‫كيف تبني مركز عمليات أمن‬

‫(‪ )SOC‬بموارد محدودة‬

‫دليلك الكتشاف التهديدات واالستجابة لها بسرعة ‪ -‬حتى لو لم يكن لديك مركز عمليات‬
‫أمن عىل مدار ‪ 24‬ساعة طوال أيام األسبوع‬

‫إعداد‪ :‬جيمس كاردر‬

‫مسؤول األمن الرئيسي في لوقريثم (‪ )LogRhythm CSO‬ونائب الرئيس في معامل لوقريثم‬

‫األشخاص‬
‫العمليات‬
‫التكنولوجيا‬
 ‫فهرس المحتوى‬

‫مقدمة ‪3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬

‫ما الذي يجعل مركز عمليات األمن ‪ SOC‬أداة ف ّعالة؟ دمج األشخاص والعمليات والتكنولوجيا‪4 . . . . . . . . . . .‬‬
‫األشخاص ‪5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬
‫لعمليات ‪7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬
‫التكنولوجيا ‪8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬

‫تقدير حجم التكاليف والتوفير لمركز عمليات األمن ‪10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬

‫مقارنة التكلفة لمختلف نماذج التوظيف في مركز عمليات األمن ‪12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬

‫خطوات بناء مركز عمليات األمن بموارد محدودة ‪14 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬

‫تطوير اإلستراتيجية ‪15 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬
‫تصميم الحل ‪15 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬
‫إنشاء العمليات واإلجراءات والتدريب‪16 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬
‫تجهيز البيئة‪17 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬
‫تنفيذ الحل ‪17 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬
‫تشغيل حاالت االستخدام الشاملة ‪18 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬
‫المحافظة والتطوير ‪18 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬

‫الخاتمة ‪19 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬

‫نبذة عن لوقريثم ‪20 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬

‫نبذة عن جيمس كاردر ‪21 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .‬‬

‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫كيف تبني مركز عمليات أمن‬

‫(‪ )SOC‬بموارد محدودة‬
‫مــقـدمـــــة‬
‫أي وقت ليكونوا استباقيين للبحث عن التهديدات‬ ‫بعض المؤسسات يكون لديها مراكز عمليات أمنية‬
‫والهجمات مبكرا‪.‬‬ ‫رسمية وثابتة (‪ .)SOCs‬تعمل هذه المراكز الرسمية‬
‫(‪ )SOCs‬عىل مدار ‪ 24‬ساعة طوال أيام األسبوع‪ ,‬وهي‬
‫وعندما يقع حدث ما‪ ،‬ال تستطيع العديد من المؤسسات‬
‫مناطق ُمحكمة األمان حيث يقوم فريق من المحللين‬
‫االستجابة بكفاءة وفعالية ألنها تفتقر إىل القدرات‬
‫المتخصصين بمراقبة التهديدات بعناية كبيرة‪.‬‬
‫والعمليات الالزمة لالستجابة الرسمية للحوادث‪.‬‬

‫يقوم المحللون بالتحقق من ضوابط أمان بنية‬

‫بالنسبة لهذه المؤسسات العالقة بين التكلفة الباهظة‬
‫مؤسستهم لتحديد أي عالمات محتملة للتسلل‬
‫لمركز األمن الرسمي (‪ )SOC‬والحماية غير الكافية عىل‬
‫وإختراق البيانات‪ ,‬والتي قد تتطلب استجابة من قبل‬
‫اإلطالق من مراكز األمن الغير رسمية‪ ،‬هناك حل ‪:‬بناء‬
‫المستجيبين للحوادث بالمؤسسة‪.‬‬
‫مركز عمليات (‪ )SOC‬يقوم بأتمتة أكبر قدر ممكن من‬
‫العمل‪ .‬يمكن أن تساعد األتمتة الفريق في إجراء مراقبة‬
‫مستمرة لألحداث األمنية وتحليلها الكتشاف عمليات‬
‫التسلل المحتملة‪ .‬ويمكنه ً‬
‫أيضا توفير إمكانية أتمتة‬ ‫لسوء الحظ‪ ،‬ال تستطيع معظم المؤسسات تحمل‬
‫االستجابة للحوادث والتنسيق إلدارة وتسريع معالجة‬ ‫تكلفة مركز عمليات أمن (‪ )SOC‬عىل مدار ‪ .7x24‬تكلفة‬
‫الحوادث‪.‬‬ ‫وجود محللين مدربين تدريبا ً جيدا ً في جميع األوقات‬
‫داخل المؤسسة تفوق حجم الفوائد التي سيقدمونها‪,‬‬
‫وهذا ينطبق عل كل المؤسسات تقريبا‪ .‬بدال من ذلك‪،‬‬
‫فإن معظم المؤسسات إما تكتفي بمركز عمليات غير‬
‫الغرض من هذا المستند التمهيدي التعريفي هو توضيح‬
‫كيفية إنشاء مركز عمليات ‪ SOC‬بنجاح‪ ،‬حتى مع الموارد‬ ‫رسمي يتألف من عدد صغير من المحللين الذين لديهم‬
‫المحدودة‪ .‬تشرح الورقة أساسيات مراكز العمليات‬ ‫العديد من المهام األخرى التي يتعين عليهم القيام‬
‫‪ ، SOCs‬وتقدم تفاصيل حول ما تعنيه ‪ SOC‬من حيث‬ ‫بها‪ ,‬أو ليس لديهم مركز عمليات (‪ )SOC‬عىل اإلطالق‬
‫األشخاص والعمليات والتكنولوجيا‪.‬‬ ‫ويعتمدون عىل استعارة أشخاص من أدوار أخرى عند‬
‫الحاجة‪ .‬في هذه الحالة فإنه ال يتم مراقبة األحداث األمنية‬
‫أخيرًا‪ ،‬ستتعلم منهجية إنشاء مركزعمليات أمن ‪SOC‬‬ ‫باستمرار عىل مدار الساعة ‪.‬‬
‫بموارد محدودة‪ ،‬مع التركيز عىل التكتيكات التي ستجعل‬
‫سلسا وناجحًا‪.‬‬
‫ً‬ ‫طرحك‬

‫بعد قراءة هذه الورقة‪ ،‬ستكون مؤسستك جاهزة لبدء‬ ‫يؤدي هذا إىل تأخيرات كبيرة في االستجابة للعديد من‬
‫التخطيط لمركزعمليات األمن ‪ SOC‬الخاص بها‪.‬‬ ‫الحوادث‪ ،‬بينما تمر حوادث أخرى دون أن يالحظها أحد‪.‬‬
‫إنه موقف خطير ينتج عنه حوادث إلكترونية ضارة‪.‬‬
‫باإلضافة‪ ,‬فأنه من غير المحتمل أن يكون لدى المحللين‬

‫‪ | ٣‬مــقـدمـــــة‬
 ‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫فعالة؟‬
‫ما الذي يجعل مركز عمليات األمن ‪ SOC‬أداة ّ‬
‫دمج األشخاص والعمليات والتكنولوجيا‬

‫من خالل أتمتة مركز عمليات األمن ‪, SOC‬ستتمكن‬
‫من تحقيق فوائد مماثلة مع أنواع أخرى من الهجمات‬
‫والتهديدات‪ .‬ذلك س ُيتيح لمؤسستك أن يكون لديها‬
‫عدد صغير من المحللين الذين يركزون عىل المهام‬
‫المعقدة والصعبة بدال ً من جحافل المحللين الذين‬
‫يقضون معظم وقتهم في أداء المهام البسيطة والتي‬
‫تستغرق وقتًا طويال ً إلتمامها‪ .‬تعمل األتمتة ً‬
‫أيضا عىل‬
‫تحسين كفاءة عمليات مركز األمن ‪ SOC‬بشكل كبير‬
‫بحيث يتم اكتشاف الحوادث وإيقافها واستردادها‬
‫بسرعة أكبر‪ ،‬وبالتالي تقليل األضرار والتكاليف األخرى‪.‬‬
‫لكي تُنشئ مركز عمليات أمن فعال‪ ،‬تحتاج إىل ثالثة‬
‫مكونات ‪ -‬األشخاص والعمليات والتكنولوجيا ‪ -‬لبناء‬
‫عملية أمنية ناجحة‪ .‬سيقلل هذا من االعتماد الكبير‬
‫عىل األشخاص ويحد من مركزية فريق األمن ‪.SOC‬‬
‫بالنسبة لمراكز األمن ‪ ،SOC‬فإن قوة األتمتة بالغة‬
‫األهمية‪ .‬فكر مثال في نوع الحادث الذي يحدث طوال‬
‫الوقت‪ :‬حملة الهجوم اإلحتيالي (‪ .)phishing‬يمكن‬
‫لمنصة عمليات أمان قوية أن تتعامل تلقائ ًيا مع كل‬
‫جوانب عمليات الكشف واالستجابة واالستعادة‪ ،‬بما‬
‫في ذلك‪:‬‬

