Task 1 (Introduction)

📌 الفكرة: أين أنا؟ (Where do I fit?)

المقدمة: أنت تعلمت سابقاً دور محلل SOC L1 Analyst (المحلل المبتدئ).
الأسئلة الجديدة: الآن، لازم تعرف:
1. وين مكانك في هيكل الشركة؟ (Company Structure).
2. مين هو مديرك؟ ومين بيشرف على فريقك؟
3. شو الأقسام الأمنية الثانية الموجودة غير الـ SOC؟
4. كيف تترقى وتكبر في وظيفتك؟ (Career Ladder).

🛡️ مفهوم الفريق الأزرق (Blue Team)

أهم مصطلح في هذه الغرفة هو Blue Team.

ال Red Team (الفريق الأحمر): هم الهكرز الأخلاقيين اللي بيهاجموا الشركة عشان يكتشفوا الثغرات.
ال Blue Team (الفريق الأزرق): هم "المدافعين". وهم الفريق اللي أنت (الـ SOC) جزء أساسي منه. وظيفتكم حماية الشركة وصد هجمات الفريق الأحمر أو الهكرز الحقيقيين.

🎯 أهداف التعلم (Learning Objectives)

في هذه الغرفة، رح نغطي 3 نقاط رئيسية:

Understand the Blue Team:
- تفهم يعني إيه "فريق أزرق" وشو هدفه.
SOC within Company Structure:
- تعرف وين مكتب الـ SOC في خريطة الشركة (مين فوقك ومين جنبك).
Career Path:
- تعرف مسارك الوظيفي. كيف تنتقل من L1 إلى L2، وشو المهارات اللي محتاجها عشان تترقى.

Task 2: Security Hierarchy (الهرم الأمني)

🔺 1. الهرم الوظيفي (The Pyramid)

كل شركة لها أولويات مختلفة (مثلاً: المستشفى يهمها حياة المرضى، المصنع يهمه خط الإنتاج ما يوقف، والمحامي يهمه سرية الأوراق). لذلك، هيكلة الفريق تختلف، لكن الشركات الكبيرة عادة تتبع الهرم التالي:

Executives (الرؤوس الكبيرة):
- مثل CEO (المدير التنفيذي) أو CFO.
- هؤلاء تركيزهم على "البزنس" والفلوس وأهداف الشركة العامة. ما بيفهموا في التفاصيل التقنية ولا بيعرفوا يحللوا Logs.
Security Leadership (قادة الأمن):
- مثل CISO (كبير مسؤولي أمن المعلومات).
- هذا الشخص هو "الجسر". هو بيفهم "بزنس" وبيفهم "أمن". وظيفته يأخذ أهداف الشركة ويحولها لخطط أمنية، ويشرف على كل الأقسام الأمنية.
Security Managers (المدراء):
- مثل SOC Manager أو Team Lead.
- هؤلاء يديرون فرقاً محددة. وظيفتهم التأكد من أن الفريق (أنت وزملاؤك) يشتغلون صح ومبسوطين وما عندهم مشاكل.
Technical (التقنيين - هذا أنت!):
- مثل SOC Analyst أو Engineer أو Red Teamer.
- أنتم الجنود في الميدان. وظيفتكم الشغل التقني، تحليل السجلات، وكشف الهكرز.

🏢 2. الأقسام الأمنية (Security Departments)

في الشركات الصغيرة، ممكن تلاقي "قسم IT" هو اللي بيعمل كل شي (يصلح الطابعة ويحمي من الهكرز).

لكن في الشركات الكبيرة، الـ CISO يشرف على عدة فرق متخصصة، أهمها:

Red Team (الفريق الأحمر):
- هؤلاء هم "الهكرز الأخلاقيين".
- وظيفتهم: الهجوم على الشركة! (نعم، يهاجمون الشركة ليكتشفوا الثغرات قبل الهكر الحقيقي).
- أدوارهم: Offensive Security, Pen testers.
GRC Team (فريق الحوكمة والالتزام):
- هؤلاء هم "أهل القانون والنظام".
- وظيفتهم: التأكد من أن الشركة تتبع القوانين (مثل قوانين حماية البطاقات البنكية PCI DSS) وتكتب سياسات العمل.
Blue Team (الفريق الأزرق):
- هؤلاء هم "المدافعين" (وهذا هو مكانك).
- وظيفتهم: حماية الشركة، مراقبة الأنظمة، والاستجابة للحوادث.
- أدوارهم: SOC Analysts, Security Engineers.

