مقدمة حول أمان نظام إدارة معلومات الأمان (SIEM): التطور والقدرات المستقبلية

أنظمة إدارة أحداث الأمان والمعلومات (SIEM) هي في صميم فرق الأمان الناضجة. SIEM هي أداة تتيح لك مراقبة حركة مرور الشبكة الخاصة بك وتقديم تحليل في الوقت الحقيقي لتنبيهات الأمان التي تولدها التطبيقات. تعاني SIEM من صراعات نموذجية، ولهذا السبب أنشأنا هذا الدليل لشرح لماذا منتجات SIEM حرجة لاكتشاف الهجمات المتقدمة، لتسليط الضوء على مصطلحات SIEM، واستكشاف أفضل أدوات وحلول SIEM. تعرف على كيفية تحسين SIEM لقدرات أمان المعلومات الخاصة بك.

ما هو أمان SIEM؟

نظام إدارة معلومات الأمان والأحداث (SIEM) هو أساس معظم عمليات الأمان في مركز العمليات الأمنية الحديث (SOC). يوفر SIEM على محللي الأمان جهد مراقبة العديد من الأنظمة المختلفة ويجمع كميات هائلة من بيانات السجلات لتشكيل صورة متماسكة.

تشير أمان SIEM إلى تكامل SIEM مع أدوات الأمان، وأدوات مراقبة الشبكة، وأدوات مراقبة الأداء، والخوادم الحرجة ونقاط النهاية، وأنظمة تكنولوجيا المعلومات الأخرى. كما يقوم SIEM أيضًا بجمع السجلات وبيانات الأحداث، وتحليلها، وإصدار تنبيهات عند تحديد نشاط قد يكون حادثًا أمنيًا.

ما هو نظام إدارة معلومات وأحداث الأمان (SIEM) وكيف يعمل؟

حل إدارة المعلومات الأمنية والأحداث (SIEM) هو أداة يمكنك استخدامها للتنبيه المركزي، وتسجيل البيانات، والامتثال. يمكن لأدوات SIEM ربط البيانات المجمعة لتوفير سياق للتنبيهات والأحداث عبر أنظمتك.

تعمل أدوات SIEM من خلال جمع وتوحيد السجلات والتقارير والتنبيهات من جميع أدوات وحلول الأمان الخاصة بك. ثم تقدم هذه الأدوات هذه المعلومات في موقع مركزي، مما يحسن من الرؤية ويسرع من تحليل الحوادث والاستجابة لها.

تتبع حلول SIEM دورة تتكون من ثلاث مراحل:

1. جمع البيانات– يتم جمع سجلات البيانات من الأجهزة والتطبيقات والأنظمة وأدوات الأمان الموجودة.
2. توحيد البيانات– يقوم حل SIEM بتطبيع وتصنيف البيانات للتحليل. يمكن أن يتضمن التصنيف أصول المستخدمين، والاعتمادات المستخدمة، والأنظمة التي تم الوصول إليها والعمليات المنفذة.
3. تحليل البيانات– يتم تحليل البيانات المصنفة ومقارنتها بالقواعد التي تحدد السلوك المقبول. إذا تم اعتبار حدث ما مشبوهًا، يتم إرسال تنبيه إلى فريق الأمان الخاص بك.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

في تجربتي، إليك نصائح يمكن أن تساعدك في تعظيم قيمة تنفيذ نظام إدارة معلومات الأمان (SIEM) وضمان تطوره مع احتياجات الأمان في منظمتك:

أتمتة المهام المتكررة باستخدام SOAR
استفد من SOAR لأتمتة الاستجابات الشائعة، مثل عزل النقاط النهائية أو حظر عناوين IP الخبيثة. هذا يقلل من أوقات الاستجابة ويسمح للمحللين بالتركيز على التحقيقات الأكثر تعقيدًا.

أعطِ الأولوية لمصادر البيانات عالية الدقة
تأكد من أن نظام SIEM يستقبل البيانات من الأنظمة الأكثر أهمية أولاً، مثل مزودي الهوية، وأدوات الكشف والاستجابة على مستوى النقاط (EDR)، وجدران الحماية. تقلل البيانات عالية الدقة من الضوضاء وتعزز من أهمية التنبيهات.

