ما هي حالات استخدام XDR

اقرأ في هذا المقال


حالات الاستخدام لـ XDR

يوفر (XDR) الدعم لمجموعة كبيرة من مسؤوليات أمان الشبكة، حيث يمكن أيضًا اعتماده للمساعدة في دعم حالات استخدام محددة، اعتمادًا على نضج فريق الأمان الخاص، هنالك ثلاث حالات استخدام تعكس المستويات التي يصنف معها متخصصو الأمن في كثير من الأحيان، حيث “XDR” هي اختصار لـ “extended detection and response”.

  • الفرز: يمكن اعتماد حلول (XDR) كأداة أساسية لتجميع البيانات وأنظمة المراقبة واكتشاف الأحداث وتنبيه فرق الأمن، حيث يمكن أن تشكل هذه الأنظمة الأساس لمزيد من الجهود أو يمكن أن تمكن من التسليم لفرق المستوى الأعلى.
  • التحقيق: يمكن للفرق استخدام الحلول كمستودعات لتحليلات ومعلومات عن الأحداث، كما يمكن استخدام هذه المعلومات جنبًا إلى جنب مع معلومات التهديد للتحقيق في الأحداث وتقييم الاستجابات وتدريب موظفي الأمن.
  • مطاردة التهديدات: يمكن استخدام البيانات التي تم جمعها بواسطة حلول (XDR) كخط أساس لأداء عمليات البحث عن التهديدات، حيث تسعى هذه العمليات بشكل استباقي إلى البحث عن أدلة على التهديدات التي تم تجاهلها من قبل الأنظمة والمحللين، كما يمكن أيضًا استخدام البيانات المستخدمة في عمليات البحث عن التهديدات والتي تم جمعها أثناء ذلك لإنشاء معلومات تهديد جديدة يتم استخدامها بعد ذلك لتقوية السياسات والأنظمة الأمنية الحالية.

متطلبات مفتاح XDR

  • يعمل على منصة سحابية أصلية: تعمل على نطاق كافٍ، مع القدرة على استيعاب البيانات من مصادر متعددة، وتوفر رؤية واسعة وقدرات الكشف عبر جميع البيانات ويتم وضعها لتنظيم الاستجابة الآلية.
  • يوسع أمان نقطة النهاية: يواصل تركيز الحماية على نقاط النهاية ولكنه يوسع الرؤية والكشف والاستجابة إلى ما وراءها من خلال تكامل أفضل من نوعه مع حلول الأمان من خلال مخطط البيانات المفتوحة.
  • يركز على التهديدات: يكتشف تلقائيًا التهديدات الخفية، مما يلغي الحاجة إلى كتابة قواعد الكشف وضبطها والحفاظ عليها.
  • قياسًا واسعًا وملائمًا ومُثريًا: وهو يشتمل على مجموعة واسعة ومتنوعة من الأنظمة والتطبيقات لمزيد من السياق الشامل والارتباط، بما في ذلك تحليل الشبكة والرؤية وجدار الحماية من الجيل التالي وأمان البريد الإلكتروني وإدارة الهوية وحماية عبء العمل السحابي  ووسيط أمان الوصول إلى السحابة وغيرها.
  • التواصل مع أدوات الأمان: إنها تستفيد من المخططات المفتوحة والمحددة جيدًا لتبادل البيانات مع أنظمة أمان تكنولوجيا المعلومات الإضافية لضمان الإثراء والارتباط بطريقة متسقة وشاملة مع وضع الأهداف والنتائج الرئيسية في الاعتبار.
  • ضمان أن التحقيقات مجدية: إنه يؤكد على دقة البيانات وجودة الكشف لضمان أن تكون أحداث وتحقيقات (XDR) هادفة وفعالة، مما يقلل من الإيجابيات الكاذبة.
  • تسريع الاستجابة: من خلال عمليات سير عمل الاستجابة متعددة المراحل والأنظمة الأساسية، فإنه يمكّن فرق الأمان من اتخاذ إجراءات سريعة حتى مؤتمتة للتخفيف من التهديدات المكتشفة ومعالجتها.
  • مواصلة البحث عن المجهول: يطبق تحليلات الأمان المتقدمة والذكاء الاصطناعي والتعلم الآلي للبحث باستمرار عن التهديدات المخفية مسبقًا باستخدام التجميع وفهم إشارات أضعف متعددة ومتباينة من نطاقات أمان مختلفة عبر مكدس الأمان.

كيف يختلف XDR عن حلول الأمان الأخرى

يختلف (XDR) عن أدوات الأمان الأخرى من حيث أنه يعمل على جعل البيانات من مصادر متعددة مركزية وتطبيعها وربطها، حيث تتيح هذه الإمكانات رؤية أكثر اكتمالاً ويمكن أن تعرض أحداثًا أقل وضوحًا، حيث انه من خلال جمع وتحليل البيانات من مصادر متعددة، تكون حلول (XDR) قادرة على التحقق من صحة التنبيهات بشكل أفضل، وبالتالي تقليل الإيجابيات الخاطئة وزيادة الموثوقية، كما يساعد هذا في تقليل أي وقت قد تضيعه الفرق في التنبيهات الزائدة أو غير الدقيقة، وفقًا لـ لدراسة (Gartner)، يؤدي هذا إلى تحسين الإنتاجية في فرق الأمان ويسمح باستجابات أسرع وأكثر تلقائية.