‫•الكشف عن الحملة والتحقق من نطاقها والغرض‬

‫الفقرات التالية ستشرح أكثر عن مركز عمليات األمن‬ ‫منها‪.‬‬
‫‪ SOC‬من حيث األشخاص والعمليات والتكنولوجيا‪.‬‬
‫•رصد خصائص الحملة ومقارنتها بالمكافحة الذكية‬
‫للتهديد لتحسين فهم طبيعة التهديد‪.‬‬

‫•أتمتة عملية المعالجة بالكامل‪ ،‬بما في ذلك منع‬

‫التهديد من استمرار شن الحملة‪ ،‬وحذف جميع‬
‫رسائل البريد اإللكتروني اإلحتيالية (‪ )phishing‬من‬
‫صندوق بريد المستخدم‪ ،‬وتحديد ما إذا كانت أي‬
‫رسائل إحتيالية قد أدت إىل تنزيل و تثبيت أي‬
‫حموالت ضارة‪ ،‬وعزل أي أنظمة مصابة‪ ،‬ومسح‬
‫التعليمات البرمجية أو الشيفرات الضارة من‬
‫األنظمة‪.‬‬

‫•إعداد تقرير عن الحادث وتقديمه إىل الجهات‬

‫المعنية‪.‬‬

‫ما الذي يجعل ‪ SOC‬فعالة؟ دمج األشخاص والعمليات والتكنولوجيا | ‪٤‬‬

‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫األشخاص‬
‫بغض النظر عن مدى جودة أتمتة مركز عمليات األمن ‪ ،SOC‬فإن األشخاص هم ضرورة مطلقة‪.‬‬
‫أهم دورين في مركز عمليات األمن هما المحلل األمني والمستجيب للحوادث‪ .‬بالنسبة‬
‫لمحللي األمن‪ ,‬فإن عملهم األساسي في عمليات األمن يكون في مراحل المراقبة والكشف‬
‫عن التهديد‪ .‬عادة ما تتضمن مهامهم مراقبة اإلنذارات من نظام متعدد اإلمكانات وإجراء الفرز‬
‫لتحديد اإلنذارات التي تتطلب تدخل المستجيبين للحوادث‪ .‬مهام المستجيب للحوادث قد‬
‫تشمل ما يلي‪:‬‬

‫•إجراء تحليل أعمق لألحداث األمنية المشبوهة باستخدام‪:‬‬

‫•مصادر المكافحة الذكية للتهديد‬
‫•تقنيات التحليل الجنائي األساسية‬
‫•أدوات تحليل البرامج الضارة‬
‫•القيام باإلستجابة للحوادث كلما اقتضت الضرورة ذلك‪.‬‬
‫•إبقاء اإلدارة عىل علم بجهود االستجابة للحوادث‪ .‬هناك أدوار محتملة أخرى‬
‫في مركز األمن من ضمنها محللي التحليل الجنائي ومهندسي عكس البرامج الضارة‪.‬‬
‫ً‬
‫‪.‬عادة ما‬ ‫مهندس األمن هو الدور األخير المهم بدوام جزئي ألي مركز عمليات أمن ‪SOC‬‬
‫يكون مهندس األمن داخل مؤسسة األمان ولديه فهم عميق لبرنامج أمان المؤسسة وبنيتها‬
‫التحتية‪ .‬يجب أن يساعد هذا الشخص في تصميم الحلول األولية لمركز األمن ‪ SOC‬واإلشراف‬
‫عىل تنفيذها لضمان كفاءته وفعاليته‪ .‬بمرور الوقت ‪ ،‬يمكن لمهندس األمان تخطيط وتنفيذ‬
‫التعديالت عىل حلول عمليات األمن ‪ ،SOC‬بما في ذلك التوسعات الالزمة لتلبية االحتياجات‬
‫مهما بشكل خاص ألن قرارات المهندس ستؤثر‬
‫ً‬ ‫اإلضافية للمؤسسة‪ .‬يعد دور مهندس األمان‬
‫بشكل كبير عىل برنامج األمان وبالتالي تؤثر عىل المؤسسة بأكملها‪.‬‬

‫لدى المنظمات العديد من الخيارات عندما يتعلق األمر بكيفية تعيين موظفي مركز عمليات‬
‫األمن ‪ .SOC‬فيما يلي بعض األمثلة لنماذج التوظيف المحتملة لمركز عمليات األمن‪:‬‬

‫‪ | ٥‬ما الذي يجعل ‪ SOC‬فعالة؟ دمج األشخاص والعمليات والتكنولوجيا‬

 ‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫االستعانة بمصادر خارجية بالكامل‬ ‫موظفين من داخل المؤسسة بالكامل‬

‫في هذا النموذج‪ ،‬يتم ملء جميع وظائف مركز‬ ‫تشمل خيارات توظيف فريق األمن ‪ SOC‬من داخل‬
‫األمن ‪ SOC‬بواسطة مزود خدمة أمان ُمدار (‪)MSSP‬‬ ‫المؤسسة ما يلي‪:‬‬
‫أو متعاقد خارجي آخر‪ .‬يتصل المتعاقد الخارجي‬
‫•فريق أمن ‪ :7×24‬الحصول عىل تغطية عىل مدار‬
‫بالمؤسسة فقط عندما يُطلب منه المشاركة في‬
‫‪ 24‬ساعة طوال أيام األسبوع من قبل موظفي فريق‬
‫جهود االستجابة للحوادث أو اإلجابة عىل سؤال حول‬
‫األمن ‪ SOC‬سوف يتطلب وجود العديد من محللي‬
‫تفاصيل بيئة المنظمة‪.‬‬ ‫األمن بدوام كامل (‪ )FTEs‬والعديد من المستجيبين‬
‫للحوادث بدوام كامل (‪ .)FTEs‬باإلضافة إىل ذلك‪،‬‬
‫هجين (مزيج من الموظفين واالستعانة‬ ‫سيتوىل الموظفون معظم الوظائف المتخصصة‬
‫بمصادر خارجية)‬ ‫واالستعانة بمصادر خارجية يكون قليل جدا‪.‬‬
‫غال ًبا ما تتضمن النماذج الهجينة موظفين يغطون‬ ‫•فريق أمن ‪ :8x5‬تقلل المؤسسات من المخاطر‬
‫ساعات العمل الرئيسية فيما يتعامل المتعاقدون‬ ‫بشكل كبير من خالل استخدام منصة للمعلومات‬
‫الخارجيون مع باقي الساعات‪ .‬عىل سبيل المثال ‪ ،‬في‬ ‫األمنية وإدارة األحداث (‪ )SIEM‬كي تقوم بأتمتة وتسهيل‬
‫بيئة عمل مدتها ‪ ، 5 × 8‬قد تحتاج المؤسسة إىل ما ال‬ ‫القدرات األمنية‪ .‬باستخدام هذه الطريقة‪ ،‬يمكنك إنشاء‬
‫يقل عن اثنين من الموظفين بدوام كامل (‪ )FTEs‬وهما‪:‬‬ ‫تصعيد وإشعارات آلية لفريق المحللين لديك استنادًا‬
‫محلل أمني ‪ FTE‬ومستجيب للحوادث ‪ .FTE‬بالنسبة‬ ‫إىل مدى أهمية وتأثير أي تنبيه‪ ,‬كتعويض عن عدم‬
‫لجميع األعمال التي تحدث خارج ساعات العمل أوالتي‬ ‫توظيف عملية كاملة عىل مدار الساعة طوال أيام‬
‫األسبوع‪.‬‬
‫تتطلب أدوار أخرى بخالف محلل األمن والمستجيب‬
‫للحوادث يتم حينها االستعانة بمتعاقد خارجي‪.‬‬

