عمليات الأمن المدعومة بالذكاء الاصطناعي: SIEM وSOAR وأزمة إرهاق المحللين

آلاف التنبيهات يومياً، صفر نوم

يتلقى مركز العمليات الأمنية (SOC) النموذجي ما بين 3,000 و11,000 تنبيه أمني يومياً، حسب حجم المؤسسة — حيث تقع المؤسسات الكبرى في أعلى هذا النطاق، وفقاً لـتقرير Panaseer لعام 2025 حول قادة الأمن وبتأكيد من أبحاث Gartner لعام 2025. من بين هذه التنبيهات، تتراوح نسبة الإنذارات الكاذبة بين 40% و80%، حسب نضج قواعد الكشف وبيئة المؤسسة. يجب على المحلل فرز كل تنبيه — تحديد ما إذا كان يمثل تهديداً حقيقياً أو نشاطاً عادياً — والتحقيق في التهديدات الحقيقية، واحتواء الحوادث النشطة، وتوثيق النتائج، والتصعيد عند الضرورة. يقومون بذلك في مناوبات من 8 إلى 12 ساعة، غالباً ليلاً، وبشكل متكرر تحت الطلب، وفي الغالب بنقص في الكوادر.

النتيجة متوقعة تماماً: الإرهاق المهني. وفقاً لـاستطلاع Tines حول الأتمتة، يعاني 71% من محللي SOC من الإرهاق المهني. وجد تقرير Sophos لعام 2025 حول التكلفة البشرية لليقظة أن 76% من متخصصي الأمن يعانون من إجهاد أو إرهاق سيبراني. وكشفت دراسة ISC2 لعام 2025 حول القوى العاملة في الأمن السيبراني أن 59% من متخصصي الأمن السيبراني يفكرون في تغيير مسارهم المهني — وقد أجرت الدراسة تحولاً منهجياً مهماً، حيث انتقلت من قياس “فجوة القوى العاملة” (التي كانت تُقدّر سابقاً بـ 4.8 مليون وظيفة شاغرة في 2024) إلى قياس “فجوة المهارات”، مع إفادة 59% من المستجيبين بوجود فجوات حرجة أو كبيرة في المهارات ضمن فرقهم، بارتفاع حاد من 44% في العام السابق.

هذه ليست مشكلة بشرية — إنها مشكلة منظومية. لقد تجاوز حجم بيانات القياس عن بُعد وتطور الهجمات وتعقيد بيئات تكنولوجيا المعلومات الحديثة ما يمكن للمحللين البشريين معالجته، حتى في أفضل مراكز العمليات الأمنية تجهيزاً. يجب أن يكون الحل تكنولوجياً: استخدام الذكاء الاصطناعي (AI) والأتمتة للتعامل مع الحجم، حتى يتمكن المحللون البشريون من التركيز على ما يتفوق فيه البشر — الحكم والإبداع واتخاذ القرارات الاستراتيجية.

---

الحزمة التكنولوجية لمركز العمليات الأمنية: SIEM وSOAR وXDR

يتطلب فهم الوضع الراهن لعمليات الأمن فهم ثلاث تقنيات مترابطة:

SIEM — إدارة معلومات وأحداث الأمن (Security Information and Event Management)

تجمع منصات SIEM وتُطبّع وتُربط أحداث الأمن عبر المؤسسة — جدران الحماية والأجهزة الطرفية والخوادم والخدمات السحابية وأنظمة البريد الإلكتروني ومزودي الهوية وقواعد البيانات والتطبيقات. يُجمّع نظام SIEM ملايين الأحداث يومياً في عرض موحد، ويُطبّق قواعد الكشف ومنطق الارتباط، ويُولّد تنبيهات عند اكتشاف أنماط مشبوهة.

يهيمن على سوق SIEM في 2026 أربعة مزودين، جميعهم معترف بهم في المربع السحري لـ Gartner لعام 2025 لـ SIEM:

