام المباشر | | 2 | 🔥 تعديلات مجموعة الأمان | timeseries | يكتشف جميع تغييرات قاعدة مجموعة الأمان (AuthorizeSecurityGroupIngress, ModifySecurityGroupRules، إلخ) | | 3 | 🌊 تغييرات سجل تدفق VPC | timeseries | يكتشف حذف سجلات تدفق VPC — إزالة سجلات التدفق تلغي الأدلة الجنائية الأساسية للشبكة | | 4 | 🌐 العبث بتوزيع CloudFront | timeseries | يكتشف تغييرات أصل CloudFront التي تعيد توجيه كل حركة مرور CDN إلى خوادم يتحكم فيها المهاجم (هجوم الوسيط) | | 5 | 🛡 العبث بـ Network Firewall / Shield | timeseries | يكتشف إزالة حماية Network Firewall وShield — يعرّض نطاقات الشبكة الفرعية بالكامل لحركة مرور الهجوم | | 6 | 🧱 تغييرات Network ACL | timeseries | يكتشف إنشاء وحذف واستبدال إدخالات NACL — تتجاوز NACLs مجموعات الأمان على مستوى الشبكة الفرعية | | 7 | 🛣️ تغييرات جدول التوجيه | timeseries | يكتشف تعديلات جدول التوجيه — يعيد المهاجمون توجيه حركة المرور إلى بوابات خبيثة للاعتراض أو القيادة والتحكم | | 8 | 🧱 VPN / Direct Connect / Transit Gateway | timeseries | يكتشف اتصالات VPN الجديدة ومرفقات Transit Gateway — يُنشئ مسارات شبكة مستمرة على الطبقة 3 للقيادة والتحكم أو التسريب | | 9 | 📡 تخصيص / ربط Elastic IP | timeseries | يكتشف تخصيص/ربط Elastic IP — يخصّص عنوان IP عامًا ثابتًا للمثيلات المخترقة لبنية قيادة وتحكم مستقرة | | 10 | 🗝️ إنشاء زوج مفاتيح EC2 | timeseries | يكتشف CreateKeyPair وImportKeyPair — ينشئ المهاجم مفاتيح SSH للوصول المستمر إلى المثيل | | 11 | 📡 تغييرات البنية التحتية للشبكة | timeseries | يكتشف تغييرات VPC / الشبكة الفرعية / IGW / NAT Gateway / التناظر التي قد تُنشئ بنية تحتية يتحكم فيها المهاجم | | 12 | 🏷 عمليات شهادة ACM | timeseries | يكتشف طلبات وحذف شهادات ACM — يمكن للحسابات المخترقة إصدار شهادات TLS لنطاقات التصيد | | 13 | 🔑 إنشاء وإدارة مفتاح API Gateway | timeseries | يكتشف إنشاء مفتاح API Gateway وتغييرات المُصرِّح — يولّد Pacu api_gateway__create_api_keys بيانات اعتماد مستمرة تنجو من تدوير مفتاح IAM | | 14 | 🚧 رفض الوصول إلى VPC Endpoint | timeseries | يكتشف أخطاء رفض الوصول عبر نقاط نهاية VPC — قد يشير إلى سياسة نقطة نهاية خاطئة التهيئة | ### 🕵 أنماط التهديد | # | التسمية | المخطط | الوصف | |---|-------|:-----:|-------------| | 1 | 🔍 نمط الاستطلاع | bar | يحدد المستدعين الذين شغّلوا 10 واجهات Describe*/List*/Get* متمايزة أو أكثر في ساعة واحدة — مرحلة هجوم مبكرة شائعة | | 2 | 🤖 وكلاء مستخدم غير معتادين | bar | يسرد وكلاء المستخدم النادرين (أقل من 5 أحداث) أو أدوات المهاجمين المعروفة (Pacu, curl, wget) — قد يشير إلى أدوات هجومية | | 3 | 🌍 نشاط متعدد المناطق | bar | يكتشف الهويات التي تنفّذ عمليات كتابة في 3 مناطق أو أكثر في يوم واحد — قد يشير الانتشار الجغرافي إلى الاختراق | | 4 | 🕵 استدعاءات API لأول مرة (24 ساعة) | — | يجد استدعاءات API المُشاهَدة في الـ 24 ساعة الأخيرة ولكن ليس من قبل قط — قد تشير العمليات الجديدة إلى أدوات المهاجم | ### 📊 النشاط وخط الأساس | # | التسمية | المخطط | الوصف | |---|-------|:-----:|-------------| | 1 | 🖥 أحداث الكتابة من وحدة تحكم الإدارة | timeseries | يحدد استدعاءات API المُعدِّلة