نظرة عامة
تستوجب ضوابط ECC 2-10 و 2-11 وضوابط CSCC 24/7 على كل جهة قطاع حساس في المملكة تشغيل مركز عمليات أمن حقيقي لا مجرد "نملك Splunk". هذا الدليل خطة عملية: الأدوات والكوادر وأدلة الاستجابة والمقاييس.
على من تطبَّق
- الجهات الحساسة (24/7 إلزامي).
- الجهات الخاضعة لـ ECC (الحد الأدنى: ساعات عمل + تصعيد موثَّق ليلًا).
الحزمة
- SIEM للتجميع والربط.
- EDR على كل نقطة طرفية.
- NDR/NIDS للحركة الشرق-غرب.
- SOAR للأتمتة.
- منصة معلومات تهديد.
- إدارة قضايا.
- CMDB للأصول.
حزمة مفتوحة المصدر مرجعية
Wazuh + OpenSearch + Suricata + Zeek + MISP + TheHive + Cortex + Shuffle
الخطوة 1: مصادر السجلات بالترتيب
DC في Active Directory ← VPN ← بريد ← جدر الحماية ← EDR ← DNS ← السحابة ← التطبيقات الحساسة ← خزائن الأسرار ← تدقيق قواعد البيانات.
الخطوة 2: محتوى الكشف
غطّ MITRE ATT&CK بحيث يوجد كشف واحد على الأقل لكل تكتيك و10 لكل تكتيك تقريبًا.
<rule id="200001" level="12">
<description>RDP خارجي ناجح من خارج المملكة</description>
<field name="EventID">4624</field>
<field name="LogonType">10</field>
</rule>
الخطوة 3: نموذج الكوادر
| الدور | العدد | |---|---| | مدير SOC | 1 | | تحليل من المستوى 1 | 6 (24/7) | | تحليل من المستوى 2 | 3 | | قائد استجابة | 1 | | صائد تهديدات | 1 | | مهندس SIEM | 1 | | مهندس كشف | 1 |
الخطوة 4: أدلة الاستجابة
كل صنف تنبيه يحتاج دليلًا منظَّمًا (التحقق، الاحتواء، الاستئصال، التعافي، الدروس).
الخطوة 5: المؤشرات
- متوسط زمن الكشف ≤ 15 دقيقة.
- متوسط زمن الاستجابة ≤ 60 دقيقة.
- تغطية MITRE ATT&CK.
- ساعات صيد تهديدات شهرية ≥ 40 لكل صياد.
الخطوة 6: المعلومات الاستخباراتية
اشترك في تنبيهات CERT-SA + تغذية تجارية أو مفتوحة (MISP، OTX، abuse.ch) + ISAC القطاع.
أخطاء شائعة
- حجم سجلات ضخم بلا كشف.
- مناوبات 24/7 ورقية بمحلل واحد ليلًا.
- أدلة استجابة في مشاركات لا يفتحها أحد.
التحقق
- جرد الأدوات ومخطط.
- جدول مناوبات 12 شهرًا.
- كتالوج أدلة الاستجابة.
- خريطة تغطية MITRE ATT&CK.
- لوحة مؤشرات.
الخلاصة
SOC المتوافق مع NCA ممل ومستقر قبل أن يكون ذكيًا؛ ابدأ بالسجلات والأدلة والمناوبات.
Comments
0 total · 0 threads