XDR مقابل SIEM: القدرات الحالية وكيف ستتطور

ما هو XDR؟

خدمات الكشف والاستجابة الممتدة (XDR) توفر قدرات الكشف عن التهديدات والتحقيق والاستجابة (TDIR). تقدم خدمات XDR تغطية مدخلات مرتبطة ضد مجموعة متنوعة من التهديدات من أدوات الأمان المتباينة في النظام مع سرعة في تحقيق القيمة. لأداء فعال وتعظيم رأس المال البشري، تستخدم خدمات XDR التحليلات المتقدمة والأتمتة.

حلول XDR جاهزة للعمل في السحابة وتميل إلى أن تكون مقدمة عبر السحابة. تقدم بائعي XDR تغطية لمجموعة متنوعة من السيناريوهات المتعلقة بالتهديدات، بدءًا من هجمات أدوات القراصنة البسيطة ضد خوادم الويب إلى التهديدات المعقدة مثل برامج الفدية والحركة الجانبية من خلال تسريب البيانات. تم تصميم حلول XDR لتناسب البيئات المتنوعة وتمكين تحقيق قيمة فورية كحل شامل.

ما هو SIEM؟

تستخدم حلول إدارة المعلومات الأمنية والأحداث (SIEM) وظيفة إدارة المعلومات الأمنية (SIM) وقدراتها بالتزامن مع وظائف إدارة الأحداث الأمنية (SEM) وتجمعها في منصة واحدة.

تقوم منصات SIEM بنشر وكلاء جمع البيانات عبر نظام تكنولوجيا المعلومات و/أو تجميع سجلات الأحداث والتنبيهات المتعلقة بالأمان من مواقع متعددة، بما في ذلك أجهزة المستخدم النهائي، وأجهزة مراقبة الشبكة، وسجلات أنظمة الخوادم، بالإضافة إلى أجهزة الأمان مثل موازني الأحمال المحيطية وجدران الحماية، وأنظمة منع/كشف التسلل (IPS/IDS)، وجدران الحماية للوصول إلى الويب (WAF)، وبرامج مكافحة الفيروسات.

تُكلف وكلاء التجميع بإرسال الأحداث إلى مستودع بيانات مركزي، وتصنيف الأحداث حسب شدة معينة و/أو توقيت لتتم مراجعتها من خلال وحدة إدارة مركزية. تتيح أنظمة إدارة معلومات الأمن (SIEM) للمحللين الأمنيين رؤية الأحداث والتنبيهات عند تسليمها واستكشاف هذه البيانات للحوادث.

بالإضافة إلى ذلك، غالبًا ما توفر أنظمة إدارة معلومات الأمان (SIEMs) قدرات تقارير الامتثال لمتطلبات مثل PCI وSOX وHIPAA وGDPR.

ما هي قدرات XDR؟

كشف التهديدات– يقوم حل XDR بتحليل كل من حركة المرور التي تمر عبر مركز البيانات (المعروفة بحركة المرور شرق-غرب) والبيانات المتدفقة بين مركز البيانات والشبكات الأخرى (المعروفة بحركة المرور شمال-جنوب). يمكن أن يحسن كشف التسلل، ولكنه يدعم أيضًا نموذج أمان يعتمد على الثقة الصفرية من خلال تحديد التهديدات التي توجد بالفعل في شبكتك. يجمع XDR بيانات الأحداث مع معلومات التهديدات ويستخدم تحليلات سلوكية لتحديد الأنشطة المشبوهة أو الشاذة في البيئة، بما في ذلك التهديدات من نوع يوم الصفر.

استجابة الحوادث– توفر حلول XDR مجموعة من الأدوات لمساعدة فرق الأمان على الاستجابة للتهديدات المكتشفة في بيئتها. يتم تصنيف التنبيهات وتجمعها في حالات هجوم، مما يسمح لمحللي الأمان برؤية الخلفية الكاملة للهجوم دون الحاجة إلى مزيد من التحليل الجنائي. توفر حل XDR واجهة مستخدم مركزية واحدة للتحقيق في الحوادث واستجابة الهجمات. كما أنه يدعم تنسيق الأمان، مما يسمح لفرق الأمان بالاستجابة للهجمات من نفس الواجهة التي يستخدمونها لمراقبة وتصنيف التهديدات.

