الإجابة المباشرة
يقوم محلل مركز العمليات الأمنية (SOC) بمراقبة شبكات وأنظمة المؤسسة بحثًا عن تنبيهات الأمان، ويحقق فيما إذا كان كل تنبيه تهديدًا حقيقيًا أم إيجابية خاطئة، ثم إغلاقه أو تصعيده للتحقيق والاستجابة الأعمق. وهي وظيفة دفاعية (فريق أزرق) تركز على السجلات والتنبيهات وقائمة التذاكر - وليست الصورة التي تظهر في الأفلام للمشاهد الهاكرز المكثيفة.
معظم يوم محلل مركز العمليات الأمنية يتم قضاؤه في الفحص السريع: أداة إدارة معلومات ومحددات الأحداث الأمنية (SIEM - انظر دليل SIEM للمبتدئين) تضع علامة على شيء غير عادي، والمحلل يحدد ما إذا كان ملقم مُعد بشكل خاطئ، أو نقرة تصيد احتيالي لم تؤدِ إلى أي شيء، أو مخالفة حقيقية تحتاج تصعيد فوري.
المستويات الثلاثة، وما يتغير عند كل مستوى
| المستوى | التركيز | المهام النمطية | يصعّد إلى |
|---|---|---|---|
| المستوى 1 | فحص التنبيهات | مراجعة تنبيهات SIEM، إغلاق الإيجابيات الخاطئة، توثيق التذاكر، متابعة runbooks | المستوى 2 لأي شيء غير واضح أو مؤكد |
| المستوى 2 | التحقيق | ارتباط سجلات أعمق، أساسيات تحليل البرمجيات الخبيثة، تأكيد نطاق الحوادث | المستوى 3 / فريق الاستجابة للحوادث للحوادث الرئيسية |
| المستوى 3 | الصيد والاستجابة للتهديدات | البحث الاستباقي عن التهديدات التي لم تتقطها القواعد الموجودة، قيادة الاستجابة للحوادث، ضبط قواعد الكشف | يعمل مع الإدارة/القانون بشأن الانتهاكات الرئيسية |
معظم الأشخاص الذين يقرؤون هذا يهدفون إلى المستوى 1 - وهو نقطة الدخول المعيارية، ودليلي حول كيفية أن تصبح محلل مركز عمليات أمني يغطي كيفية الوصول إلى هناك.
نوبة نمطية، مهمة تلو مهمة
- تسليم بداية النوبة - مراجعة ما وضعت النوبة السابقة أو تركته مفتوحًا.
- العمل خلال قائمة تنبيهات SIEM، مع الأولوية حسب الخطورة.
- التحقيق في كل تنبيه: تحقق من عنوان IP المصدر، حساب المستخدم المعني، ما إذا كان السلوك يطابق نمطًا معروفًا.
- إغلاق الإيجابيات الخاطئة مع سبب موثق (هذا التوثيق مهم أكثر مما يتوقعه المحللون الجدد - وهو ما يتم تدقيقه).
- تصعيد الحوادث الحقيقية أو الغامضة إلى المستوى 2 مع نتائجك حتى الآن.
- تحديث التذاكر، تشغيل الفحوصات المجدولة (حالة الترقيع، تقارير محاولات تسجيل الدخول الفاشلة)، والتعامل مع أي طلبات حسب الطلب من فريق آخر.
- تسليم نهاية النوبة للمحلل التالي.
إذا كان الفريق يعمل على مدار 24/7، يتكرر هذا عبر نوبات النهار والمساء والليل في جدول - الأمر يستحق السؤال في المقابلة إذا كانت أنماط النوبات مهمة بالنسبة لك.
