تدريب SOC على MITRE ATT&CK للمحللين الجزائريين (2026)

نُشر في أبريل 19, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

تخلق استراتيجية الأمن السيبراني الجزائرية والمرسوم 26-07 وظائف SOC بوتيرة أسرع مما تستطيع الجامعات تخريج محللين معتمدين. يُعدّ MITRE ATT&CK — مجاني ومحايد تجاه الموردين وإطاراً عالمياً قياسياً — أسرع طريقة لتحويل الموظفين الجدد إلى مهندسي كشف منتجين. مسار مدته ستة أسابيع مبني على تدريب MITRE المجاني وAtomic Red Team وتقييمات SOC من MAD20 وATT&CK Navigator يمكن أن ينقل المحلل المبتدئ من دور مُغلق التذاكر إلى رسم خرائط التهديدات دون ميزانية جديدة.

خلاصة: يجب على كل SOC جزائري — عام أو خاص — تبني ATT&CK كعمود فقري افتراضي لتأهيل المحللين في 2026. يشكل فرع ISC2 Algeria وOWASP Algiers والمدرسة الوطنية للأمن السيبراني في سيدي عبد الله المراسي المجتمعية الطبيعية لهذا العمل.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائرمرتفعة▾

المرسوم 26-07 واستراتيجية الأمن السيبراني يخلقان آلاف الوظائف في SOC عبر الحكومة والبنوك والاتصالات والطاقة. التدريب المنظم على ATT&CK هو أسرع طريقة لجعل التوظيفات الجديدة منتجة.

أفق العملفوري▾

كل مواد التدريب المشار إليها هنا مجانية ومتاحة عبر الإنترنت اليوم. يستطيع قائد SOC بدء الأسبوع 1 يوم الاثنين التالي.

الأطراف المعنيةمدراء SOC، رؤساء وحدات الأمن السيبراني بموجب المرسوم 26-07، CISO البنوك، فرق أمن الاتصالات، أعضاء هيئة التدريس في المدرسة الوطنية للأمن السيبراني، مدراء مراكز التكوين المهني

نوع القرارتكتيكي▾

قرار تنفيذي لقادة فرق SOC، وليس استثماراً استراتيجياً. التكلفة تُقاس بوقت المحلل، لا بالرخص.

مستوى الأولويةمرتفع▾

جودة محلل Tier-1 هي حالياً عنق الزجاجة في معظم مراكز SOC الجزائرية. سدّ هذه الفجوة له مردود قصير الأجل قابل للقياس في جودة الفرز والإبلاغ إلى CISO.

خلاصة سريعة: ينبغي على قادة SOC الجزائريين تبني إطار MITRE ATT&CK كعمود فقري افتراضي لتأهيل المحللين. نفّذ منهج الستة أسابيع أعلاه مع كل محلل مبتدئ جديد، اجعل ربط ATT&CK إلزامياً في ملاحظات إغلاق التذاكر، ونسّق مع فرع ISC2 Algeria وOWASP Algiers لجعل مجموعات دراسة ATT&CK حدثاً مجتمعياً متكرراً.

لماذا يهم ATT&CK في مراكز SOC الجزائرية الآن

تولّد الاستراتيجية الوطنية للأمن السيبراني 2025-2029 طلباً على مراكز SOC أسرع من المعروض من المواهب. تنشئ كل وزارة وبنك وشركة اتصالات ومرفق عمومي وحدة أمن سيبراني بموجب المرسوم الرئاسي 26-07، وتصف Systelium اليوم الجزائر كمركز ناشئ للأمن السيبراني في منطقة MENA بفضل القوى العاملة المعتمدة تنافسية التكلفة التي يتم تكوينها في المدرسة الوطنية الجديدة للأمن السيبراني في سيدي عبد الله ومدارس الهندسة القائمة.

ليست المشكلة في التوظيف. المشكلة هي تحويل الموظفين الجدد إلى محللين قادرين على قراءة تنبيه SIEM وربطه بتقنية عدو والتوصية بخطوة احتواء. هذه هي الفجوة التي بُني إطار عمل MITRE ATT&CK لسدّها.

يمنح ATT&CK المحلل ثلاثة أشياء لا توفرها شهادة موردٍ محدد وحدها: مفردات مشتركة (T1078 «Valid Accounts» يعني الشيء نفسه في بنك جزائري وعند مصنع سيارات ألماني)، وخريطة كشف (إذا كنتَ أعمى عن T1003 dump لبيانات الاعتماد فستفوِّت معظم مقدمات برامج الفدية)، وطريقة منظمة لقياس تغطية SOC — ما تسميه MITRE تقييم SOC.

