بسم الله الرحمن الرحيم

تعد وظائف SOC من أكثر وظائف الأمن السيبراني المتوفرة حالياً، لذلك قمت بتخصيص هذه التدوينة من أجل إيضاح الوظائف الموجودة في هذا المجال واحتياجاتها وغيرها.

بدايةً ماهي الوظائف المتوفرة في مركز عمليات أمن المعلومات؟

كما ذكرنا في التدوينة السابقة مركز عمليات أمن المعلومات أو SOC ، فهذه المراكز تختلف بحسب احتياجاتها، وحجمها، والمختصين الموجودين فيها، لذا قد لا أغطي جميع المتطلبات ولكن يمكن تحديثها لاحقاً.

قام المهندس “محمد المنتاخ” بالتحدث عن وظائف محللي الـ SOC وذكر بعض النصائح يمكنك قرائتها بالضغط هنا .

قد يحتوي هذا المقال بعض مما ذكر المهندس محمد، ويشمل باقي الوظائف والشواغر التي لها دور أساسي في الـ SOC

يحتوي جزء العاملين في SOC على التالي:

  • موظفي الـ SOC.
  • نبذة عن الدور الوظيفي.
  • المسؤوليات.
  • المهارات اللازمة.
  • الشهادات الاحترافية المناسبة لهذا المنصب. (الشهادات المطروحة تعد اقتراحات وليست حصرا)

 

الهيكل التنظيمي لمركز عمليات أمن المعلومات في أبسط أشكاله

SOC organizational structure

SOC Manager

مدير مركز عمليات أمن المعلومات يعتبر من الأشخاص المهمين في SOC. ويجب أن تتوفر لديه مهارات متعددة، ومعرفة واسعة، سأتطرق هنا لبعضٍ من هذه المهارات، ويفضل أن تكون لديه معرفة وخبرة في العمل كـ SOC Analyst وThreat Hunting، كما لابد له من امتلاك مهارات إدارية وتنظيمية.

مسؤوليات مدير مركز عمليات أمن المعلومات:

  • الإشراف على المهام والمسؤوليات التي يقوم بها SOC Team.
  • التوظيف والتدريب والمتابعة والتقييم لموظفي الـ SOC.
  • إدارة عمليات التصعيد ومتابعة تقارير الحوادث الأمنية.
  • تطوير وبناء خطط الاستجابة للحوادث وغيرها من الخطط المطلوبة.
  • التأكد من اتباع السياسات المفروضة في المنظمة.
  • المساعدة في عمليات الامتثال للضوابط، والتدقيق.

مهارات مدير مركز عمليات أمن المعلومات:

  • مهارات التواصل والقيادة.
  • الاحترافية والقدرة على إدارة الحوادث الأمنية.
  • المعرفة بالمفاهيم الخاصة بأمن المعلومات والأمن السيبراني؛ مثل الهجمات الأمنية، والتهديدات الأمنية، وإدارة المخاطر، وغيرها.
  • الخبرة في إدارة التهديدات.
  • القدرة على العمل تحت الضغط.
  • مهارة التحليل وحل المشاكل والتعامل مع الآخرين.
  • التعامل مع أنظمة التشغيل المختلفة Linux,Unix,Windows,MacOS
  • التعامل وتقييم معايير الامتثال المرتبطة بالمجال.
  • الإلمام بلغات البرمجة.
  • التعامل مع الأنظمة الأمنية مثل Firewall,IPS,IDS,SIEM وغيرها.
  • القدرة على بناء Rules لـ SIEM وأنظمة كشف التسلل وغيرها من الأنظمة.
  • معرفة TCP/IP والتعامل مع تدفق البيانات داخل الشبكة.

الشهادات الإحترافية لمدير مركز عمليات أمن المعلومات:

تعد هذه القائمة جزءاً من الشهادات الإحترافية المساعدة: (قابلة للزيادة أو النقصان)

  • CISM: Certified Information Security Manager
  • CISSP: Certified Information Systems Security Professional
  • CISSP-ISSMP: Information Systems Security Management Professional
  • GSLC: GIAC Security Leadership
  • بالإضافة إلى بعض الشهادات التي يحتاجها المحللين وغيرهم من العاملين في SOC

FAHAD ALFAIFY

SOC Analyst L1

محلل مركز عمليات أمن المعلومات المستوى الأول، وله عدة تسميات سواء Level 1 أو Tier 1 عادة يقوم بالعمل في نظام مناوبات، وتغطية 24/7، ويكون هو الشخص الأول في التحليل ومحاولة كشف العمليات المشبوهة وغير المشروعة.