‫نموذج هجين آخر هو زيادة أداء مركز األمن الداخلي ‪SOC‬‬

‫المدار ‪ MSSP‬والذي يعمل‬ ‫عن طريق مزود خدمة األمن ُ‬
‫طوال ‪ 7 × 24‬أو كما يسمى “عيون عىل الشاشة ‪/‬‬
‫‪ .”eyes on glass‬سيقوم مزود خدمات األمن ‪MSSP‬‬
‫في هذا النموذج ببناء حاالت استخدام مخصصة‬
‫خصيصا للمؤسسة‪ .‬يعتمد نجاح‬ ‫ً‬ ‫ومصممة‬
‫مثل هذا النموذج الهجين عىل أمداد‬
‫مزود األمن ‪ MSSP‬بأكبر قدر ممكن من‬
‫المعلومات عن سياق األعمال حتى يكون‬
‫برنامج ‪ MSSP‬فعاال ً في تلبية احتياجات‬
‫المؤسسة وتوقعاتها‪.‬‬

‫ما الذي يجعل ‪ SOC‬فعالة؟ دمج األشخاص والعمليات والتكنولوجيا | ‪٦‬‬

‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫العمليات‬

‫بغض النظر عن نموذج التوظيف الذي تستخدمه أي مؤسسة‪ ،‬فإن كل مركز عمليات أمن‬
‫‪ SOC‬يعتمد عىل العمليات‪ .‬من المعروف أن التكنولوجيا تجمع األشخاص والعمليات معً ا‪,‬‬
‫مثل منصة ‪ - SIEM‬متعددة األمكانيات ‪ -‬التي تُعلم محلل األمن في حال وجود شيء يحتاج‬
‫إىل اهتمام فوري‪ ,‬أوعندما يقوم أحد المستجيبين للحوادث بإعطاء أمر لمنصة ‪ SIEM‬للقيام‬
‫أيضا عىل العمل مع بعضهم البعض‪.‬‬ ‫بشيء ما نيابة عنه‪ .‬لكن العمليات تساعد األشخاص ً‬
‫عىل سبيل المثال‪ ،‬قد يقوم محلل أمني بوضع عالمة عىل مجموعة من األحداث في منصة‬
‫‪ SIEM‬إلخطار المستجيب للحوادث بضرورة التحقق منها أكثر‪ .‬توفر منصة ‪ SIEM‬إمكانية‬
‫تسيير العمل بشكل تنقل فيه مسؤولية بعض األعمال من محلل األمان إىل المستجيب‬
‫للحوادث‪.‬‬

‫منصات ‪ SIEM‬المتكاملة يمكنها أن تعزز من أمكانية التواصل والتعاون وتسيير العمل‬

‫والتنسيق بين اعضاء الفريق بشكل متطور أكثر في مراكز عمليات األمن ‪ .SOC‬عند‬
‫وقوع حادث أمني كبير‪ ،‬قد يساعد العديد من المحللين األمنيين والمستجيبين للحوادث‬
‫أيضا آخرون داخل‬‫والمتخصصين في البحث الجنائي الرقمي جميعً ا في حله‪ ،‬وقد يشارك ً‬
‫المؤسسة مثل مسؤولي النظام والشبكات‪ .‬من خالل دمج منصة ‪ SIEM‬ومركز عمليات األمن‬
‫‪ SOC‬مع العمليات وطريقة سير العمل الجارية‪ ،‬فإن المؤسسة بذلك تقوم بتعزيز تبنيها لمركز‬
‫عمليات األمن ‪ SOC‬وزيادة فرص نجاحه مع ضمان بذل جهود سريعة وفعالة في جميع أقسام‬
‫المؤسسة الكتشاف التهديدات واالستجابة لها‪ .‬يؤدي هذا اإلجراء إىل تجنب حدوث خطأ ترتكبه‬
‫العديد من المؤسسات ‪ -‬وهو إجبار جميع العمليات واألعمال الجارية عىل التغيير لكي تتماشى‬
‫مع مركز عمليات األمن ‪.SOC‬‬

‫في هذه الحاالت‪ ،‬يعد الحصول عىل منصة ‪ SIEM‬المتكاملة أم ًرا ضروريًا ألنها تؤدي أتمتة‬
‫األمان والتنسيق لضمان أن يكون الجميع عىل اطالع دائم بالحالة األمنية ولديهم إمكانية‬
‫أيضا أن تقوم بتزويد األشخاص باألدوات‬ ‫الوصول إىل جميع المعلومات الالزمة‪ .‬يمكن للمنصة ً‬
‫التي يحتاجون إليها للعمل معً ا ولتوجيه المهام من شخص أو من فريق إىل آخر‪ .‬أخيرًا‪ ،‬توفر‬
‫منصة ‪ SIEM‬المتكاملة القدرة عىل التحقق من سير العمل لضمان عدم التغاضي عن أي‬
‫شيء أو التعامل معه ببطء شديد‪.‬‬

‫‪ | ٧‬ما الذي يجعل ‪ SOC‬فعالة؟ دمج األشخاص والعمليات والتكنولوجيا‬

 ‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫التكنولوجيا‬
‫•التفاعل مع إدارة األصول والممتلكات‪ ،‬وإدارة‬ ‫تُعد المنصة المتكاملة مثالية لبناء مركز عمليات األمن‬
‫الثغرات األمنية‪ ،‬برامج تسجيل ومتابعة الشكاوي‪،‬‬ ‫(‪ )SOC‬ألنها تقوم باحتواء ودمج جميع الصيغ الالزمة‬
‫ومنع التسلل‪ ،‬واألنظمة الجارية األخرى لدمج عمليات‬ ‫ألتمتة عمليات األمان وتنسيق االستجابة للحوادث في‬
‫األمن ‪ SOC‬تلقائ ًيا مع عمليات أعمال المؤسسة‪ .‬هذا‬ ‫شاشة عرض واحدة‪.‬‬
‫يُسرّع سير العمل بشكل كبير ويقلل من عبء العمل‬
‫عىل الموظفين في العديد من اإلدارات‪.‬‬ ‫فيما يلي بعض األمثلة لما يمكن أن تقوم به منصة‬
‫‪:SIEM‬‬
‫•تفعيل االستجابات اآللية المرتبطة تلقائ ًيا بإنذارات‬
‫معينة‪ .‬بعض اإلجراءات التي يمكن البدء بها دون‬ ‫•ركزية جميع بيانات البحث الجنائي الرقمي مما‬
‫تفاعل بشري أو التي تتطلب الموافقة بنقرة واحدة‬ ‫يؤدي إىل دعم التحليالت األلية الفعالة وتفعيل‬
‫يمكن أن تفيد فريقك بشكل كبير في توفير الوقت‬ ‫التحقيقات األمنية السريعة‪ ،‬بحيث يمكن مراقبتها‬
‫لالستجابة لحادث ما‪ .‬بمقدورمنصة ‪ SIEM‬الشاملة‬ ‫في جميع األوقات ويمكن استخدام التحليالت لتحديد‬
‫التعرف عىل الحوادث الشائعة‪ ،‬مثل اختراق أولي‬ ‫األحداث ذات األهمية الخاصة‪ ،‬وهذا يلغي الحاجة إىل‬
‫من أحد البرامج الضارة‪ ،‬وتستطيع أن تستجيب‬ ‫وجود أشخاص يبحثون في بيانات األحداث األمنية‬
‫تلقائ ًيا حتى يتمكن الفريق من التركيز عىل األحداث‬ ‫األولية عىل الشاشات طوال ‪ 24‬ساعة‪.‬‬
‫والحوادث األكثر تعقيدًا وتأثي ًرا‪.‬‬
‫•توفير سياق لألحداث والحوادث األمنية من خالل‬
‫دمج مصادر معلومات استخبارات التهديد الخطيرة‬
‫وبيانات نقاط الضعف‪ ،‬باإلضافة إىل المعلومات‬
‫من األنظمة المدمجة في الموارد البشرية والتمويل‬
‫والتعاقد ‪ ،‬إلخ‪ .‬فيما يتعلق بأنظمة األعمال واألصول‪,‬‬
‫يُمكّن هذا السياق محللي األمن من تحديد ما قد‬
‫يحاول المهاجم فعله ولماذا‪.‬‬
‫•تحديد األحداث المهمة باألولوية‪ ,‬بنا ًء عىل المخاطر‬
‫النسبية التي تتعرض لها المؤسسة بحيث يمكن‬
‫لموظفي مركز عمليات األمن االنتباه أوال ً إىل األحداث‬
‫األكثر أهمية‪.‬‬
‫•جمع األدلة معً ا في مكان واحد ومشاركتها بطريقة‬
‫آمنة مع األفراد المصرح لهم‪ ،‬مثل الموظفين عن‬
‫بُعد والمتعاقدين الخارجيين المشاركين في جهود‬
‫االستجابة للحوادث‪.‬‬
‫•استخدام القدرة عىل متابعة سير العمل لتنبيه كل‬
‫شخص‪ /‬دور عندما يحين دوره للقيام بشيء ما لمركز‬
‫العمليات األمن ‪ ،SOC‬مثل مراجعة حادثة تم وضع‬
‫عالمة عليها عىل أنها عالية الخطورة‪.‬‬