منهج الستة أسابيع الذي يمكن لأي قائد SOC جزائري تشغيله

هدف هذا المنهج ليس إنتاج خبير معتمد خلال ستة أسابيع. هدفه إنتاج محلل قادر على استيعاب تنبيه SIEM حقيقي، ووسمه بمعرّف تقنية ATT&CK الصحيح، والرجوع إلى إرشادات الكشف والتخفيف الموثقة، وكتابة ملاحظة فرز مفيدة.

الأسبوع 1 — أساسيات ATT&CK. تسجيل المحلل في تدريب ATT&CK Fundamentals المجاني من MITRE، الذي يغطي التكتيكات والتقنيات والإجراءات ومصادر البيانات ومتصفح المصفوفة. الواجب: فتح مصفوفة ATT&CK Enterprise، اختيار ثلاث تقنيات أي كان، ورسم مخطط من صفحة واحدة يُظهر كيف تتسلسل في هجوم واقعي.

الأسبوع 2 — الربط مع SIEM لديكم. أخذ أكثر خمس قواعد كشف نشاطاً في SIEM أو EDR، وربط كل واحدة بمعرّف تقنية ATT&CK. إذا تعذّر ربط قاعدة بشكل نظيف، فهذه علامة على أنها إمّا عامة جداً («PowerShell مشبوه») أو ضيقة جداً (مطابقة IOC محددة). يمتلك المحلل الآن وثيقة ربط حيّة.

الأسبوع 3 — Atomic Red Team في sandbox. يوفر مشروع Atomic Red Team المفتوح المصدر التابع لـ Red Canary مئات الاختبارات الصغيرة المفهرسة بحسب ATT&CK. أنشئ جهازاً افتراضياً معزولاً بنظام Windows 10/11، واختر عشرة اختبارات ذرية عبر ثلاثة تكتيكات (Execution، Persistence، Defense Evasion)، وشغّلها وتأكد من أن أدوات SOC لديكم تطلق تنبيهاً فعلاً. حيث لا تفعل، يسجّل المحلل فجوة كشف.

الأسبوع 4 — التحويل من Threat Intelligence إلى ATT&CK. اختر ثلاثة تقارير اختراق حديثة من مدونات الموردين (Unit 42، Mandiant، Group-IB، Kaspersky). لكل تقرير، يستخرج المحلل تقنيات ATT&CK المذكورة ويبني «طبقة» صغيرة لفاعل التهديد في ATT&CK Navigator المجاني. هذه هي المهارة التي تتيح للمحلل الإجابة عن سؤال «هل نحن مغطون ضد Scattered Spider؟» بإجابة أفضل من التخمين.

الأسبوع 5 — تطبيق SOC Assessment. يعلّم مساق ATT&CK SOC Assessments من MAD20 عملية مضغوطة وقابلة للتكرار لتقييم تغطية SOC مقابل ATT&CK. حتى دون شراء الشهادة، فإن المعاينات المجانية إضافة إلى منهجية MITRE المنشورة تمنح فريق SOC الجزائري طريقة قابلة للدفاع عنها لإبلاغ CISO عن التغطية كنسبة مئوية من التقنيات المرصودة أو المرصودة جزئياً أو العمياء.

الأسبوع 6 — المشروع الختامي: كتابة قاعدة كشف. يختار المحلل تقنية ضعيفة التغطية، ويكتب قاعدة كشف (Sigma أو KQL أو Splunk SPL)، ويختبرها ضد اختبار Atomic Red Team من الأسبوع 3، ويوثّق القاعدة ومعدل الإيجابيات الكاذبة والفجوة المتبقية.

في نهاية الأسابيع الستة، يكون المحلل قد لمس كل طبقة من الإطار وأنتج ثلاثة مخرجات قابلة لإعادة الاستخدام: ربط القواعد بالتقنيات، ولقطة تغطية ATT&CK، وقاعدة كشف جديدة. هذا محلل SOC مبتدئ قابل للدفاع عنه.

ربط ذلك بالبنية التحتية القائمة في الجزائر

لا يحتاج قادة SOC الجزائريون إلى اختراع ذلك من الصفر. ثلاث روافع محلية تسهّل تشغيل المنهج.