Task 3: Meet the Blue Team (تعرف على الفريق الأزرق)

🛡️ 1. مركز العمليات الأمنية (SOC) - خط الدفاع الأول

هذا هو المكان الذي تبدأ فيه رحلتك غالباً. الـ SOC هو "غرفة المراقبة" التي تعمل 24 ساعة.

ال L1 Analyst (المبتدئ): يستقبل التنبيهات الأولية، يفرزها، ويحول الصعب منها للأعلى.
ال L2 Analyst (الخبير): يستلم الحالات المعقدة ويحقق فيها بعمق.
ال SOC Engineer: "المهندس" الذي يركب ويصلح أدوات الحماية (SIEM, EDR).
ال SOC Manager: القائد الذي يدير الفريق بالكامل.

🚒 2. فريق الاستجابة للحوادث (CIRT / CSIRT / CERT) - رجال الإطفاء

إذا خرجت الأمور عن السيطرة (مثلاً: اختراق كبير جداً والـ SOC مش قادر يوقفه)، بننادي هؤلاء "رجال الإطفاء" ("firefighters").

متى نطلبهم؟ عند الحوادث الكبيرة (On-Demand).
ماذا يفعلون؟
- ال Deep Forensics: يحفرون بعمق في الأقراص والذاكرة لكشف المستور.
- ال Recovery: يساعدون الشركة لترجع تشتغل بعد الهجوم.
أمثلة: Mandiant (فريق عالمي مشهور)، و AWS CIRT.

Cyber Incident Response Team (CIRT)

Computer Security Incident Response Team (CSIRT)

Computer Emergency Response Team (CERT)

🧠 3. الأدوار المتخصصة (Specialized Roles)

في الشركات الكبيرة جداً، الـ SOC وحده لا يكفي. نحتاج خبراء "نخبة" في مجالات ضيقة جداً.

ال Digital Forensics Analyst: المحقق الجنائي الرقمي (بيطلع الأدلة من تحت الأرض).
ال Threat Intelligence Analyst: "المخابرات". يجمع معلومات عن الهكرز الجدد وأساليبهم قبل ما يهاجموا.
ال AppSec Engineer: خبير في تأمين البرمجيات والتطبيقات.
ال AI Researcher: باحث في تهديدات الذكاء الاصطناعي (مجال جديد ومهم).

Task 4: Advancing SOC Career (تطوير مسارك المهني)

🏢 1. أين تعمل؟ (Internal SOC vs. MSSP)

هذه أهم نقطة لازم تفهمها قبل ما تقدم على وظيفة. الشركات التي توظف محللي SOC نوعان:

🅰️ الـ Internal SOC (الداخلي)

المكان: أنت تعمل لدى شركة واحدة (مثلاً: بنك، مستشفى، جهة حكومية) وتحمي أنظمتهم فقط.
الجو العام: هادئ، ضغط العمل قليل.
الأدوات: تستخدم أدوات قليلة ومحددة، لكن لازم تكون خبير فيها.
الخبرة: قد تمر سنة كاملة وتواجه هجومين كبيرين فقط. (تتعلم ببطء ولكن بعمق).

🅱️ الـ MSSP (مزود الخدمات الأمنية)

الاختصار (Managed Security Services Provider)

المكان: أنت تعمل لدى شركة "خدمات أمنية" تحمي 50 أو 60 شركة أخرى (عملاء).
الجو العام: ضغط عالي جداً، التنبيهات لا تتوقف! 🔥
الأدوات: تتعامل مع عشرات الأدوات المختلفة لأن كل عميل يستخدم شيء مختلف.
الخبرة: كل أسبوع تواجه هجمات واختراقات. (تتعلم بسرعة خيالية بسبب كثرة المصائب!).

نصيحة: العمل في MSSP في بداية حياتك المهنية صعب ومرهق، لكنه أفضل مدرسة لتتعلم بسرعة.

