بالو ألتو كورتكس XDR: نظرة عامة على البنية والقدرات

الكشف والاستجابة المحسّنة (XDR) هو نهج جديد للكشف عن التهديدات والاستجابة لها، مما يوفر حماية شاملة ضد الهجمات الإلكترونية والوصول غير المصرح به والاستغلال. أنشأه نير زوك، الرئيس التنفيذي للتكنولوجيا في شركة بالو ألتو كورديكس نتوركس في عام 2018، حيث يعمل XDR على كسر صوامع الأمن التقليدية لتمكين الكشف والاستجابة عبر جميع مصادر البيانات.
ووفقًا لشركة Gartner، فإن XDR هي “أداة للكشف عن التهديدات الأمنية والاستجابة للحوادث قائمة على البرمجيات كخدمة ومخصصة للبائعين تدمج العديد من المنتجات الأمنية في نظام تشغيل أمني متكامل.” تعريف Forrester Research لـ XDR أوسع قليلاً. “تطور EDR لتبسيط الكشف عن التهديدات في الوقت الفعلي والتحقيق فيها والاستجابة لها ومطاردتها. يوفر XDR الكشف عن نقاط النهاية المتعلقة بالأمن وتحليل الشبكة والرؤية (NAV) وأمن البريد الإلكتروني والهوية وإدارة الوصول، ويجمع بين الأمن من أدوات الأمن والأعمال مثل الأمن السحابي والقياس عن بُعد من أدوات الأعمال. وهي عبارة عن منصة سحابية أصلية مبنية على بنية تحتية للبيانات الضخمة توفر لفرق الأمن المرونة وقابلية التوسع وقدرات الأتمتة. ”
كيف يعمل حل Palo Alto Cortex XDR؟
يوفر حل XDR نهجًا استباقيًا للكشف عن التهديدات والاستجابة لها. فهو يوفر إمكانية رؤية جميع البيانات، بما في ذلك بيانات نقطة النهاية والشبكة والسحابة، ويطبق التحليلات والأتمتة لمكافحة التهديدات المتطورة بشكل متزايد اليوم. مع XDR، يمكن لفرق الأمن السيبراني
التعرف بشكل استباقي وسريع على التهديدات الخفية والمتخفية والمتطورة
تتبع التهديدات عبر جميع المصادر والمواقع داخل مؤسستك
تحسين إنتاجية الأشخاص الذين يقومون بتشغيل التكنولوجيا
الحصول على المزيد من استثماراتك الأمنية
إكمال تحقيقاتك بكفاءة أكبر
من من منظور الأعمال، تُمكِّن منصة XDR المؤسسات من منع الهجمات الإلكترونية الناجحة وتبسيط العمليات الأمنية وتعزيزها. يتيح لنا ذلك خدمة مستخدمينا بشكل أفضل وتسريع مبادرات التحول الرقمي. وذلك لأن المؤسسات يمكنها التركيز على الأولويات الاستراتيجية عندما يكون المستخدمون والبيانات والتطبيقات محمية.
مزايا بالو ألتو كورتكس XDR
استخدم حماية نقطة النهاية لحظر الهجمات المعروفة وغير المعروفة: استخدم مضادات الفيروسات المدمجة القائمة على الذكاء الاصطناعي وذكاء التهديدات لحظر البرامج الضارة وعمليات الاستغلال والهجمات غير المعروفة.
تصور جميع بياناتك: اجمع البيانات من أي مصدر واربطها لاكتشاف التهديدات وفرزها والتحقيق فيها ومطاردتها والاستجابة لها.
الكشف التلقائي على مدار الساعة طوال أيام الأسبوع عن الهجمات المتقدمة: كشف التهديدات المتقدمة المستمرة وغيرها من الهجمات الخفية باستخدام التحليلات الجاهزة والقواعد المخصصة.
تجنب إرهاق التنبيهات: تبسيط التحقيقات من خلال محرك الحوادث المدمج مع تحليل الأسباب الجذرية التلقائي، وتقليل عدد التنبيهات التي يحتاج فريقك إلى رؤيتها، وتقليل المهارات المطلوبة للفرز.
زيادة إنتاجية مركز العمليات الأمنية: تحسين كفاءة مركز العمليات الأمنية من خلال دمج إدارة سياسة أمان نقطة النهاية والمراقبة والتحقيق والاستجابة عبر الشبكة ونقطة النهاية والبيئات السحابية في وحدة تحكم واحدة.
القضاء على الأعداء دون إزعاج المستخدمين: إيقاف الهجمات مع تجنب تعطل المستخدم والنظام في الوقت نفسه.
القضاء على التهديدات المتقدمة: احمِ شبكتك من إساءة الاستخدام من الداخل، والهجمات الخارجية، وبرامج الفدية، والهجمات التي لا تحتوي على ملفات وهجمات التخزين فقط، والبرمجيات الخبيثة المتقدمة في يوم الصفر.