التقسيم الدقيق– تقدم حلول XDR قدرات تقسيم دقيق على مستوى عبء العمل، والتطبيق، والمستخدم. وهذا يمكّن من تنفيذ سياسات الأمان والتحكم في الوصول بشكل متسق عبر مراكز البيانات المعدنية والبيانات السحابية المتعددة، مما يقلل من سطح الهجوم ويمنع الحركة الجانبية.

التحكم في نقاط النهاية– تحسين قوائم السماح والقوائم السوداء يعزز التحكم في سلوك نقاط النهاية، من خلال السماح فقط بالعمليات المعروفة بأنها جيدة. هذا يجعل من الممكن تأمين البيئات عالية المخاطر، مثل الأجهزة ذات الوظائف الثابتة أو أجهزة إنترنت الأشياء.

تحسين الإنتاجية– فرق الأمان مثقلة بالتنبيهات التي تفتقر إلى المعلومات والسياق، وعندما يكتشفون تنبيهاً ذا مغزى، يجب عليهم التحقيق والرد عليه باستخدام أدوات مختلفة متعددة. يزيد XDR من الكفاءة التشغيلية من خلال استخدام الذكاء الاصطناعي لتجميع جداول زمنية للهجمات تلقائياً، مما يقلل من الوقت اللازم لتصنيف الحوادث وتحديدها والتحقيق فيها. كما يوفر منصة متكاملة واحدة للتحقيق والرد على التنبيهات.

الكفاءة وقابلية التوسع– يتم تقديم حلول XDR كمنصة متكاملة يمكن نشرها بسرعة وتقديم قيمة بسرعة. عادة ما تكون قائمة على السحابة ويمكن توسيعها ديناميكياً بناءً على احتياجات البيانات للمنظمة.

ما هي قدرات أنظمة إدارة معلومات الأمان التقليدية؟

توجد حلول SIEM في السوق منذ أكثر من عقدين، وقد تم تحسينها من مراقبة جدران الحماية وأجهزة كشف التسلل فقط إلى منتجات أمان السحابة والشبكات من جميع الأنواع. إليك الميزات الأساسية التقليدية لمنصة SIEM:

إدارة السجلات– تجمع حلول SIEM السجلات من أنظمة تكنولوجيا المعلومات المتعددة وتدمجها في مجموعة بيانات موحدة ومخزنة مركزيًا يمكن لفِرق الأمان الاستعلام عنها واستخدامها لتوليد تنبيهات تلقائية.

ترابط الأحداث– يقوم نظام إدارة معلومات الأمان (SIEM) بتحليل بيانات السجلات ويستخدم قواعد الترابط والتحليل الإحصائي لتحديد الحوادث الأمنية المحتملة. على سبيل المثال، يمكن لنظام SIEM تحديد محاولة تسجيل دخول فاشلة من نفس المستخدم عبر نقاط نهاية متعددة، وخوادم، وخدمات سحابية.

استخبارات التهديد– يتكامل نظام SIEM مع مصادر استخبارات التهديد التي تُغني الأحداث الأمنية بسياق إضافي، مثل هوية المهاجم، وعناوين IP المدرجة في القائمة السوداء، أو أنماط الهجوم المعروفة.

تنبيهات الأمان– يقوم نظام إدارة معلومات الأمان (SIEM) بإرسال تنبيهات إلى فرق الأمان، إما من خلال واجهة النظام أو دفعها إلى قنوات إشعار مختلفة. توفر التنبيهات معلومات تفصيلية حول الحدث وتمكن المحللين من تقييم الحادث والتحقيق فيه بشكل أعمق.

استكشاف البيانات– يقوم نظام SIEM بتخزين بيانات الأحداث مما يسمح لمحللي الأمن المهرة بالبحث واستكشاف البيانات الأمنية على مدى فترة من الزمن، غالبًا باستخدام استعلامات SQL، كجزء من التحقيق في الحوادث أو البحث الاستباقي عن التهديدات.

تقارير الامتثال– تُعتبر أنظمة SIEM مركزًا مركزيًا ضمن البنية التحتية الأمنية الأكبر، وغالبًا ما تدعم أنظمة SIEM التقارير المعبأة لمتطلبات الامتثال مثل PCI DSS وSOX وGDPR وHIPAA.