تحسين قواعد الترابط باستمرار
راجع بانتظام وقم بتحديث قواعد الترابط بناءً على التهديدات الناشئة وسطح الهجوم المتطور في منظمتك. يمكن أن تؤدي القواعد القديمة إلى إيجابيات خاطئة أو تفويت اكتشافات.

إنشاء ملفات تعريف سلوكية قوية كأساس
استخدم UEBA لتحديد أسس واضحة لسلوكيات المستخدمين والأنظمة. قم بتحسين هذه الأسس باستمرار من خلال دمج التعليقات من التحقيقات في الحوادث وتغييرات العمليات التجارية.

دمج معلومات التهديدات بشكل استراتيجي
تضمين تدفقات معلومات التهديدات الخارجية التي تتماشى مع المخاطر الصناعية والجغرافية الخاصة بك. هذا يضيف سياقًا قيمًا للتنبيهات، مما يحسن من اكتشاف التهديدات وتحديد أولوياتها.

تطور أمان SIEM

يحدد المحللون ثلاثة أجيال من قدرات وتقنيات أمان نظام إدارة معلومات الأمان (SIEM):

1. الجيل الأول من أنظمة SIEM، الذي تم تقديمه في عام 2005، يجمع بين أنظمة إدارة السجلات وأنظمة إدارة الأحداث، التي كانت منفصلة سابقًا. وهي محدودة في نطاق البيانات التي يمكنها معالجتها وفي تعقيد التنبيهات والتصورات التي تنتجها.
2. الجيل الثاني من أنظمة SIEM كان مجهزًا بشكل أفضل للتعامل مع البيانات الكبيرة - كميات كبيرة من السجلات التاريخية. يمكن لمثل هذه الأنظمة ربط بيانات السجلات التاريخية مع الأحداث والبيانات في الوقت الحقيقي من تغذيات معلومات التهديد.
3. الجيل الثالث من أنظمة SIEM، الذي اقترحته غارتنر في عام 2017، يجمع بين القدرات التقليدية لأنظمة SIEM مع تقنيتين جديدتين. وهما تحليل سلوك المستخدمين والكيانات (UEBA)، الذي يستخدم التعلم الآلي لتحديد الأنماط السلوكية للمستخدمين أو أنظمة تكنولوجيا المعلومات، ويحدد الشذوذ. وهذا يشمل أتمتة الأمن، والتنسيق والاستجابة (SOAR) التي يمكن أن تساعد المحللين في التحقيق بسرعة في الحوادث وتفعيل أدوات الأمان للاستجابة تلقائيًا لحادث.

على مدى العقدين الماضيين، أثبتت أنظمة إدارة معلومات الأمان (SIEM) أنها بنية تحتية قوية وفعالة لفرق الأمان. في الوقت نفسه، كانت أنظمة SIEM معروفة بتكاليفها العالية، وصعوبة تنفيذها واستخدامها، وصعوبة توسيع نطاقها. في الأصل، كانت أنظمة SIEM خيارًا متاحًا فقط للمنظمات الأمنية الكبيرة والناضجة.

تم التعامل مع هذه التحديات من خلال أجيال جديدة من التكنولوجيا، التي يسهل اعتمادها واستخدامها، وتتطلب موارد حوسبة أقل، وتستفيد من التخزين منخفض التكلفة. كما تُقدم حلول أمان SIEM كخدمة في السحابة، ومن خلال مزودي خدمات الأمان المدارة (MSSP)، مما يوفر خيارات نشر متعددة توازن بين التكلفة وسهولة التنفيذ.

أهمية نظام إدارة معلومات الأمان (SIEM)

تستخدم المنظمات تقنيات SIEM لـ:

• إدارة السجلات ومدة الاحتفاظ بها
• المراقبة المستمرة للأمن والاستجابة للحوادث
• إدارة الحالات
• تطبيق السياسات والانتهاكات
• الامتثال للمتطلبات الحكومية، مثل HIPAA، PII، NERC، SOX، COBIT 5، PCI، FISMA.

لماذا يعتبر وجود نظام إدارة معلومات الأمان (SIEM) مهمًا أيضًا؟ إذا كنت في موقف تلقي خرق أمني وتم سؤالك عما حدث، فإنك تريد أن تكون لديك إجابة جاهزة.

