#ثريد :
مركز العمليات الأمني السيبراني (#SOC)
ايش هو SOC ؟
و الأهداف منه✅️🎯
المركز الوظيفي
L1: level 1
L2: level 2
L3: level 3
ايش مهامهم اليومية؟
و المتطلبات منهم؟
و ايش ادوارهم قبل و بعد الهجوم ؟
✅️
حياكم😍💡🔥👇
#security
#cybersecurity
مركز العمليات الأمني السيبراني (#SOC)
ايش هو SOC ؟
و الأهداف منه✅️🎯
المركز الوظيفي
L1: level 1
L2: level 2
L3: level 3
ايش مهامهم اليومية؟
و المتطلبات منهم؟
و ايش ادوارهم قبل و بعد الهجوم ؟
✅️
حياكم😍💡🔥👇
#security
#cybersecurity
قبل نبدا الي خبير بالمجال و عنده اضافة او تعليق نستفيد منها و يفيدنا و ايضا تبادل الخبرات
او تغطية النواقص الي ماذكرتها
نقول بسم الله؟
بسم الله نبدا✅️
او تغطية النواقص الي ماذكرتها
نقول بسم الله؟
بسم الله نبدا✅️
قسم الSOC ايش هو:
قسم SOC هو اختصار لـ "مركز العمليات الأمني السيبراني" وهو جزء من البنية التحتية الأمنية في الشركات والمؤسسات. يعمل فريق SOC على مراقبة واكتشاف ومنع الهجمات الإلكترونية والاعتداءات الأمنية المحتملة على الأنظمة والشبكات والبيانات.
قسم SOC هو اختصار لـ "مركز العمليات الأمني السيبراني" وهو جزء من البنية التحتية الأمنية في الشركات والمؤسسات. يعمل فريق SOC على مراقبة واكتشاف ومنع الهجمات الإلكترونية والاعتداءات الأمنية المحتملة على الأنظمة والشبكات والبيانات.
يعتبر القسم SOC الركيزة الأساسية لأي استراتيجية أمنية فعالة، حيث يمكنه الكشف عن الأنشطة الغير مشروعة والإجراءات الأمنية اللازمة لهذه الأنشطة المشبوهة.
بشكل عام، يساعد فريق SOC على حماية الشركة من الخسائر المالية والتأثيرات السلبية على السمعة والعملاء. وتحسين الأداء العام للأنظم.
بشكل عام، يساعد فريق SOC على حماية الشركة من الخسائر المالية والتأثيرات السلبية على السمعة والعملاء. وتحسين الأداء العام للأنظم.
و بحسب النظام و التطورات في السعودية اغلب الشركات و الهيئات و الوزارات اذا مو الكل عندها قسم SOC اما بشكل مباشر من خلال قسم بالشركة او من خلال بشكل غير مباشر الي هي التعاقد من شركة تقدم هذي الخدمة
L1:
وهنا نجي عند اول محلل امن سيبراني
ايش دوره ؟
اكيد بالايام الطبيعية زي اي يوم عادي و هجمات ما بين FP and TP يشوف كل alerts الي تجيه و يحللها اما يشوف IP المشبوه او الاتصال المشبوه او الملفات الي يوصل لها اليوزر هل مسموح له او لا و يشوف Logs هل فيه هجمات على اليوزر و ايش نشاطه
وهنا نجي عند اول محلل امن سيبراني
ايش دوره ؟
اكيد بالايام الطبيعية زي اي يوم عادي و هجمات ما بين FP and TP يشوف كل alerts الي تجيه و يحللها اما يشوف IP المشبوه او الاتصال المشبوه او الملفات الي يوصل لها اليوزر هل مسموح له او لا و يشوف Logs هل فيه هجمات على اليوزر و ايش نشاطه
او يشوف مسار اليوزر هل هو وصل لصفحات المفروض انه ما يوصل لها📛❌️
او يحلل اذا فيه مشاكل بالسيرفر اذا فيه مشاكل و مايستجيب من خلال Response code و طبعا كل ال alerts لها case مبنية قبل بحيث توصل لل SIEM و لمكان محدد اسمه alerts و الباقي توصل ايضا لاكن تكون في ال history 🛅
او يحلل اذا فيه مشاكل بالسيرفر اذا فيه مشاكل و مايستجيب من خلال Response code و طبعا كل ال alerts لها case مبنية قبل بحيث توصل لل SIEM و لمكان محدد اسمه alerts و الباقي توصل ايضا لاكن تكون في ال history 🛅
ايش تفيد فيه ال history?
