arrow_backالعودة إلى ملاحظات المجال
BLUE TEAM منشور 13 Jul 2026

النجاة خلال أول 90 يوم لك كمحلل SOC

خريطة طريق عملية لمحللي SOC الجدد تغطي الإعداد والدخول والتحذيرات والأدوات والعادات التي تبني المصداقية بسرعة.

بدء دور محلل SOC مثير ومربك في نفس الوقت. يتم إعطاؤك الوصول إلى عشرات الأدوات وقائمة انتظار من التنبيهات وتوقعات غامضة حول مدى السرعة التي يجب أن تكون عليها في اكتشاف التهديدات الحقيقية. يحدد أول 90 يوم مسار حياتك المهنية بأكملها في الدور، لذا من الجدير التعامل معهم بحكمة بدلاً من مجرد البقاء على قيد الحياة.

الأسابيع 1-2: امتص المعلومات قبل أن تتحرك

قاوم الرغبة في البدء فوراً بإغلاق التذاكر مثل محترف. في البداية، وظيفتك هي فهم البيئة: كيف يبدو حركة المرور العادية، وما هي الأصول الثمينة، وما هو مسار التصعيد، ومن يملك ماذا. اقرأ كتيبات التشغيل حتى لو كانت قديمة — كتيبات التشغيل القديمة تخبرك الكثير عن الثغرات في المعرفة القبلية التي ستحتاج إلى ملئها لاحقاً.

قضِ الوقت في SIEM فقط للاستعلام، وليس للفحص. تعرف على مصادر البيانات التي تغذيها: سجلات جدران الحماية وبيانات EDR وسجلات DNS وسجلات المصادقة. إذا كنت لا تعرف مكان وجود مصدر السجل أو كيفية تطبيعه، اسأل الآن. لا يتوقع أحد طلاقة في الأسبوع الأول، والأسئلة المطروحة مبكراً تُقرأ كاجتهاد وليس كعدم كفاءة.

الأسابيع 3-5: المراقبة ثم الفحص تحت الإشراف

هنا تبدأ العمل على التنبيهات الحقيقية، لكن بالاقتران مع محلل أعلى أو صديق تصعيد واضح. ركز على بناء عادة فحص قابلة للتكرار:

  • تأكد من أن التنبيه انطلق بشكل صحيح — تحقق من السجل الخام، وليس فقط ملخص التنبيه.
  • أنشئ السياق — هل هذا الأصل محطة عمل أم خادم أم حساب خدمة؟ ما السلوك الأساسي له؟
  • حدد نطاق الضرر — هل لمس هذا أجهزة أخرى أو حسابات أخرى أو أطر زمنية أخرى؟
  • وثّق أثناء عملك — ملاحظاتك اليوم هي المعرفة المؤسسية التي يعتمد عليها شخص آخر في ستة أشهر.

خطأ شائع في هذه المرحلة هو إغلاق التنبيهات بسرعة كبيرة لتبدو فعالاً. السرعة مهمة في النهاية، لكن الدقة والتفكير أهم الآن. يمكن لمحلل أعلى أن يعلمك اختصارات لاحقاً؛ لا يمكنهم بسهولة إلغاء العادات السيئة.

الأسابيع 6-8: بناء غريزتك الخاصة بدليل التشغيل

بحلول الآن، يجب أن تتعامل مع أنواع التنبيهات الشائعة — تقارير التصيد الاحتيالي ومحاولات الهجوم بالقوة والتنفيذ المريب لـ PowerShell — بمساعدة أقل. ابدأ بملاحظة الأنماط التي تفتقدها قواعد الكشف الموجودة. ربما يتم تشغيل تنبيه معين دائماً على مهمة نسخ احتياطي حميدة. ربما تستمر تقنية حقيقية في الانزلاق لأن منطق القاعدة ضيق جداً. اجلب هذه الملاحظات إلى فريقك؛ المساهمة بمقترحات الضبط هذه مبكراً تشير إلى المبادرة. هذه أيضاً النقطة للراحة مع عمليات البحث الأساسية عن معلومات التهديدات — التحقق من عناوين IP والتجزئات والنطاقات مقابل مصادر مثل VirusTotal أو منصة معلومات التهديدات في مؤسستك — وفهم كيفية تغيير السياق لشدة التنبيه.

الأسابيع 9-12: تحمل المسؤولية واطلب الملاحظات

في المرحلة الأخيرة، اسعَ للحصول على المزيد من الاستقلالية في نوبتك مع تأكيد التصعيدات قبل إغلاق أي شيء غامض. ابدأ بتتبع مقاييسك الخاصة بشكل غير رسمي: كم عدد التنبيهات التي تعاملت معها، وكم عدد النتائج الإيجابية الخاطئة، وكم مرة اضطررت إلى إعادة فتح شيء ما. هذا ليس عن إثبات الإنتاجية — إنه يتعلق بملاحظة مكان قوة حكمك وحيث لا تزال بحاجة إلى معايرة.

اسأل قائدك مباشرة: "ما الذي أفتقده والذي كان محلل أكثر خبرة سيكتشفه؟" يحترم معظم قادة SOC طلباً مباشراً للملاحظات أكثر بكثير من عدم اليقين الصامت. هذا أيضاً وقت جيد لتحديد اهتمام التخصص — هندسة الكشف أو البحث عن التهديدات أو الاستجابة للحوادث أو تحليل البرامج الضارة — لأن عمل SOC يفتح أبواباً في عدد من الاتجاهات، والفضول حول مسار محدد يساعد في تشكيل كيفية إسناد مديرك لك عمل التمدد.

عادات جديرة بالاهتمام من اليوم الأول

هناك عدة أشياء تؤتي ثمارها بغض النظر عن أدوات SOC المحددة أو مستوى النضج:

  • اكتب ملاحظات نظيفة ومختومة بالوقت على كل تحقيق، حتى الملاحظات المغلقة.
  • تعرف على طوبولوجيا الشبكة، وليس فقط حقول السجل — معرفة ما من المفترض أن يتحدث إليه يجعل الحالات الشاذة واضحة بشكل أسرع.
  • مارس كتابة ملخصات الحوادث التي يمكن لمدير غير تقني أن يفهمها؛ تتضاعف هذه المهارة طوال حياتك المهنية.
  • ابقَ فضولياً حول النتائج الإيجابية الخاطئة — ضبط الاكتشافات السيئة غالباً ما يكون أكثر قيمة من إغلاق التذاكر بسرعة.

أول 90 يوم ليسوا عن أن تصبح خبيراً. يتعلق الأمر ببناء الحكم والعادات والعلاقات التي تسمح لك بأن تصبح واحداً على مدى السنوات القليلة القادمة.

إذا كنت تريد شحذ الأسس التقنية الكامنة وراء عمل SOC — تحليل السجلات أو أساسيات الشبكة أو سير عمل الاستجابة للحوادث — استكشف أقسام Blue Team والتحقيق الرقمي ذات الصلة على Korra Studio.

تمت كتابة هذا المقال بمساعدة الذكاء الاصطناعي ونشره في قاعدة معارف Korra Studio.

هل أنت مستعد للمضي قدماً؟

هذه ملاحظة واحدة من قاعدة معارف Korra Studio — المنصة تجمع كل موضوع مع التوجيه الفردي.

ابدأ بالمجانarrow_forward