تقوم العديد من المنظمات بتنفيذ نظم إدارة معلومات الأمان (SIEM) لحماية البيانات الحساسة ولتوفير دليل على عملية الحماية هذه، حيث يمكن أن يكون لفشل التدقيق عواقب دراماتيكية، بما في ذلك فقدان الموظفين والأعمال والغرامات الكبيرة.

ما هي قيمة نظام إدارة معلومات الأمان (SIEM)؟

• تحليل أحداث الأمان– يقوم نظام إدارة معلومات الأمان (SIEM) بتحليل مجموع جميع البيانات من ميزته لإدارة السجلات بحثًا عن علامات على اختراق تهديد أو خرق بيانات. على سبيل المثال، عادةً ما لا تكون محاولة تسجيل الدخول الفاشلة مصدر قلق. ومع ذلك، فإن محاولة تسجيل الدخول الفاشلة من مستخدم واحد على تطبيقات عبر بيئة تكنولوجيا المعلومات قد تشير إلى تهديد. يمكنك فقط رؤية العلاقة بين بيانات هذه التطبيقات من خلال مرافق SIEM.
• استخبارات التهديد– تشمل مرافق SIEM الاتصال بتغذيات استخبارات التهديد، بما في ذلك تغذيات الأطراف الثالثة ومقدمي الحلول. عادةً ما تحتفظ التغذيات المعزولة ببيانات تهديد فريدة، واستخدام المعلومات من العديد من التغذيات يمكن أن يساعدك في تحقيق الاستخدام الأمثل لحلك.
• تنبيهات الأمان– يجب على نظام SIEM الخاص بك تحديث فريقك باستمرار حول التهديدات المحتملة، بما في ذلك تحديثات لوحات المعلومات، التنبيهات النصية، أو التنبيهات عبر البريد الإلكتروني. إذا لم يقم حلك بتحديث فريقك، فقد يفوتهم تهديد، مما يسمح له بالبقاء على خادمك.

قيمة حلول SIEM من الجيل التالي

تقنية SIEM أصبحت الآن تقنية راسخة، والجيل القادم من تقنيات SIEM يمتلك مهارات جديدة.

تحليل سلوك المستخدمين والكيانات– تحليل سلوك المستخدمين والكيانات (UEBA) – تتجاوز أنظمة إدارة معلومات الأمان الحديثة (SIEMs) الارتباطات من خلال الاستفادة من تقنيات التعلم الآلي والذكاء الاصطناعي لتحديد واستكشاف السلوك البشري العادي وغير العادي. يمكن أن تساعد هذه الرؤية المنظمات في اكتشاف الأنشطة الخبيثة، والتهديدات الداخلية، والاحتيال.

تنسيق الأمان والأتمتة (SOAR)– تشمل أنظمة SIEM من الجيل التالي الآن أنظمة استجابة تلقائية للحوادث. على سبيل المثال، يمكن أن يقوم SIEM بتحديد تنبيه لبرامج الفدية والاستجابة من خلال تنفيذ خطوات احتواء تلقائية على الأنظمة المتأثرة، قبل أن يقوم القراصنة بتشفير البيانات.

تحليل سلوك المستخدم والكيان في أمن نظم إدارة المعلومات الأمنية الحديثة

تحليلات سلوك المستخدم والكيانات (UEBA) هي فئة جديدة من حلول الأمان التي يمكن أن تحدد الأسس السلوكية وتكتشف الشذوذات التي قد تشير إلى حوادث أمنية. يمكن لـ UEBA اكتشاف الحوادث الأمنية التي لا تستطيع الأدوات الأخرى رؤيتها، لأنها تعتمد على أنماط محددة مسبقًا أو قواعد ارتباط ثابتة. تأتي حلول SIEM من الجيل الثالث مع قدرات UEBA مدمجة.

