الصفحة الرئيسية

مفسرون

أمن SIEM

SOC وSIEM: دور حلول SIEM في SOC

8 minutes to read

فهرس المحتويات

تواجه الفرق الأمنية التي تبني مركز عمليات الأمن عدة تحديات شائعة:

رؤية محدودة– لا يمتلك مركز العمليات الأمنية المركزي دائماً الوصول إلى جميع الأنظمة التنظيمية. قد تشمل هذه الأنظمة نقاط النهاية، البيانات المشفرة، أو الأنظمة التي تتحكم بها أطراف ثالثة والتي لها تأثير على الأمان.
الضوضاء البيضاء– يتلقى مركز العمليات الأمنية (SOC) كميات هائلة من البيانات، والكثير منها غير مهم للأمن. أدوات إدارة معلومات الأمن والأحداث (SIEM) وغيرها من الأدوات المستخدمة في مركز العمليات الأمنية تتحسن في تصفية الضوضاء، من خلال الاستفادة من التعلم الآلي والتحليلات المتقدمة.
الإيجابيات الكاذبة وإرهاق التنبيهات– تولد أنظمة مركز العمليات الأمنية كميات كبيرة من التنبيهات، العديد منها يتبين أنه ليس حوادث أمنية حقيقية. يمكن أن تستهلك الإيجابيات الكاذبة جزءًا كبيرًا من وقت المحللين الأمنيين، وتجعل من الصعب ملاحظة متى تحدث التنبيهات الحقيقية.

تتناول هذه التحديات الثلاثة مجموعة من أدوات الأمان، حيث يكون العنصر المركزي هو نظام إدارة معلومات الأمن والأحداث (SIEM). يقوم نظام SIEM بدعم العمليات اليومية في مراكز العمليات الأمنية الحديثة.

حول هذا Explainer:

هذا المحتوى هو جزء من سلسلة حول أمان SIEM.

مركز العمليات الأمنية وإدارة معلومات وأحداث الأمان (SIEM)

التكنولوجيا الأساسية لمركز العمليات الأمنية (SOC) هي نظام إدارة معلومات الأمن (SIEM)، الذي يجمع سجلات الأجهزة والتطبيقات والأحداث من أدوات الأمان عبر المنظمة بأكملها. يستخدم نظام SIEM نماذج الارتباط والإحصاء لتحديد الأحداث التي قد تشكل حادثة أمنية، وينبه موظفي مركز العمليات الأمنية بشأنها، ويقدم معلومات سياقية للمساعدة في التحقيق. يعمل نظام SIEM كنافذة واحدة تتيح لمركز العمليات الأمنية مراقبة أنظمة المؤسسة.

عمليات مركز العمليات الأمنية التي يسهلها نظام إدارة معلومات الأمان: أمثلة رئيسية

تحقيق البرمجيات الخبيثة– يمكن لنظام SIEM مساعدة موظفي الأمن في دمج البيانات حول البرمجيات الخبيثة المكتشفة عبر المؤسسة، وربطها بمعلومات التهديدات، ومساعدتهم على فهم الأنظمة والبيانات المتأثرة. توفر أنظمة SIEM من الجيل التالي قدرات تنظيم الأمان، وتصور جداول الحوادث، ويمكنها حتى "تفجير" البرمجيات الخبيثة تلقائيًا في صندوق رمل معلومات التهديدات.
الوقاية من التصيد الاحتيالي والكشف عنه– يمكن لنظام SIEM استخدام الارتباطات وتحليل السلوك لتحديد أن المستخدم قد نقر على رابط تصيد احتيالي، تم توزيعه عبر البريد الإلكتروني أو وسائل أخرى. عندما يتم رفع تنبيه، يمكن للمحللين البحث عن أنماط مشابهة عبر المؤسسة وعبر الجداول الزمنية لتحديد النطاق الكامل للهجوم.
تحقيق الموارد البشرية– عندما يُشتبه في تورط موظف بشكل مباشر في حادث أمني، يمكن لنظام إدارة معلومات الأمان (SIEM) المساعدة من خلال جمع جميع البيانات حول تفاعل الموظف مع أنظمة تكنولوجيا المعلومات، على مدى فترات طويلة من الزمن. يمكن لنظام SIEM اكتشاف الشذوذ مثل تسجيل الدخول إلى الأنظمة المؤسسية في أوقات غير معتادة، أو تصعيد الامتيازات، أو نقل كميات كبيرة من البيانات.
تخفيف مخاطر الموظفين المغادرين– وفقًا لدراسة Intermedia، فإن 89% من الموظفين الذين يغادرون وظائفهم يحتفظون بالوصول إلى بعض أنظمة الشركة، ويستخدمون تلك البيانات لتسجيل الدخول. يمكن لنظام SIEM رسم المشكلة في منظمة كبيرة، وتحديد الأنظمة التي تحتوي على بيانات اعتماد غير مستخدمة، وأي من الموظفين السابقين يصلون إلى الأنظمة، وأي بيانات حساسة تتأثر.