المُجراة عبر وحدة تحكم AWS — مفيد عندما يُتوقع الوصول عبر CLI فقط | | 2 | 🔍 الأحداث ذات الأخطاء (24 ساعة) | timeseries | يسرد جميع أحداث الأخطاء في الـ 24 ساعة الماضية — نظرة عامة سريعة على ما يفشل أو يُختبر | | 3 | ❌ كشف ارتفاع الأخطاء | — | يجد نوافذ مدتها ساعة واحدة حيث يتجاوز عدد الأخطاء المتوسط اليومي بمقدار 3 أضعاف | ### 🌍 تحليل GeoIP > يتطلب ملفات GeoLite2 `.mmdb` للتعبئة (الأعمدة تكون NULL إذا استُوعبت بدون GeoIP). | # | التسمية | المخطط | الوصف | |---|-------|:-----:|-------------| | 1 | 🕵 كشف السفر المستحيل | — | يكتشف نفس الهوية تستدعي واجهات API من مدن متباعدة خلال ساعتين — مؤشر قوي على اختراق بيانات الاعتماد | | 2 | ⚠ وصول هوية متعدد البلدان | bar | يجد الهويات التي تجري استدعاءات API من بلدين أو أكثر — نادرًا ما يعمل المستخدمون الشرعيون من بلدان متعددة في آن واحد | | 3 | 🗺 تسجيلات الدخول إلى وحدة التحكم حسب البلد | timeseries | يربط أحداث تسجيل الدخول إلى وحدة التحكم بأصلها الجغرافي — تسجيلات الدخول من بلدان غير متوقعة عالية الخطورة | | 4 | 🚨 وصول من بلد غير معتاد | bar | يكتشف مجموعات البلد/الهوية النادرة (أقل من 10 أحداث) — قد يكون الوصول الأجنبي منخفض الحجم بنية تحتية للمهاجم | | 5 | 🚫 رفض الوصول حسب البلد | bar | يجمّع أخطاء رفض الوصول حسب البلد المصدري — قد تشير حالات الرفض المركزة من بلد واحد إلى هجوم | | 6 | 🔍 أحداث الكتابة حسب البلد | bar | يعرض استدعاءات API المُعدِّلة مجمّعة حسب البلد المصدري — الكتابة من بلدان غير متوقعة إشارة أقوى من القراءة | | 7 | 🌍 أبرز البلدان المصدرية | bar | يرتّب البلدان المصدرية حسب حجم استدعاءات API مع تفصيل أحداث الكتابة والهويات الفريدة | | 8 | 🏢 أبرز ASN / المؤسسات | bar | يسرد الأنظمة المستقلة (مزودو خدمة الإنترنت/الحوسبة السحابية) حسب حجم استدعاءات API — قد تشير ASN لـ VPN/الاستضافة إلى بنية تحتية للمهاجم | | 9 | 📍 أبرز المدن المصدرية | bar | يرتّب المدن المصدرية حسب حجم الأحداث — تحدد البيانات على مستوى المدينة بنية تحتية معينة للمهاجم أو مواقع المكاتب | | 10 | 🌐 ملخص IP خاص / داخلي | bar | يلخّص الأحداث من عناوين IP خاصة/الاسترجاع/الداخلية لـ AWS — خط أساس لحركة المرور الداخلية المتوقعة | | 11 | 📋 استدعاءات API حسب البلد (اسم الحدث) | table | أبرز أزواج (event_name, country) حسب حجم الاستدعاء — يكشف عن عمليات API التي تنشأ من مناطق جغرافية غير متوقعة | | 12 | 👤 الهويات حسب البلد (user_identity_arn) | table | أبرز أزواج (user_identity_arn, country) حسب حجم الاستدعاء — يُظهر هويات IAM النشطة من بلدان غير متوقعة مع أول/آخر مشاهدة | ### ☁ IaC والمنصة | # | التسمية | المخطط | الوصف | |---|-------|:-----:|-------------| | 1 | 🛠 هجوم سلسلة توريد CodeBuild / CodePipeline | timeseries | يكتشف إنشاء وتعديل خط أنابيب CI/CD (UpdateProject يحقن خطوات بناء خبيثة في كل بناء لاحق) | | 2 | 🏗 إساءة استخدام CloudFormation / IaC | timeseries | يكتشف عمليات حزمة CloudFormation — قد يستخدم المهاجمون IaC لنشر بنية تحتية خبيثة بسرعة |

📊 مخططات لوحة المعلومات — أكثر من 80 مخططًا

علامة التبويب المخططات ما تعرضه