‫ما الذي يجعل ‪ SOC‬فعالة؟ دمج األشخاص والعمليات والتكنولوجيا | ‪٨‬‬

 ‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫كيف تقوم لوقريثم ‪ LogRhythm‬بتشغيل‬ ‫يمكن لمنصة ‪ SIEM‬المستخدمة جن ًبا إىل جنب مع‬
‫مركز عمليات األمن ‪.SOC‬‬ ‫نموذج توظيف مناسب لفريق مركز عمليات األمن‬
‫‪ SOC‬باإلضافة إىل العمليات األمنية الفعالة‪ ,‬يمكنها أن‬
‫يجمع ‪ LogRhythm‬بين الحلول المتباينة تاريخ ًيا في منصة‬ ‫تحقق تكامل وتسيير لألعمال وتواصل سلس لجميع‬
‫واحدة موحدة ‪ ،‬والتي نطلق عليها منصة لوقريثم ن ِكست‬
‫المهام المتعلقة بـمركز األمن‪ ،SOC‬بغض النظر عن‬
‫ِجن إس آي إي إم ( ‪the LogRhythm NextGen SIEM‬‬
‫االستعانة بمتعاقد خارجي‪ .‬هذه التركيبة تتيح ً‬
‫أيضا‬
‫‪ .)Platform‬تقوم هذه المنصة بمنح مركزالعمليات األمنية‬
‫الوصول الفوري إىل المعلومات والبيانات واألحداث‬
‫‪ SOC‬الخاص بك وجهة واحدة (شاشة واحدة) يمكن من‬
‫خاللها تقييم اإلنذارات والتحقيق في التهديدات واالستجابة‬
‫وسجالت التحقيق التي يحتاجها الموظفون داخل‬
‫للحوادث‪.‬‬ ‫المؤسسة والمتعاقدون الخارجيون المصرح لهم‪ ,‬في أي‬
‫وقت ومن أي مكان‪.‬‬
‫تعمل إمكانية التحليالت األمنية الحاصلة عىل براءة اختراع‬
‫من لوقريثم ‪ LogRhythm‬عىل أتمتة اكتشاف التهديدات‬
‫الحقيقية وتحديدها بأنها أولوية‪ .‬باإلضافة إىل ذلك‪ ،‬توفر‬
‫المنصة آليات لتنظيم وأتمتة عمل االستجابة للحوادث‪.‬‬
‫عندما تُفعل قدرات منصة ‪ SIEM‬بشكل كامل‪ ،‬جن ًبا إىل‬
‫جنب مع التشغيل اآللي القوي‪ ،‬فأن مركز عمليات األمن‬
‫‪ SOC‬الخاص بك يمكن أن يعمل بكفاءة وفعالية أكبر‬
‫لتحقيق وقت أسرع في المتوسط للكشف واالستجابة‬
‫للتهديدات‪.‬‬

‫تتيح منصة لوقريثم ن ِكست ِجن إس آي إي إم "‪LogRhythm‬‬

‫‪ "NextGen SIEM Platform‬للمؤسسات بناء مراكز عمليات‬
‫أمن فعالة من حيث التكلفة وتقلل من المخاطر وتمنع‬
‫انتهاكات البيانات الرئيسية وغيرها من الحلول‪ .‬يؤدي هذا‬
‫أيضا إىل إعطاء المؤسسات فرصة أكبر للحصول عىل قيمة‬ ‫ً‬
‫أفضل بكثير من موظفيها‪ ،‬واالستفادة منهم بشكل أكبر‬
‫في المشاريع اإلستراتيجية ذات الفوائد طويلة األجل بدال ً من‬
‫العمليات اليومية اليدوية‪.‬‬

‫لمزيد من المعلومات حول منصة لوقريثم ن ِكست ِجن إس‬

‫آي إي إم ‪ ، LogRhythm NextGen SIEM Platform‬قم‬
‫بزيارة ‪logrhythm.com/demo‬‬

‫‪ | ٩‬ما الذي يجعل ‪ SOC‬فعالة؟ دمج األشخاص والعمليات والتكنولوجيا‬


‫تقدير حجم التكاليف والتوفير لمركز‬
‫عمليات األمن‬
‫متشابهة إىل حد ما عبر النماذج التوظيف في مراكز‬
‫األمن ‪ SOC‬عىل اختالف احجامها ألن معظم البنية‬
‫التحتية نفسها يجب أن تكون مجهزة سواء كان لديك‬
‫فريق موظفين ‪ 5 × 8‬أو ‪ 7 × 24‬في الموقع‪ .‬االستثناء‬
‫الوحيد يكون في نموذج مركز األمن ‪ SOC‬الذي يتم‬
‫االستعانة فيه بمتعاقدين خارجيين بالكامل ‪ ،‬ألنه ال‬
‫يتطلب مرافق أو معدات أو أنظمة لموظفي مركز‬
‫عمليات األمن‪.‬‬
‫األمن‪ ،‬فإن تكاليف العمالة والخدمة هي األعىل بالنسبة‬
‫االعتبارات النهائية لتكاليف مركز عمليات األمن ‪SOC‬‬
‫يجب أن تشمل مدى فعالية المركز في منع الحوادث‬
‫واكتشاف الحوادث ووقفها بسرعة واستعادة العمليات‬
‫الطبيعية‪.‬‬
‫عملية تحويل مركز عمليات األمن من قسم غير رسمي‬ ‫بيانات األدلة الجنائية واالستجابة للحوادث واإلدارة وإعداد‬
‫إىل مركز أمن جيد التنظيم باستخدام منصة ‪SIEM‬‬
‫يمكن أن تقلل التكاليف بقيمة ماليين الدوالرات سنويًا‬
‫والتي قد تُصرف لمعالجة الحوادث وفقدان إنتاجية‬
‫المستخدم وخسارة األعمال بسبب الحوادث التي تمنع‬
‫المؤسسة من إجراء عملياتها بطريقة طبيعية‪.‬‬
‫فكر مثال ً في حادثة برامج ضارة بسيطة في مؤسسة‬
‫تضم ‪ 5000‬مستخدم‪ .‬مركز عمليات األمن غير الرسمي‬
‫التابع للمؤسسة ال يعمل عىل مدار الساعة‪ ،‬لذلك ال‬
‫يتم اكتشاف حادثة البرامج الضارة حتى يتأثر حوالي‬
‫‪ 100‬نظام‪ .‬يجب بعد ذلك إعادة بناء كل نظام من هذه‬
‫األنظمة‪ ،‬حيث تستغرق كل عملية إعادة بناء واستعادة‬
‫وإعادة نشر في المتوسط أربع ساعات من وقت مسؤول‬
‫النظام‪ .‬باإلضافة‪ ,‬فإن مستخدمي هذه األنظمة المائة‬
‫لن يستطيعوا القيام بمعظم عملهم خالل هذا الوقت‪.‬‬
‫إذا افترضت خسارة كلية لإلنتاجية تصل إىل ‪ 500‬ساعة‬
‫باإلضافة إىل ‪ 400‬ساعة من وقت مسؤول النظام لكي‬
‫يعيد بناء النظام‪ ،‬فإن حادث البرامج الضارة هذا يكلف‬
‫تقدير تكاليف ومدخرات ‪١٠ | SOC‬‬
‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬
‫يعتمد مقدار تكلفة مركز األمن ‪ SOC‬عىل العديد من‬
‫العوامل‪ ،‬كما هو الحال مع حجم التوفير الذي يمكن أن‬
‫يقدمه مركز عمليات األمن للمؤسسة‪ .‬دعنا نبدأ بالنظر‬
‫في التكاليف السنوية للعمالة والخدمات المقدرة لنماذج‬
‫التوظيف العامة لمراكز األمن الصغيرة والمتوسطة‬
‫والكبيرة (‪( .)SOC‬انظر مقارنات التكلفة لمختلف نماذج‬
‫التوظيف في مراكز األمن في الصفحة ‪ .)12‬تُظهر هذه‬
‫التقديرات أنه بالنسبة لجميع أحجام مراكز عمليات‬
‫لشركات العمليات األمنية التي ال تعتمد عىل نظام‬
‫أساسي أو منصة للمعلومات األمنية وإدارة األحداث‬
‫(‪ .)SIEM‬ويرجع ذلك إىل وجود المزيد من عمليات‬
‫المراقبة والتحليل والتحقيق وتحديد األولويات وجمع‬
‫التقارير التي يتعين عىل األشخاص القيام بها بدال ً من‬
‫منصة ‪.SIEM‬‬
‫النوع الرئيسي الثاني من تكاليف مراكز العمليات‬
‫(‪ )SOC‬هو البنية التحتية‪ ،‬بما في ذلك المرافق‬
‫والمعدات والشبكات واألنظمة والبرمجيات ورسوم‬
‫االشتراك (عىل سبيل المثال‪ ،‬موجز معلومات‬
‫استخبارات التهديدات)‪.‬‬
‫عىل أي حال فإنه من الصعب تعميم هذه التكاليف‪.‬‬
‫عىل سبيل المثال‪ ،‬قد يكون لدى إحدى المؤسسات‬
‫مساحة منشأة غير مستخدمة متاحة لالستخدام الفوري‬
‫لمركز عمليات األمن‪ ،‬بينما قد تحتاج مؤسسة أخرى‬
‫إىل الحصول عىل مساحة جديدة وإعدادها‪ .‬قد يكون‬
‫لدى إحدى المؤسسات شبكات وأنظمة متاحة بسهولة‬
‫لـمركز األمن ‪ ،SOC‬بينما قد تحتاج أخرى إىل تصميمها‬
‫وشرائها وتنفيذها‪.‬‬
‫ومع ذلك‪ ،‬بشكل عام فإن تكاليف البنية التحتية‬
 ‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫‪ 900‬ساعة عمل‪ .‬إذا قدرنا تكلفة الساعة الواحدة بـ ‪ 100‬دوالر‬