إليك بعض حالات الاستخدام الشائعة لتقنية SIEM مع تقنية UEBA:

• المستخدم الخبيث– حساب مستخدم لديه وصول مميز إلى أنظمة تكنولوجيا المعلومات يتم استغلاله من قبل مالك الحساب لتحقيق مكاسب شخصية. يمكن أن تكون الهجمات الداخلية مدمرة وغير مرئية لمعظم أدوات الأمان. يقوم UEBA بتحديد سلوك كل مستخدم ويمكنه اكتشاف الأحداث المشبوهة التي قد تشير إلى نية خبيثة.
• المستخدم المخترق– مهاجم يحصل على السيطرة على حساب مستخدم ويستخدمه لإجراء الاستطلاع، التخطيط، أو فعلاً مهاجمة أنظمة المنظمة. يمكن لنظام UEBA التعرف على أن حساب المستخدم يتصرف بشكل مختلف عن المعتاد وتنبيه موظفي الأمن.
• تصنيف الحوادث والتنبيهات (تصنيف التنبيهات)– تعتبر تنبيهات أمان SIEM عبئًا كبيرًا على محللي الأمان، وتعتبر إرهاق التنبيهات تحديًا. يمكن أن تساعد UEBA في تقليل عبء تصنيف التنبيهات. تقوم بذلك من خلال دمج التنبيهات والإشارات من العديد من الأدوات، وتصنيف التنبيهات والحوادث بناءً على مقدار السلوك الشاذ (درجة المخاطر الخاصة بها)، وإضافة طبقات من البيانات السياقية حول المؤسسة، على سبيل المثال، الخدمات أو حسابات المستخدمين التي تصل إلى بيانات حساسة.
• منع فقدان البيانات (DLP)– تقوم أدوات DLP، مثل أنظمة SIEM التقليدية، بإنشاء حجم كبير من التنبيهات حول كل حدث غير عادي يتعلق بالبيانات الحساسة للمنظمة. يمكن لأدوات UEBA أن تعطي الأولوية وتجمع تنبيهات DLP من خلال حساب درجات المخاطر باستخدام بيانات من أدوات متعددة، مما يشير إلى الأحداث التي تمثل سلوكًا شاذًا. يمكن لأداة UEBA أيضًا وضع تنبيه DLP على خط الزمن للحوادث، مما يساعد في التحقق من الحوادث والتحقيق فيها.

SOAR في أمان SIEM الحديث

أنظمة تنسيق الأمان والأتمتة والاستجابة (SOAR)، وهي تقنية جديدة أخرى مرتبطة بحلول SIEM من الجيل الثالث، تتمتع بالقدرات الرئيسية التالية:

• التنسيق– يتكامل SOAR مع حلول الأمان الأخرى، مما يسمح لها باسترجاع البيانات وأيضًا تنفيذ إجراءات استباقية. على سبيل المثال، يمكنه التحقيق فيما إذا كان لمرسل البريد الإلكتروني سمعة سيئة من خلال استخدام أداة DNS لتأكيد مصدر الرسالة.
• الأتمتة– يتيح SOAR للمستخدمين تحديد كتيبات الأمان، وهي سير عمل موحدة لعمليات الأمان. عندما يحدث نوع معروف من الحوادث الأمنية، يمكن تفعيل كتيب الأمان ويمكن اتخاذ إجراءات التخفيف تلقائيًا، مثل فحص ملف تم تحديده كبرمجية خبيثة وتفجيره في بيئة آمنة.
• إدارة الحوادث والتعاون– عندما يقوم نظام SIEM بإنشاء تنبيه أمني، يمكن لمكون SOAR في نظام SIEM إضافة معلومات سياقية وأدلة لمساعدة المحللين في التحقيق في المشكلة، وتنظيم هذه المعلومات في جدول زمني للحوادث لتسهيل فهمها. كما يسمحون أيضًا للمحللين بالتعاون وإضافة رؤى أو بيانات إضافية يكتشفونها كجزء من تحقيقهم.

