المركز الوطني للأمن السيبراني البريطاني

هل يمكن أن تؤذي اختياراتك من المقاييس SOC الخاص بك؟

من الاعتبارات عند تطبيق المقاييس هو أنه إذا تم استخدامها لتقدير الأداء، فإن الموظفين يُحفّزون على ‘تحسين’ المقاييس، مما قد يؤدي إلى نتائج سلبية. دعونا نبحث في بعض مقاييس SOC الشائعة، وكيف يمكن أن تؤدي عن غير قصد إلى تدهور قدرة SOC على اكتشاف التهديدات.

المقياس 1. عدد التذاكر المعالجة

عندما يؤدي نمط مشبوه في السجلات إلى تفعيل قاعدة تنبيه، فإنه عادةً ما ينتج تذكرة لتحليلها من قبل المحللين. المحلل المخصص للتذكرة يتعين عليه تقييم التنبيه، واتخاذ قرار بشأن ما إذا كان قد يكون:

  • هجومًا حقيقيًا يتطلب تصعيدًا إلى تحقيق / حادثة

أو

  • إيجابية خاطئة نتيجة لتقنية تنبيه معينة

في الغالبية العظمى من SOC التي رأيتها، تؤدي منطق التنبيه إلى الكثير من الإيجابيات الخاطئة. لقد رأيت SOC تركز على التذاكر حيث كانت تصل النسبة إلى 99% من التذاكر تُصنف كإيجابيات خاطئة. هذا يعني أن المحلل الذي يتم قياسه بناءً على ‘عدد التذاكر المعالجة’ مُحفز للعثور بسرعة على سبب لإغلاقها كإيجابية خاطئة، بدلاً من التصعيد أو التحقيق فيها.

المقياس 2. الوقت المستغرق لإغلاق تذكرة

يشبه ما سبق، ولكن المحلل مُحفز الآن أيضًا لنقر ‘إيجابية خاطئة’ بأسرع ما يمكن.

المقياس 3. عدد قواعد الكشف

مقياس خطير بحد ذاته، حيث تبدو الفوائد واضحة. من المنطقي أن نفترض أنه كلما زاد عدد القواعد للكشف عن ‘الأشياء السيئة’ سيؤدي ذلك إلى المزيد من الفرص ‘للكشف عن الأشياء السيئة’.

للأسف، نادرًا ما يكون هذا هو الحال.

مثل هذا المقياس يؤدي دائمًا تقريبًا إلى نتيجة سلبية وهي ‘تضخم التنبيهات’؛ حيث يتم تحفيز المحللين لكتابة أكبر عدد ممكن من القواعد، مما يزيد من المقياس. ومع ذلك، يؤدي هذا إلى إيجابيات خاطئة بالإضافة إلى قواعد غير فعالة. في أسوأ الحالات، رأيت قواعد منفصلة لكل مؤشر من مؤشرات الاختراق مثل عنوان IP.

المقياس 4. حجم السجلات المجمعة مقابل قيمة السجلات المجمعة

الكشف الفعال يتطلب سجلات جيدة، ورغم أن السجلات مفيدة جدًا لتحقيق الحوادث، فإن السجلات بمفردها لن تساعد في الكشف. لقد رأيت العديد من SOC التي تقوم باستيعاب كميات متزايدة باستمرار من السجلات، ولكن تلك السجلات غالبًا ما تحتوي إما على قيمة كشف محدودة، أو الـ SOC لا تستخدم السجلات في الكشف (لا تنبيهات ذات صلة، أو عمليات بحث عن تهديدات تحتاج إلى تلك السجلات).

زرت SOC حيث كانت واحدة من أكبر تغذيات السجلات من حيث الحجم لم يتم إعدادها بشكل صحيح، لذا كان لديهم فقط الأحرف الثلاثين الأولى من كل إدخال. ومع ذلك، لم يتم ملاحظة ذلك أبدًا، لذلك لم يقوموا بأي تنبيه ذو مغزى.

وأسوأ من ذلك، فإن جمع كميات متزايدة من السجلات ذات القيمة المحدودة يعني عمومًا أنه يمكن الاحتفاظ بالسجلات الموجودة لفترة أقل (حيث أن السجلات الإضافية ستتكبد تكاليف إضافية، أو تشغل مساحة قرص إضافية)

Source: UK NCSC (Cyber) (27 April 2026)

مقالات ذات صلة

زر الذهاب إلى الأعلى