الـ SOC هو الفريق والمنصّة المسؤولة عن مراقبة بيئة العميل على مدار الساعة، واكتشاف الهجمات، والاستجابة لها قبل أن تتحوّل إلى اختراق كامل. أي SOC ناجح يقف على ثلاثة أعمدة: People و Process و Technology، وغياب أي عمود يُسقط القيمة كلها. كـ presales architect مهمتك ليست شرح أدوات الـ SIEM بقدر ما هي ربط الـ SOC بمخاطر العميل الفعلية ومتطلبات الامتثال في الخليج.

• 1الـ SOC ليس منتجاً واحداً بل قدرة تشغيلية: People (محللون) + Process (playbooks وعمليات موثّقة) + Technology (SIEM و EDR و SOAR). بيع التقنية وحدها بدون الفريق والعمليات يترك العميل بأدوات لا تُنتج كشفاً حقيقياً.
• 2المحللون يُنظَّمون في مستويات (tiers): L1 للفرز والمراقبة الأولية، L2 للتحقيق العميق، L3 للـ threat hunting والتعامل مع الحوادث المعقّدة. عرض هيكل الفريق يطمئن العميل أن التنبيهات لن تضيع بين الموظفين.
• 3دورة العمل الأساسية: Collect → Detect → Triage → Investigate → Respond → Recover، تُقاس بمؤشرين يحبّهما العميل: MTTD (متوسط زمن الكشف) و MTTR (متوسط زمن الاستجابة). كلما قلّ الرقمان، قلّ أثر الاختراق المالي.
• 4خيارات النموذج التشغيلي ثلاثة: in-house SOC مملوك بالكامل، MSSP/MDR مُدار خارجياً، أو hybrid. في الخليج كثير من العملاء يبدأون بـ MDR لنقص الكوادر المؤهلة ثم ينتقلون تدريجياً إلى hybrid مع احتفاظهم بالتحكّم.
• 5في السعودية الـ SOC ليس رفاهية بل غالباً متطلب تنظيمي: ضوابط NCA (ECC) و SAMA Cyber Security Framework للقطاع المالي تفرض مراقبة وكشفاً واستجابة. اربط مقترحك بهذه الأطر لتحوّل المحادثة من تكلفة إلى امتثال إلزامي.

• معمارياً، تدفّق البيانات هو القلب: المصادر (endpoints, network, cloud, identity) تُرسل logs و telemetry إلى الـ SIEM (مثل Microsoft Sentinel, Splunk, QRadar) للربط والكشف، ثم الـ SOAR يؤتمت الاستجابة عبر playbooks. الـ EDR/XDR يضيف عمقاً على مستوى الجهاز. اعرض هذا التدفّق كطبقات لا كأدوات منفصلة، لأن قيمة الـ correlation تأتي من تكامل المصادر لا من جودة أداة واحدة.
• مقارنة المنافسين: Microsoft Sentinel (سحابي، تسعير بالاستهلاك، تكامل قوي مع M365/Azure ومناسب لمن يملك E5)، Splunk (الأقوى تحليلياً والأغلى، مرن جداً لكن تكلفة الـ ingestion مرتفعة)، IBM QRadar (تقليدي قوي في القطاع المالي وon-prem)، إضافة إلى موجة MDR مثل CrowdStrike Falcon و Arctic Wolf لمن يريد الخدمة المُدارة. اختر بناءً على بيئة العميل الحالية لا على تفضيلك التقني.
• سياق الخليج والتنظيم: في السعودية بيانات الـ logs الحسّاسة قد تخضع لمتطلبات data residency داخل المملكة (توجّهات NCA و PDPL)، ما يرجّح حلولاً سحابية بمناطق محلية مثل Azure/Oracle KSA regions أو نشراً on-prem. عامل الكوادر حاسم: نقص محللي L2/L3 السعوديين يجعل عرض MDR أو co-managed SOC أكثر واقعية، مع خطة Saudization تدريجية ونقل المعرفة كقيمة مضافة في المقترح.