‫تقري ًبا‪ ،‬هذا ما يقرب من ‪ 100,000‬دوالر خسائر في يوم واحد‪.‬‬
‫المراقبة المتواصلة عىل مدار الساعة من منصة ‪ SIEM‬و‬
‫المدار ‪ MSSP‬يمكنها اكتشاف وأيقاف‬ ‫برنامج خدمة األمن ُ‬
‫حادثة مثل هذه في وقت مبكر جدًا‪ ،‬مما يمنع جميع هذه‬
‫األنظمة تقري ًبا من التأثر ويوفر ما يقرب من ‪ 100,000‬دوالر‬
‫المدار‬
‫من التكاليف‪ .‬هذا أكثر مما ستكلفه خدمات األمن ُ‬
‫‪ MSSP‬لمدة ثالثة أشهر‪.‬‬

‫من خالل تحويل مركز عمليات األمن ‪ SOC‬إىل نموذج‬

‫يشتمل عىل منصة ‪ SIEM‬شاملة‪ ،‬يمكن أن تحقق توفيرا ً‬
‫كبيرا ً في التكاليف المستمرة لمؤسستك‪.‬‬

‫مالحظة من خبير ‪:‬‬

‫المدار ‪ MSSP‬يمكنها اكتشاف وأيقاف‬

‫المراقبة المتواصلة عىل مدار الساعة من منصة ‪ SIEM‬و برنامج خدمة األمن ُ‬
‫حادثة البرامج الضارة في وقت مبكر جدًا‪ ،‬مما يمنع جميع هذه األنظمة تقري ًبا من التأثر ويوفر ما يقرب من ‪ 100,000‬دوالر‬
‫المدار ‪ MSSP‬لمدة ثالثة أشهر‪.‬‬
‫‪Chapter‬أكثر مما ستكلفه خدمات األمن ُ‬
‫التكاليف‪ .‬هذا‬
‫من| ‪Title‬‬
 ‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫مقارنة التكلفة لمختلف نماذج التوظيف‬

‫في مركز عمليات األمن ‪SOC‬‬

‫مركز أمن كبير‬ ‫مركز أمن متوسط‬ ‫مركز أمن صغير‬

‫مستخدم ‪ 50,000‬أكثر‬ ‫‪10,000–50,000‬‬ ‫مستخدم ‪ 10,000‬أقل‬

‫مركز أمن ‪ SOC‬بدون منصة‬

‫‪ 24x7‬فريق متواجد بالموقع‬ ‫‪ 16x5‬فريق متواجد بالموقع‬ ‫‪ 8x5‬فريق متواجد بالموقع‬
‫‪SIEM‬‬

‫‪ 2‬بدوام كامل @‪ 120‬ألف ‪$‬‬

‫‪ 20‬بدوام كامل @‪ 120‬ألف ‪ $‬لكل‬ ‫‪ 8‬بدوام كامل @‪ 120‬ألف ‪$‬‬ ‫محللي األمن‬
‫لكل منهما‬
‫منهم‬ ‫لكل منهم‬

‫‪ 8‬بدوام كامل @‪ 145‬ألف ‪$‬‬ ‫‪ 4‬بدوام كامل @‪ 145‬ألف ‪$‬‬ ‫‪ 1‬بدوام كامل @‪ 145‬ألف ‪$‬‬ ‫المستجيبون للحوادث‬
‫لكل منهم‬ ‫لكل منهم‬ ‫لكل منهما‬

‫‪ 5‬بدوام كامل @‪ 150‬ألف‪$‬‬ ‫‪ 2‬بدوام كامل @‪ 150‬ألف ‪$‬‬ ‫‪ 0‬دوام كامل‪ :‬االستعانة‬ ‫المتخصصون (مهندسي‬
‫لكل منهم‬ ‫لكل منهم‬ ‫بمصادر خارجية والدفع عند‬ ‫عكس البرامج الضارة‪،‬‬
‫الحاجة (‪ 50‬ألف دوالر في‬ ‫ومحللي البحث الجنائي‬
‫السنة تقريبا)‬ ‫الرقمي‪ ،‬وما إىل ذلك)‬

‫‪ 3‬بدوام كامل @‪ 145‬ألف ‪$‬‬ ‫‪ 2‬بدوام كامل @‪ 145‬ألف ‪$‬‬ ‫‪ 1‬بدوام كامل @‪ 145‬ألف ‪$‬‬ ‫اإلدارة‬

‫‪ 4,760‬ألف ‪$‬‬ ‫‪ 2,140‬ألف ‪$‬‬ ‫‪ 585‬ألف ‪$‬‬ ‫اإلجمالي‬

‫مركز أمن من داخل المؤسسة‬

‫‪ 24x7‬فريق متواجد بالموقع‬ ‫‪ 16x5‬فريق متواجد بالموقع‬ ‫‪ 8x5‬فريق متواجد بالموقع‬
‫بالكامل يعمل بمنصة ‪SIEM‬‬

‫‪ 8‬بدوام كامل @‪ 120‬ألف ‪$‬‬ ‫‪ 4‬بدوام كامل @‪ 120‬ألف ‪$‬‬ ‫‪ 1‬بدوام كامل @‪ 120‬ألف ‪$‬‬ ‫محللي األمن‬

‫‪ 4‬بدوام كامل @‪ 145‬ألف ‪$‬‬ ‫‪ 2‬بدوام كامل @‪ 145‬ألف ‪$‬‬ ‫‪ 1‬بدوام كامل @‪ 145‬ألف ‪$‬‬ ‫المستجيبون للحوادث‬

‫‪ 2‬بدوام كامل @‪ 150‬ألف ‪$‬‬ ‫‪ 1‬بدوام كامل @‪ 150‬ألف ‪$‬‬ ‫‪ 0‬دوام كامل‪ :‬االستعانة‬ ‫المتخصصون (مهندسي‬
‫بمصادر خارجية والدفع عند‬ ‫عكس البرامج الضارة‪،‬‬
‫الحاجة (‪ 25‬ألف دوالر في‬ ‫ومحللي البحث الجنائي‬
‫السنة تقريبا)‬ ‫الرقمي‪ ،‬وما إىل ذلك)‬

‫‪ 1‬بدوام كامل @‪ 150‬ألف‪$‬‬ ‫‪ 0.5‬بدوام كامل @‪150‬‬ ‫‪ 0.25‬بدوام كامل @‪150‬‬ ‫اإلدارة‬
‫ألف ‪$‬‬ ‫ألف ‪$‬‬

