ما هو SIEM؟ دليل المبتدئين
دليل تاريخ النشر 7 يوليو 2026

ما هو SIEM؟ دليل المبتدئين

ما هو SIEM؟ دليل واضح باللغة الإنجليزية البسيطة حول كيفية عمل أدوات إدارة المعلومات والأحداث الأمنية، وكيفية البدء في الممارسة باستخدام إحداها مجاناً.

الإجابة المباشرة

أداة SIEM (Security Information and Event Management) تجمع بيانات السجلات من جميع أنظمة المؤسسة - الخوادم وجدران الحماية وأجهزة الكمبيوتر المحمولة والتطبيقات - في مكان واحد، وتحدد الأنماط التي تبدو مريبة حتى يتمكن الإنسان من التحقيق فيها. إذا كنت تتعلم الأمن السيبراني وتهدف إلى دور محلل SOC، فإن فهم SIEM ليس قراءة خلفية اختيارية - إنها الأداة الوحيدة التي ستقضي معظم وقتك بداخلها، من اليوم الأول في الوظيفة.

فكر في الأمر بهذه الطريقة: كل نظام في الشبكة ينتج سجله الخاص من الأحداث - من قام بتسجيل الدخول، ما الملف الذي تمت الوصول إليه، أي اتصال تم إنشاؤه. بمفردهم، آلاف هذه الإدخالات في الدقيقة عديمة الفائدة للإنسان. يجمع SIEM جميعها معاً، ويطبق قواعد للتعرف على الأنماط التي تستحق النظر (تسجيل دخول من بلد غير معتاد، عشر كلمات مرور فاشلة على التوالي، نقل ملف كبير في الساعة 3 صباحاً)، ويحولها إلى تنبيهات يمكن لمحلل SOC العمل عليها بالفعل.

كيف يعمل SIEM فعلياً، خطوة تلو الأخرى

  1. Collection - بيانات السجلات تتدفق من جدران الحماية والخوادم والنقاط الطرفية والخدمات السحابية والتطبيقات عبر المؤسسة.
  2. Normalisation - يقوم SIEM بتحويل جميع تنسيقات السجلات المختلفة هذه إلى بنية موحدة يمكنه البحث فيها والمقارنة بينها.
  3. Correlation - تقارن القواعد الأحداث مع بعضها البعض (وضد الأنماط السيئة المعروفة) للتعرف على الأشياء التي لن يكشفها سطر السجل الواحد وحده.
  4. Alerting - أي شيء يطابق قاعدة (أو شذوذ إحصائي) ينتج تنبيهاً لإنسان لفحصه.
  5. Investigation - يراجع محلل SOC (انظر ماذا يفعل محلل SOC) التنبيه، ويسحب السجلات المرتبطة، ويقرر ما إذا كان إيجابياً خاطئاً أم حادثة حقيقية.
  6. Response and tuning - يتم تصعيد الحوادث الحقيقية؛ تغذي الإيجابيات الخاطئة العودة إلى تحسين القواعل حتى لا يتكرر نفس الضوضاء.

أدوات SIEM الشهيرة التي ستقابلها

الأداةحيث ستقابلهاتكلفة التعلم عليها
Splunkمستخدمة على نطاق واسع في مراكز SOC الكبيرةنسخة تجريبية مجانية/ترخيص developer متاحة
Microsoft Sentinelشائعة في البيئات التي تركز على Microsoft/Azureانظر دليل امتحان SC-200 إذا كنت تسير في هذا المسار
Elastic (ELK stack)خيار مفتوح المصدر شهير، يُستخدم تجارياً وللمختبرات المنزليةمجاني، ذاتي الاستضافة
Wazuhمفتوح المصدر، سهل التعامل معه للمبتدئين في المختبرات المنزليةمجاني
IBM QRadarشائع في بيئات المؤسسات الكبيرةخيارات مجانية محدودة

لأغراض التعلم، Wazuh أو ELK stack هما أكثر نقاط البداية عملية - كلاهما مجاني للتشغيل في المنزل ويعطيك التجربة الحقيقية لكتابة قواعد الكشف والتحقيق في التنبيهات، بدلاً من مجرد قراءتها.