• Microsoft Sentinel — نظام SIEM سحابي أصلي مبني على Azure، صُنّف كقائد في المربع السحري لـ Gartner لعام 2025. شهد Sentinel نمواً سريعاً بفضل التكامل الأصلي مع Microsoft 365 وEntra ID وDefender وخدمات Azure. يُلغي تسعيره القائم على الاستهلاك وبنيته بدون خوادم عمليات شراء الأجهزة وتخطيط السعة التي أعاقت عمليات نشر SIEM المحلية. يجعل تكامل Microsoft مع Security Copilot — بوكلاء ذكاء اصطناعي لصيد التهديدات وإحاطات استخبارات التهديدات والكشف الديناميكي — من Sentinel منصة رائدة لعمليات الأمن المدعومة بالذكاء الاصطناعي.
• Splunk (Cisco) — صُنّف أيضاً كقائد في المربع السحري لـ Gartner لعام 2025 — للعام العاشر على التوالي في ربع القادة. أصبح Splunk مملوكاً بالكامل لـ Cisco بعد صفقة استحواذ بقيمة 28 مليار دولار اكتملت في مارس 2024، مما جعل Cisco ثالث أكبر مزود أمني في العالم بعد Microsoft وPalo Alto Networks. تكمن قوة Splunk في لغة البحث القوية (SPL) ونظامه البيئي الضخم من التطبيقات والتكاملات ومرونته في التعامل مع أي مصدر بيانات. يبقى ضعفه في التكلفة: ترخيص Splunk القائم على حجم البيانات المُستوعبة يمكن أن يصبح باهظ الثمن على نطاق واسع.
• Google Security Operations (المعروف سابقاً بـ Chronicle) — نظام SIEM السحابي الأصلي من Google، صُنّف أيضاً كقائد في المربع السحري لـ Gartner لعام 2025 وStrong Performer في Forrester Wave: Security Analytics Platforms, الربع الثاني 2025. يجعل نموذج التسعير المتوقع (غير القائم على الحجم) مع 12 شهراً من الاحتفاظ بالبيانات الساخنة دون تكلفة إضافية جذاباً للمؤسسات ذات الأحجام العالية من البيانات. يُعد التكامل مع VirusTotal واستخبارات التهديدات من Mandiant (كلاهما مملوك لـ Google) ومنصة SIEM+SOAR الموحدة من العوامل المميزة الرئيسية.
• Elastic Security — نظام SIEM قائم على المصدر المفتوح مبني على حزمة Elasticsearch، صُنّف كصاحب رؤية (Visionary) في المربع السحري لـ Gartner لعام 2025 وقائد في Forrester Wave: Security Analytics Platforms, الربع الثاني 2025. يقدم Elastic نظام SIEM وأمن الأجهزة الطرفية وأمن السحابة في منصة موحدة مع تحقيق مدعوم بالذكاء الاصطناعي يستخدم التوليد المعزز بالاسترجاع (RAG). تجذب قواعد الكشف مفتوحة المصدر وخيار الاستضافة الذاتية وإمكانية النشر المحلي المؤسسات الحريصة على التكلفة وتلك التي لديها متطلبات إقامة البيانات.

SOAR — تنسيق وأتمتة واستجابة الأمن (Security Orchestration, Automation, and Response)

تُؤتمت منصات SOAR المهام المتكررة التي تستهلك وقت المحللين: إثراء التنبيهات باستخبارات التهديدات وربط التنبيهات ذات الصلة وتنفيذ إجراءات الاستجابة القياسية (حظر عنوان IP، عزل جهاز طرفي، إعادة تعيين كلمة مرور) وتوثيق مسارات عمل الاستجابة للحوادث. بلغت قيمة سوق SOAR حوالي 1.8 مليار دولار في 2025 ومن المتوقع أن تصل إلى 5.0 مليار دولار بحلول 2035، وفقاً لـFuture Market Insights.

قد يقوم دليل تشغيل SOAR لتنبيه تصيد احتيالي تلقائياً بـ: (1) استخراج عنوان المرسل وعناوين URL والمرفقات من البريد الإلكتروني المُبلّغ عنه، (2) فحص كل عنوان URL مقابل قواعد بيانات استخبارات التهديدات، (3) تفجير المرفقات في بيئة معزولة (sandbox)، (4) إذا كانت خبيثة، البحث عن جميع مستلمي البريد الإلكتروني عبر المؤسسة، (5) عزل البريد الإلكتروني من جميع صناديق الوارد، (6) حظر نطاق المرسل على بوابة البريد الإلكتروني، (7) التحقق مما إذا كان أي مستلم قد نقر على عنوان URL، (8) إذا كان كذلك، فرض إعادة تعيين كلمة المرور وإلغاء الجلسات النشطة لهؤلاء المستخدمين، و(9) إنشاء تذكرة حادث مع توثيق جميع النتائج. ما كان سيستغرق من المحلل 30 إلى 60 دقيقة يحدث في ثوانٍ.