‫‪ 1,990‬ألف ‪$‬‬ ‫‪ 995‬ألف ‪$‬‬ ‫‪ 328‬ألف ‪$‬‬ ‫اإلجمالي‬

‫تقدير تكاليف ومدخرات ‪١٢ | SOC‬‬

‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬
‫مركز أمن كبير‬
‫مستخدم ‪ 50,000‬أكثر‬
‫‪ 5× 16‬في الموقع‪ ,‬جميع األوقات‬
‫‪ 24x7‬في الموقع‬
‫‪0‬‬
‫‪ 4‬بدوام كامل @‪ 145‬ألف ‪$‬‬
‫‪ 0‬دوام كامل‪ :‬االستعانة‬
‫بمصادر خارجية والدفع عند‬
‫الحاجة (‪ 100‬ألف دوالر في‬
‫السنة تقريبا)‬
‫‪ 0.5‬بدوام كامل @‪ 150‬ألف ‪$‬‬
‫‪ 750‬ألف ‪$‬‬
‫‪ 1,505‬ألف ‪$‬‬
‫خارج الموقع ‪MSSP‬‬
‫‪24x7‬‬
‫‪0‬‬
‫‪ 4‬بدوام كامل @‪ 145‬ألف ‪$‬‬
‫‪0‬‬
‫‪ 900‬ألف ‪$‬‬
‫‪ 3‬بدوام كامل @‪ 150‬ألف ‪$‬‬
‫‪ 1,268‬ألف ‪$‬‬
‫مركز أمن متوسط‬ ‫مركز أمن صغير‬
‫‪10,000–50,000‬‬ ‫مستخدم ‪ 10,000‬أقل‬
‫‪ 5 × 8‬في الموقع‪ ,‬جميع‬
‫مركز أمن هجين يعمل بمنصة‬
‫األخرى خارج الموقع ‪7× 24‬‬ ‫األوقات األخرى من خارج‬
‫‪SIEM‬‬
‫‪MSSP‬‬ ‫الموقع ‪MSSP‬‬
‫‪0‬‬ ‫‪ 0.5‬بدوام كامل @‪ 120‬ألف‪$‬‬ ‫محللي األمن‬
‫‪ 2‬بدوام كامل @‪ 145‬ألف ‪$‬‬ ‫‪ 0.5‬بدوام كامل @‪ 145‬ألف ‪$‬‬ ‫المستجيبون للحوادث‬
‫المتخصصون (مهندسي‬
‫‪ 0‬دوام كامل‪ :‬االستعانة‬ ‫‪ 0‬دوام كامل‪ :‬االستعانة‬
‫عكس البرامج الضارة‪،‬‬
‫بمصادر خارجية والدفع عند‬ ‫بمصادر خارجية والدفع عند‬
‫ومحللي البحث الجنائي‬
‫الحاجة (‪ 05‬ألف دوالر في‬ ‫الحاجة (‪ 25‬ألف دوالر في‬
‫الرقمي‪ ،‬وما إىل ذلك)‬
‫السنة تقريبا)‬ ‫السنة تقريبا)‬
‫‪ 0.25‬بدوام كامل ‪ 150‬ألف‪$‬‬ ‫‪ 0.25‬بدوام كامل ‪ 150‬ألف‪$‬‬ ‫اإلدارة‬
‫‪ 400‬ألف ‪$‬‬ ‫‪ 250‬ألف ‪$‬‬ ‫خدمات ‪MSSP‬‬
‫‪ 778‬ألف ‪$‬‬ ‫‪ 445‬ألف ‪$‬‬ ‫اإلجمالي‬
‫خارج الموقع ‪MSSP‬‬ ‫خارج الموقع ‪MSSP‬‬ ‫مركز أمن من خارج المؤسسة‬
‫‪24x7‬‬ ‫‪24x7‬‬ ‫بالكامل يعمل بمنصة ‪SIEM‬‬
‫‪0‬‬ ‫‪0‬‬ ‫محللي األمن‬
‫‪ 1‬بدوام كامل @‪ 145‬ألف ‪$‬‬ ‫‪ 0.5‬بدوام كامل @‪ 145‬ألف ‪$‬‬ ‫المستجيبون للحوادث‬
‫المتخصصون (مهندسي‬
‫‪0‬‬ ‫‪0‬‬
‫عكس البرامج الضارة‪،‬‬
‫ومحللي البحث الجنائي‬
‫الرقمي‪ ،‬وما إىل ذلك)‬
‫‪ 0.5‬بدوام كامل @‪ 150‬ألف ‪$‬‬ ‫‪ 0.25‬بدوام كامل ‪ 150‬ألف ‪$‬‬ ‫اإلدارة‬
‫‪ 600‬ألف ‪$‬‬ ‫‪ ٣٥٠‬ألف ‪$‬‬ ‫خدمات ‪MSSP‬‬
‫‪ 820‬ألف ‪$‬‬ ‫‪ 460‬ألف ‪$‬‬ ‫اإلجمالي‬
‫‪ | ١٣‬تقدير تكاليف ومدخرات ‪SOC‬‬
 ‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫خطوات بناء مركز عمليات األمن‬

‫بموارد محدودة‬
‫استنادًا إىل الخبرات التي تساعد مجموعة واسعة من المؤسسات‪ ،‬طور خبراء‬
‫لوقريثم ‪ LogRhythm‬منهجية لبناء مركز عمليات األمن ‪ SOC‬تستخدم منصة‬
‫‪ SIEM‬كاملة‪.‬‬
‫البنود السبعة التالية تشرح كل خطوة من خطوات هذه المنهجية‪.‬‬

‫خطوات بناء ‪ SOC‬بموارد محدودة | ‪١٤‬‬

‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫الخطوة ‪ :1‬تطوير اإلستراتيجية‬

‫فيما يلي جزءان مهمان جدا ً في تطوير إستراتيجية لمركز عمليات األمن ‪: SOC‬‬

‫‪1 .‬تقييم القدرات الحالية لمركز األمن ‪ SOC‬في للمؤسسة من حيث األفراد والعمليات‬
‫والتكنولوجيا‪ .‬عند إنشاء مركز عمليات األمان ‪ ،‬يجب أن يقتصر النطاق األولي للمركز‬
‫‪ SOC‬عىل الوظائف األساسية‪ :‬المراقبة والكشف واالستجابة واالستعادة‪ .‬بعض‬
‫مراكزعمليات األمن تقوم بدعم وظائف إضافية‪ ،‬مثل إدارة الثغرات األمنية‪ ،‬ولكن يجب‬
‫كاف‪.‬‬
‫ٍ‬ ‫تأجيل هذه الوظائف غير األساسية حتى تنمو الوظائف األساسية بشكل‬

‫‪2 .‬تحديد أهداف العمل لمركز عمليات االمن‪ .‬لكي يكون فعاالً‪ ،‬يجب أن تركز أهداف‬
‫المركزعىل مساعدة المؤسسة عىل تحقيق أهداف أعمالها‪ .‬إن إنشاء مركز عمليات ‪SOC‬‬
‫من أجل األمن دون األخذ في االعتبار العوامل المؤثرة في العمل‪ ،‬مثل األنظمة والبيانات‬
‫األكثر أهمية الستدامة العمليات‪ ،‬سيؤدي حتما إىل مشاكل في إظهار القيمة لألعمال‪،‬‬
‫وقد يؤدي إىل عدم رصد تهديدًا رئيس ًيا من قبل مركز عمليات األمن مما ينتج عنه‬
‫حادثة إلكترونية ضارة‪.‬‬

‫الخطوة ‪ :2‬تصميم الحل‬

‫بالتوافق مع النصيحة الواردة في الخطوة ‪ 1‬بشأن تقييد النطاق األولي لـمركز األمن ‪،SOC‬‬
‫قد يكون من األفضل السعي في تحقيق بعض المكاسب السريعة بدال ً من إنشاء مركز أمن‬
‫‪ SOC‬واسع النطاق وواسع الوظائف‪ .‬اختر عددًا قليال ً من حاالت االستخدام المهمة لألعمال‬
‫وحدد الحل المبدئي استنادًا إىل حاالت االستخدام هذه‪ ،‬مع األخذ في االعتبار أن الحل يجب‬
‫أن يتوسع في المستقبل لتلبية االحتياجات اإلضافية‪ .‬يساعد وجود حل مبدئي ضيق النطاق‬
‫ً‬
‫أيض ا عىل تقليل مقدار الوقت الالزم لتنفيذه وتحقيق النتائج األولية بسرعة أكبر‪ .‬عند تصميم‬
‫حل لمركز األمن ‪ SOC‬يجب أن تتضمن اإلجراءات المهمة ما يلي‪:‬‬