نموذج أساسي للاستجابة للحوادث وكيف يساعد نظام إدارة معلومات الأمان (SIEM)

بينما تخضع مراكز العمليات الأمنية (SOCs) للتحول وتكتسب أدوارًا إضافية، يبقى نشاطها الأساسي هو الاستجابة للحوادث. تُعتبر SOC الوحدة التنظيمية التي يُتوقع منها اكتشاف الهجمات الإلكترونية واحتوائها والتخفيف من آثارها ضد المنظمة. الأشخاص المسؤولون عن الاستجابة للحوادث هم المحللون من المستوى الأول والثاني والثالث، والبرمجيات التي يعتمدون عليها بشكل أساسي هي نظام إدارة معلومات الأمن والأحداث (SIEM) الخاص بـ SOC.

المستوى الأول – تصنيف الأحداث

توليد التنبيهات وإصدار التذاكر– يقوم محللو المستوى الأول بمراقبة نشاط المستخدمين، والأحداث الشبكية، والإشارات من أدوات الأمان لتحديد الأحداث التي تستحق الانتباه.

SIEM التقليدي
يجمع نظام SIEM البيانات الأمنية من الأنظمة والأدوات الأمنية في المؤسسة، ويربطها بأحداث أخرى أو بيانات تهديد، ويولد تنبيهات للأحداث المشبوهة أو الشاذة.

SIEM من الجيل التالي
تستفيد أنظمة SIEM من الجيل التالي من التعلم الآلي وتحليلات السلوك لتقليل الإيجابيات الكاذبة وإرهاق التنبيهات، واكتشاف الأحداث المعقدة التي يصعب اكتشافها مثل الحركة الجانبية، والتهديدات الداخلية، وتسريب البيانات.

الطبقة الثانية – تحديد الأولويات والتحقيق

البحث واستكشاف البيانات– يقوم المحللون من المستوى 1 بتحديد الأولويات، واختيار التنبيهات الأكثر أهمية، والتحقيق فيها بشكل أعمق. يتم تمرير الحوادث الأمنية الحقيقية إلى المحللين من المستوى 2.

نظام SIEM التقليدي
يمكن أن يساعد نظام SIEM المحللين من المستوى 1 والمستوى 2 في البحث والتصفية والتقطيع والتصور لسنوات من بيانات الأمان. يمكن للمحللين بسهولة سحب ومقارنة البيانات ذات الصلة لفهم الحادث بشكل أفضل.

SIEM من الجيل التالي
تستند أنظمة SIEM من الجيل التالي إلى تقنية بحيرة البيانات التي تسمح للمنظمات بتخزين بيانات غير محدودة بتكلفة منخفضة. كما أنها تستفيد من التعلم الآلي و التحليلات السلوكية للأحداث المستخدم (UEBA) لتحديد الأحداث عالية المخاطر بسهولة وعرضها على المحللين.

المستوى الثالث – الاحتواء والتعافي

سياق الحوادث وتنظيم الأمن– بمجرد تحديد حادث أمني، يبدأ السباق لجمع المزيد من البيانات، وتحديد مصدر الهجوم، واحتوائه، واستعادة البيانات، واستعادة عمليات النظام.