طبعا تختلف إمكانيات التيم من مكان لاخر ف اكيد احيانا يكون فيه نقص في use cases لذلك ال history يكون فيها كل شي صار مر من خلال firewall او من خلال السيرفرات
طيب ليش؟
و هنا ممكن يطور ال L1 من نفسه يحاول يسوي
threat hunting
يجرب اي شي جديد يسوونه ال PT 🚫
طبعا تختلف إمكانيات التيم من مكان لاخر ف اكيد احيانا يكون فيه نقص في use cases لذلك ال history يكون فيها كل شي صار مر من خلال firewall او من خلال السيرفرات
طيب ليش؟
و هنا ممكن يطور ال L1 من نفسه يحاول يسوي
threat hunting
يجرب اي شي جديد يسوونه ال PT 🚫
و طبعا وحده من مسؤولياته ايضا يرفع التقارير للهجمات الي تصير بشكل دوري يكتب تقرير عنها كامل و يرفعها بحيث تتم الإجراءات بشكل أسرع و لما يبي يتطور يجلس يتعلم من الL2 في كل شي و بنشرح ايش مهام الL2 بعد شوي✅️🎯
لكن نجي للنقطة الاهم لدوام الL1
يكون شفتات 24/7
لكن نجي للنقطة الاهم لدوام الL1
يكون شفتات 24/7
الشهادات؟
طبعا كل شركة تختلف و كل مكان يتطلب شي مختلف لكن الاهم يكون عندك اساسيات شبكات CCNA or +N على الاقل ك معرفة للمقابلات و ايضا اساس في السايبر اقلها security+ و بعدها تتدرج و ايضا مهارة مهمه انك تعرف تبحث و تتعلم اشياء جديدة وهذه بعض الادوات الي يستخدمونها اليومية
طبعا كل شركة تختلف و كل مكان يتطلب شي مختلف لكن الاهم يكون عندك اساسيات شبكات CCNA or +N على الاقل ك معرفة للمقابلات و ايضا اساس في السايبر اقلها security+ و بعدها تتدرج و ايضا مهارة مهمه انك تعرف تبحث و تتعلم اشياء جديدة وهذه بعض الادوات الي يستخدمونها اليومية
نروح لل L2 ? يلا يلا✅️🏃♂️
L2 :
طبعا يكون الشغل هنا اصعب لكن امتع
ليش؟ تعالوا نشرح...
مهام الL2 اولا انه يقدر يقوم بكل مهام الL1 اذا فيه نقص او احتياج ثاني شي لما يوصل الدوام طال عمره
المهام اليومية الطبيعية انه يحاول يسوي threat hunting بشكل دوري و يومي و و ايش بعد؟
طبعا يكون الشغل هنا اصعب لكن امتع
ليش؟ تعالوا نشرح...
