هندسة الكشف في SOC: كيف تبني نظام تنبيه يفيد فعلاً وليس مجرد ضجيج؟

كثير من مراكز العمليات الأمنية (SOC) تمتلك SIEM قوي، لكن ما يزال الفريق يغرق في آلاف التنبيهات يومياً. السبب عادة ليس نقص الأدوات، بل ضعف هندسة الكشف: قواعد غير دقيقة، غياب سياق العمل، وعدم وجود دورة تحسين مستمرة.

1) ما هي Detection Engineering؟

هي عملية تحويل سلوك المهاجم (TTPs) إلى قواعد إنذار قابلة للتنفيذ والقياس داخل SIEM/EDR. الفكرة ليست "اكتشاف كل شيء"، بل "اكتشاف المهم بسرعة وبدقة".

  • مصدر التهديد: MITRE ATT&CK / Threat Intel
  • المصدر البياني: Logs من Endpoint, Identity, Network, Cloud
  • المخرج: تنبيه قابل للتحقيق Incident-Ready Alert

2) لماذا تفشل قواعد الكشف غالباً؟

أ) الاعتماد على IOC فقط

عنوان IP أو Hash يتغير بسرعة. السلوك (TTP) أكثر ثباتاً.

ب) تجاهل baseline البيئة

ما هو شاذ في شركة قد يكون طبيعياً في شركة أخرى.

ج) غياب مرحلة tuning

أي قاعدة جديدة بدون tuning ستنتج False Positives كثيرة.

3) Playbook عملي لبناء قاعدة كشف جديدة

الخطوة 1: تحديد التهديد

مثال: اكتشاف استخدام PowerShell المشفّر في Windows endpoints.

الخطوة 2: ربطه بمصدر البيانات

تأكد أن Event ID المناسب يصل إلى SIEM (مثل Sysmon Event 1).

الخطوة 3: كتابة منطق الكشف

Image: powershell.exe AND CommandLine contains "-enc" OR "FromBase64String"

الخطوة 4: إضافة الاستثناءات

استثنِ أدوات الإدارة الشرعية الموثقة لتقليل الإنذارات الكاذبة.

الخطوة 5: تعريف الاستجابة

عند إطلاق التنبيه: جمع parent process + user + host + recent network connections.

4) المقاييس التي يجب أن تتابعها أسبوعياً

Precisionكم تنبيه كان صحيحاً فعلاً
Recallكم تهديداً حقيقياً اكتشفناه
MTTDمتوسط زمن الاكتشاف
MTTRمتوسط زمن الاحتواء/المعالجة

إذا تحسنت هذه الأرقام، فأنت تبني SOC ناضج. إذا ساءت، راجع جودة البيانات والمنطق أولاً.

5) الدمج بين Detection Engineering وThreat Hunting

الـ Hunting يكشف أنماط جديدة لم تُغطها القواعد الحالية. بعد كل Hunt ناجح، حوّل النتيجة إلى Rule جديدة. بهذه الطريقة، يتحول SOC من رد فعل إلى منظومة تعلم وتحسين مستمر.

Hunt Finding -> Validate -> Detection Rule -> Tuning -> Production -> Metrics Review

6) نصائح تنفيذية لفريق صغير

  • ابدأ بـ 10 قواعد عالية الأثر بدل 200 قاعدة ضعيفة.
  • ضع Runbook قصير لكل تنبيه: ماذا تجمع؟ من تتصل؟ متى تصعّد؟
  • استخدم Sigma كصيغة موحدة ثم ترجمها لـ SIEM الخاص بك.
  • راجع القواعد شهرياً: disable, tune, merge, or rewrite.

الخلاصة

SOC القوي ليس الذي يملك أكثر أدوات، بل الذي يملك قواعد كشف دقيقة وسريعة التحسين. مع Detection Engineering منظم، ستقلل الضجيج، ترفع سرعة الاستجابة، وتحسن ثقة الإدارة في فريق الأمن.

العودة إلى صفحة المقالات