كيف تصبح محلل SOC محترف في 2026؟ 🛡️
إذا كنت تبحث عن وظيفة قوية وثابتة في الأمن السيبراني، فإن مسار SOC Analyst هو من أفضل بداياتك. هذا المقال يعطيك خطة واضحة وعملية لبناء مهاراتك خلال 90 يومًا بطريقة أقرب لبيئة العمل الحقيقية.
ماذا ستتعلم هنا؟
- ما الذي يفعله محلل SOC فعليًا داخل الشركات
- أهم الأدوات المطلوبة ولماذا
- خطة تدريب 30 / 60 / 90 يوم
- كيف تبني بورتفوليو يجعلك جاهزًا للتوظيف
1) ما هو SOC وما دور المحلل؟
SOC = Security Operations Center، وهو الفريق المسؤول عن مراقبة الأنظمة واكتشاف التهديدات والاستجابة للحوادث. دور المحلل المبتدئ غالبًا يشمل:
- مراجعة التنبيهات (Alerts) وفرزها
- تحليل سجلات النظام والشبكة (Logs)
- تحديد هل التنبيه حقيقي أم إيجابي كاذب (False Positive)
- تصعيد الحالات الحرجة لفريق الاستجابة للحوادث
- توثيق ما حدث بدقة في تذكرة Incident
2) أدوات أساسية تحتاجها في 2026
| الفئة | أمثلة أدوات | الاستخدام |
|---|---|---|
| SIEM | Splunk / Elastic / Microsoft Sentinel | تجميع وتحليل السجلات واكتشاف الأنماط المشبوهة |
| EDR/XDR | Defender / CrowdStrike / SentinelOne | رصد سلوك الأجهزة الطرفية وعزلها عند الحاجة |
| Packet Analysis | Wireshark / Zeek | تحليل حركة الشبكة واكتشاف التواصل غير الطبيعي |
| Threat Intel | VirusTotal / AbuseIPDB / AlienVault OTX | التحقق من IOCs مثل IP, domain, hash |
| Case Management | TheHive / Jira / ServiceNow | توثيق الحوادث وتتبع الإجراءات |
3) خطة 30 / 60 / 90 يوم
الأيام 1-30: الأساس التشغيلي
- تقوية الشبكات: DNS, HTTP, TLS, VPN
- تعلم Linux وWindows Logs
- قراءة MITRE ATT&CK لفهم سلوك المهاجم
- تنفيذ 10 سيناريوهات تحليل تنبيهات بسيطة
الأيام 31-60: تحليل وارتباط الأحداث
- كتابة استعلامات SIEM أساسية ومتقدمة
- بناء قواعد كشف (Detection Rules) ضد TTPs شائعة
- التدرب على Incident Triage: Critical / High / Medium / Low
- إنشاء Runbook للاستجابة لـ Phishing وMalware
الأيام 61-90: محاكاة بيئة عمل كاملة
- تنفيذ Purple Team Lab بسيط (هجوم + كشف)
- تجهيز 3 تقارير حوادث احترافية بصيغة تنفيذية
- إجراء Post-Incident Review مع الدروس المستفادة
- بناء Portfolio نهائي قابل للعرض في المقابلات
4) أمثلة عملية مختصرة (قابلة للتطبيق)
مثال: تحقق سريع من عنوان IP مشبوه
curl -s "https://api.abuseipdb.com/api/v2/check?ipAddress=8.8.8.8" \
-H "Key: YOUR_API_KEY" \
-H "Accept: application/json"مثال: مراجعة محاولات تسجيل الدخول الفاشلة (Linux)
sudo grep "Failed password" /var/log/auth.log | tail -n 30مثال: فلترة تنبيهات PowerShell مشبوهة (Windows/SIEM Concept)
EventID=4104 AND ("IEX" OR "DownloadString" OR "FromBase64String")مهم: استخدم هذه الأمثلة داخل مختبرك التعليمي أو بيئة مرخصة فقط.
5) كيف تبني بورتفوليو فعلي يلفت التوظيف؟
- 3 تقارير Incident كاملة (ملخص تنفيذي + Timeline + IOCs + توصيات)
- 5 قواعد كشف موثقة مع سبب كل Rule
- لوحة SIEM مصغرة تعرض أهم KPIs الأمنية
- توثيق أسبوعي لتقدمك (حتى لو بسيط) على GitHub أو Notion
6) مصادر احترافية موثوقة للتعلم المستمر
- MITRE ATT&CK
- CISA Alerts & Guidance
- SANS Security Resources
- OWASP (لتهديدات الويب)
- TryHackMe (مسارات Blue Team)
الخلاصة
مسار SOC ليس مجرد "متابعة تنبيهات"، بل هو مدرسة قوية في الفهم العميق للهجمات والدفاع عنها. إذا التزمت بخطة واضحة، وطبقت يوميًا، ووثقت ما تتعلمه — يمكنك الوصول إلى مستوى توظيف ممتاز خلال أشهر قليلة.
في KaliAcademy ستجد الأوامر، الدروس، والالسيناريوهات التطبيقيةية التي تختصر عليك وقتًا كبيرًا في بناء هذا المسار.