تُعتبر مراكز عمليات الأمن في الوقت الحالي في حالة من الفوضى بسبب زيادة أحجام السجلات وتعقيد مشهد التهديدات. في هذا السياق، تظهر الحاجة إلى إعادة تقييم فعالية حلول SIEM التقليدية.
31 يوليو 2025أخبار القراصنة – عمليات الأمن / كشف التهديدات
تُعاني مراكز عمليات الأمن (SOCs) من ضغوط شديدة. تتزايد أحجام السجلات، وتصبح مشهد التهديدات أكثر تعقيدًا، وتُعاني الفرق الأمنية من نقص مزمن في عدد الموظفين. يواجه المحللون معركة يومية مع ضوضاء التنبيهات، والأدوات المتفرقة، وعدم وضوح البيانات. في الوقت نفسه، يقوم المزيد من البائعين بإيقاف حلول SIEM التقليدية على المواقع، مما يشجع على الانتقال إلى نماذج SaaS. لكن هذا الانتقال غالبًا ما يُعزز العيوب الأساسية للهندسة المعمارية التقليدية لـ SIEM.
تدفق السجلات يلتقي بالحدود المعمارية
تم تصميم SIEMs لمعالجة بيانات السجلات – وكلما زادت، كان ذلك أفضل، أو هكذا تقول النظرية. ومع ذلك، في البنى التحتية الحديثة، أصبحت النماذج المعتمدة على السجلات تشكل عنق زجاجة. تولد الأنظمة السحابية، والشبكات التشغيلية، والأحمال الديناميكية كميات هائلة من البيانات، وغالبًا ما تكون زائدة، غير منظمة، أو بصيغ غير قابلة للقراءة. تواجه SIEMs المعتمدة على SaaS بشكل خاص قيودًا مالية وتقنية: يمكن أن تؤدي نماذج التسعير المعتمدة على الأحداث في الثانية (EPS) أو التدفقات في الدقيقة (FPM) إلى ارتفاعات هائلة في التكاليف وتغمر المحللين بآلاف التنبيهات غير ذات الصلة.
تشمل القيود الأخرى عمق البروتوكول ومرونته. تقوم خدمات السحابة الحديثة مثل Azure AD بتحديث معلمات توقيع السجلات بشكل متكرر، وغالبًا ما تفوت المجمعات الثابتة هذه التغييرات – مما يترك نقاط عمياء. في البيئات التشغيلية، تتحدى البروتوكولات الملكية مثل Modbus أو BACnet المفسرات القياسية، مما يعقد أو حتى يمنع الكشف الفعال.
الإيجابيات الزائفة: مزيد من الضوضاء، أقل أمان
يُفقد ما يصل إلى 30% من وقت محلل SOC في مطاردة الإيجابيات الزائفة. السبب الجذري؟ نقص السياق. يمكن لـ SIEMs ربط السجلات، لكنها لا “تفهم”ها. قد يكون تسجيل الدخول المميز شرعيًا – أو خرقًا. بدون خطوط أساسية سلوكية أو سياق للأصول، إما أن تفوت SIEMs الإشارة أو تُصدر الإنذار بشكل غير ضروري. وهذا يؤدي إلى إرهاق المحللين وزيادة أوقات الاستجابة للحوادث.
معضلة SIEM SaaS: الامتثال، التكلفة، والتعقيد
بينما يتم تسويق SIEMs المعتمدة على SaaS كخطوة طبيعية إلى الأمام، فإنها غالبًا ما تفشل في تلبية توقعات نظيراتها على المواقع في الممارسة العملية. تشمل الفجوات الرئيسية عدم التكافؤ في مجموعات القواعد، والتكاملات، ودعم المستشعرات. تضيف قضايا الامتثال تعقيدًا، خاصة بالنسبة للمنظمات المالية أو الصناعية أو العامة حيث تُعتبر إقامة البيانات أمرًا غير قابل للتفاوض.
ثم هناك التكلفة. على عكس النماذج المعتمدة على الأجهزة ذات الترخيص الثابت، تتقاضى SIEMs المعتمدة على SaaS رسومًا بناءً على حجم البيانات. كل زيادة في الحوادث تصبح زيادة في الفواتير – بالضبط عندما تكون SOCs تحت أقصى ضغط.
بدائل حديثة: التحليل الوصفي والسلوكي بدلاً من السجلات
تركز المنصات الحديثة على تحليل البيانات الوصفية ونمذجة السلوك بدلاً من زيادة إدخال السجلات. يمكن أن تكشف تدفقات الشبكة (NetFlow، IPFIX)، طلبات DNS، حركة مرور الوكيل، وأنماط المصادقة عن شذوذات حرجة مثل الحركة الجانبية، الوصول غير الطبيعي إلى السحابة، أو الحسابات المخترقة دون فحص الحمولة.
تعمل هذه المنصات بدون عملاء، أو مستشعرات، أو حركة مرور معكوسة. تستخرج وتربط البيانات الموجودة، وتطبق التعلم الآلي التكيفي في الوقت الحقيقي – وهو نهج تم تبنيه بالفعل من قبل حلول كشف واستجابة الشبكة الحديثة (NDR) المصممة خصيصًا للبيئات الهجينة لتقنية المعلومات والتشغيل. والنتيجة هي عدد أقل من الإيجابيات الزائفة، وتنبيهات أكثر دقة، وضغط أقل بكثير على المحللين.
خطة جديدة لـ SOC: وحدات، مرونة، وقابلية التوسع
تشير الانحدار البطيء لـ SIEMs التقليدية إلى الحاجة إلى تغيير هيكلي. تُعتبر SOCs الحديثة وحدات، حيث توزع الكشف عبر أنظمة متخصصة وتفصل التحليلات عن الهياكل المركزية للسجلات. من خلال دمج الكشف القائم على التدفق وتحليلات السلوك في المجموعة، تكتسب المنظمات كل من المرونة وقابلية التوسع – مما يسمح للمحللين بالتركيز على المهام الاستراتيجية مثل الفرز والاستجابة.
الخاتمة
تُعتبر SIEMs التقليدية – سواء كانت على المواقع أو SaaS – آثارًا من الماضي الذي كان يساوي حجم السجلات بالأمان. اليوم، يكمن النجاح في اختيار البيانات الذكي، والمعالجة السياقية، والأتمتة الذكية. إن تحليل البيانات الوصفية، ونمذجة السلوك، والكشف المعتمد على التعلم الآلي ليست فقط متفوقة تقنيًا – بل تمثل نموذجًا تشغيليًا جديدًا لـ SOC. نموذج يحمي المحللين، ويُحافظ على الموارد، ويكشف المهاجمين بشكل أسرع – خاصة عندما يتم تشغيله بواسطة منصات NDR الحديثة المستقلة عن SIEM.
هل وجدت هذه المقالة مثيرة للاهتمام؟ هذه المقالة هي مساهمة من أحد شركائنا القيمين. تابعنا على أخبار جوجل، تويتر، ولينكد إن لقراءة المزيد من المحتوى الحصري الذي ننشره.
في النهاية، يجب على المنظمات التفكير في تبني نماذج جديدة للكشف والاستجابة، تركز على البيانات الوصفية ونمذجة السلوك، لضمان أمان فعال وموارد محمية.