ما هي التحديات التي تواجه أنظمة إدارة معلومات الأمان التقليدية؟

التحدي الرئيسي مع أنظمة إدارة معلومات الأمان التقليدية (SIEM) هو إرهاق التنبيهات - حيث تولد هذه الأنظمة عددًا كبيرًا من التنبيهات، بعضها إيجابيات خاطئة، مما يضع عبئًا كبيرًا على فرق الأمان لتصنيف والتحقيق في كل تنبيه. يحاول بعض مهندسي أنظمة SIEM أو الأمان القيام بذلك من خلال ضبط معقد لمخرجات جدران الحماية وأنظمة كشف التسلل (أو أدوات "صاخبة" أخرى) لتقليل التأثير على نظام SIEM، سواء لتقليل إرهاق التنبيهات أو لتوفير المال على تخزين ومعالجة السجلات.

تهدف أنظمة إدارة معلومات الأمان من الجيل التالي إلى حل هذه المشكلة من خلال تقديم تحليلات متقدمة تعتمد على التعلم الآلي.

ما هي قدرات نظم إدارة معلومات الأمان من الجيل التالي؟

في عام 2019، قدمت شركة غارتنر رؤية لجيل جديد من أنظمة إدارة معلومات الأمان (SIEM) التي تتضمن قدرات إضافية، وأهمها التحليل المعتمد على التعلم الآلي وأتمتة الاستجابة. منذ ذلك الحين، تم تقديم حلول SIEM من الجيل التالي التي تقدم جميع القدرات الأساسية لنظام SIEM، وبعض القدرات التالية:

تحليل سلوك المستخدمين والكيانات (UEBA)– توفر أنظمة إدارة معلومات الأمان من الجيل التالي تقنية UEBA، التي تنشئ ملفات تعريف سلوكية للمستخدمين والمجموعات والآلات والتطبيقات في البيئة، وتحدد الشذوذات التي قد تشير إلى حادث أمني.

استجابة التنسيق والأتمتة الأمنية (SOAR)– توفر أنظمة SIEM من الجيل التالي قدرات التنسيق، مما يسمح لها بالتكامل مع أدوات تكنولوجيا المعلومات والأمن والتحكم في العمليات متعددة الخطوات التي تمتد عبر أنظمة متعددة. كما أنها تمكن من اكتشاف الحوادث والتحقيق فيها وأتمتة الاستجابة باستخدام كتيبات الأمان، مما يسمح لنظام SIEM بالاستجابة بشكل مستقل للحوادث الأمنية والانتهاكات.

جمع البيانات من مصادر إضافية– تمتد بيئات تكنولوجيا المعلومات الحديثة إلى ما وراء الحدود التقليدية للشبكة. يمكن لنظام SIEM من الجيل التالي جمع البيانات من خدمات السحابة، وأجهزة BYOD، وأجهزة إنترنت الأشياء، ومصادر بيانات جديدة أخرى.

تخزين البيانات القابل للتوسع– تستخدم أنظمة SIEM من الجيل التالي تكنولوجيا بحيرات البيانات لتخزين كميات أكبر بكثير من البيانات بتكلفة أقل. وهذا يمكّن من الاحتفاظ لفترة أطول بكميات أكبر من بيانات الأمان.

XDR– تشمل أنظمة إدارة معلومات وأحداث الأمان (SIEM) من الجيل التالي مثل نظام إدارة معلومات وأحداث الأمان (SIEM) من منصة دمج أمني XDR ضمن مجموعة التطبيقات والقدرات لتحسين سياق الأحداث، والتحليلات، وحالات استخدام TDIR.

يمكن لنظام SIEM من الجيل التالي تحسين عمليات الأمان من خلال:

• استغلال تحليل سلوك المستخدم والكيان لتقليل الإيجابيات الكاذبة.
• ربط مؤشرات الاختراق (IoC) بنوع معين من التهديدات، مما يقلل من الوقت اللازم للاستجابة (TTR) والوقت اللازم للتحقيق (TTI) في الأحداث.
• تجميع أحداث متعددة في خط زمني واحد للهجوم.
• تقليل الوقت اللازم لاتخاذ إجراء من خلال أتمتة الردود.

مقارنة بين SIEM و XDR

تتمتع تقنيتا SIEM و XDR بتشابهات تقنية، لكنهما تخدمان أغراضًا مختلفة.