ISC2 Algeria وOWASP Algiers. ينظم فرع ISC2 El Djazair وOWASP Algiers مجموعات دراسة مجتمعية. تندمج نوادي قراءة ATT&CK بشكل طبيعي في تقويم CTF واللقاءات القائم.
المدرسة الوطنية للأمن السيبراني، سيدي عبد الله. برامج الهندسة والدكتوراه في المدرسة أكاديمية بطبيعتها، لذا يمكن لـ SOC المؤسسية عرض تربصات تستوعب الطلبة المتقدمين في عمل كشف حقيقي — وهو عملياً مشروع ختامي ATT&CK حيّ.
285 ألف مقعد تكوين مهني في 2026. يشمل مخطط التكوين المهني الموسّع للجزائر مسارات أمن سيبراني. ينبغي على قادة SOC الضغط على مراكز CFPA في الجزائر العاصمة ووهران وقسنطينة لإضافة وحدة ATT&CK Fundamentals، لأن الطلاب المسجلين سيكونون محللي Tier-1 الذين سيوظفونهم في 2027.

ماذا يجب أن يتوقع المديرون أن يتغير

ثلاثة أمور تتحسن بوضوح بعد أن يمر فريق SOC بهذا المنهج.

أولاً، جودة التذاكر. تتوقف ملاحظات الإغلاق عن قول «تم الحظر بواسطة AV، مغلق» وتبدأ بقول «T1566.001 spearphishing attachment، محمِّل من نوع Emotet، تم الحظر عند endpoint؛ فحص persistence نظيف.» هذا تقدم قابل للقياس.

ثانياً، الإبلاغ إلى CISO. بدلاً من مقاييس الحجم («أغلقنا 1,200 تنبيه هذا الشهر»)، يستطيع SOC الإبلاغ عن اتجاهات تغطية ATT&CK — نسبة التقنيات الشائعة التي يستطيع SOC رصدها، مع خطة ملموسة للتقنيات العمياء. يفهم CISO والمدققون وأعضاء المجلس هذه اللغة.

ثالثاً، الاحتفاظ بالموظفين. يكتسب المحللون الذين يتعلمون ATT&CK مهارة قابلة للنقل ومعترف بها دولياً. على المدى القصير، هذا يجعلهم أصعب في الاستبقاء، لكنه يجعل SOC أيضاً أكثر جاذبية للمحللين الكبار الذين يعاني أصحاب العمل الجزائريون من توظيفهم. المقايضة هي الصحيحة.

أين يترك ذلك قادة SOC الجزائريين

ATT&CK مجاني ومحايد تجاه الموردين ولغة التواصل العالمية لهندسة الكشف. لا يوجد سبب لأن لا يستخدمه SOC جزائري — عمومي أو خاص، الجزائر العاصمة أو وهران، بنك أو وزارة — بطلاقة بحلول نهاية 2026. المنهج أعلاه نقطة انطلاق جاهزة؛ لا يتطلب ميزانية جديدة أو موردين جدد أو سفراً. يتطلب قائد SOC يحجز ستة أسابيع في تقويم التدريب ويلتزم بها.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

هل يحتاج محللو SOC لدينا إلى شهادة مدفوعة لاستخدام MITRE ATT&CK؟

لا. الإطار نفسه مجاني، وتنشر MITRE تدريب ATT&CK Fundamentals بدون رسوم. توفر MAD20 شهادات مدفوعة (ATT&CK SOC Assessments، CTI، Threat Hunting) للمحللين الذين يريدون اعتماداً رسمياً، لكن يمكن لـ SOC جزائري تحقيق إتقان تشغيلي كامل بالاعتماد فقط على المحتوى المجاني وAtomic Red Team والموارد المجتمعية مثل ISC2 Algeria وOWASP Algiers.

كيف يتوافق ATT&CK مع شهادات مثل CISSP أو CEH التي يقدّرها أصحاب العمل الجزائريون بالفعل؟

ATT&CK مكمّل، لا منافس. يغطي CISSP الحوكمة والبنية؛ ويغطي CEH الأدوات الهجومية. لا يعطي أي منهما المحلل لغة مشتركة لوصف ما تلتقطه قاعدة الكشف فعلياً. عملياً، يدرج مدراء التوظيف في البنوك والاتصالات الجزائرية بشكل متزايد إتقان ATT&CK جنباً إلى جنب مع CISSP أو CEH كمهارة مفضلة، لأن هذا ما يتطلبه العمل اليومي في SOC.

هل تستطيع المدرسة الوطنية للأمن السيبراني في سيدي عبد الله دمج ATT&CK في منهجها؟

ينبغي ذلك، ولا يوجد حاجز تقني. يُدرَّس ATT&CK بالفعل كإطار مرجعي في معظم برامج الماجستير الدولية في الأمن السيبراني. إضافة وحدة مخصصة في سيدي عبد الله، إضافة إلى تربصات ختامية قائمة على ATT&CK مع مراكز SOC جزائرية، ستمنح الخريجين مهارة تشغيلية تتطابق مباشرة مع احتياجات أصحاب العمل من اليوم الأول.