SIEM التقليدي
عندما يتم تحديد حادث أمني حقيقي، يوفر SIEM سياقًا حول الحادث - على سبيل المثال، أي الأنظمة الأخرى تم الوصول إليها من قبل نفس عناوين IP أو بيانات اعتماد المستخدم.

أنظمة SIEM من الجيل التالي
توفر أنظمة SIEM من الجيل التالي قدرات التنسيق والأتمتة الأمنية (SOAR). تتكامل مع أنظمة الأمان الأخرى ويمكنها تنفيذ إجراءات احتواء تلقائية. على سبيل المثال، عزل بريد إلكتروني مصاب بالبرمجيات الخبيثة، تحميل واختبار البرمجيات الخبيثة في بيئة اختبار تهديد.

المستوى 4 – التصحيح والتخفيف

التقارير ولوحات المعلومات– يعمل موظفو مركز العمليات الأمنية على تحديد الثغرات الأمنية الواسعة المتعلقة بالهجوم وتخطيط خطوات التخفيف لمنع الهجمات الإضافية.

نظام SIEM التقليدي
تعتبر عملية التصحيح والتخفيف نشاطًا مستمرًا، وتتطلب رؤية لحالة وأنشطة الأنظمة الأمنية وتكنولوجيا المعلومات الحرجة. توفر أنظمة SIEM رؤية عبر المنظمة يمكن أن توفر هذه الرؤية.

SIEM من الجيل التالي
تستفيد أنظمة SIEM من الجيل التالي من قدرات التعلم الآلي وعلوم البيانات التي تؤسس معايير ذكية لمجموعات من المستخدمين والأجهزة. وهذا يسمح بالكشف بشكل أسرع وأكثر دقة عن الأنظمة غير الآمنة أو الأنشطة المشبوهة.

المستوى 5 – التقييم والتدقيق

تقرير الامتثال– يقوم موظفو SOC بتقييم الهجوم وخطوات التخفيف، وجمع البيانات الجنائية الإضافية، واستخلاص الاستنتاجات والتوصيات النهائية، وإنهاء التدقيق والتوثيق.

إحدى الوظائف الأساسية لنظام إدارة معلومات الأمان (SIEM) هي إنتاج تقارير وتدقيقات للامتثال للمتطلبات والمعايير التنظيمية مثل PCI DSS وHIPAA وSOX، سواء بشكل مستمر أو بعد حدوث حادث أو خرق.

نظرة أوسع على أدوات وتقنيات مركز العمليات الأمنية (SOC)

بخلاف نظام إدارة معلومات الأمان (SIEM)، هناك العديد من الأدوات الأخرى المستخدمة في مركز عمليات الأمن (SOC):

أنظمة الحوكمة والمخاطر والامتثال (GRC)
ماسحات الثغرات وأدوات اختبار الاختراق
أنظمة كشف التسلل (IDS) وأنظمة منع التسلل (IPS) والوقاية من التسلل اللاسلكي
جدران الحماية وجدران الحماية من الجيل التالي (NGFW) التي يمكن أن تعمل كنظام كشف التسلل (IPS).
أنظمة إدارة السجلات (غالبًا كجزء من نظام إدارة معلومات الأمان - SIEM)
تدفقات معلومات التهديدات السيبرانية وقواعد البيانات

تقنية مركز العمليات الأمنية التقليدية مقابل تقنية مركز العمليات الأمنية من الجيل التالي

تستفيد مراكز العمليات الأمنية المتقدمة من أدوات الجيل التالي، وبشكل خاص أنظمة إدارة معلومات الأمن من الجيل التالي، التي توفر التعلم الآلي وتحليلات سلوكية متقدمة، وقدرات البحث عن التهديدات، واستجابة تلقائية مدمجة للحوادث. تتيح تكنولوجيا مركز العمليات الأمنية الحديثة لفريق SOC العثور على التهديدات والتعامل معها بسرعة وكفاءة.

