الـ SIEM هو منصّة تجمع السجلّات (logs) من كل الأنظمة في المؤسسة، تربطها ببعضها، وتطلق تنبيهات عند اكتشاف سلوك مشبوه. كبائع حلول، دورك ليس شرح كل قاعدة (rule) بل ربط المنصّة بقيمة واضحة: رؤية موحّدة، اكتشاف أسرع، والتزام تنظيمي. في الخليج تحديداً، الـ SIEM صار شرطاً عملياً للامتثال لمتطلبات NCA و SAMA.

• 1الـ SIEM هو العين الموحّدة للمؤسسة: يجمع أحداث الأمن من الشبكة والسيرفرات والتطبيقات في مكان واحد. اشرح للعميل أن القيمة ليست التخزين، بل الربط (correlation) الذي يحوّل آلاف الأحداث المبعثرة إلى تنبيه واحد قابل للتنفيذ.
• 2ميّز بين SIEM و SOAR في حديثك مع العميل: الـ SIEM يكتشف ويُنبّه، والـ SOAR يؤتمت الاستجابة. كثير من العملاء يخلطون بينهما، وتوضيح الفرق يبني ثقتك كمستشار ويفتح باب صفقة متكاملة لاحقاً.
• 3مصادر السجلّات (log sources) هي العامل الأهم في نجاح المشروع. منصّة بلا مصادر كافية = صندوق فارغ. في العرض، اربط كل use case بمصادره: اكتشاف اختراق الحسابات يحتاج Active Directory و VPN logs، وحماية الـ cloud تحتاج Azure/AWS audit logs.
• 4نموذج التسعير (licensing model) هو السؤال الأول الذي يقلق العميل. اشرح بوضوح: Splunk يسعّر بحجم البيانات اليومي (GB/day)، Sentinel بالاستهلاك (pay-as-you-go per GB) داخل Azure، و QRadar بمعدّل الأحداث (EPS/FPM). سوء فهم هذا البند يفجّر الميزانية لاحقاً.
• 5التموضع التنظيمي يغلق الصفقة في الخليج. اربط الـ SIEM مباشرة بمتطلبات NCA ECC و SAMA CSF: الاحتفاظ بالسجلّات للمدة المطلوبة، المراقبة المستمرة، والقدرة على إثبات الكشف عن الحوادث عند التدقيق. هذا يحوّل المنصّة من تكلفة إلى ضرورة امتثال.

• معمارياً، كل SIEM يقوم على أربع مراحل: التجميع (collection عبر agents/connectors)، التطبيع (normalization لتوحيد صيغ السجلّات المختلفة)، الربط والتحليل (correlation engine)، ثم العرض والاحتفاظ (dashboards + retention storage). عند المقارنة، افحص أين يحدث الـ parsing وهل المنصّة سحابية بالكامل (Sentinel) أم تتطلب بنية تحتية محلية (QRadar/Splunk on-prem) — هذا يحدد التكلفة الكلية للملكية (TCO) وليس سعر الترخيص فقط.
• تموضع المنافسين الثلاثة: Splunk الأقوى في المرونة والبحث الحر على البيانات الضخمة وتحليلات IT/observability، لكنه الأغلى عند نمو البيانات. Microsoft Sentinel الأذكى عند العميل الذي يعيش أصلاً في Azure/M365 — تكامل أصيل، تسعير مرن، و AI مدمج، لكنه يربطك بمنظومة Microsoft. IBM QRadar الأنضج في بيئات المؤسسات التقليدية والقطاع المالي بفضل out-of-the-box use cases و DSMs الجاهزة، لكنه أثقل في التشغيل والتحديث. القاعدة: لا يوجد "أفضل"، يوجد "الأنسب لمنظومة العميل الحالية".
• سياق الخليج والتنظيم: في السعودية، NCA ECC تفرض المراقبة الأمنية المستمرة والاحتفاظ بالسجلّات، و SAMA CSF تشدد على الكشف والاستجابة للقطاع المالي. اعتبارات الـ data residency حاسمة — كثير من الجهات الحكومية وشبه الحكومية تشترط بقاء البيانات داخل المملكة، وهذا قد يرجّح نشراً on-prem أو سحابة محلية (مثل مناطق Azure/Oracle داخل السعودية) على نشر سحابي خارجي. اطرح دائماً سؤال "أين تُخزَّن سجلّاتنا جغرافياً؟" مبكراً لأنه يعيد تشكيل المعمار والتسعير معاً.