إجبار فريق الأمن على مضاعفة: أوقف كل مرحلة من مراحل الهجوم من خلال تحديد آثار الاختراق (IOC) والسلوك الشاذ واستخدام نتائج الحوادث لتحديد أولويات التحليل.
استرداد المضيف من الانتهاك: التعافي بسرعة من الهجمات عن طريق إزالة الملفات الضارة ومفاتيح السجل واستخدام الإصلاحات الموصى بها لاستعادة الملفات ومفاتيح السجل التالفة.
توسيع نطاق الكشف والاستجابة لمصادر بيانات الجهات الخارجية: قم بتمكين التحليل السلوكي للسجلات التي تم جمعها بواسطة جدران الحماية التابعة لجهات خارجية مع دمج تنبيهات الجهات الخارجية مع طرق عرض الحوادث المتكاملة وتحليل السبب الجذري. تسريع التحقيق الخاص بك.
احصل على المواد الدراسية مجاناً 100%!
كيف يمكن مقارنة XDR مع EDR أو MDR؟
يعد أمن XDR بديلاً للنُهج التقليدية ذات الأثر الرجعي التي توفر فقط رؤى متعددة الطبقات حول الهجمات مثل ب. كشف نقطة النهاية والاستجابة EDR؛ وكشف الشبكة والاستجابة NDR. وتحليل سلوك المستخدم أو UBA وإدارة المعلومات الأمنية والأحداث (SIEM). توفر الرؤية متعددة الطبقات معلومات مهمة، ولكنها قد تسبب أيضًا مشاكل مثل:
وجود الكثير من الإشعارات غير الدقيقة وغير المكتملة. يكتشف حل EDR 26% فقط من ناقلات الهجمات الأولية 1، كما أن عدد التنبيهات الأمنية مرتفع، لذلك يتجاهل 54% من المتخصصين في مجال الأمن التنبيهات التي تحتاج إلى التحقيق. البحث المعقد والمستهلك للوقت والذي يتطلب خبرة متخصصة. مع EDR، زاد متوسط الوقت اللازم لاكتشاف الاختراق الأمني إلى 197 يوماً وزاد متوسط الوقت اللازم لاحتواء الاختراق الأمني إلى 69 يوماً.
أدوات تتمحور حول التكنولوجيا، وليس حول المستخدم أو الحماية المؤسسية. يركز EDR على الثغرات التكنولوجية، وليس على الاحتياجات التشغيلية للمستخدم أو المؤسسة. مع وجود أكثر من 40 أداة مستخدمة في مركز العمليات الأمنية في المتوسط 4، فإن 23% من فرق الأمن تقضي الوقت في صيانة الأدوات الأمنية وإدارتها بدلاً من إجراء التحقيقات الأمنية5.
ما هو أمن EDR؟
يشير الكشف والاستجابة لنقطة النهاية إلى فئة الأدوات المستخدمة للعثور على التهديدات على أجهزة نقطة النهاية والتحقيق فيها. وعادةً ما توفر أدوات EDR قدرات الكشف والتحليل والتحقيق والاستجابة. وبالمقارنة مع حلول الأمان هذه، تتخذ أدوات الكشف والاستجابة لنقاط النهاية منظوراً أوسع نطاقاً لدمج البيانات من نقاط النهاية والسحابة والهويات والحلول الأخرى.
يقوم منتج EDR بمراقبة الأحداث التي تم إنشاؤها بواسطة وكيل نقطة النهاية بحثاً عن أي نشاط مشبوه. تساعد التنبيهات التي تنشئها منتجات EDR محللي SecOps في تحديد المشكلات والتحقيق فيها وحلها. يمكن لهذه الحلول أيضًا جمع بيانات القياس عن بُعد حول النشاط المشبوه وتعزيز هذه البيانات بمعلومات سياقية أخرى من الأحداث المترابطة. ومع ذلك، لا توجد ميزة مهمة تبطئ الاستجابة للحوادث. لا يمكن لحلول EDR توفير حماية شاملة لأنها لا توفر التكامل مع الأدوات أو مصادر البيانات الأخرى للحصول على رؤية كاملة.
ما هو MDR؟
توفر خدمات الكشف والاستجابة المدارة (MDR) موارد بشرية وتقنية مخصصة لتحسين فعالية العمليات الأمنية في تحديد التهديدات والتحقيق فيها والاستجابة لها. وتكمل هذه الخدمات خدمات الأمن المدارة التقليدية مع التركيز على إدارة الإنذارات الأمنية الشاملة والفرز. هناك تعريفات مختلفة، لكن خدمة إدارة الإنذارات المدارة عادةً ما توفر القيم التالية
ب. توسيع نطاق الموارد التي تدعم فريق SecOps بالمهام التي تتطلب مهارات خاصة، مثل ب. تعقب التهديدات والتحقيق الجنائي والاستجابة للحوادث.