تقييم برامج SIEM

نوصي بالمراحل التالية في تقييم حل SIEM:

1. ميزات SIEM من الجيل التالي

تقدم حلول الأمان من الجيل الثالث لنظام إدارة معلومات الأمان (SIEM) أكبر قيمة وأيضًا تخفض تكاليف التنفيذ والتشغيل. تحقق مما إذا كانت الحلول تقدم:

• UEBA – تحليلات متقدمة لتحديد الشذوذات السلوكية
• SOAR – الأتمتة والتنسيق في استجابة الحوادث
• لوحات المعلومات والتصورات
• البحث المرن، والاستعلام، واستكشاف البيانات
• الاحتفاظ بالبيانات على المدى الطويل والقدرة على التوسع بلا حدود.
• واجهة صيد التهديدات

2. الأنظمة مفتوحة المصدر مقابل الأنظمة التجارية والأنظمة الداخلية مقابل الأنظمة المستضافة (SIEM)

فكر في نوع حل أمان SIEM الأكثر ملاءمة لمنظمتك:

• المصدر المفتوح مقابل التجاري– توفر أدوات المصدر المفتوح تكاليف أولية أقل ولكن لديها تكاليف صيانة مستمرة أعلى وقدرات أكثر محدودية.
• البناء مقابل الشراء– بعض المنظمات تقوم بإنشاء حلول SIEM باستخدام أدوات مفتوحة المصدر مثل ELK stack (Elasticsearch و Logstash و Kibana). يتطلب ذلك استثمارات كبيرة للتنفيذ والصيانة والضبط ودمج المحتوى الأمني، لأن ELK هو في الأساس بنية تحتية لإدارة السجلات وليس نظام أمان.
• الاستضافة الذاتية مقابل الإدارة المدارة– يمكنك الاختيار بين أربعة نماذج نشر: (1) استضافة ذاتية وإدارة ذاتية (النموذج التقليدي)؛ (2) مستضافة على السحابة ولكن مدارة من قبل موظفي الأمان الداخلي؛ (3) مستضافة ذاتياً ولكن مدارة من قبل مزيج من موظفي الأمان الداخلي ومزود خدمة الأمان المدارة (MSSP)؛ (4) SIEM كخدمة في السحابة مع إدارة أمان محلية.

3. تقييم التكلفة الإجمالية للملكية (TCO)

نظام SIEM هو جزء معقد من البنية التحتية الأمنية وقد يكون مكلفًا في الشراء والتشغيل. بشكل عام، يتضمن نظام SIEM العناصر الميزانية التالية:

• عناصر ميزانية النفقات الرأسمالية– التراخيص، التطوير، التدريب، الأجهزة والتخزين.
• عناصر ميزانية التشغيل (OPEX)– محللو الأمان لمراجعة تنبيهات SIEM، وصيانة تكنولوجيا المعلومات، والتكامل مع أنظمة تكنولوجيا المعلومات الجديدة، وتكاليف التخزين.

إليك بعض النصائح لتقدير التكلفة الإجمالية بدقة لتنفيذ نظام إدارة معلومات الأمان (SIEM):

• الترخيص– تحقق من نموذج الترخيص المستخدم من قبل حلول SIEM المتاحة، وعادة ما يتم ترخيصها بناءً على أحجام أو سرعات الإدخال. بعض الوافدين الجدد إلى السوق يقدمون تسعيرًا يعتمد على المستخدم، مما قد يضع حدًا لتكاليف الترخيص.
• تكاليف الأجهزة وحجمها– تشمل مرافق SIEM الاتصال بمصادر معلومات التهديدات، بما في ذلك مصادر الأطراف الثالثة ومزودي الحلول. عادةً ما تحتفظ المصادر المعزولة ببيانات تهديد فريدة، واستخدام المعلومات من العديد من المصادر يمكن أن يساعدك في تحقيق الاستخدام الأمثل لحلك.
• تكاليف التخزين– حتى في نشرات السحابة أو أنظمة إدارة المعلومات الأمنية المدارة، ستحتاج عادةً إلى دفع تكاليف التخزين مع زيادة الاستخدام ودفع تكاليف إضافية للاحتفاظ بالبيانات التاريخية.
• المحللون الداخليون– أكبر تكلفة تشغيل لنظام SIEM هي وقت المحللين. حدد ما إذا كان لديك القوى العاملة الماهرة لمراجعة والتحقيق في تنبيهات SIEM، وإذا لم يكن الأمر كذلك، فكر في الاستعانة بمصادر خارجية إلى MSSP. قد تكون أنظمة SIEM الحديثة، التي تشمل تقنيات UEBA و SOAR، لديها تكاليف تشغيل أقل.

