دورات الأمن السيبراني الرسمية باللغة العربيةالمنتدياتشروحات الأعضاءSIEM

  • شروحات الأعضاء

    SIEM

    نشر بواسطة Mohamed ahmed Nassar في سبتمبر 7, 2024 في 9:54 م

    كيف تستخدم نظام الـ SIEM في SOC L1
    نظام الـ SIEM (Security Information and Event Management) يعتبر الأداة الأساسية لأي شخص يشتغل في مركز العمليات الأمنية (SOC)، وخصوصاً في المستوى الأول (L1). هذي هي الخطوات اللي تمر فيها لما تستخدم الـ SIEM في عملك اليومي:

    1. مراقبة الأحداث بشكل مباشر:
    أول شيء، الـ SIEM يجمع كل اللوجات (logs) من الأجهزة في الشبكة، زي الروترات، السويتشات، الجدران النارية (firewalls)، السيرفرات، وغيرها. كفني SOC L1، دورك إنك تتابع الأحداث اللي تصير بشكل مباشر وتلاحظ أي شيء غريب أو مريب.

    2. التنبيهات التلقائية:
    الـ SIEM نظام ذكي، يرسل لك تنبيهات تلقائية إذا اكتشف أي نشاط غير طبيعي. سواء كانت محاولة اختراق، فيروس، أو حتى خطأ في الإعدادات. كل ما عليك هو تحليل التنبيه والتأكد إذا كان فعلاً تهديد حقيقي أو لا.

    3. التعامل مع التنبيهات:
    بعد ما يطلع لك تنبيه، أول خطوة تسويها هي إنك تشيك على التفاصيل وتحللها. إذا كانت مشكلة بسيطة أو تنبيه خاطئ (false positive)، تسجلها كمغلقة. لكن إذا كانت تهديد حقيقي، تبدأ في تحليل أعمق وترفع الموضوع إذا احتاج.

    4. التحليل المبدئي:
    كـ SOC L1، تحلل التهديد بشكل مبدئي عشان تعرف طبيعته. مثلاً، هل هو محاولة دخول غير مصرح بها؟ هل فيه جهاز في الشبكة مصاب؟ بعد التحليل المبدئي، تقرر إذا كان يحتاج تصعيد للمستويات الأعلى (L2 أو L3) أو تقدر تحل المشكلة بنفسك.

    5. توثيق الأحداث:
    جزء كبير من شغلك في SOC L1 هو توثيق كل شيء يصير. يعني أي تنبيه، أي تحليل، أي قرار تتخذه لازم يتسجل. هالشيء يساعد في مراجعة الأحداث لاحقاً ويحسن العمليات في المستقبل.

    6. متابعة اللوجات والتحقيق:
    إذا اكتشفت تهديد، تقدر تستخدم الـ SIEM عشان تبحث في اللوجات بشكل أعمق وتشوف تفاصيل التهديد. هذي الخطوة تساعدك في معرفة كيف بدأ التهديد، ومن وين جا، وكيف تنتشر في الشبكة.

    7. عمل تقارير دورية:
    الـ SIEM يوفر لك تقارير مفصلة عن حالة الشبكة والتهديدات اللي صارت. تقدر تستخدم هالتقارير في تقديم نتائج للإدارة أو لتحسين الأمان في الشبكة.

    الخلاصة:

    استخدامك للـ SIEM كـ SOC L1 يساعدك في:

    • مراقبة الأحداث الأمنية بشكل لحظي.
    • التعامل مع التنبيهات والتأكد من صحتها.
    • تحليل التهديدات واتخاذ قرارات سريعة.
    • توثيق كل خطوة لضمان الشفافية وتحسين الأداء.

    Mohamed ahmed Nassar قام بالرد منذ 1 أسبوع, 5 أيام 1 عضو · 0 ردود
  • 0 ردود

عذرا، لم يتم العثور على ردود.

سجل دخول للرد

بداية المناقشة
0 من 0 ردود June 2018
الآن

ابلاغ

سلوك التحرش أو التنمر
يحتوي على محتوى مسيء أو مهين
يحتوي على محتوى للبالغين أو حساس
يحتوي على رسائل غير مرغوب فيها أو محتوى مزيف أو برامج ضارة محتملة
تحتوي على معلومات مضللة أو خاطئة

عضو الحظر؟

يرجى تأكيد رغبتك في حظر هذا العضو.

لن تتمكن بعد الآن من:

  • الاطلاع على مشاركات الأعضاء المحظورين
  • اذكر هذا العضو في المشاركات
  • قم بدعوة هذا العضو إلى المجموعات
  • رسالة لهذا العضو

يرجى الانتظار بضع دقائق حتى تكتمل هذه العملية.

ابلاغ

لقد أبلغت عن هذا بالفعل .