🔑 الهوية والوصول 9 تسجيلات دخول وحدة التحكم · اتجاه MFA · خريطة حرارية لتسجيل الدخول · واجهات API الحساسة · استخدام الجذر · نشاط كيان IAM · تصعيد الامتيازات · SSO/تصعيد الامتيازات
🎯 كشف التهديدات 12 حجم الأحداث · نسبة القراءة/الكتابة · التهرب من الدفاع · رفض الوصول · اتجاه الأخطاء · العبث بـ SCP/Config/NACL/EventBridge
📊 نشاط API 7 أبرز واجهات API · توزيع المناطق · عناوين IP المصدرية · وكلاء المستخدم · شذوذ الأسرار · AssumeRole خارجي · تغييرات Route53
🖥️ الحوسبة 5 تنفيذ SSM · لقطة EC2 العامة · أحداث EKS/ECR · باب ECS الخلفي · تسريب EBS Direct API
🪣 S3 وRDS 9 سياسة/ACL في S3 · تنزيل/حذف جماعي · تعطيل الإصدارات/التسجيل · نسخ عبر الحسابات · مشاركة لقطة RDS · العبث بالنسخ الاحتياطية
🌍 استخبارات GeoIP 6 خريطة العالم · أبرز البلدان / المدن / ASN حسب حجم الطلبات · event_name × country · identity × country
🕒 التحليل الزمني 6 أول/آخر مشاهدة حسب الهوية/IP/API/الوكيل · إعادة تنشيط الحسابات الخاملة · ارتفاعات السرعة
🚨 مراقب API عالي الخطورة 7 السلاسل الزمنية لـ HRM · أبرز الاستدعاءات/الجهات/IP · تفصيل التهرب من الدفاع/الوصول إلى بيانات الاعتماد · حسب المنطقة
📋 القائمة الكاملة — جميع المخططات الأكثر من 80 (انقر للتوسيع) ## مخططات لوحة المعلومات (Apache Superset — `dashboard/`) ### 🔑 الهوية والوصول | # | اسم المخطط | الوصف | |---|------------|-------------| | 1 | Console Login Activity | أحداث تسجيل الدخول إلى وحدة التحكم مجمّعة حسب هوية IAM (DSH-08) | | 2 | MFA-less Login Trend | تسجيلات الدخول اليومية إلى وحدة التحكم مقسّمة حسب استخدام MFA (DSH-28) | | 3 | Login Activity Heatmap (Hour × Day) | أعداد تسجيل الدخول إلى وحدة التحكم حسب يوم الأسبوع وساعة اليوم بتوقيت JST (DSH-19) | | 4 | Sensitive API Calls | استدعاءات إجراءات API الأمنية الحساسة المعروفة في AWS (DSH-12) | | 5 | Root Account Usage | جميع استدعاءات API المُجراة بواسطة حساب AWS Root (DSH-13) | | 6 | IAM Entity Activity | أبرز 50 كيان IAM مرتبة حسب إجمالي استدعاءات API، مع نسبة الكتابة ومعدل الأخطاء | | 7 | Privilege Escalation Timeline | الأعداد اليومية لاستدعاءات API لتصعيد الامتيازات حسب اسم الحدث (DSH-30) | | 8 | IAM Identity Center (SSO) Events | أحداث إدارة AWS IAM Identity Center من sso.amazonaws.com (DSH-44) | | 9 | Glue & SageMaker Privilege Escalation | أحداث Glue DevEndpoint وSageMaker Notebook المستخدمة لتصعيد امتيازات IAM عبر iam:PassRole (DSH-50) | ### 🎯 كشف التهديدات | # | اسم المخطط | الوصف | |---|------------|-------------| | 1 | CloudTrail Events Over Time | حجم أحداث القراءة مقابل الكتابة بالساعة عبر الزمن (DSH-01) | | 2 | Write/Read Ratio Trend | تفصيل بالساعة لاستدعاءات API للقراءة مقابل الكتابة (DSH-20) | | 3 | Throttling Exception Spikes | أخطاء التحكم في المعدل/تقييد المعدل بالساعة حسب خدمة AWS (DSH-21) | | 4 | Defense Evasion Events | جميع أحداث CloudTrail المطابقة لتقنيات التهرب من الدفاع المعروفة (DSH-22) | | 5 | Top Access Denied Actions | أبرز 20 إجراء API يُرجِع أخطاء AccessDenied (DSH-09) | | 6 | Error Event Trend | أحداث الأخطاء بالساعة مفصّلة حسب error_code (DSH-04) | | 7 | Organizations / SCP Changes | أحداث إدارة AWS