‫‪1 .‬تحديد المتطلبات الوظيفية‪ .‬يجب ربط هذه المتطلبات بأهداف العمل كلما أمكن ذلك‪.‬‬
‫تشمل مجاالت المتطلبات الوظيفية ما يلي‪:‬‬
‫‪ .i‬تحديد مصادر بيانات السجل واألحداث المراد مراقبتها‬
‫تحديد مصادر معلومات استخبارات التهديد التي سيتم استخدامها‬ ‫‪.ii‬‬
‫‪ .iii‬تحديد متطلبات األداء‪ ،‬مثل أوقات االستجابة‬

‫| خطوات بناء ‪ SOC‬بموارد محدودة‬ ‫‪١٥‬‬

 ‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫‪ .2‬اختر نموذج لمركز األمن ‪ .SOC‬يجب أن يستند هذا إىل المتطلبات الوظيفية التي‬
‫تم تحدديها‪ ،‬باإلضافة إىل االستراتيجية المحددة في الخطوة األوىل‪ .‬تشمل القرارات التي‬
‫يجب اتخاذها في هذه المرحلة تحديد الساعات واأليام للموظفين مقابل تلك للمتعاقدين‬
‫الخارجيين‪ ،‬وكذلك تحديد مسؤوليات الموظفين ومسؤوليات من يتم اإلستعانة بهم من‬
‫متعاقد خارجي‪ ،‬واألدوار التي سيقوم بها مركز األمن ‪ ،SOC‬وعدد الموظفين بدوام كامل لكل‬
‫دور‪.‬‬
‫‪ .3‬تصميم الهيكل التقني‪ .‬هذا يشمل‪:‬‬
‫تخطيط تركيب وترتيب مكونات الحل‪ ،‬وأبرزها منصة ‪SIEM‬‬ ‫‪.i‬‬
‫‪ .ii‬تحديد نظام األعمال وأنظمة المعلومات التي يجب دمجها مع منصة ‪ SIEM‬لتوفير‬
‫سياق عمل لألحداث والحوادث األمنية‬
‫‪ .iii‬تحديد سير العمل لألحداث والحوادث لتتماشى مع العمليات الحالية للمؤسسة‬
‫‪ .iv‬التخطيط ألتمتة الحل قدر اإلمكان‪ ،‬بما في ذلك أتمتة التقنيات الالزمة للحصول‬
‫عىل رؤية كاملة لمشهد التهديد الذي يهدد األنظمة والبيانات‪ ,‬في النطاق األولي‬
‫لعمليات األمن وإحباط الهجمات في وقت مبكر من الهجوم قدر المستطاع‬
‫‪ .v‬تحديد ما إذا كانت البنية التقنية سليمة‪ ،‬مثل إجراء تمارين تدريبية لجميع حاالت‬
‫االستخدام لتحديد المشكالت المحتملة‬

‫الخطوة ‪ :3‬إنشاء العمليات واإلجراءات والتدريب‬

‫إذا تم االستعانة بمتعاقد خارجي لتغطية جزء من وظائف مركز العمليات األمنية ‪ ،‬فمن‬
‫المهم العمل مع المتعاقد لضمان أن العمليات واإلجراءات والتدريب تتم بتناسق عىل كال‬
‫الجانبين‪.‬‬

‫خطوات بناء ‪ SOC‬بموارد محدودة | ‪١٦‬‬

‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫الخطوة ‪ :4‬تجهيز البيئة‬

‫قبل إعتماد حل لمركز األمن ‪ ،SOC‬من األهمية بمكان التأكد من أن جميع العناصر‬
‫موجودة لتوفير بيئة آمنة لهذا الحل‪ .‬تشمل العناصر البارزة تأمين أجهزة الكمبيوتر المكتبية‬
‫والمحمولة واألجهزة المحمولة الخاصة بموظفي مركز عمليات األمن؛ وجود آليات آمنة‬
‫للوصول عن بُعد للموظفين (والمتعاقدين الخارجيين إن أمكن) للتفاعل مع حل مركز االمن‬
‫‪ ،SOC‬كما يجب أيضا وضع طريقة قوية وآمنة للتأكد من الهوية عند استخدام الوصول عن‬
‫بعد لحل مركز األمن (ويفضل أن يكون ذلك للوصول المحلي ً‬
‫أيضا)‬

‫الخطوة ‪ :5‬تنفيذ الحل‬

‫الطريقة المثالية لتنفيذ الحل نفسه هي التركيز عىل االستفادة الكاملة من التكنولوجيا‬
‫لتقليل عبء العمل عىل األشخاص‪ .‬هذا الحل هو عملية من أسفل إىل أعىل تبدأ من خالل‪:‬‬

‫•تنشئة البنية التحتية إلدارة السجل‬

‫•إعداد الحد األدنى من جمع مصادر البيانات الهامة‬

‫•عرض إمكانات تحليالت األمان‬

‫•إعداد قدرات األتمتة األمنية والتنسيق‬

‫•البدء في تفعيل حاالت االستخدام التي تركز عىل اكتشاف التهديدات الشاملة وتحقيق‬
‫االستجابة‬

‫عنصر أساسي آخر هو تحقيق التشغيل التبادلي السلس مع األنظمة األخرى‪ ،‬وذلك لجمع‬
‫البيانات من المصادر وإصدار اإلجراءات واألوامر للمساعدة في تطبيق السياق واالحتواء‬
‫والمعالجة بما يتماشى مع مهام سير العمل‪ .‬هذا اإلجراء مفيد بشكل خاص لتقليل الوقت‬
‫أيضا عىل موجزات‬‫المستغرق للكشف عن الحوادث واالستجابة لها‪ .‬يجب أن يشتمل الحل ً‬
‫ألخبار معلومات التهديدات ومصادر استخبارات أخرى كمدخالت آلية لتحسين دقة الكشف‪.‬‬

‫| خطوات بناء ‪ SOC‬بموارد محدودة‬ ‫‪١٧‬‬

 ‫بموارد محدودة‬ ‫كيفية بناء مركز عمليات األمن ‪SOC‬‬

‫الخطوة ‪ :6‬تشغيل حاالت االستخدام الشاملة‬

‫بمجرد تفعيل إمكانات الحل‪ ،‬يمكنك تنفيذ حاالت االستخدام عبر طبقة التحليالت واألتمتة‬
‫األمنية وطبقة التنسيق‪ ،‬مثل اكتشاف بيانات االعتماد المخترقة وحمالت التصيد االحتيالي‬
‫الناجحة‪ .‬يجب عليك فحص ذلك خالل مجموعة متنوعة من المناوبات وكذلك أثناء تغيير‬
‫المناوبات‪ .‬جميع أشكال أتمتة الحلول المذكورة ساب ًقا من الضروري اختبارها بدقة كبيرة‪.‬‬
‫أيضا التحقق من موثوقية وأمان الوصول إىل الحل عن بُعد إىل أقصى حد ممكن‪.‬‬ ‫يجب ً‬

‫الخطوة ‪ :7‬المحافظة والتطوير‬

‫بمجرد أن يصبح الحل قيد التطبيق بالكامل‪ ،‬سيحتاج إىل صيانة مستمرة‪ ،‬مثل تحديث‬
‫إعدادات التكوين والضبط بمرور الوقت لتحسين دقة الكشف‪ ،‬وإضافة أنظمة أخرى كمدخالت‬
‫أو مخرجات للحل‪ .‬ستحتاج إىل تضمين أعمال صيانة أخرى بشكل دوري‪ ،‬بما في ذلك مراجعة‬
‫نموذج مركز عمليات األمن ‪ ،SOC‬وأدوار عمليات األمن ‪ ،SOC‬وعدد ساعات التوظيف بدوام‬
‫كامل ‪ FTE‬وما إىل ذلك‪ ،‬إلجراء التعديالت الالزمة‪.‬‬