الأدوات التقليدية

إدارة معلومات الأمان والأحداث (SIEM)
أنظمة الحوكمة والمخاطر والامتثال (GRC)
ماسحات الثغرات وأدوات اختبار الاختراق
أنظمة الكشف عن التسلل (IDS) وأنظمة منع التسلل (IPS) والوقاية من التسلل اللاسلكي.
جدران الحماية، وجدران الحماية من الجيل التالي (NGFW) التي يمكن أن تعمل كنظام كشف التسلل (IPS)، وجدران الحماية لتطبيقات الويب (WAF)
أنظمة إدارة السجلات (غالبًا كجزء من نظام إدارة معلومات الأمان - SIEM)
تدفقات معلومات التهديدات السيبرانية وقواعد البيانات

أدوات الجيل التالي

أنظمة إدارة معلومات الأمان من الجيل التالي التي تعتمد على منصات البيانات الضخمة وتحتوي على التعلم الآلي وتحليلات سلوكية متقدمة، وبحث عن التهديدات، واستجابة للحوادث مدمجة، وأتمتة مركز العمليات الأمنية.
أدوات تحليل حركة الشبكة (NTA) وأدوات مراقبة أداء التطبيقات (APM)
كشف الاستجابة للنقاط النهائية (EDR)، الذي يساعد في الكشف عن الأنشطة المشبوهة والتخفيف منها على الأجهزة المضيفة وأجهزة المستخدمين.
تحليل سلوك المستخدمين والكيانات (UEBA)، الذي يستخدم التعلم الآلي لتحديد الأنماط السلوكية المشبوهة.

الدوافع لاستخدام أدوات الجيل التالي لمراكز العمليات الأمنية

SIEM من الجيل التالي– يساعد في تقليل التعب الناتج عن التنبيهات، ويتيح للمحللين التركيز على التنبيهات التي تهم. تتيح القدرات التحليلية الجديدة، جنبًا إلى جنب مع مجموعة واسعة من بيانات الأمان، لأنظمة SIEM من الجيل التالي اكتشاف الحوادث التي لا يمكن لأي أداة أمان فردية رؤيتها.
NTA– سهل التنفيذ، رائع في اكتشاف السلوكيات غير الطبيعية في الشبكة. مفيد عندما يكون لدى مركز العمليات الأمنية (SOC) إمكانية الوصول إلى حركة المرور قيد التحقيق ويهتم بالتحقيق في الحركة الجانبية من قبل المهاجمين الذين هم بالفعل داخل المحيط.
UEBA– تستخدم تقنيات التعلم الآلي وعلوم البيانات للكشف عن المهاجمين الداخليين، أو تجاوز ضوابط الأمان. يجعل من السهل جداً تحديد اختراق الحساب، سواء من قبل المهاجمين الخارجيين أو الداخليين.
EDR– يوفر دفاعًا قويًا ضد اختراق محطات العمل أو الخوادم، ويساعد في إدارة القوى العاملة المتنقلة. يوفر البيانات اللازمة لإجراء التحقيقات التاريخية وتتبع الأسباب الجذرية.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

من خلال تجربتي، إليك نصائح يمكن أن تساعدك في بناء مركز عمليات أمنية عالي الأداء مدعومًا بحل SIEM، مع معالجة التحديات الشائعة التي تواجه فرق الأمن:

قم بتقسيم ومراقبة الأصول ذات القيمة العالية بشكل منفصل
حدد استراتيجية مراقبة مخصصة للأنظمة التي تستضيف بيانات حساسة أو بنية تحتية حيوية. استخدم نظام إدارة معلومات الأمان الخاص بك لإنشاء قواعد ارتباط محددة ومعايير سلوكية لهذه الأصول.

أعطِ الأولوية لاختيار مصدر السجل بناءً على المخاطر
ليس كل مصادر السجلات تقدم نفس القيمة. ابدأ بالأنظمة الحرجة مثل منصات إدارة الهوية، وحلول EDR، وأدوات إدارة الوصول المتميز، حيث إنها غالبًا ما تكشف عن أولى علامات الاختراق.