على الرغم من أنه يمكن تحقيق نتائج مماثلة من خلال مزيج من حلول برنامج الأمن (EDR) وإدارة الأحداث والحوادث الأمنية (SIEM) وهي عبارة معلومات الأمان وإدارة الأحداث، فإن (XDR) تتجاوز هذه الإمكانات، تجمع حلول (SIEM) بيانات ضحلة من العديد من المصادر بينما تجمع (XDR) بيانات أعمق من مصادر مستهدفة، حيث تمكّن طرق الجمع هذه (XDR) من توفير سياق أفضل للأحداث وتقضي على الحاجة إلى الضبط اليدوي أو تكامل البيانات، علاوة على ذلك، نظرًا لأن مصادر التنبيه أصلية في حل (XDR)، يتم التخلص من جهود التكامل والصيانة المطلوبة لرصد التنبيهات في (SIEM).

  • “EDR” اختصار ل”Endpoint Detection & Response”.
  • “SIEM” اختصار ل”Security Information and Event Management”.

تحديات SOC وكيف يمكن لـ XDR معالجتها

مركز عمليات الأمن (SOC) هو وحدة تنظيمية مسؤولة عن تحديد التهديدات الأمنية والاستجابة لها والتخفيف من حدتها، الهدف الرئيسي لـ (SOC) هو تحديد التهديدات والرد عليها بسرعة وفعالية لتقليل الضرر الذي يلحق بالمنظمة، حيث يمكن أن يساعد الاكتشاف والاستجابة عبر طبقات الأمان المتعددة، التي تدعمها (XDR)، في تحقيق هذا الهدف، هناك بعض تحديات (SOC) التي يمكن حلها بواسطة حلول (XDR):

  • التنبيهات الزائدة: ترسل حلول معلومات الأمان وإدارة الأحداث (SIEM) آلاف التنبيهات إلى محللي (SOC)، حيث أظهرت الأبحاث أنه بالنسبة للشركات متوسطة الحجم، يمكن لأدوات الأمان إنشاء ما يصل إلى مليوني تنبيه في اليوم، كما انه لا يستطيع المحللون معالجة هذا العدد من التنبيهات وتحديد أولوياته، مما يؤدي إلى إجهاد التنبيه، تخترق (XDR) الضوضاء من خلال الجمع بين أحداث متعددة في تنبيه واحد عالي الثقة وترتيب التنبيهات الأكثر أهمية حسب الأولوية تلقائيًا.
  • الثغرات في الرؤية: في مركز عمليات التشغيل التقليدي، توفر أدوات الأمان المختلفة رؤية لأجزاء مختلفة من بيئة تكنولوجيا المعلومات، على سبيل المثال، توفر جدران الحماية إمكانية الرؤية والتحكم في حركة مرور الشبكة بينما توفر أدوات أمان نقطة النهاية إمكانية رؤية أحداث الأمان على نقاط النهاية، ومع ذلك، فإن تجميع البيانات من هذه الأدوات يتطلب عملاً يدويًا وخبرة، كما يمكن أن تساعد (XDR) من خلال الجمع التلقائي لبيانات الأحداث من أدوات أمان متعددة وحفظها في بحيرة بيانات للتحليل التاريخي ويوفر تحليلات متقدمة يمكنها إنشاء سلسلة هجوم من أحداث متعددة ومعزولة.
  • صعوبة التحقيقات: يستغرق محللو الأمن وقتًا طويلاً جدًا لإنشاء صورة كاملة للتهديد وتحديد مساره وتأثيره، يلغي (XDR) هذه العمليات اليدوية، وأتمتة تحقيقات الطب الشرعي بالكامل وتحليل الأسباب الجذرية، حيث إنه يوضح المسار الكامل والجدول الزمني للهجوم ويوفر بيانات الأحداث السياقية والوصول إلى مجموعات البيانات الكاملة للسماح للمحللين بإجراء تحليل أعمق للحادث.
  • الاكتشاف والاستجابة البطيئين: بسبب التحديات المذكورة، فقد العديد من التهديدات من قبل (SOC)، وقد لا يمكن التحقيق فيها بشكل كاف، حيث يؤدي هذا إلى زيادة أوقات الاستجابة وأوقات استمرار التهديدات في أنظمة الشركات، كما يمكن لـ (XDR) تحسين مقاييس أداء (SOC) الرئيسية مثل متوسط ​​وقت الاستجابة، من خلال تحسين معدلات اكتشاف التهديدات وتسريع أوقات الاستجابة.
  • “SOC” اختصار ل”System on Chip”.

شارك المقالة: