خطة تعلم SOC Analyst من الصفر للاحتراف

لو نفسك تدخل مجال الأمن السيبراني (Cyber Security) وتبدأ كـ SOC Analyst، البوست ده هيكون خريطتك من البداية للنهاية بخطة دراسية منظمة خطوة بخطوة.

أولًا: فهم الشبكات هو الأساس ​

قبل ما تبدأ في الأمن السيبراني، لازم تبني أساس قوي في الشبكات، وده عن طريق:

• دراسة +N أو CCNA، مش لازم تغوص فيها جامد، كفاية الأساسيات.
• افهم كويس يعني إيه:
  • OSI Layers
  • IP – Port – Protocol
  • Routing & Switching
  • DNS - DHCP
  • Domain Controller & Group Policy
  • الفرق بين UDP وTCP
  • مفهوم Port Security وARP Table

نصيحة : خليك فاهم مش حافظ، وادرس بشكل عملي على قد ما تقدر.

ثانيًا: اتعرف على Active Directory ​

ابدأ بدراسة جزء Active Directory Services وبيئة Windows Domain Environment من كورس MCSA.
الموضوع ده مهم جدًا لأن أغلب الشركات الكبيرة بتعتمد عليه في إدارة المستخدمين والسياسات الداخلية.

ثالثًا: خليك ملم بلينكس ​

رغم إن مش كل SOC Analysts بيحتاجوا لينكس، لكنه هيساعدك جدًا في فهم النظام، وتحليل الملفات والـ logs بعدين.

رابعًا: ادخل عالم السيكيورتي ​

ابدأ بمشاهدة السلسلة دي على يوتيوب
مقدمة الأمن السيبراني بالعربي (YouTube Playlist)

بعدها ذاكر:

• الكتابين التاني والتالت من SANS SEC401
• ثم الكتاب التاني من SANS SEC511

خامسًا: Incident Handling ​

اتعلم إزاي تتعامل مع الحوادث الأمنية، ممكن تبدأ من:
أول كتاب في SANS 504
أو شوف ملخص المهندس خالد علام (موجود في المرفقات).

لو عايز حاجه سريعة
سلسلة Incident Handling
الفيديو ده كمان مفيد

سادسًا: افهم SIEM Solutions ​

ده النظام اللي بيشتغل عليه الـ SOC Analyst في الشغل العملي.
ابدأ بسلسلة شرح IBM QRadar لأنها الأكتر شهرة في مصر:
شرح IBM QRadar بالعربي

سابعًا: ختامًا.. SOC Investigation ​

قبل ما تبدأ شغلك الفعلي، ذاكر الكورس ده:
SOC Investigation Course
هيساعدك تفهم إزاي تحقق في الحوادث الأمنية وتتعامل مع التهديدات الواقعية بمهارة.

نصيحة أخيرة ​

ابدأ خطوة بخطوة، خليك صبور، واشتغل على نفسك كل يوم شوية.
وممكن تبص على أول تعليق تحت المقال فيه الجزء العملي اللي هيساعدك تطبق اللي اتعلمته فعلاً.

 

يا شباب، جمعتلكم هنا أحسن الـ free rooms والموارد العملية اللي تقدر تتدرب عليها وانت ماشي في الـ roadmap بتاعك.

مفيش ترتيب مجبر تمشي عليه - اختار اللي يناسب مستواك وابدأ بالتدريج. المقال ده مفيد للمبتدئين وللي عايزين يرفعوا مستوى عمليهم في الـ Blue Team وThreat Hunting وForensics وSIEM.

Fundamentals - أساسيات لازم تكون متقنها​

أول حاجة قبل ما تغوص في الأدوات والتحقيقات: لازم تكون عندك قاعدة صلبة في لينكس والشبكات. الحاجات دي هتوفر عليك وقت وتلخبط وقت الشغل الحقيقي.
Linux fundamentals (basic):
https://tryhackme.com/r/room/linuxfundamentalspart1
Networking (easy):
https://tryhackme.com/room/introtonetworking
https://tryhackme.com/r/room/whatisnetworking
https://tryhackme.com/r/room/httpindetail
https://tryhackme.com/r/room/dnsindetail
Networking (mid):
https://tryhackme.com/room/rfirmware

