فهرس المحتويات
ما هو نظام رصد وكشف واستجابة مفتوح ومتكامل؟
XDR تعني الكشف والاستجابة الممتدة (أو عبر المنصات). هدفها هو دمج الأدوات المتباينة عبر مجموعة الأمان—EDR، SIEM، السحابة، والمزيد—لتوفير رؤية شاملة واحدة للتهديدات حتى تتمكن مؤسستك من اكتشافها والتحقيق فيها والتفاعل بسرعة لحماية نفسها.
نظام رصد وكشف واستجابة مفتوح ومتكامل (المعروف أيضًا باسم XDR الهجين) يختلف عن منصات XDR الأصلية أو الخاصة بالموردين. نظام رصد وكشف واستجابة مفتوح ومتكامل غير مرتبط بمورد معين، ويقدم تكاملًا عميقًا مع أفضل الأدوات من عدة موردين. يجمع نظام رصد وكشف واستجابة مفتوح ومتكامل بين التحليل المتقدم والمحتوى المعتمد في الميدان مع التكنولوجيا الحالية المنتشرة في الميدان، لتقليل التعقيد وزيادة الرؤية وتحسين إدارة المخاطر.
هذا المحتوى هو جزء من سلسلة حول XDR.
نظام رصد وكشف واستجابة مفتوح ومتكامل مقابل نظام XDR أصلي
يتم تقسيم XDR بشكل أساسي إلى نوعين:
- نظام رصد وكشف واستجابة مفتوح ومتكامل– يتعامل بشكل أساسي مع تكامل الأطراف الثالثة.
- نظام XDR أصلي– يوفر منصة شاملة.
كل نوع من منصات XDR يقدم مزايا تناسب حالات الاستخدام المختلفة.
نظام رصد وكشف واستجابة مفتوح ومتكامل
تتناسب أنظمة XDR المفتوحة مع المؤسسات التي لديها عدة بائعين منتشرون في بيئة تكنولوجيا المعلومات والأمن الخاصة بها. من المحتمل أن تكون البرامج الأمنية الأكثر تطورًا، وعادةً تلك الموجودة في المؤسسات الكبيرة التي قد تمتلك موارد أكثر، قد نشرت أدوات أمنية من أفضل الأنواع عبر عدة بائعين. تشير XDR المفتوحة إلى أنهم لا يحتاجون إلى إزالة واستبدال أجهزة الاستشعار الأمامية المستخدمة لإفساح المجال لطريقة XDR الأصلية المغلقة.
تُعتبر XDRs المفتوحة، بطبيعتها، مصممة لدمج مجموعة واسعة من التقنيات الأخرى بكفاءة ضمن مخطط بحث متماسك. يمكن للمؤسسات تحسين وتعزيز مجموعة أدواتها الحالية، مما يزيد من قيمتها وإنتاجيتها من خلال إضافة XDR مفتوح فوق مجموعة الأمان الخاصة بها لتوحيد متطلبات اكتشاف التهديدات والاستجابة والتحقيق. يمكن لفرق الأمان أيضًا إضافة أدوات جديدة ومزج العناصر من مختلف البائعين مع الاستفادة من XDR المفتوح الخاص بهم.
نظام XDR أصلي
بالنسبة للمنظمات التي تمتلك أمان تكنولوجيا المعلومات وبنية تحتية أكثر تجانسًا، قد يكون منتج XDR الأصلي كافيًا. الفرضية، التي يجب التحقق منها من خلال إثبات المفهوم (POC)، هي أن بائع واحد يمكنه دمج القدرات بشكل أكثر فعالية عبر الجوانب الأمامية والخلفية ضمن نظام ذلك البائع.
يمكن أن تكتشف المنظمات التي تمتلك منتجات أمان صادرة عن بائع واحد أن نظام XDR الخاص ببائعها هو الخيار الطبيعي. ومع ذلك، قد تكون هناك ثغرات في العمق والتغطية - خاصة عندما لا يقدم ذلك البائع قدرات الكشف الأساسية. لن يكون بائع XDR محلي واحد قادرًا على تقديم مستوى شامل من التغطية الأمنية على جميع مسارات الهجوم، وقد لا يمتلك العمق الكافي من القدرات في جميع المجالات التي يغطيها. أشار تقرير خرق البيانات لعام 2021 من IBM وPonemon إلى أن حل خرق البيانات يتطلب عادةً بيانات من 19 أداة. العثور على 19 أداة مناسبة من بائع واحد ليس بالأمر السهل.
علاوة على ذلك، مع هذا النهج قد يواجه العملاء قفل البائع، مما يعني أنهم قد يحتاجون إلى التخلي عن الأدوات المفضلة التي صنعها بائعون آخرون والاضطرار إلى الاكتفاء بتلك التي صنعها بائع XDR الخاص بهم. وهذا قد يعني، على سبيل المثال، أن المنظمات قد تضطر إلى استبدال EDR الخاص بها لتبني XDR محلي.
نظام رصد وكشف واستجابة مفتوح ومتكامل مقابل نظام إدارة معلومات الأمن: مقارنة الحلول
أنظمة إدارة معلومات الأمن والأحداث (SIEM) هي الخطوة السابقة لمنصات XDR. مثل XDR، تجمع SIEM البيانات من جميع أنحاء المؤسسات ومن أدوات مختلفة، ثم تنظم السجلات والأحداث لاستخدامها في الكشف عن التهديدات، والتحقيق، والاستجابة (TDIR). من بعض النواحي، يتمتع SIEM بنطاق أوسع من XDR، بما في ذلك وظائف مثل تخزين البيانات على المدى الطويل، وإعداد تقارير الامتثال.
في العديد من مراكز عمليات الأمن (SOCs)، من غير المحتمل أن تحل XDR محل SIEM بالكامل. من المحتمل أن يتواجد النظامان معًا، كل منهما يؤدي وظيفة مختلفة. أدناه نشرح الاختلافات الرئيسية بين SIEM وXDR المفتوحة.
| إدارة معلومات وأحداث الأمان | نظام رصد وكشف واستجابة مفتوح ومتكامل | |
|---|---|---|
| تغطية المجال | تغطية متعددة المجالات، بما في ذلك الكشف عن التهديدات، التحقيق والاستجابة؛ التقارير؛ الامتثال؛ والتخزين المركزي. | تغطية نطاق واحد (TDIR). |
| نهج التصميم | تم إنشاؤه للتخصيص ولحالات "الطوارئ". | تم إنشاؤه ليكون مركزًا حول TDIR الفعال. |
| موقع البيانات | بشكل عام، يُفترض أن البيانات يجب أن تكون مركزية في نظام إدارة معلومات الأمان (SIEM). | بشكل عام، يُفترض أن البيانات قد تُحتفظ في أي مكان، أو أنه ليس من الضروري الاحتفاظ بها على المدى الطويل. |
| نموذج التسليم | يمكن أن يتم تسليمها عبر السحابة، أو في الموقع، أو كليهما. | مقدم عبر السحابة. |
| تخزين | يوفر تخزينًا قابلًا للتوسع بلا حدود. | لا يوفر بالضرورة تخزيناً طويل الأمد. |
| نهج الكشف | مركز بشكل عام على التحليلات القائمة على الارتباط. | بشكل عام، تقدم تحليلات متقدمة تعتمد على التعلم الآلي. |
| نهج الأتمتة | يوفر بشكل عام الأتمتة؛ تنسيق مرن للغاية؛ ودلائل لحالات الاستخدام المتعلقة بـ TDIR وغير TDIR. | يوفر بشكل عام الأتمتة؛ TDIR محدد لحالات الاستخدام مع تنظيم إرشادي وكتب تشغيل. |
| موقع السوق | بشكل عام، تحل محل أو تزيح أنظمة إدارة المعلومات الأمنية التقليدية، أو أنظمة إدارة البيانات القديمة، و/أو بحيرات البيانات. | بشكل عام، يعزز أنظمة إدارة دورة حياة العملاء، وأنظمة إدارة معلومات الأمان القديمة، و/أو بحيرات البيانات. |
تتناول هذه المقارنة الاختلافات فقط. هناك أيضًا تشابهات تقنية متنوعة، مثل التكامل المفتوح مع أدوات الأمان، والتخزين طويل الأمد، والبحث الفعال، وصيد التهديدات، وكونها متوافقة مع السحابة.
اقرأ شرحنا المفصل حول XDR مقابل SIEM.
نظام رصد وكشف واستجابة مفتوح ومتكامل مقابل نظام إدارة معلومات الأمن: 3 اختلافات تقنية
نظام رصد وكشف واستجابة مفتوح ومتكامل يختلف عن أنظمة إدارة معلومات الأمن من حيث أربعة جوانب معمارية أساسية.
1. تطبيع البيانات والتحليل
في نظام XDR، يتم إجبار البيانات على أن تكون في حالة غنية وموحدة، ويتم ذلك قبل تخزين البيانات في بحيرة البيانات. عادةً ما يحتفظ نظام SIEM بالبيانات في شكلها الأصلي من السجلات أو مصادر الأحداث الأصلية.
بالنسبة لـ XDR، يتم تشغيل الربط والكشف عن التنبيهات تلقائيًا بواسطة الذكاء الاصطناعي، بينما يستخدم SIEM قواعد ربط مكتوبة بواسطة البشر لإنشاء أحداث ذات أهمية. وغالبًا ما يتطلب ذلك معرفة متخصصة أو خبرة، والتي قد لا تكون متاحة لدى جميع الموظفين.
تتناول مرحلة المعالجة المسبقة في XDR مشكلة جودة البيانات وتوحيدها، وهو ما يتطلبه بناء وصيانة ذكاء اصطناعي ذي مغزى. في مجال الأمن، يشير ذلك إلى ضرورة أن تكون البيانات مركزية ومُثرَاة ومُوَحَدة لتقليل تعقيد البيانات. إذا تم نمذجة البيانات بطرق مختلفة في كل نشر لمنصة، فسيكون من المستحيل الحفاظ على نماذج الذكاء الاصطناعي.
يتطلب XDR نمذجة البيانات بنفس الطريقة في كل نشر قبل أن تصل إلى بحيرة البيانات؛ البيانات متاحة فقط في حالتها المحسنة أو العادية.
نظام إدارة معلومات الأمان (SIEM) إما يقدم هذه الوظيفة كخيار إضافي أو لا يقدم هذه الميزة؛ في الحالة الاختيارية، يتم التعامل مع الإثراء والتطبيع كخطوة معالجة بعدية على البيانات الخام، التي تكون بالفعل في التخزين. لذلك، تكافح هياكل SIEM لإنتاج محرك ذكاء اصطناعي بنفس دقة XDR. يمكن لـ SIEM الاستفادة من الذكاء الاصطناعي، ومع ذلك، سيكون من الأكثر تحديًا توسيعه.
2. تصنيف التنبيهات
في نظام XDR، يتم إنشاء الحوادث من التنبيهات المتصلة، حيث يتم تنسيق استجابة واحدة على نفس المنصة. بالمقارنة، يقوم نظام SIEM بإرسال التنبيهات إلى منصة SOAR منفصلة، والتي تقوم بعد ذلك بتنفيذ الاستجابة والتنسيق.
يؤدي نظام رصد وكشف واستجابة مفتوح ومتكامل الاستجابة والتنسيق كجزء من المنصة. يتم بناء هيكل أعلى من الأحداث الأمنية الفردية، ويستجيب نظام رصد وكشف واستجابة مفتوح ومتكامل للحادث ككل.
على النقيض من ذلك، يقوم نظام SIEM بتمرير التنبيهات إلى نظام SOAR، الذي يتعين عليه ربط التنبيهات مع مجموعة محدودة من القواعد دون تحليل أعمق لكل ما يحدث في البيئة. نظام رصد وكشف واستجابة مفتوح ومتكامل ينشئ استجابة مشابهة لما يقوم به نظام SOAR ونظام SIEM، ومع ذلك، فإن دقة الاستجابة محسنة بشكل ملحوظ، لأن نظام XDR يستخدم ارتباطات وكشفات مدفوعة بالذكاء الاصطناعي، حيث تكون جميع البيانات متاحة.
3. أدوات موحدة
في نموذج XDR، يتم توحيد الأدوات اللازمة لعمليات الأمان في منصة واحدة، بما في ذلك UEBA، بحيرة البيانات، SOAR، TIP، EDR، أو NDR. تشمل أنظمة SIEM فقط بحيرة البيانات، مما يعني أن مستخدمي SIEM يجب عليهم دمج أدوات معقدة متنوعة بأنفسهم. تقدم العديد من حلول SIEM قوائم موسعة من التخصيصات العميقة والإضافات، لكن المسؤولية عن تكوين وبناء النظام تقع على عاتق المستخدم أو المدمج.
التأثير الرئيسي لهذا الفرق هو الوقت ورأس المال والموارد التي يتطلبها تشغيل منصة الأمان. تعتبر أنظمة SIEM مكلفة في التشغيل لأنها تقنيات مفتوحة النهاية. بينما تعتبر منصات نظام رصد وكشف واستجابة مفتوح ومتكامل تقنيات توجيهية، مما يسمح للمنظمات باستخدامها بشكل أكثر كفاءة.
نظام رصد وكشف واستجابة مفتوح ومتكامل مقابل نظام إدارة معلومات الأمن: أيهما الأنسب لمنظمتك؟
إذا كانت التغطية الوظيفية تركز فقط على TDIR عبر مجموعة متنوعة، فإن الأداة التي تعالج تلك الوظيفة (open XDR) قد تكون خيارًا أفضل. وهذا يوفر وقتًا أقصر لتحقيق القيمة مقارنةً بأداة عامة الاستخدام، مثل SIEM.
ومع ذلك، إذا كانت التغطية الوظيفية تمتد إلى ما وراء TDIR، فقد يكون نظام SIEM هو الأفضل. قد لا تكون XDR قادرة على تلبية هذه المتطلبات الإضافية، على سبيل المثال، إذا كانت تتعلق بالتخزين المركزي أو الامتثال.
قد ترغب منظمة ما في البدء بمتطلب محدد يتعلق بـ TDIR ثم تسعى لتوسيع نطاقها ليشمل أجزاء مختلفة من عمليات الأمان، بما في ذلك مركزية السجلات أو الامتثال. يجب على هذه المنظمات العثور على بائعين يقدمون XDR مفتوح مع مسار ترقية بسيط إلى SIEM مع ميزات كاملة، على سبيل المثال من خلال إضافة حزم الامتثال أو التخزين أو قدرات عرض البيانات غير المتعلقة بـ TDIR.
بغض النظر عن ما سبق، يجب على المنظمة أن تعطي الأولوية للأدوات التي توفر محتوى جاهز للاستخدامات الأساسية والمتقدمة، والتي يمكن تسليمها على نطاق واسع مع استراتيجية قائمة على النتائج.
إكزابين نظام رصد وكشف واستجابة مفتوح ومتكامل
الرصد والكشف والاستجابة الموسعة، وهو حل يتم تقديمه عبر السحابة، هو نظام رصد وكشف واستجابة مفتوح ومتكامل يتبنى نهجًا قائمًا على النتائج ويقدم تدفقات عمل وصفية ومحتوى محددًا للتهديدات معبأ مسبقًا لحل مشكلة اكتشاف التهديدات والتحقيق فيها والاستجابة لها (TDIR) بكفاءة.
تجمع التكاملات المسبقة البناء مع المئات من أدوات الأمان التابعة لجهات خارجية وتحليلات السلوك الرائدة في السوق بين الإشارات الضعيفة من عدة منتجات وفهم السلوك التشغيلي الطبيعي لاكتشاف التهديدات المعقدة التي تفوتها الأدوات الأخرى. تمكّن سير العمل المحددة والمحتوى المعبأ مسبقًا الذي يركز على أنواع التهديدات المحددة مراكز العمليات الأمنية (SOCs) من تحقيق نتائج أكثر نجاحًا في إدارة التهديدات. إن أتمتة أنشطة الفرز والتحقيق والاستجابة من خلال لوحة تحكم مركزية واحدة تعزز إنتاجية المحللين وتقلل من أوقات الاستجابة.
مزيد من شروحات XDR
تعلم المزيد عن إكزابييم
تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.
-
ندوة عبر الإنترنت
From Human to Hybrid: How AI and the Analytics Gap Are Fueling Insider Risk
-
مدونة
Exabeam Named a Leader for the Sixth Time in the 2025 Gartner® Magic Quadrant™ for Security Information and Event M...
-
دليل
ستة أسباب تجعل نظام إدارة معلومات الأمان (SIEM) قد يبقى في الموقع لدعم عمليات الأمان.