Managed Security Services Provider (MSSP)

📈 2. الخطوة التالية (Next Steps)

بعد سنة أو سنتين كـ L1 Analyst، وين ممكن تروح؟

ال SOC L2 Analyst: المسار الطبيعي. تصبح المحقق الخبير الذي يحل القضايا الصعبة.
ال Security Engineer: إذا حبيت التعامل مع الأدوات وتركيبها وصيانتها أكثر من تحليل الهجمات.
ال CIRT (Incident Responder): إذا حبيت الأكشن والتعامل مع الكوارث الكبيرة.
ال Manager / CISO: إذا اكتشفت أن عندك مهارات قيادية وتخطيط.
اختصار ال CISO --> هو (Chief information security officer)

يمكنك أيضاً الانتقال لأدوار متخصصة جداً لدعم الفريق الأزرق كما هو موضح هنا:

💡 3. نصائح ذهبية للنجاح (Golden Tips)

☝️ شرح النصائح:

ال Learn From Every Alert: لا تغلق التنبيه وتمشي. افهم "ليش" طلع التنبيه؟ واستخدمه لتطوير مهاراتك.
ال Think Like An Attacker: اسأل نفسك: "لو أنا الهكر، ليش عملت هيك؟ وكيف؟". هذا بيخليك تتوقع خطوتهم القادمة.
ال Verify Everything: لا تفترض شيئاً! دائماً تحقق من السجلات وتأكد بنفسك. (الشك هو صديقك).
ال Get Involved in Incidents: الهجمات الحقيقية هي أفضل معلم. الليلة اللي بتسهر فيها تحل مشكلة اختراق، بتعلمك أكثر من 10 كورسات.

Task 5: Final Challenge (دليل القائد)

🧠 كيف تفكر كـ CISO (Chief information security officer)؟

سيظهر لك على اليمين "حادث" (Incident) أو مشكلة، وعلى اليسار "المسميات الوظيفية" (Roles). عليك سحب الموظف المناسب للمشكلة المناسبة.

استخدم هذا الدليل لتوصيلهم ببعض:

1. 🦠 إذا كانت المشكلة: "تحليل ملف مشبوه أو فيروس"

المفتاح: كلمات مثل Malware, Reverse Engineering, Virus, Suspicious File.
الموظف المناسب: Malware Analyst.
السبب: هو الخبير الذي يفكك البرمجيات الخبيثة ليعرف كيف تعمل.

2. 🔍 إذا كانت المشكلة: "استخراج أدلة مخفية من القرص الصلب أو الذاكرة"

المفتاح: كلمات مثل Disk, Memory, Hidden threats, Forensics, Evidence.
الموظف المناسب: Digital Forensics Analyst (أو Forensics Analyst).
السبب: هو المحقق الجنائي الذي يستخرج الأدلة الرقمية.

3. 🕵️‍♂️ إذا كانت المشكلة: "معلومات عن مجموعة هكرز أو APT"

المفتاح: كلمات مثل Threat Group, APT, Dark Web, Emerging threats.
الموظف المناسب: Threat Intelligence Analyst.
السبب: هو "رجل المخابرات" الذي يجمع معلومات عن العدو.

4. 🚨 إذا كانت المشكلة: "تنبيه روتيني أو فرز إنذارات"

المفتاح: كلمات مثل Triage alerts, Check logs, Phishing email alert.
الموظف المناسب: SOC Analyst (أو L1 Analyst).
السبب: هو خط الدفاع الأول الذي يتعامل مع التنبيهات اليومية.

5. 🚒 إذا كانت المشكلة: "اختراق كبير خارج عن السيطرة"

المفتاح: كلمات مثل Critical Breach, Incident Response, Firefighters, Recovery.
الموظف المناسب: CIRT (أو Incident Responder).
السبب: هم "رجال الإطفاء" للكوارث الكبيرة.

6. 🛠️ إذا كانت المشكلة: "إعداد أو صيانة أدوات الحماية"

المفتاح: كلمات مثل Configure SIEM, Maintain EDR, Setup Security Tools.
الموظف المناسب: Security Engineer.
السبب: هو المهندس المسؤول عن تشغيل وصيانة الأجهزة والبرامج الأمنية.

📝 المطلوب منك الآن:

اضغط على زر View Site لفتح اللعبة.
اقرأ وصف كل مشكلة على اليمين.
اسحب الموظف المناسب من القائمة اليسرى وضعه فوق المشكلة بناءً على الدليل أعلاه.
عندما تنتهي وتكون الإجابات صحيحة، سيظهر لك الـ Flag.

Boot2Root

القائمة الرئيسية

الصفحات

نوتات الفيديو #2: ما هو دور الـ SOC في الفريق الأزرق؟ | SOC Role in Blue Team #2