SOC mentality - العقلية اللي هتمشي بيها في الشغل​

العقلية بتاعة الـ SOC مش بس أدوات، دي طريقة تفكير: تعرف تميز إشارة من الضوضاء، تبص للـ context، وتعرف تلخص الحادثة بسرعة.
(easy)
https://tryhackme.com/r/room/pyramidofpainax
https://tryhackme.com/r/room/cyberkillchainzmt

Main topics - الموضوعات الأساسية اللي تركز عليها​

Logs & SIEM - قلب كل SOC
Logs وSIEM هو اللي هتتعامل معاه في الشغل اليومي. ركز هنا على فهم أنواع الـ logs، parsing، normalization، وكيف تكتب قواعد كشف (detections).
(easy)
https://tryhackme.com/r/room/introtologs
https://tryhackme.com/r/room/servidae
https://tryhackme.com/r/room/introtosiem
(mid)
https://tryhackme.com/r/room/splunkexploringspl

Threat Hunting - البحث النشط عن التهديدات​

(easy)
https://tryhackme.com/r/room/introductiontothreathunting

Cryptography - أساسيات مهمة​

(mid)
https://tryhackme.com/r/room/cryptographyintro

Threat Intelligence - استخلاص المعلومات القابلة للعمل​

(easy)
https://tryhackme.com/r/room/cyberthreatintel
https://tryhackme.com/r/room/threatinteltools
(mid)
https://tryhackme.com/r/room/threatintelligenceforsoc

OSINT - جمع المعلومات العامة بشكل ذكي​

(easy)
https://tryhackme.com/r/room/ohsint

Forensics - التحليل الجنائي الرقمي​

(easy)
https://tryhackme.com/r/room/introductoryroomdfirmodule
https://tryhackme.com/r/room/memoryforensics
https://tryhackme.com/r/room/forensicimaging
(mid)
https://tryhackme.com/r/room/windowsforensics1

Malware Analysis - فهم البرمجيات الخبيثة​

(easy)
https://tryhackme.com/r/room/historyofmalware
https://tryhackme.com/r/room/introtodetectionengineering
https://tryhackme.com/r/room/malmalintroductory

OWASP Top 10 - أساسيات أمان التطبيقات​

(easy)
https://tryhackme.com/r/room/owasptop10
https://tryhackme.com/r/room/owasptop102021

Tools - أدوات لازم تجربها عمليًا​

(easy)
https://tryhackme.com/r/room/furthernmap
https://tryhackme.com/r/room/hydra
(mid)
https://tryhackme.com/r/room/snort
https://tryhackme.com/r/room/kape
https://tryhackme.com/r/room/tshark

Practice & Labs - طبّق واتعلم عمليًا​

لو عايز تطبق مفهوم الـ investigation أنصحك بـ Let’s Defend - فيها سيناريوهات عملية ممتازة والـ practice مجاني قوي جدًا:
https://www.letsdefend.io/

كمان جرب:

• Blue Team Labs
• Cyber Defenders
• PicoCTF
• Let’s Defend

ودول ادخل حل فيهم أي challenges عشوائي من غير ما تقرأ الحل، وافضل دور على الحل بإيدك - هتتعلم كتير أوي.

بالنسبة للـ SIEM Solution (Splunk)​

ودي ممكن تذاكرها من الصفحة بتاعتهم - الكورس مجاني:
https://www.splunk.com/en_us/training.html

ودي تحديات عملية من GitHub:
https://github.com/splunk/botsv1
https://github.com/splunk/botsv2
https://github.com/splunk/botsv3

نصايح عملية عشان تتعلم أسرع:

1. ابدأ بالـ Fundamentals (Linux & Networking) قبل الأدوات المتقدمة.
2. اقسم وقتك بين التعلم النظري والتطبيق العملي.
3. سجل ملاحظاتك بعد كل room.
4. حل التحديات بدون ما تشوف الحل.
5. ركز على أدوات منتشرة زي QRadar وSplunk لو بتجهز لسوق العمل في مصر.

الـ TryHackMe وLet’sDefend وSplunk هما مصادر ذهبية لو عايز تتعلم SOC عمليًا ومجاني. ركّز على Logs & SIEM، Threat Hunting، وForensics، وطبق كل حاجة عمليًا. التعلم العملي والتكرار هما اللي هيجهزوك فعلاً للشغل.