نشر خطط استجابة موحدة
دمج قدرات SOAR لإنشاء خطط استجابة تلقائية للحوادث. هذا يضمن إجراءات موحدة للتهديدات الشائعة، مثل عزل الأجهزة المخترقة أو حظر عناوين IP الضارة، مما يقلل من وقت الاستجابة لمحللي المستوى الثالث.

استخدام معلومات التهديدات للسياق
استخدم تدفقات معلومات التهديدات في الوقت الحقيقي لتعزيز التنبيهات بمعلومات إضافية، مثل عناوين IP أو مجالات معروفة بأنها خبيثة. يساعد ذلك المحللين على التحقق بسرعة من التهديدات المحتملة دون إضاعة الوقت في البحث الخارجي.

تمكين سير العمل في البحث الاستباقي عن التهديدات
جهز مركز العمليات الأمنية الخاص بك بقدرات البحث عن التهديدات من خلال ميزات استكشاف البيانات في نظام إدارة معلومات الأمان الخاص بك. يجب على المحللين التحقيق بانتظام في الشذوذات التي تفلت من الكشف الآلي، مثل تسرب البيانات منخفض الحجم أو محاولات الحركة الجانبية.

تسليط الضوء على ثلاث أدوات أساسية في مركز العمليات الأمنية

بجانب نظام إدارة معلومات الأمان (SIEM)، هناك العديد من الأدوات التي تُعتبر مكونًا أساسيًا من مجموعة الأمان لمعظم مراكز العمليات الأمنية الحديثة.

جدران الحماية، جدران الحماية من الجيل التالي (NFGW) وجدران الحماية لتطبيقات الويب (WAF)

جدران الحماية هي جزء أساسي من أي مجموعة أدوات للأمن السيبراني. تقنيتان جديدتان تكملان أو تحلان محل جدار الحماية التقليدي:

NGFW– يمدد جدار الحماية من خلال توفير الحماية من التسلل واكتشاف التسلل مع قدرات فحص الحزم العميق. يمكن لجدران الحماية المتقدمة (NGFWs) حظر التهديدات عند حافة الشبكة باستخدام تقنيات مثل تصفية URL، وتحليل السلوك، وتصفية الموقع الجغرافي. تستخدم وكيل عكسي لإنهاء الاتصالات وفحص المحتوى قبل أن يصل إلى خادم الويب.
WAF– يتم نشر WAF أمام تطبيقات الويب، ويفحص حركة المرور ويحدد أنماط الحركة التي قد تمثل نشاطًا ضارًا. يمكن لجدار الحماية لتطبيقات الويب اكتشاف الهجمات مع تقليل الإيجابيات الكاذبة، من خلال تعلم عناوين URL المقبولة، والمعلمات ومدخلات المستخدم، ويستخدم هذه البيانات لتحديد الحركة أو المدخلات التي تنحرف عن القاعدة.

تُستخدم هذه التقنيات في مركز العمليات الأمنية الحديث لتقليل ملف الهجوم على المواقع الإلكترونية وتطبيقات الويب، وجمع بيانات ذات جودة أعلى حول حركة المرور الشرعية والضارة التي تستهدف الخصائص الحيوية للمواقع.

الكشف والاستجابة لنقاط النهاية (EDR)

EDR هي فئة جديدة من الأدوات التي تساعد فرق SOC على الاستجابة للهجمات على نقاط النهاية، مثل محطات العمل الخاصة بالمستخدمين، الهواتف المحمولة، الخوادم أو أجهزة إنترنت الأشياء. تم بناء هذه الأدوات على افتراض أن الهجمات ستحدث، وأن فريق SOC عادةً ما يكون لديه رؤية وتحكم محدود جداً فيما يحدث على نقطة نهاية بعيدة. يتم نشر حلول EDR على نقاط النهاية، وتوفر بيانات فورية ودقيقة حول الأنشطة الخبيثة، وتمنح فرق SOC التحكم عن بُعد على نقاط النهاية لتنفيذ التخفيف الفوري.