Organizations بما فيها تغييرات سياسة SCP (DSH-24) | | 8 | First-Time Service Sources | جميع مصادر خدمة AWS المتمايزة مرتبة حسب تاريخ الظهور الأول (DSH-26) | | 9 | VPC Flow Log Changes | أحداث إنشاء وحذف سجل تدفق VPC (DSH-42) | | 10 | AWS Config Tampering | أحداث العبث بمُسجِّل وقاعدة AWS Config (DSH-43) | | 11 | Network ACL / Route Table Changes | أحداث تعديل NACL وجدول التوجيه (DSH-46) | | 12 | EventBridge / CloudWatch Rule Tampering | العبث بقاعدة EventBridge وCloudWatch Events (DSH-47) | ### 📊 نشاط API | # | اسم المخطط | الوصف | |---|------------|-------------| | 1 | Top 20 API Calls | إجراءات API الأكثر استدعاءً في AWS البالغ عددها 20 (DSH-02) | | 2 | Region Activity | توزيع أحداث CloudTrail عبر مناطق AWS (DSH-14) | | 3 | Top Source IP Addresses | أبرز 100 عنوان IP مصدري خارجي حسب عدد الطلبات (DSH-05) | | 4 | User Agent Analysis | أبرز 50 وكيل مستخدم حسب عدد الطلبات مع تفصيل الأخطاء والكتابة (DSH-11) | | 5 | Secrets Access Anomaly | الهويات التي تصل إلى Secrets Manager أو SSM Parameter Store 10 مرات أو أكثر في ساعة واحدة | | 6 | AssumedRole from External IP | استدعاءات AssumeRole من عناوين IP عامة (غير خاصة) (DSH-27) | | 7 | Route53 DNS Changes | تغييرات تهيئة المنطقة المستضافة والمحلِّل في Route 53 (DSH-29) | ### 🖥️ الحوسبة | # | اسم المخطط | الوصف | |---|------------|-------------| | 1 | SSM Session / Run Command Execution | أحداث التنفيذ عن بُعد لـ AWS Systems Manager (DSH-39) | | 2 | EC2 Public Snapshot / AMI Sharing | أحداث المشاركة العامة للقطة EBS وAMI (DSH-41) | | 3 | EKS / ECR Container Platform Events | أحداث مجموعة EKS وسجل حاويات ECR (DSH-48) | | 4 | ECS Task Definition | أحداث تسجيل تعريف مهمة ECS وتحديث الخدمة — نمط Pacu ecs__backdoor_task_def (DSH-49) | | 5 | EBS Direct API Snapshot Exfiltration | استدعاءات EBS Direct API (ListSnapshotBlocks / GetSnapshotBlock) المستخدمة لبث بيانات اللقطة دون EC2 (DSH-51) | ### 🪣 S3 وRDS | # | اسم المخطط | الوصف | |---|------------|-------------| | 1 | S3 Protection Config Changes | أحداث S3 التي تُضعف الوضع الأمني للدلو (DSH-25) | | 2 | S3 Bucket Policy / ACL Changes | أحداث تعديل سياسة دلو S3 وACL (DSH-45) | | 3 | RDS Snapshot Cross-Account Share | أحداث مشاركة لقطة RDS وAurora (DSH-40) | | 4 | S3 Bulk Download | الهويات التي تنفّذ 100 استدعاء GetObject أو أكثر في الساعة — نمط تسريب البيانات الآلي (DSH-52) | | 5 | S3 Bulk Object Deletion | الهويات التي تنفّذ 50 استدعاء DeleteObject/DeleteObjects أو أكثر في الساعة — نمط تدمير بيانات برامج الفدية (DSH-53) | | 6 | S3 Versioning / Logging Disabled | PutBucketVersioning (معلّق) وPutBucketLogging (معطّل) — مقدمة لمكافحة الأدلة الجنائية تسبق تدمير البيانات (DSH-54) | | 7 | S3 Cross-Account Replication | PutBucketReplication / DeleteBucketReplication — قناة تسريب صامتة مستمرة إلى حساب يتحكم فيه المهاجم (DSH-55) | | 8 | RDS Deleted without Final Snapshot | DeleteDBInstance / DeleteDBCluster مع skipFinalSnapshot=true — تدمير بيانات غير قابل