إليك بعض الفروقات الرئيسية بين أنظمة SIEMs من الجيل التالي و XDR:

• التغطية الوظيفية– يوفر SIEM العديد من الوظائف بما في ذلك اكتشاف التهديدات، الامتثال، التخزين، والتقارير. تركز XDR على وظيفة واحدة: اكتشاف التهديدات، التحقيق والاستجابة (TDIR).
• التخصيص– يتيح نظام SIEM تخصيصًا غير محدود للحالات الخاصة، بينما تم تصميم نظام XDR بشكل أساسي لفعالية TDIR.
• تخزين البيانات– يعمل SIEM كمخزن مركزي للبيانات في منظمة الأمن، داعمًا التخزين على المدى الطويل، بينما عادةً ما يصل XDR إلى البيانات من مصادر أخرى ويخزنها مؤقتًا للتحليل.
• نموذج التسليم– يمكن أن يكون SIEM محليًا أو قائمًا على السحابة، بينما يتم تقديم XDR بشكل أساسي عبر السحابة.
• الأتمتة– يمكن أن تقدم نظم المعلومات الأمنية (SIEM) تنسيقًا وأتمتة قابلة للتخصيص للغاية باستخدام كل من كتيبات الأمان وكتيبات تكنولوجيا المعلومات الأخرى. يوفر XDR كتيبات مسبقة التعبئة لحالات استخدام TDIR محددة.
• تحديد السوق– أنظمة SIEM من الجيل التالي تحل محل أنظمة SIEM التقليدية وبحيرات البيانات الأمنية. عادةً ما تعزز XDR أنظمة SIEM القديمة وبحيرات البيانات.

اختيار استثمارك: SIEM من الجيل التالي مقابل XDR

متى يجب عليك استخدام نظام إدارة معلومات الأمان من الجيل التالي؟

أنظمة SIEM من الجيل التالي هي الأنسب لـ:

• تحديد التهديدات غير المعروفة، بما في ذلك أنماط الهجوم الجديدة والتهديدات الداخلية.
• تمكين استكشاف البيانات القابل للتخصيص
• تخزين بيانات مركزي واحتفاظ بالسجلات لبيانات الأمان المتزايدة في بيئة تكنولوجيا المعلومات الحديثة.
• أتمتة الاستجابة والتنسيق القابلة للتخصيص بشكل كبير
• نفس حالات الامتثال والتقارير كما في أنظمة إدارة معلومات الأمان التقليدية.

متى يجب عليك استخدام XDR؟

XDR هو الأنسب لـ:

• يوجد استثمار قائم في نظام إدارة معلومات الأمان (SIEM) بالفعل، والفريق يسعى لتعزيز قدرات المحللين لتحسين زمن الاستجابة وزمن التعرف على التهديدات.
• تحديد التهديدات المعروفة وغير المعروفة وتصنيفها على الفور إلى فئات تهديد.
• استجابة سريعة وفعالة لتحديد التهديدات باستخدام محتوى مُعد مسبقًا لحالات التهديد الشائعة.
• دعم الاستجابة اليدوية والآلية للتهديدات الحرجة.
• تحسين إنتاجية محللي الأمن وتقليل وقت الاستجابة

نظام SIEM ونظام XDR من الجيل التالي مع Exabeam

الرصد والكشف والاستجابة الموسعة هو حل سحابي يعتمد نهجًا قائمًا على النتائج، ويوفر سير عمل مُحددة ومحتوى مُجهزًا مسبقًا ومُخصصًا للتهديدات، وذلك لحل مشكلة الكشف عن التهديدات والتحقيق فيها والاستجابة لها (TDIR) بكفاءة. يتكامل الحل مع مئات أدوات الأمان الخارجية، كما تجمع تحليلات السلوك الرائدة من Exabeam الإشارات الضعيفة من منتجات متعددة لاكتشاف التهديدات المعقدة التي لم تتمكن أدوات أخرى من رصدها. تُعزز أتمتة أنشطة الفرز والتحقيق والاستجابة إنتاجية المحللين وتُقلل من أوقات الاستجابة.

نظام إدارة معلومات وأحداث الأمان (SIEM) هو نظام SIEM من الجيل التالي يتم تقديمه عبر السحابة ويقدم منصة دمج أمني Fusion XDR الرائدة في الصناعة للكشف عن التهديدات والتحقيق فيها والاستجابة لها، مضمنة في مجموعة كاملة من عروض SIEM من الجيل التالي، بما في ذلك تخزين السجلات المستند إلى السحابة، والبحث، وإعداد تقارير الامتثال.