أفضل الممارسات لتنفيذ نظام إدارة معلومات الأمان (SIEM)

1. تعرف على بياناتك وكيف يمكن أن تعمل لصالحك

هذا يتضمن فهم حجم وسلوك وتكرار ونوع بيانات السجلات الخاصة بك قبل النشر. يجب أن تعرف ما هي البيانات المتاحة ومن أين تأتي بياناتك، بما في ذلك الأنظمة والمفاتيح والموجهات، وكيف يتم نقلها.

حدد أيضًا سبب تنفيذ نظام SIEM وهدف مشروعك. هل ستدعم استراتيجيتك لـ SIEM العمليات اليومية؟ هل هي لأغراض الأمان والحفاظ على السجلات لاكتشاف التهديدات؟ أم أنها تتعلق بالامتثال؟

2. وضع القواعد اللازمة للامتثال

حدد المعايير الصناعية واللوائح المعمول بها وكيف يمكن لنظام إدارة معلومات الأمان (SIEM) المساعدة في عمليات التدقيق والتقارير المتعلقة بالامتثال. عرّف قواعد الارتباط الأساسية لالتقاط متطلبات الامتثال الأساسية، لكن لا تتوقف عند هذا الحد. استغل تقنيات SIEM من الجيل التالي، وخاصة تحليل سلوك المستخدم (UEBA)، لتحسين اكتشاف التهديدات وتسهيل الصيانة المستمرة.

3. تعزيز قواعد الارتباط باستخدام تحليل سلوك المستخدم والكيانات (UEBA)

تبحث قواعد الربط التقليدية في أنظمة إدارة معلومات الأمان (SIEM) فقط عما تخبرها بالبحث عنه. من المهم تحديد قواعد تلتقط سيناريوهات الهجوم الأساسية، ولكن في بيئة الأمان الحالية، لا تكفي القواعد لالتقاط جميع التهديدات ذات الصلة. بالإضافة إلى ذلك، تؤدي قواعد الربط إلى عدد كبير من الإيجابيات الكاذبة، مما يضع ضغطًا على المحللين الأمنيين.

نوصي بتعريف قواعد الارتباط والمراقبة لمعرفة ما إذا كانت تُنتج الكثير من الإيجابيات الكاذبة. إذا حدث ذلك، يُفضل إزالة القاعدة واستخدام UEBA لتأسيس خط أساسي سلوكي لعمليات النظام ذات الصلة، وتحديد أي شذوذ كبير عن ذلك الخط الأساسي. بالنسبة للسيناريوهات الأمنية التي لا يمكن وصفها بسهولة بالقواعد، مثل التهديدات الداخلية، استخدم UEBA كخطوة أولى.

مثال على نظام إدارة معلومات الأمان من الجيل التالي مع ميزات تحليل سلوك المستخدم وأتمتة الاستجابة للأمن.

Exabeam هي منصة SIEM من الجيل الثالث سهلة التنفيذ والاستخدام. تتضمن وظائف متقدمة وفقًا لنموذج SIEM المعدل من غارتنر:

• التحليلات المتقدمة والتحليل الجنائي– تحديد التهديدات من خلال التحليل السلوكي القائم على التعلم الآلي، وتجميع الأقران والكيانات بشكل ديناميكي لتحديد الأفراد المشتبه بهم، واكتشاف الحركة الجانبية.
• استكشاف البيانات، والتقارير، والاحتفاظ– الاحتفاظ غير المحدود ببيانات السجلات مع تسعير ثابت، مستفيدًا من تكنولوجيا بحيرة البيانات الحديثة، مع تحليل سجلات مدرك للسياق يساعد محللي الأمن على العثور بسرعة على ما يحتاجون إليه.
• صيد التهديدات– تمكين المحللين من البحث بنشاط عن التهديدات باستخدام واجهة صيد تهديدات بنقطة ونقر، مما يجعل من الممكن بناء قواعد واستعلامات باستخدام لغة طبيعية دون الحاجة إلى SQL أو معالجة NLP.
• استجابة الحوادث وأتمتة مركز العمليات الأمنية– نهج مركزي لاستجابة الحوادث، يجمع البيانات من مئات الأدوات وينظم استجابة لأنواع مختلفة من الحوادث عبر كتيبات الأمان. يمكن لـ Exabeam أتمتة التحقيقات وعمليات الاحتواء والتخفيف.