‫مالحظة من خبير‪:‬‬
‫الطريقة المثالية لتنفيذ الحل نفسه هي التركيز عىل االستفادة الكاملة من التكنولوجيا لتقليل عبء‬
‫‪| Chapter Title‬‬
‫األشخاص‪.‬‬ ‫العمل عىل‬
 ‫ا لخا تمة‬
‫•توفير إمكانية سير عمل متطورة للغاية وتنقل‬ ‫أصبح وجود مركز عمليات أمنية ضرورة مطلقة‬
‫مسؤولية مهام محددة من شخص آلخر أو لدور أخر‬ ‫لتنفيذ نظام ‪ SIEM‬متعدد اإلمكانات لتقليل‬
‫كلما دعت الحاجة‪ .‬تحافظ هذه الخاصية عىل سير‬ ‫الضرر الناجم عن الهجمات الناجحة‪ .‬يعتبر نموذج‬
‫العمل بطريقة جيدة وتقلل من سوء االتصاالت الذي‬ ‫التوظيف الهجين لمراكز العمليات ‪ SOC‬هو الحل‬
‫قد يؤخر عن غير قصد اإلجراء أو يتسبب في مضاعفة‬ ‫تماما للمؤسسات التي ال تستطيع رصد‬ ‫ً‬ ‫المناسب‬
‫الجهود‪.‬‬
‫النفقات الباهظة لمراكز األمن ‪ SOC‬الرسمية وفي‬
‫•العمل عىل أتمتة تنسيق االستجابة للحوادث‬ ‫نفس الوقت ال يمكنها تحمل الحماية غير الكافية‬
‫بحيث يتمكن جميع األشخاص المشاركين في‬ ‫التي توفرها مراكز األمن ‪ SOC‬غير الرسمية‪.‬‬
‫االستجابة للحوادث من الوصول الفوري إىل‬
‫المعلومات الضرورية‪.‬‬
‫منصة لوقريثم ن ِكست ِجن إس آي إي إم‬
‫‪ LogRhythm NextGen SIEM‬هي التقنية المثالية‬
‫لبناء مركز عمليات ‪ .SOC‬يمكن للمؤسسات التي‬
‫تتبنى هذه اإلستراتيجية تحقيق توفيرات فورية‬
‫ومستمرة في التكاليف مقارنة بتبني أي نموذج آخر‬
‫لـ مركز األمن ‪ .SOC‬تؤدي هذه اإلستراتيجية ً‬
‫أيضا‬
‫إىل تقليل مادي في المخاطر التي تتعرض لها‬
‫المؤسسة‪.‬‬

‫تشمل الطرق المحددة التي تستفيد المؤسسات‬

‫لمعرفة كيف يمكنك إنشاء مركز أمن ‪SOC‬‬ ‫من خاللها من منصة لوقريثم ‪ LogRhythm‬ما يلي‪:‬‬
‫خاص بك باستخدام لوقريثم ‪، LogRhythm‬‬ ‫•استخدام إمكانيات متقدمة الكتشاف‬
‫قم باختيار موعد عرض توضيحي مخصص‬ ‫التهديدات وتحليلها‪ ،‬مثل تحليالت سلوك‬
‫لك‪:‬‬ ‫المستخدم والكيان والتي يمكنها اكتشاف وفهم‬
‫‪logrhythm.com/schedule-online-demo‬‬ ‫أهمية العديد من أنواع التهديدات التي ال يمكن‬
‫اكتشافها بسهولة بوسائل أخرى‪ .‬هذا مفيد بشكل‬
‫خاص لتحديد التهديدات الداخلية التي تحاول‬
‫الوصول إىل البيانات الحساسة وسرقتها‪.‬‬

‫‪ | ١٩‬الخاتمة‬
 ‫نبذة عن لوقريثم ‪LogRhythm‬‬

‫لها وإبطالها بسرعة‪ .‬تم تصميم لوقريثم ‪LogRhythm‬‬ ‫يمكن لوقريثم ‪ LogRhythm‬أكثر من ‪ 4000‬عميل في‬
‫بواسطة متخصصين في مجال األمن ومن أجل‬ ‫جميع أنحاء العالم من تطوير برنامج عمليات األمان‬
‫متخصصين في األمن‪ ،‬وهو يتيح لمتخصصي‬ ‫الخاص بهم بشكل ملحوظ‪.‬‬
‫األمن في المؤسسات الرائدة مثل كارقيل ‪ Cargill‬و‬
‫تقوم منصة نيكست ِجن إس آي إي إم _‪SIEM‬‬
‫ناسا ‪ NASA‬وايكسيل اينيرجي ‪ XcelEnergy‬تعزيز‬
‫‪ _ NextGen‬من مجموعة لوقريثم _‪LogRhythm‬‬
‫رؤيتهم لبرنامج األمن السيبراني الخاص بهم وتقليل‬
‫_والتي حازت عىل عدد من الجوائز‪ ,‬بتوفير تحليالت‬
‫المخاطر التي تتعرض لها مؤسساتهم كل يوم‪ .‬لوقريثم‬
‫أمنية شاملة؛ وتحليالت سلوك المستخدم والكيان‬
‫‪ LogRhythm‬هو المزود الوحيد الذي فاز بخيار العمالء‬
‫(‪)UEBA‬؛ والتحري عن الشبكة واإلستجابة لها (‪)NDR‬؛‬
‫من ‪ Insights Peer Gartner‬لتعيين منصة ‪SIEM‬‬
‫وتنسيق األمن واألتمتة واإلستجابة (‪ )SOAR‬ضمن‬
‫لمدة ثالث سنوات متتالية‪ .‬لمعرفة المزيد‪ ،‬يرجى زيارة‬
‫منصة واحدة متكاملة أكتشاف التهديدات واإلستجابة‬
‫‪logrhythm.com‬‬

‫نبذة عن لوقريثم | ‪٢٠‬‬

 ‫نبذة عن جيمس كاردر‬

‫عاما من الخبرة في العمل في مجال أمن‬‫يتمتع جيمس كاردر بأكثر من ‪ً 20‬‬

‫تكنولوجيا المعلومات للشركات واالستشارات لصالح فورتشن ‪Fortune( 500‬‬
‫‪ )500‬والحكومة األمريكية‪ .‬بصفته مسؤول رئيسي ألمن المعلومات ‪ CISO‬ونائب‬
‫رئيس معامل لوقريثم ‪ ، LogRhythm Labs‬فهو يقوم بتطوير والمحافظة عىل‬
‫نموذج حوكمة األمان للشركة واستراتيجيات المخاطر وحماية السرية والنزاهة‬
‫وتوافر أصول المعلومات‪ ،‬ويشرف عىل إدارة التهديدات ونقاط الضعف‪،‬‬
‫ويشرف كذلك عىل مركز العمليات األمنية (‪ .)SOC‬كما أنه يدير المهمة والرؤية‬
‫اإلستراتيجية إلستخبارات البيانات اآللية في معامل لوقريثم ‪LogRhythm‬‬
‫‪ ، Labs‬والتكامالت االستراتيجية والتهديدات وفرق البحث الخاصة بالحوكمة‪.‬‬
‫قبل انضمامه إىل لوقريثم ‪ ,LogRhythm‬شغل جيمس كاردر منصب مدير‬
‫المعلوماتية األمنية في ‪ ,Mayo Clinic‬حيث أشرف عىل استخبارات التهديدات‬
‫واالستجابة للحوادث والعمليات األمنية ومجموعات األمن الهجومي‪ .‬وقبل ذلك‪,‬‬
‫عمل السيد كاردر كمدير أول في مانديانت ‪ ,Mandiant‬حيث قاد الخدمات المهنية‬
‫وعمليات االستجابة للحوادث‪ .‬قاد التحقيقات الجنائية والمتعلقة باألمن القومي عىل‬
‫مستوى المدينة والوالية والمستوى الفيدرالي‪ ،‬بما في ذلك تلك المتعلقة بالتهديدات‬
‫المستمرة المتقدمة (‪ )APT‬وسرقة معلومات بطاقة االئتمان‪.‬‬

‫جيمس هو متحدث في فعاليات األمن السيبراني وهو مؤلف مشهور للعديد من‬
‫منشورات األمن السيبرانيي‪ ,‬وهو حاصل عىل درجة البكالوريوس في العلوم في نظم‬
‫المعلومات الحاسوبية من جامعة والدن‪ ،‬وماجستير إدارة األعمال من كلية كارلسون‬
‫لإلدارة بجامعة مينيسوتا‪ ،‬وهو محترف معتمد في أمن نظم المعلومات (‪.)CISSP‬‬

‫| نبذة عن جيمس كاردر‬ ‫‪٢١‬‬

Office G02, Dubai Islamic Bank Building. Dubai Internet City, Dubai 33368, United Arab Emirates

PHONE: +97155 642 2224 EMAIL: metainfo@logrhythm.com