كلما أصبح الأمن أكثر نضجًا، فإنه يوفر نهجًا ناضجًا لإدارة التهديدات ومتاحًا بشكل استباقي على مدار الساعة طوال أيام الأسبوع، مما يمهد الطريق لتحويل الجوانب الأخرى من العمليات الأمنية.
من خلال تقليل الوقت اللازم لتحقيق القيمة، سيتم تزويدك بمجموعة تقنيات مختارة وخبراء أمنيين وأفضل الممارسات التشغيلية، مما يقلل من أوقات الاكتشاف والاستجابة إلى أيام بدلاً من سنوات.
يؤدي تقليل متوسط الوقت اللازم للاسترداد (MTTD) ومتوسط الوقت اللازم للاسترداد (MTTR) إلى تسريع عملية الكشف عن التهديدات المتقدمة والاستجابة لها ضمن اتفاقيات مستوى الخدمة المستندة إلى وقت محدد (SLAs).
منتج Cortex XDR
Cortex XDR هي أول منصة متقدمة للكشف والاستجابة في العالم تدمج بيانات الشبكة ونقطة النهاية والسحابة وبيانات الطرف الثالث لإحباط الهجمات الحديثة. دمج الوقاية والاكتشاف والتحقيق والاستقصاء والاستجابة في منصة واحدة لتحقيق سلامة وكفاءة تشغيلية لا مثيل لها. يستخدم Cortex XDR التحليلات السلوكية للكشف عن التهديدات بدقة والكشف عن الأسباب الجذرية لإجراء تحقيقات سريعة.
يعمل التكامل المحكم مع نقاط الإنفاذ على تسريع عملية الاحتواء، مما يتيح لك إيقاف الهجمات قبل وقوع الضرر. وبالاقتران مع خدمة اصطياد التهديدات المدارة لدينا، يمنحك حل XDR الخاص بنا حماية على مدار الساعة وتغطية رائدة في المجال لتقنيات MITRE ATT&CK.
بنية Cortex XDR
تختلف بنية Cortex XDR قليلاً بين إصدارات المنتج ولكنها تتضمن بعض المكونات القياسية. تعتمد كلا الإصدارين على بحيرة بيانات Cortex وهي مصممة لربط بيانات السجل عبر الأجهزة. مكونات
-المستندة إلى المنصات هي:
تطبيق Cortex XDR-واجهة المستخدم (UI) التي توفر رؤية بحيرة البيانات. من هذه الواجهة، يمكنك فرز التنبيهات والتحقيق فيها، وتنفيذ إجراءات الإصلاح، وتحديد سياسات الكشف والاستجابة.
بحيرة بيانات Cortex – مورد تخزين سجلات قائم على السحابة مصمم لتخزين بيانات السجل من جميع المصادر. تعمل بحيرات البيانات على مركزية البيانات وتسمح لمحرك XDR بربط الأحداث لإنشاء تنبيهات.
مكونات المنصة المتقدمة تشمل:
محرك التحليل – خدمة أمنية تستخدم بيانات الشبكة ونقطة النهاية لاكتشاف التهديدات والاستجابة لها. تطبيق التحليل السلوكي لتحديد التهديدات المعروفة وغير المعروفة من خلال مقارنتها بسلوك المستخدم أو الجهاز المعروف والمقبول. جدار حماية من الجيل التالي- جدار حماية افتراضي أو محلي يسمح لك بتطبيق نُهج حركة مرور آمنة على شبكتك. تتضمن جدران الحماية هذه تقنية التعلم الآلي لاكتشاف التهديدات المعروفة وغير المعروفة. PrismaAccess وGlobalProtect-هي خدمات توسع نطاق حماية جدار الحماية ليشمل المستخدمين عن بُعد والأجهزة المحمولة. تسمح لك هذه الخدمات بإعادة توجيه سجلات حركة المرور عن بُعد إلى بحيرة بيانات للربط العام مع السجلات المحلية.
جدار الحماية الخارجي والتنبيهات الخارجية-تسمح لك هذه الخدمات بتضمين سجلات وتنبيهات جدار الحماية الخارجي في نظام CortexXDR الخاص بك. هذا ممكن عبر واجهة برمجة تطبيقات Cortex XDR. ثم يتم دمج نقاط البيانات هذه مع البيانات القشرية لزيادة سياق الحدث والسماح باستجابات أكثر تفصيلاً. وكيل Cortex XDR-برنامج Cortex XDR المثبت على نقطة النهاية ويستخدم لجمع البيانات ونقلها. يمكن لهذه الوكلاء أيضًا إجراء تحليل محلي والاستفادة من ذكاء WildFire للتهديدات لتحسين اكتشاف التهديدات. كما يتم إرسال جميع البيانات المجمعة إلى بحيرة البيانات للتحليل التعاوني.