محلل مركز عمليات أمن المعلومات SOC Analyst

حالة الالتحاق
غير ملتحق
السعر
1100

تفاصيل الدورة:
موعد الدورة: الجمعة، 18-09-2020
وقت الدورة:
يوم الجمعة: من الساعة 02:00 م حتى 05:00 م
يوم السبت: من الساعة 01:00 م حتى 05:00 م
مدة الدورة: 5 أسابيع
أيام الدورة: يومي الجمعة والسبت من كل أسبوع
لغة المدرب : عربي

لماذا نحتاج SOC

في الفترة الأخيرة ومع تزايد الهجمات السيبراني والإحتياج لمراكز لمتابعة جميع الأحداث  التي تحصل في المنظمة وبشكل مستمر , تولد إحتياج بشكل كبير لوجود مركز مراقبة للأحداث الأمنيه, يساعد على رؤية كاملة للأحداث الأمنية وأيضاً يساعد على كشف التسلل والإختراقات ولكن هناك بعض النقاط التي لابد أن نعرفها لتتوفر لدينا صورة مبسطة وشامله عن مراكز عمليات أمن المعلومات.

ماهي أهداف مركز عمليات أمن المعلومات

الأهداف من ناحية أمنية

  • زيادة القدرة والسرعة في كشف التهديدات.
  • زيادة القدرة والسرعة في الإستجابة.
  • تحسين ربط البيانات وكشف التحركات الغير مصرحة.
  • توفير مركزية لأمن المعلومات أو الأمن السيبراني ومراقبة كامله لجميع الأنشطة في المنظمة.

الأهداف من ناحية الأعمال أو الـ Business

  • تقليل انقطاع وتأثر العمل بسبب المشاكل الأمنية.
  • تقليل التأثير على موارد المنظمة بسبب الإختراقات الأمنية.
  • تقليل ومنع تسريب الوثائق الخاصة والحساسة قدر الإمكان.


في البداية لابد أن نعرف أن الـ SOC بشكل عام لابد أن تحتوي على التالي ولا يمكنها العمل بشكل إحترافي ومميز بفقد عنصر اساسي

  • التقنيات Technology
  • السياسات Policy
  • التشغيل Operation
    • يندرج تحت التشغيل الأشخاص العاملين في هذه المراكز People
  • الإستخبارات الإلكترونية Threat Intelligence

تصنيفات SOC الرئيسية

لايمكن حصر وتحديد الأقسام الرئيسية لمركز عمليات الأمن السيبراني وذلك لأن المجال واسع ولكل قطاع أو منظمة إعترافاتها وتصنيفاتها الخاصه ولكن يمكن أن نقسم مركز عمليات أمن المعلومات إلى قسمين رئيسيين

  • On-Premises SOC
  • Managed SOC

On-Premise SOC

هذا النوع يمثل مراكز مراقبة الأمن السيبراني التي يتم بنائها بشكل مستقل داخل مبنى المنظمة وهذا النوع يكون له إستقلاليته الكاملة دون تدخل طرف ثالث للإدارة أو التشغيل.

Managed SOC

هذا النوع يقوم مزودو الخدمة ببنائة في مؤسساتهم أو شركاتهم ثم يقومون بتقديم جميع خدمات مركز عمليات أمن المعلومات كطرف ثالث للعميل بجميع تفاصيلها وخدماتها مثل المراقبة المستمره 24×7 والإستجابة للحوادث والتحقيق الجنائي الرقمي وغيرها من الخدمات.

هل يوجد تصنيفات أخرى ؟

لايمكننا الحد من التصنيفات وتأكيد أنها تحتوى فقط على تصنيفين وذلك لإختلاف الإحتياجات للقطاعات ولكن يوجد تصنيف ثالث ويعتبر من التصنيفات الأكثر شيوعاً وعادة يكون بين الـ Managed SOC و بين الـ On-Premise SOC يطلق عليها Hybrid أو الهجين وذلك لأن الأنشطه تكون بين القسمين السابقين حيث لا تعتمد على قسم محدد سواء خدمة مدارة أو حتى خدمة محلية او داخليه.

التقنيات Technology

تعد التقنيات وإستخدامها من الأشياء المهمه والمساعده في مراكز عمليات أمن المعلومات وهي من الأجزاء المهمه في SOC.
التقنيات بتعددها تساعد على إضافة رؤية شمولية للمنظمة ومن أهم التقنيات المستخدمة 

  • Vulnerability Scanner
  • Vulnerability Assessment
    • التقييم الخارجي : تقييم الضعف الموجود في الشبكة من الخارج.
    • التقييم الداخلي : تحديد الثغرات والمشاكل من داخل الشبكة.
    • الهندسة الإجتماعية : تحديد الضعف الموجود في المنظمة بشكل عام وتدريب وتطوير الموظفين للتصرف بشكل مناسبة في حال التعرض لأي محاولات جمع معلومات عن طريق الهندسة الإجتماعية.
    • تقييم الشبكات الاسلكية : تقييم الأمان المتوفر للإتصال اللاسلكي في المنظمة بشكل داخلي وخارجي والتأكد من أنه لا يمكن الوصول للإتصال اللاسلكي من خارج حدود المنظمة.
    • تقييم التطبيقات وقواعد البيانات: تحديد الضعف والثغرات الموجودة في التطبيقات وقواعد البيانات وإمكانية الوصول سواء من داخل الشبكة أو من خارجها.
  • Log Management
    يعد من الأنظمة المهمة ولابد من التأكد من أن الأنظمة المهمه أو حتى جميع الأنظمة في المنظمة تقوم بإرسال سجلات الأحداث (Logs) إلى نظام إدارة الأحداث ومن أهم هذه الأنظمة التي لابد أن نتأكد أنها ترسل السجلات إلى نظام إدارة السجلات التالي على الأقل:
    • Endpoint Protection Logs
    • IDS/IPS Logs
    • Firewall/UTM
    • Network Devices
    • Proxy Logs
    • Vulnerability Management Logs
  • SIEM
    يعد SIEM Security information and event management  من أهم التقنيات الموجودة في الـ SOC , احب أنوه إلى أنه بعض انظمة الـ SIEM يحتوي على Log Management , من المهام الرئيسية:
    • Evenet Collector
    • Flow Collect
    • Assets Database
    • Event and Flow Correlation
    • Log Parsing

لمعلومات أكثر عن الـ SIEM يمكنك زيارة المقالة التاليه

يعد هذا جزء بسيط من التقنيات الموجودة والممكن إستخدامها والمجال جداً واسع مع إمكانية إضافة الكثير من الأنظمة الأمنية وأنظمة الكشف بحسب الحاجة وحسب حجم المنظمة وإحتياجها.

السياسات Policy

تعد السياسات من الأجزاء الأساسية وذلك لأنها تنظم العمل بشكل أكبر وتبين السياسات الموجودة وماذا تغطي, هناك الكثير من الأشياء التي لابد أن يكون لها سياسات واضحة, سوف أضع بعض السياسات التي تعد مهمه وتساعد بشكل واضح في دعم عمل الـ SOC

  • سياسات جمع الأحداث Log Collect Policy
  • سياسات الإستجابة للحوادث Incident Response Policy
  • سياسات المراقبة Monitoring Policy
  • سياسات إدارة الثغرات Vulnerability Management Policy
  • سياسات الورديات Shifts Policy
  • سياسات التقارير Report Policy

هذه السياسات لا تعد نهائية أو أنها الوحيدة المطلوبة ولكن تعد من السياسات الأساسية التي تغطي أهم النقاط.