ما أخبر به طلابي

لا تحاول تعلم كل منصة SIEM. يهتم أصحاب العمل أكثر بأن تفهم المفهوم - ما الذي يفعله SIEM ولماذا - أكثر من أي علامة تجارية محددة استخدمتها، لأن كل وظيفة SOC ستدربك على أداتهم الخاصة على أي حال. ما لا يمكن تدريبك عليه بسرعة هو المنطق الأساسي: لماذا تسلسل معين من الأحداث مريب، كيفية قراءة سطر السجل الخام، كيفية التمييز بين الارتباط والمصادفة. احصل على ذلك من أداة مجانية واحدة في المنزل، وستتمكن من الدخول إلى مقابلة والحديث بإقناع عن Splunk أو Sentinel حتى لو لم تلمس أياً منهما أبداً، لأن المفاهيم تنتقل مباشرة.

الشيء الآخر الذي أشجع طلابي عليه: قم بإعداد مختبر منزلي صغير حقاً بدلاً من قراءة SIEMs بشكل مجرد. ثبت Wazuh أو Security Onion على آلة احتياطية أو آلة افتراضية، وأنشئ بعض الأنشطة الأساسية (بعض محاولات تسجيل الدخول، بعض الوصول إلى الملفات)، وتدرب على كتابة قاعدة كشف بسيطة بنفسك. يلاحظ أصحاب العمل الفرق بين "قرأت عن SIEMs" و "بنيت واحداً وحققت في تنبيهاتي الاختبارية الخاصة" خلال أول بضع دقائق من المقابلة.

مشروع أول بسيط للتجربة

  1. ثبت Wazuh (أو Security Onion) في آلة افتراضية - كلاهما لديه أدلة إعداد مجانية من الوثائق الرسمية، لذا تحقق من الصفحة الرسمية للحصول على خطوات التثبيت الحالية بدلاً من منشور مدونة قديم.
  2. وجهها إلى بضعة مصادر سجل اختبار - أحداث تسجيل الدخول على جهاز الكمبيوتر المحمول الخاص بك هي نقطة بداية جيدة.
  3. أثر بعض الأحداث المريبة بوضوح بنفسك - عدة فشل في تسجيل الدخول على التوالي، على سبيل المثال.
  4. شاهد كيف يعرض (أو لا يعرض) SIEM تلك الأنشطة، وحقق في السبب.
  5. اكتب ملاحظة قصيرة عما فعلت وما تعلمته - يصبح هذا مادة مقابلة حقيقية.

هذا النوع من المشاريع الصغيرة والصادقة هو بالضبط نوع الشيء الذي يستحق الحديث عنه مع موجه إذا واجهت مشكلة - تحقق من التسعير ويمكننا العمل على إعداد مختبرك الأول معاً.

الأسئلة الشائعة

هل أحتاج إلى تعلم SIEM محدد قبل التقدم لوظائف SOC؟

لا - فهم المفهوم العام والتدرب على أي SIEM مجاني (Wazuh, Elastic) كافٍ للأدوار على مستوى الدخول. يدرب أصحاب العمل على منصتهم المحددة.

هل SIEM نفس جدار الحماية؟

لا. جدار الحماية يتحكم في حركة المرور الداخلة والخارجة من الشبكة بناءً على قواعد؛ يجمع SIEM ويحلل بيانات السجلات من العديد من المصادر، بما في ذلك جدران الحماية، للتعرف على الأنماط المريبة عبر البيئة بأكملها.

كم تبلغ تكلفة الممارسة مع SIEM في المنزل؟

مجاني، إذا استخدمت خياراً مفتوح المصدر مثل Wazuh أو ELK stack على الأجهزة الخاصة بك أو آلة افتراضية بالمستوى المجاني. لا تحتاج إلى دفع تكاليف ترخيص SIEM تجاري لبناء تجربة حقيقية يمكنك الحديث عنها.

هل معرفة SIEM مغطاة في Security+؟

نعم، على المستوى المفاهيمي - يغطي Security+ مفاهيم إدارة السجلات والمراقبة بشكل عام، على الرغم من أنه لن يعلمك منصة SIEM محددة بعمق. انظر دليل الدراسة Security+ SY0-701 لمعرفة ما هو موجود فعلاً في المنهج الدراسي.

تم إنشاء هذه المقالة بمساعدة الذكاء الاصطناعي ونشرها في قاعدة معارف Korra Studio. هل لاحظت خطأ؟ أخبرنا.

ملاحظات العمليات

هل أنت مستعد للمزيد؟

حوّل ملاحظات العمليات هذه إلى مهارات عملية — انشرها في Segments ذات الصلة على DEFENSE_GRID.

bolt إنشاء حساب مجاني

Segments ذات الصلة

arrow_backجميع ملاحظات العمليات grid_viewاستكشف مكتبة العمليات