ما أخبره طلابي
المفهوم الخاطئ الأكبر الذي أصححه باستمرار: يتوقع الناس أن يشعروا بعمل مركز العمليات الأمنية مثل جانب الهجوم من الأمان - والصيد النشط "للمتسللين". عمل المستوى 1 أقرب إلى أن تكون ممرضة فرز مطلعة جدًا. معظم التنبيهات هي ضوضاء. وظيفتك معرفة أي منها ليسوا كذلك، وتُبنى هذه المهارة من خلال التكرار والتعرف على الأنماط، وليس من خلال التميز التقني الخام. إذا كنت تجد العمل المتكرر والثقيل الملل، كن صادقًا مع نفسك حول ذلك قبل أن تلتزم - فهو مهم أكثر لرضا الوظيفة مما تعترف به معظم أدلة الدراسة.
الجانب الآخر: هذا التكرار هو بالضبط كيف تتعلم بسرعة. ستة أشهر من فحص تنبيهات المستوى 1 تعلمك أكثر حول كيفية تصرف الشبكات الحقيقية بالفعل من سنة من دورات الدراسة الذاتية، لأنك ترى حركة مرور حقيقية، وأخطاء تكوين حقيقية، وحوادث حقيقية (وإن كانت نادرة).
أخبر الطلاب أيضًا بعدم التقليل من مقدار ما يتعلق بالكتابة. ملاحظات الحوادث الواضحة والموجزة هي مهارة بحد ذاتها، وجزء ضخم من سمعتك في فريق مركز العمليات الأمنية يأتي من مدى توثيقك لما وجدته، وليس فقط ما إذا كنت وجدته.
الأدوات التي ستستخدمها عادةً
- منصات SIEM - Splunk و Microsoft Sentinel و QRadar أو خيارات مفتوحة المصدر مثل Wazuh.
- أنظمة التذاكر - ServiceNow و Jira أو ما شابه، لتتبع وتصعيد الحوادث.
- أدوات EDR - برنامج الكشف والاستجابة على نقطة النهاية (CrowdStrike و Defender for Endpoint و SentinelOne) للتحقيق من الأجهزة الفردية.
- موجزات الذكاء التهديدي - للتحقق مما إذا كان عنوان IP أو hash ملف معروفًا بالفعل.
إذا كنت تزن ما إذا كان هذا المسار الوظيفي يناسبك قبل أن تكرس الوقت والمال، احجز درسًا تجريبيًا وربما نتحدث عن الشكل الواقعي للأسبوع بناءً على خلفيتك.
الأسئلة الشائعة
هل وظيفة محلل مركز العمليات الأمنية مجهدة؟
يمكن أن تكون، خاصةً أثناء حادثة حقيقية أو نوبة مشغولة بشكل غير عادي، لكن يومًا بعد يوم إنه عمل منظم وموجه بالعمليات بدلاً من أن يكون أزمة مستمرة. أنماط النوبات (بما في ذلك الليالي، عند بعض أصحاب العمل) غالبًا ما تكون مصدر إجهاد أكبر من محتوى تقني.
هل يكتب محللو مركز العمليات الأمنية الأكواد؟
ليس عادةً في المستوى 1. تصبح البرامج النصية الأساسية (Python و PowerShell) مفيدة في المستوى 2 وما فوقه لأتمتة مهام التحقيق المتكررة، لكنها ليست مطلبًا في اليوم الأول.
ما الفرق بين محلل مركز العمليات الأمنية واختبار الاختراق؟
يدافع محلل مركز العمليات الأمنية ويراقب؛ اختبار الاختراق يهاجم الأنظمة بإذن للعثور على نقاط الضعف أولاً. المقارنة الكاملة في الفريق الأزرق مقابل الفريق الأحمر.
كيف أعرف ما إذا كان عمل مركز العمليات الأمنية مناسبًا لي؟
إذا كنت تحب العمل الاستقصائي المنظم والمنهجي ولا تمانع التكرار لخدمة إتقان التعرف على الأنماط، فهذه نقطة دخول قوية. إذا كنت منجذبًا للأمان فقط لأن محتوى الهجوم/الهاكرز الذي شاهدته على الإنترنت، فمن المهم فهم واقع اليوم - وهو بالضبط ما هذه المقالة عليه.