مسؤليات محلل مركز عمليات أمن المعلومات L1

  • متابعة ومراجعة الأحداث والتنبيهات الأمنية وتحديد مستوى الأهمية والخطورة.
  • فتح التذاكر وتصعيدها في حال عدم القدرة على حل المشكلة لـ SOC Analyst L2
  • فحص الثغرات وتحليلها وتقييم خطورتها، وكتابة التقارير أو تصعيدها في الحالات الحرجة.
  • المساعدة في التحقيق في الحوادث الأمنية بحسب الخبرة المتوفرة.
  • تقديم التقارير اللازمة.

مهارات محلل مركز عمليات أمن المعلومات L1

  • الفضول والتحليل.
  • العمل مع الفريق.
  • مهارات System Admin
  • معرفة TCP/IP والتعامل مع تدفق البيانات داخل الشبكة.
  • مهارة التحليل وحل المشاكل.

الشهادات الإحترافية لمحلل مركز عمليات أمن المعلومات L1

تعد هذه القائمة جزءًا من الشهادات الاحترافية المساعدة: (قابلة للزيادة أو النقصان)

  • CompTIA Security+
  • CompTIA (CySA+) Cybersecurity Analyst+
  • eLearnSecurity: Practical Network Defense – PND
  • CEH: Certified Ethical Hacker
  • ECSA: EC-Council Certified Security Analyst
  • GSEC / GCIH / GCIA: GIAC Security Certifications

FAHAD ALFAIFY

SOC Analyst L2

محلل مركز عمليات أمن المعلومات المستوى الثاني وله عدة تسميات سواء Level 2 أو Tier 2 عادة يكون هو المسؤول عن الإستجابة الأولية للحوادث بعد تصعيدها من محللي المستوى الأول، كما يقوم بالتحقق من صحة التصعيدات التي تتم.

مسؤليات محلل مركز عمليات أمن المعلومات L2

  • المتابعة والمراجعة والاستجابة للأحداث الأمنية التي تم تصعيدها.
  • التصعيد في حال عدم القدرة الكاملة للتعامل مع الحادثة الأمنية لـ L3
  • التعامل مع Threat Intelligence.
  • تحليل Windows, Linux, and Mac OS X systems والقدرة على تحديد مؤشرات الاختراق IOC’s
  • فحص الأنظمة وجمع البيانات المهمة والمساعدة في تحقيق أدق مع L3 أو Forensics Expert.
  • التحقق والتوجيه لعملية تنظيف الأنظمة من عمليات الإختراق بناء على Incident Response Framework
  • توجيه ومساعدة SOC Analyst L1
  • تقديم التقارير اللازمة.

مهارات محلل مركز عمليات أمن المعلومات L2

جميع مهارات SOC Analyst L1 بالإضافة إلى التالي:

  • معرفه بالأساليب التي يستخدمها المخترقين.
  • معرفة بسيطة بأدوات التحقيق الجنائي الرقمي مثل FTK, X-Ways, SIFT
  • القدرة على بناء IOC’s خاصة بناء على الحالات التي يعمل عليها.
  • القدرة على التعامل مع أكثر من حدث ذات أهمية عالية.

الشهادات الإحترافية لمحلل مركز عمليات أمن المعلومات L2

تعد هذه القائمة جزءًا من الشهادات الاحترافية المساعدة: (قابلة للزيادة أو النقصان)

  • CompTIA (CySA+) Cybersecurity Analyst+
  • eLearnsecurity: Incident Handling and Response Professional – IHRP
  • eLearnSecurity: Practical Network Defense – PND
  • CEH: Certified Ethical Hacker
  • ECSA: EC-Council Certified Security Analyst
  • SANS GIAC certification in Cyber Defense, Penetration Testing, or Incident Response and Forensics

FAHAD ALFAIFY

Subject Expert Matter L3 أو SOC Analyst L3

محلل مركز عمليات أمن المعلومات المستوى الثالث وله عدة تسميات سواء Level 3 أو Tier 3 أو حتى Subject Expert Matter يكون صاحب خبرة ومعرفة بجوانب أكثر من باقي المحللين السابقين، ويمتلك مهارات متقدمة في التعامل مع الحوادث الأمنية، والتحقيق الجنائي الرقمي، وبعضهم يعتبره Threat Hunter.

