SIEM
لتبسيط الأمر، فإن المنطق الكلاسيكي لنظام إدارة معلومات الأمان والأحداث (SIEM) يعمل على النحو التالي: إذا وقع الحدث (أ)، متبوعًا بالحدث (ب)، فقد يكون ذلك مؤشرًا على وجود هجوم، ويتعين إخطار اختصاصي أمان المعلومات. لكن في بيئة العمل اليوم، بات هذا السيناريو البسيط يخفق بشكل متزايد. ومنذ فترة وجيزة، حلل خبراؤنا حادثة بارزة: اخترق المهاجمون البنية التحتية لتحديثات برنامج Notepad++ الشهير، ونشروا برامج ضارة عبر آلية التحديث هذه. ومن المستحيل تمامًا وضع قواعد مسبقًا تكون مصممة خصيصًا لمواجهة مثل هذه السيناريوهات.
أصبحت الهجمات في حد ذاتها أكثر تطورًا: يستخدم المهاجمون أدوات مشروعة، وينفذون اختراقاتهم عبر سلسلة التوريد من خلال استهداف برامج تقع خارج النطاق الأمني للمؤسسة، كما يمددون سيناريوهاتهم على فترات زمنية متباعدة، ويخفون أفعالهم لتبدو كأنشطة طبيعية. بعبارة أخرى، لا “يقتحمون” البنية التحتية، بل في أغلب الأحيان يسجلون الدخول ببساطة ويستخدمون برامج مشروعة. ونتيجة لذلك، فإن القواعد الثابتة الكلاسيكية التي كنا نعتمد عليها في الماضي إما أنها تفشل في الانطلاق، أو تولد الكثير من التنبيهات الزائفة. وهذا بالضبط ما دفع نحو التحول إلى سيناريوهات ارتباط أكثر مرونة.
محتوى نظام إدارة معلومات الأمان والأحداث (SIEM) مُحدث ديناميكيًا
لم يعد محتوى الارتباط اليوم مجموعة ثابتة من القواعد، بل أصبح عملية مستمرة؛ فهو يتطور ويتكيف باستمرار مع التهديدات الحالية. وفي عام 2025 وحده، أطلقنا 55 تحديثًا لحزم القواعد لمختلف إصدارات ولغات نظام Kaspersky SIEM الخاص بنا. وخلال عام واحد فقط، أضفنا 10 حزم قواعد جديدة، بالإضافة إلى 250 قاعدة اكتشاف والعديد من التحسينات على المحتوى الحالي. وهذا العام، أضفنا بالفعل 43 قاعدة جديدة وحدثنا 63 قاعدة أخرى. وفي المجمل، يتجاوز هذا أكثر من 850 قاعدة تغطي جزءًا كبيرًا من إطار عمل MITRE ATT&CK.
تُكتب قواعد Kaspersky SIEM استنادًا إلى الرؤى المستمدة من خبرائنا الذين يحللون الهجمات الواقعية الحديثة: نعتمد بشكل أساسي على نتائج خدمة الاكتشاف والاستجابة المدارة (MDR) وأبحاث التهديدات الخاصة بنا. نتيجة لذلك، تغطي قواعدنا سيناريوهات متنوعة – بدءًا من الاستطلاع ووصولاً إلى تصعيد الامتيازات – التي تتضمن أحدث الأساليب التي يستخدمها المهاجمون. على سبيل المثال، يمكننا اكتشاف استخدام تقنيات الهجوم الجديدة مثل ToolShell.
بالإضافة إلى التحديثات الجدولة، يطلق الفريق بانتظام ما يُعرف بالمحتوى الطارئ — وهي مجموعات قواعد للاستجابة السريعة لتقنيات الهجوم الجديدة وغير المتوقعة. وفي فبراير، على سبيل المثال، تم إطلاق قواعد اكتشاف لتجاوز المصادقة في منتجات Fortinet عبر آلية تسجيل الدخول الموحد؛ حيث استخدم المهاجمون طلبات بروتوكول SAML مصممة خصيصًا للوصول إلى الأنظمة دون الحاجة إلى بيانات اعتماد.
من الأحداث المنفردة إلى سلاسل الهجوم
علاوة على ذلك، لم تعد قواعد نظام إدارة معلومات الأمان والأحداث (SIEM) الحديثة تصف أحداثًا منفردة، بل تصف تتابعات من الإجراءات. وتُبنى السيناريوهات حول مراحل الهجوم: بدءًا من الوصول الأولي، وصولاً إلى تصعيد الامتيازات وضمان البقاء. وتتعزز فاعلية نظام Kaspersky SIEM من خلال التكامل مع نظام Kaspersky EDR ومجموعات القواعد المخصصة لبيئة Active Directory، التي تطبق العشرات من سيناريوهات كشف الهجمات في مختلف المراحل. ويتيح لنا هذا النهج رؤية الصورة الكاملة، وليس مجرد إشارات منفصلة.
التكامل والرؤية الداخلية
هناك طريقة أخرى لتحسين فاعلية نظام إدارة معلومات الأمان والأحداث (SIEM) وتتمثل في توسيع مصادر البيانات. ويجمع نظام إدارة معلومات الأمان والأحداث (SIEM) الكلاسيكي الأحداث من مستويات مختلفة من البنية التحتية: بدءًا من السجلات ووصولاً إلى البيانات الغامرة من الأجهزة الطرفية والأنظمة الداخلية. بالإضافة إلى ذلك، يتضمن نظام إدارة معلومات الأمان والأحداث (SIEM) الخاص بنا مجموعات قواعد متخصصة لحلولنا الأخرى (مثل Kaspersky Security Center، وKaspersky Security for Mail Gateways، ومنصة Kaspersky Anti-Targeted Attack)، التي تتيح مراقبة إجراءات المسؤولين، وعمليات المصادقة، وحالة الخدمات. ونتيجة لذلك، يصبح النظام أداة ليس فقط لاكتشاف الهجمات، بل ومراقبة النشاط الداخلي أيضًا.
بشكل عام، لم يعد نظام إدارة معلومات الأمان والأحداث (SIEM) مجرد مجموعة من القواعد، بل تطور ليصبح منظومة اكتشاف محدثة باستمرار. ولا تُقاس فاعليته بعدد حالات الاكتشاف، بل بمدى أهميتها وترابطها ومدى دقة تعبيرها عن الإجراءات الفعلية للمهاجمين. ابقَ على اطلاع دائم بكل ما يخص منصة Kaspersky Unified Monitoring and Analysis Platform (SIEM) عبر زيارة صفحة المنتج الرسمية .
النصائح