تخطي إلى المحتوى
T.E.N.E.G.T.A
اللغة
المدونة والأخبار

2025-02-12

لماذا تفشل أنظمة SIEM التقليدية في البيئات المؤسسية العربية

إرهاق الإنذارات، مسارات سجلات ثنائية اللغة، وقواعد كشف لا يضبطها المشغّل — المشكلة ليست المنتج وحده بل نموذج التشغيل.

لماذا تفشل أنظمة SIEM التقليدية في البيئات المؤسسية العربية

لم تشتري معظم المؤسسات الإقليمية SIEM لأنها تريد لوحة تحكم إضافية. اشتُريت لأن المدققين أو المؤمّنين أو المجموعة الأم طلبوا دليلاً على المراقبة. وصل المنصة؛ لم يصل نموذج التشغيل.

بعد اثني عشر شهراً تتكرر القصة: ملايين الأحداث يومياً، آلاف الإنذارات، محللون يعملون بأدوات تفترض حقولاً لاتينية فقط، ومكتبة إجراءات ما زالت تعتمد قوالب افتراضية لقطاع لا يشبه بيئتكم.

هذه ليست "ثقافة أمنية ضعيفة". إنها مشكلة تكامل أنظمة ولغة تُعرض كمشكلة أداة.

إرهاق الإنذارات نتيجة تصميم

النشر التقليدي يرث غالباً:

  • قواعد ارتباط منسوخة دون سياق الأصول
  • عتبات مضبوطة لأشكال سجلات SaaS غربية عالية الحجم
  • تضخيم خطورة لأن كل قاعدة تُضبط "عالية" في مراجعات الشراء

في البيئات العربية تُضاف:

  • معرّفات لاتينية وعربية في الحقل نفسه
  • تطبيقات قديمة تبث نصاً غير منظم بتشفير غير متسق
  • أنماط هوية وطنية وهاتف تفوتها حزم regex العامة

لا يتجاهل المحللون الإنذارات كسلاً — بل لأن الدقة لم تُهندس في المسار.

مسارات السجلات ثنائية اللغة

| المرحلة | ما يتعطل | الهدف | |---------|----------|--------| | الجمع | ترميز مزدوج أو فقد حركات | UTF-8 موحّد عند الاستيعاب | | التحليل | أنماط إنجليزية فقط | خرائط حقول؛ أسماء عربية → مفاتيح قياسية | | الإثراء | GeoIP فقط | CMDB + وحدة عمل + تصنيف بيانات | | الكشف | كلمات إنجليزية فقط | قوائم IOC ثنائية اللغة؛ بحث آمن لـ RTL | | الاستجابة | إجراء بلغة واحدة | خطوات عربية حيث يتطلب الفريق |

البحث عن failed login بينما يفشل عن فشل تسجيل الدخول ليس تفصيلاً — إنه ثغرة تغطية.

هندسة الكشف أهم من المحتوى الجاهز

المحتوى الجاهز يفترض EDR واحداً، وواجهات سحابية نظيفة، وهوية من Azure AD بأسماء واضحة.

الواقع الإقليمي غالباً: AD محلي، بوابات حكومية، أنظمة مخصصة لا تظهر في مخططات البائع.

هندسة الكشف — قواعد مُختبرة، عينات سجلات، تمارين أرجوانية، مالك لكل حالة استخدام — هي الطريق من "اشترينا SIEM" إلى "نثبت التغطية".

قبل تجديد الترخيص

نفّذوا تدقيق مسار لأسبوعين:

  • عينة من الحجم اليومي لأهم خمسة مصادر
  • قيسوا فشل التحليل والحقول الفارغة
  • نفّذوا خمس استعلامات صيد ثنائية اللغة يستخدمها المحللون يدوياً
  • اربطوا إنذارات الشهر الماضي بتذاكر مُغلقة — أو "بلا مالك"

إن لم يكن لنصف الإنذارات العالية مالك — الحل ليس قاعدة ارتباط أخرى، بل نموذج تشغيل + أساس بيانات.

الخلاصة

SIEM جرد لعمليات الأمن — وليس العمليات ذاتها. المصداقية تأتي من مسارات يبحث فيها المشغّل بلغته، وكشف مربوط بأصول حقيقية، وقيادة تمول ضبط الأرباع لا الترخيص فقط.

للاطلاع على تسليم مرحلي، راجعوا دراسة حالة SOC أو احجزوا استشارة.

متابعة الاستكشاف

ناقش هذا الموضوع