مسؤليات محلل مركز عمليات أمن المعلومات L3

  • المتابعة والمراجعة والاستجابة للأحداث الأمنية التي تم تصعيدها.
  • تحليل Windows, Linux, and Mac OS X systems والقدرة على تحديد مؤشرات الاختراق IOC’s
  • التحقق والتوجيه لعملية تنظيف الأنظمة من عمليات الاختراق بناء على Incident Response Framework
  • إدارة SIEM وبناء Use Cases
  • القيام بـ Threat Hunting
  • توجيه ومساعدة SOC Analyst L2
  • المتابعة والتأكد من عمل Security Sensors and Tools
  • تحديد الأسباب الرئيسية للحوادث الأمنية والإجراءات اللازمة لتخفيف الحوادث.
  • القيام بالأعمال التي تتطلب خبرة ومعرفة أكبر من معرفة L1 و L2.
  • تقديم التقارير اللازمة.

مهارات محلل مركز عمليات أمن المعلومات L3

جميع مهارات SOC Analyst L2 بالإضافة إلى التالي:

  • معرفه بالأساليب التي يستخدمها المخترقين.
  • معرفة بأدوات التحقيق الجنائي الرقمي والتعامل معها.
  • القدره على العمل والتعامل بدون توجيه وإشراف مباشر.
  • القدرة على اتخاذ القرار.

الشهادات الإحترافية لمحلل مركز عمليات أمن المعلومات L3

تعد هذه القائمة جزءًا من الشهادات الاحترافية المساعدة: (قابلة للزيادة أو النقصان)

  • eLearnsecurity: Incident Handling and Response Professional – IHRP
  • eLearnsecurity: Digital Forensics Professional – DFP
  • CEH: Certified Ethical Hacker
  • ECSA: EC-Council Certified Security Analyst
  • SANS GIAC certification in Cyber Defense, Penetration Testing, or Incident Response and Forensics

FAHAD ALFAIFY

Security Engineer

يعد الـ Security Engineer من الأشخاص المهمين في مركز عمليات أمن المعلومات، وذلك لضمان عمل الأنظمة دون مشاكل، تحديثها، ومتابعتها بشكل مستمر.

مسؤليات Security Engineer

  • متابعة الأنظمة الأمنية والتأكد من عملها وحل مشاكلها إن وجدت.
  • ضبط وتثبيت والتأكد من الأنظمة الأمنية الموجودة وعملها بدون مشاكل مثل Firewall, IDS, IPS
  • تقييم التقنيات الجديدة التي من الممكن أن تعزز الوضع الأمني في مركز عمليات أمن المعلومات.
  • اختبار الأنظمة الأمنية والتأكد من عملها قبل تركيبها.
  • تقديم التقارير اللازمة للأنظمة الأمنية وحالتها.

مهارات Security Engineer

  • المعرفة بالأنظمة الأمنية والتعامل معها.
  • التعامل مع أنظمة التشغيل مثل Windows, Linux, MacOS
  • التعامل مع أنظمة التشغيل للخوادم مثل Windows Server, CentOs, Red Hat Enterprise Linux Server, OpenSUSE.
  • القدرة على التعامل مع Virtualization technologies
  • معرفة بالشبكات وبعض البروتوكولات المهمة مثل TCP/IP, UDP, IPSEC, HTTP, HTTPS, routing protocols
  • القدرة على حل المشاكل والتعامل معها.

الشهادات الإحترافية Security Engineer

تعد هذه القائمة جزءًا من الشهادات الاحترافية المساعدة: (قابلة للزيادة أو النقصان)

  • CompTIA Security+
  • Cisco CCNA
  • Cisco CCNP
  • بعض الشهادات التي يقدمها الـ Vendors للمنتجات المستخدمة في المنظمة التي تعمل بها.

FAHAD ALFAIFY

ختاماً أتمنى أن أكون وفقت في الإلمام ببعض الأساسيات والنقاط المهمة ويبقى المجال والتعديلات بحسب الاحتياج، والاختلاف حسب الحاجة لمركز عمليات المراقبة الأمنية.

أتمنى التوفيق للجميع.

FAHAD ALFAIFY

المراجع

المرجع الأول
المرجع الثاني
المرجع الثالث