منصات SOAR الرائدة في 2026: يتضمن Microsoft Sentinel نظام SOAR مدمج (أدلة تشغيل قائمة على Logic Apps). Palo Alto Networks Cortex AgentiX — خليفة XSOAR (المعروف سابقاً بـ Demisto)، أُعلن عنه في أكتوبر 2025 — هو منصة SOAR الوكيلية من الجيل التالي التي تدّعي تخفيض 98% في متوسط وقت الحل و75% أقل من العمل اليدوي. يتكامل Splunk SOAR (المعروف سابقاً بـ Phantom) مع SIEM الخاص بـ Splunk. CrowdStrike Charlotte Agentic SOAR، الذي أُطلق في نوفمبر 2025، يُنسّق وكلاء مدعومين بالذكاء الاصطناعي عبر دورة حياة الأمن باستخدام أدوات تحكم بلغة طبيعية. يوفر Google Security Operations أتمتة SOAR مدمجة.

XDR — الكشف والاستجابة الموسعة (Extended Detection and Response)

تُوحّد منصات XDR الكشف والاستجابة عبر الأجهزة الطرفية والبريد الإلكتروني والهوية والسحابة والشبكة — كاسرةً الصوامع بين أدوات الأمن المنفردة. بدلاً من تنبيهات منفصلة من وكيل الجهاز الطرفي وبوابة البريد الإلكتروني ونظام SIEM ومزود الهوية، يُربط XDR الإشارات عبر جميع مصادر القياس عن بُعد لبناء سردية حادث موحدة.

يمثل XDR تقارب SIEM وSOAR وEDR (الكشف والاستجابة على مستوى الأجهزة الطرفية) وأمن السحابة في منصة واحدة. يسعى قادة السوق — Microsoft (Defender XDR + Sentinel) وCrowdStrike (منصة Falcon) وPalo Alto Networks (Cortex XSIAM) — كل منهم لتحقيق هذه الرؤية من نقاط انطلاق مختلفة. يبرز XSIAM من Palo Alto بشكل خاص، حيث تجاوز مليار دولار في الحجوزات التراكمية في 2025: وجدت دراسة Forrester Total Economic Impact أن عملاء XSIAM حققوا عائد استثمار بنسبة 257% مع فترة استرداد أقل من ستة أشهر وتوفير 73% مقارنة بالنهج التقليدية.

---

الذكاء الاصطناعي في مركز العمليات الأمنية: ما الذي يعمل فعلاً في 2026

يُعد دمج الذكاء الاصطناعي في عمليات الأمن أهم تطور منذ ظهور SIEM نفسه. تتوقع Gartner أن 70% من مراكز العمليات الأمنية الكبرى ستُجرّب وكلاء الذكاء الاصطناعي لتعزيز عملياتها بحلول 2028، بينما من المتوقع أن ينمو سوق الأمن المُعزز بالذكاء الاصطناعي من 49 مليار دولار في 2025 إلى 160 مليار بحلول 2029. إليكم ما يعمل فعلاً، وما هو طموح، وما هو مجرد ضجة إعلامية:

ما يعمل: فرز التنبيهات المدعوم بالذكاء الاصطناعي

يمكن لنماذج الذكاء الاصطناعي المُدرّبة على بيانات التنبيهات التاريخية وقرارات المحللين ونتائج الحوادث تصنيف التنبيهات الواردة بدقة عالية: إيجابي حقيقي (تهديد فعلي) أو إيجابي كاذب (نشاط عادي) أو يحتاج تحقيقاً (غامض). تُبلّغ المؤسسات التي تنشر الفرز المدعوم بالذكاء الاصطناعي عن تخفيض بنسبة 60 إلى 80% في الإيجابيات الكاذبة التي تصل إلى المحللين البشريين، مع تحقيق بعض المنصات لدقة أعلى — يدّعي فرز InsightIDR بالذكاء الاصطناعي من Rapid7 دقة تصنيف تبلغ 99.93%.

التأثير العملي تحويلي: حيث يغطي الفرز اليدوي عادةً 22 إلى 40% فقط من التنبيهات الواردة، يحقق الفرز المدعوم بالذكاء الاصطناعي تغطية بنسبة 100% — يتم تقييم كل تنبيه بشكل متسق، مما يُزيل خطر دفن تهديد حرج تحت جبل من الإيجابيات الكاذبة.

يُنشئ Microsoft Sentinel حوادث مدعومة بالذكاء الاصطناعي تلقائياً عن طريق تجميع التنبيهات ذات الصلة وتعيين درجات الخطورة وتقديم ملخصات التحقيق عبر Security Copilot. يقوم Charlotte AI من CrowdStrike — الموصوف الآن بـ”المحلل الوكيلي” — بفرز الاكتشافات بدقة تتجاوز 98% ويُزيل أكثر من 40 ساعة من عمل الفرز اليدوي أسبوعياً في المتوسط، وفقاً لـ CrowdStrike.

ما يعمل: الاستعلام بلغة طبيعية

يتطلب التحقيق التقليدي في SIEM أن يكتب المحللون استعلامات معقدة بلغات متخصصة (SPL من Splunk، KQL من Sentinel). تسمح المساعدات الذكية للمحللين بالتحقيق بلغة طبيعية: “أرني جميع محاولات تسجيل الدخول الفاشلة من عناوين IP خارجية في الـ 72 ساعة الماضية، مُجمّعة حسب الحساب المستهدف.” يُترجم الذكاء الاصطناعي ذلك إلى لغة الاستعلام المناسبة وينفذه ويعرض النتائج.

يُقلّل هذا بشكل كبير من حاجز المهارات لمحللي SOC. يمكن للمحللين المبتدئين الذين لم يكونوا قادرين سابقاً على كتابة استعلامات معقدة الآن التحقيق بنفس القوة التي يتمتع بها المحللون المتمرسون — رغم أنهم لا يزالون بحاجة إلى المعرفة الأمنية لتفسير النتائج.

ما يعمل: توليد أدلة التشغيل الآلي وSOAR الوكيلي

كانت أدلة تشغيل SOAR تتطلب تقليدياً إنشاءً يدوياً من مهندسي أمن ذوي خبرة. يمكن للذكاء الاصطناعي الآن توليد اقتراحات لأدلة التشغيل بناءً على نوع التنبيه وبيئة المؤسسة وأفضل الممارسات. التطور الأحدث — SOAR الوكيلي — يذهب أبعد من ذلك. يسمح Cortex AgentiX من Palo Alto وCharlotte Agentic SOAR من CrowdStrike للمحللين ببناء ونشر وإدارة مسارات عمل مدفوعة بالذكاء الاصطناعي باستخدام اللغة الطبيعية وأدوات السحب والإفلات، دون كتابة كود. تربط هذه المنصات الأدوات وتُحدد حواجز الحماية وتُفعّل كلاً من أدلة التشغيل المنظمة ومسارات العمل التكيفية المدفوعة بالذكاء الاصطناعي.

ما هو طموح: الاستجابة المستقلة للحوادث

رؤية الذكاء الاصطناعي الذي يستجيب بشكل مستقل للحوادث الأمنية — الكشف والتحقيق والاحتواء والمعالجة دون تدخل بشري — هي الهدف الذي يسعى إليه كل مزود. يؤكد تقرير Innovation Insight من Gartner لشهر أكتوبر 2025 حول وكلاء الذكاء الاصطناعي في SOC أن “التعزيز يتفوق على الأتمتة” — يعمل الذكاء الاصطناعي بشكل أفضل عندما يُعزز المحللين البشريين بدلاً من استبدالهم بالكامل.

عملياً، تقتصر الاستقلالية الكاملة على سيناريوهات محددة ومنخفضة المخاطر: الحظر التلقائي لعناوين IP الخبيثة المعروفة، وعزل الأجهزة الطرفية المصابة ببرامج ضارة مؤكدة، أو تعطيل الحسابات المتورطة في هجمات القوة الغاشمة. بالنسبة للحوادث المعقدة أو ذات التأثير العالي (التحقيق في خرق البيانات، التهديد الداخلي، الاختراق من دولة)، يظل الحكم البشري ضرورياً. خطر الاستجابة الآلية الخاطئة — حظر خدمة مشروعة أو تعطيل العمليات التجارية أو تنبيه المهاجم بأنه تم اكتشافه — مرتفع جداً للاستقلالية الكاملة. تُحذّر Gartner من أن 15% فقط من مراكز العمليات الأمنية التي تُجرّب وكلاء الذكاء الاصطناعي ستحقق تحسينات قابلة للقياس دون تقييمات منظمة وأُطر حوكمة.

---

أزمة إرهاق المحللين

لا تحل التكنولوجيا وحدها مشكلة الإرهاق. تشمل العوامل الهيكلية التي تُغذي إرهاق المحللين:

النقص المزمن في الكوادر: معظم مراكز العمليات الأمنية تعاني من نقص كبير في الكوادر نسبةً إلى حجم التنبيهات ومشهد التهديدات. وجدت دراسة ISC2 لعام 2025 أن 33% من المؤسسات تفتقر إلى الموارد اللازمة لتوظيف فرقها بشكل كافٍ وأن 29% لا تستطيع تحمل تكاليف توظيف كوادر تمتلك المهارات التي تحتاجها. تنمو خدمات الأمن المُدارة بنسبة 11.1% في 2026، وفقاً لـ Gartner — وهو القطاع الأسرع نمواً في خدمات الأمن — حيث لا تستطيع المؤسسات التوظيف بالسرعة الكافية.

العمل بنظام المناوبات والطوارئ: تعمل العمليات الأمنية على مدار الساعة طوال أيام السنة. تُلقي المناوبات الليلية ونوبات الطوارئ في عطلات نهاية الأسبوع والعبء النفسي لتحمل مسؤولية أمن المؤسسة في جميع الأوقات ضريبة قابلة للقياس على الصحة النفسية والجسدية. تُشير أبحاث Dark Reading إلى أن 70% من محللي SOC الذين لديهم خمس سنوات أو أقل من الخبرة يتركون المهنة خلال ثلاث سنوات.

إجهاد التنبيهات: التحقيق في آلاف التنبيهات يومياً — الغالبية العظمى منها إيجابيات كاذبة — مُرهق معرفياً ومُحبط نفسياً. يؤكد استطلاع SANS لعام 2025 حول مراكز العمليات الأمنية أن 66% من فرق SOC لا تستطيع مواكبة أحجام التنبيهات الواردة. يصف المحللون الشعور بالبحث عن إبرة في كومة قش مع العلم أن فقدان الإبرة يعني اختراقاً.

غياب التطور المهني: يشعر العديد من محللي SOC بأنهم محاصرون في دوامة الفرز مع فرص محدودة للنمو المهني أو العمل الاستراتيجي أو تطوير المهارات. لا يبني العمل اليومي في فرز التنبيهات المهارات المتقدمة اللازمة لأدوار أمنية عليا.

التقليل من قيمة المؤسسة: فرق الأمن هي مراكز تكلفة تنجح عندما لا يحدث شيء. يُفسَّر غياب الحوادث المرئية على أنه دليل على أن الفريق غير ضروري بدلاً من كونه فعّالاً.

الحلول التي تتبناها المؤسسات المتقدمة:

• تدوير المحللين عبر أدوار مختلفة (الفرز، صيد التهديدات، الاستجابة للحوادث، هندسة الأمن) لمنع الرتابة وبناء مهارات متنوعة
• الاستثمار في الفرز المدعوم بالذكاء الاصطناعي لتقليل حجم العمل الروتيني والسماح للمحللين بالتركيز على التحقيقات المعقدة — بهدف قلب النسبة من 80% فرز / 20% تحقيق إلى العكس
• تطبيق سياسات طوارئ معقولة (مناوبات مدفوعة، حد أقصى للأيام المتتالية تحت الطلب، راحة إلزامية بعد الاستجابة للحوادث)
• إنشاء مسارات تطور مهني من محلل SOC إلى صائد تهديدات أو مهندس أمن أو مهندس معماري أمني
• قياس فعالية مركز العمليات الأمنية بالنتائج (متوسط وقت الكشف، متوسط وقت الاستجابة، منع الاختراق) بدلاً من مقاييس النشاط (التنبيهات المُغلقة في الساعة)

---

---

المصادر

• Panaseer — تقرير 2025 لقادة الأمن
• ISC2 — دراسة 2025 للقوى العاملة في الأمن السيبراني
• Tines — تقرير Voice of the SOC Analyst
• Sophos — Human Cost of Vigilance 2025
• Gartner — المربع السحري 2025 لـ SIEM
• Gartner — أبرز اتجاهات الأمن السيبراني لعام 2026
• Gartner — Innovation Insight: وكلاء ذكاء اصطناعي SOC 2025
• Microsoft — Sentinel وSecurity Copilot
• Splunk (Cisco) — قائد المربع السحري لـ SIEM 2025
• Google — Security Operations (SecOps)
• Elastic — Security SIEM
• CrowdStrike — Charlotte AI
• CrowdStrike — Charlotte Agentic SOAR
• Palo Alto Networks — Cortex XSIAM
• Palo Alto Networks — Cortex AgentiX
• Forrester — Total Economic Impact لـ Cortex XSIAM
• Rapid7 — فرز InsightIDR بالذكاء الاصطناعي
• SANS Institute — استطلاع SOC 2025
• Dark Reading — إرهاق محللي SOC