على سبيل المثال، يمكن لفريق مركز العمليات الأمنية (SOC) استخدام أداة الكشف والاستجابة النهائية (EDR) لتحديد 50 نقطة نهاية مصابة ببرمجيات الفدية، وعزلها عن الشبكة، ومسح وإعادة تهيئة الأجهزة. يمكن القيام بكل هذا في ثوانٍ لتحديد الهجمات أثناء حدوثها، ومنع انتشارها، ودعم القضاء عليها.

أدوات مراقبة مركز العمليات الأمنية

المراقبة هي وظيفة رئيسية للأدوات المستخدمة في مركز العمليات الأمنية (SOC). يتحمل مركز العمليات الأمنية مسؤولية المراقبة على مستوى المؤسسة لأنظمة تكنولوجيا المعلومات وحسابات المستخدمين، وكذلك مراقبة أدوات الأمان نفسها - على سبيل المثال، التأكد من تثبيت وتحديث برنامج مكافحة الفيروسات على جميع أنظمة المؤسسة. الأداة الرئيسية التي تنظم المراقبة هي SIEM. تستخدم المؤسسات العديد من أدوات المراقبة المخصصة، مثل مراقبة الشبكة ومراقبة أداء التطبيقات (APM). ومع ذلك، لأغراض الأمان، فقط SIEM، مع رؤيته الشاملة لبيانات تكنولوجيا المعلومات والأمان عبر المؤسسة، يمكن أن يوفر حلاً كاملاً للمراقبة.

ما هي الأدوات التي يجب أن تبدأ بها؟

تم اقتراح هذه المراحل لاعتماد الأدوات من قبل شركة غارتنر.

Greenfield SOCs– SIEM فقط
مركز عمليات الأمن المنشأ– إضافة صندوق رمل للذكاء الاصطناعي التلقائي، وتحليل الشبكة، واستجابة الحوادث.
التوجه للأمام– إضافة UEBA ومنصة استخبارات التهديد كاملة داخل الشركة—مقدمة كجزء من أنظمة SIEMs من الجيل التالي

لقد أظهرنا كيف أن نظام إدارة معلومات الأمن (SIEM) هو تكنولوجيا أساسية لمركز عمليات الأمن (SOC)، وكيف أن أنظمة SIEM من الجيل التالي، التي تشمل قدرات جديدة مثل التحليلات السلوكية، التعلم الآلي، وأتمتة SOC، تفتح آفاقًا جديدة لمحللي الأمن.

أثر نظام إدارة معلومات الأمان من الجيل التالي على مركز العمليات الأمنية

يمكن أن يكون لحلول SIEM من الجيل التالي تأثير كبير على مركز العمليات الأمنية لديك:

تقليل تعب التنبيهات– من خلال تحليلات سلوك المستخدم والكيان (UEBA) التي تتجاوز قواعد الارتباط، تساعد في تقليل الإيجابيات الكاذبة واكتشاف التهديدات المخفية.
تحسين MTTD– من خلال مساعدة المحللين في اكتشاف الحوادث بشكل أسرع وجمع جميع البيانات ذات الصلة.
تحسين MTTR– من خلال الدمج مع أنظمة الأمان واستغلال تكنولوجيا التنسيق والأتمتة والاستجابة للأمان (SOAR).
تمكين صيد التهديدات– من خلال منح المحللين وصولاً سريعًا وسهلاً واستكشافًا قويًا لكميات غير محدودة من بيانات الأمان.

Exabeam هو مثال على نظام SIEM من الجيل التالي الذي يجمع بين تكنولوجيا بحيرة البيانات، والرؤية في البنية التحتية السحابية، وتحليلات السلوك، وقدرات SOAR، ووحدة البحث عن التهديدات مع استعلامات البيانات القوية والتصور.

تعلم المزيد عن إكزابييم

تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.

ورقة بيضاء
A Strategic Framework for Selecting Your Cloud-Native SIEM

اقرأ الآن
دليل
Nine Questions Every CIO Must Ask About Their SIEM

اقرأ الآن
مدونة
Decoding the 2025 MITRE ATT&CK^® Evals: A Call for Clarity and a Guide for Analysts

اقرأ الآن
مدونة
Model Context Protocol Server: The Universal Remote for AI Agents

اقرأ الآن
عرض المزيد