للاسترداد (DSH-56) | | 9 | AWS Backup Tampering | حذف Backup Vault / Plan / RecoveryPoint وإزالة Vault Lock — الخطوة الأولى لبرامج الفدية لإلغاء خيارات الاسترداد (DSH-57) | ### 🌍 استخبارات GeoIP > يتطلب ملفات GeoLite2 `.mmdb`. أعمدة GeoIP تكون NULL إذا استُوعبت بدون GeoIP. | # | اسم المخطط | الوصف | |---|------------|-------------| | 1 | Global Request Origin Map | خريطة عالمية تعرض التوزيع الجغرافي لأصول استدعاءات API في CloudTrail | | 2 | Top Countries by Request Volume | أبرز 20 بلدًا مصدريًا حسب حجم استدعاءات API مع تفصيل أحداث الكتابة والمستدعين الفريدين | | 3 | Top Cities by Request Volume | أبرز 25 مدينة حسب حجم استدعاءات API مع تفصيل أحداث الكتابة والمستدعين الفريدين | | 4 | Top ASN Organizations by Request Volume | أبرز 25 مؤسسة ASN حسب حجم استدعاءات API | | 5 | API Calls by Country (Event Name × GeoIP) | أبرز 50 زوجًا من (event_name, country) — يكشف عن واجهات API التي تُستدعى من كل منطقة جغرافية (DSH-79) | | 6 | Identities by Country (user_identity_arn × GeoIP) | أبرز 50 زوجًا من (user_identity_arn, country) — يُظهر هويات IAM النشطة من بلدان غير متوقعة مع عدد الكتابة وأول/آخر مشاهدة (DSH-80) | ### 🕒 التحليل الزمني | # | اسم المخطط | الوصف | |---|------------|-------------| | 1 | First / Last Seen per IAM Identity | هويات IAM مع طوابع أول/آخر مشاهدة وأعداد الأحداث وواجهات API المتمايزة | | 2 | First / Last Seen per Source IP | عناوين IP المصدرية مع أول/آخر مشاهدة والهويات المتمايزة وواجهات API المتمايزة | | 3 | First / Last Seen per API Call | إجراءات API مرتبة حسب الظهور الأول — قد تشير الاستدعاءات الجديدة إلى أدوات هجوم مستحدثة (DSH-33) | | 4 | First / Last Seen per User Agent | وكلاء المستخدم مرتبون حسب الظهور الأول — كشف الأدوات الجديدة (DSH-34) | | 5 | Dormant Accounts Reactivated | الهويات ذات فجوات الخمول لمدة 72 ساعة أو أكثر التي استأنفت النشاط (DSH-37) | | 6 | Event Velocity Spikes per Identity | الهويات ذات نشاط الدفعة البالغ 50 حدثًا أو أكثر في الساعة (DSH-38) | ### 🚨 مراقب API عالي الخطورة (HRM) | # | اسم المخطط | الوصف | |---|------------|-------------| | 1 | High-Risk API Events Over Time | حجم الاستدعاءات اليومي لواجهات API الشائع رصدها في حملات الهجوم (HRM-39) | | 2 | Top High-Risk API Calls | إجراءات API من قائمة المراقبة عالية الخطورة مرتبة حسب إجمالي عدد الاستدعاءات (HRM-40) | | 3 | Top Actors — High-Risk APIs | كيانات IAM الأساسية مرتبة حسب إجمالي الاستدعاءات لواجهات API في قائمة المراقبة عالية الخطورة (HRM-42) | | 4 | Top Source IPs — High-Risk APIs | عناوين IP المصدرية مرتبة حسب إجمالي الاستدعاءات لواجهات API في قائمة المراقبة عالية الخطورة (HRM-43) | | 5 | Defense Evasion API Events | سجل أحداث مفصّل لواجهات API المستخدمة لتعطيل أو العبث بضوابط التدقيق (HRM-44) | | 6 | Credential Access API Events | سجل أحداث مفصّل لواجهات API المستخدمة لاسترجاع الأسرار وبيانات الاعتماد (HRM-45) | | 7 | High-Risk API Calls by Region | استدعاءات API في قائمة المراقبة عالية الخطورة موزعة حسب منطقة AWS (HRM-46) |