مهام الL2 اولا انه يقدر يقوم بكل مهام الL1 اذا فيه نقص او احتياج ثاني شي لما يوصل الدوام طال عمره
المهام اليومية الطبيعية انه يحاول يسوي threat hunting بشكل دوري و يومي و و ايش بعد؟
حلو يحاول يسوي تقارير بناء على تقارير ال threat hunting و تقارير ال L1 بحيث تساعدة
تساعد في ايش؟
هنا نجي نقول تساعدة في بناء ال use cases الجديدة...ووحدة من مهامه انه يحاول يسوي تحقيق جنائي عميق بعد التقارير بحيث يشوف صحيحة او لا او في حالة طلبوا منه تحقيق اعمق تكون جاهزة✅️
تساعد في ايش؟
هنا نجي نقول تساعدة في بناء ال use cases الجديدة...ووحدة من مهامه انه يحاول يسوي تحقيق جنائي عميق بعد التقارير بحيث يشوف صحيحة او لا او في حالة طلبوا منه تحقيق اعمق تكون جاهزة✅️
و ايضا بعد وحدة من ادواره لو كان فيه هجوم قوي و ناجح هنا يبدأ يتتبع كل شي من البداية الى اخر شي وصل له من وين جاء او من وين راح و كيف وصل 🚫📛الخ...و يبدا يعطي المتطلبات و الرأي في ايش يسوون
طبعا دوامه ثابت في الغالب لكن يكون اون لاين لو صار فيه شي بغير وقت الدوام✅️
طبعا دوامه ثابت في الغالب لكن يكون اون لاين لو صار فيه شي بغير وقت الدوام✅️
نوصل للشهادات؟
اول شي لازم يكون عندك خبرة ك L1 على الاقل و تكسب خبرة و بالنسبة للشهادات اكيد كل شخص و كل جهة تطلب شي مختلف لكن اشوف eCIR هي البداية و يمكن قبلها ejpt برضوه دورات في نفس SIEM الي راح تشتغل عليه بحيث تكون ملم بشكل كامل بالنظام✅️
نروح L3 ? يلا يلا🏃♂️
اول شي لازم يكون عندك خبرة ك L1 على الاقل و تكسب خبرة و بالنسبة للشهادات اكيد كل شخص و كل جهة تطلب شي مختلف لكن اشوف eCIR هي البداية و يمكن قبلها ejpt برضوه دورات في نفس SIEM الي راح تشتغل عليه بحيث تكون ملم بشكل كامل بالنظام✅️
نروح L3 ? يلا يلا🏃♂️
L3 : خبرتي فيه قليلة لكن بتكلم على حسب الي شفته
طبعا اكيد لازم تكون عندك خبرة عملية عظيمة و سنوات خبرة علشان توصل هنا...المكان هذا لازم تكون عندك التيكنكل عندك مره كويس و المعلومات و اكيد انه اشتغل L1 and L2 ف مر بطل المراحل
دوره انه قدر يقوم بكل مراحل L1 and L2
طبعا اكيد لازم تكون عندك خبرة عملية عظيمة و سنوات خبرة علشان توصل هنا...المكان هذا لازم تكون عندك التيكنكل عندك مره كويس و المعلومات و اكيد انه اشتغل L1 and L2 ف مر بطل المراحل
دوره انه قدر يقوم بكل مراحل L1 and L2
و ايضا دوره هنا قيادي اكثر بحيث انه يوجه الموظفين عنده وش يسوون و ايش يحطون و يطلع عللى كل تقرير يرسل او يصنع ✅️
و بعد يشرف على كل use cases تتفعل او تلغى و يكون بوجه المدفع اكيد بكل اجتماع و بكل شي يصير سواء صح او غلط لانه اشرف على كل نقطة و اعطى تصريح لكل موظف عنده
و بعد يشرف على كل use cases تتفعل او تلغى و يكون بوجه المدفع اكيد بكل اجتماع و بكل شي يصير سواء صح او غلط لانه اشرف على كل نقطة و اعطى تصريح لكل موظف عنده
و بكذا انتهى الثريد اتمنى اني وفقت و استقبل اي اضافات تحت التغريدة او ملاحظات او نواقص نستفيد منها من خبرتكم✅️😍❤️
جاري تحميل الاقتراحات...