XDR  (extended detection and response)

 

ال XDR  (extended detection and response) ؟ 
بما ان المحتوي العربي ضعيف الي حد ما في الموضوع هذا  فخلينا  نتحدث  عنه  بدون تعمق وأضع في النهاية  بعد المصادر الي ممكن تفيد اي شخص حابب معلومات اكثر .

انا مستهدف الشخص الذي لا يفهم  ما هو  ال  XDR و يكون يحب network Security او يحب  security operation center كلامي كلوا هيكون بسيط و مجرد أساسيات بدون التعمق 



في البداية من باب احترام وقتك دعني اخبرك ياصديقي انك أذا أكملت قرائت هذه المقالة فسوف تخرج بفهم واجوبه للأسئلة التالية :

أول شئ ما هو ال XDR؟
ثاني شئ ما الميزة الخاصة به ؟
ثالث شئ ما العيب الخاص به؟

قبل الكلام عن ال XDR دعنا نتفق  ياصديقي علي بعض النقاط البديهية والبسيطة لكي يسهل فهم الكلام القادم :


١-واحد ان ال XDR يعد Device (جهاز )  من ضمن ال 

( network Security solutions) 

٢-اثنين بصفة عامة الموضوع الخاص بالnetwork Security solutions هو مهم جدا لدرجة انه لا يوجد  مهندس شبكات او شخص بيفكر ان يبداء في مجال  ال cyber security وبالأخص في track ال blue team الا ويجب ان يكون علي علم به 

٣-ثلاثة دعني أعطيك امثلة علي ال network Security solutions ومن ثم  نتحدث عن ال XDR


1-firewall
2-IPS
3-IDS
4-EDR
5-NGFW
6-email security
7-WAF
8-Proxy
9-SOAR
10-XDR


بسم الله الرحمن الرحيم  نبداء :
ال XDR ياصديقي كن علي علم هو يعد تحديث لجهاز الEDR 
(end point detection and response)

فاببساطة ما حدث هنا هو انه تم استبدال حرف ال E و وضعوا حرف الX بدل عنه و حرف ال X هنا دلالة علي Email او attatched او  network او endpoint ببساطة ترمز لكل شئ فهذا هو ال XDR كتعريف بسيط جدا جدا و كمقارنه  له مع جهاز ال EDR و من ناحية ما الرابط بينهم  وانصح النظر للصورة المرفقة بالأسفل حتا يكون الكلام مفهوم بطريقة ممتازة 

 الآن بالنسبة  لل XDR مع SIEM كمقارنة
  اولا  انتا مطالب بمعرفة كيفية عمل ال SIEM ثم معرفة كيفية عمل ال XDR حتا تستطيع أستوعاب الإختلاف بينهم .

والآن دعني أوضح لك ببساطة كيفية عمل ال SIEM في البداية عليك أن تعرف ان ال SIEM موجه لكي يقوم بجمع logs لك (collection) ،  هو غير  مطالب ان يقوم بعمل corelation لل logs او يجعلها تظهر  في افضل افضل افضل صورة لها علي عكس  ال XDR واسمح لي الآن ان اوضح لك كيفية عمل ال XDR .

 ببساطة ال XDR  انتا بيكون عندك العديد من اجهزت security في الشبكة وبتجيب الاجهزة هذه من مكان واحد يعني vendor واحد فقط او شركة واحدة فقط 
 (colection network Security solutions) ودعني اضرب لك مثال علي تجميعة من أجهزت security يمكن توصيلها بال XDR فعلي سبيل المثال معك firewall مع EDR مع SIEM مع SOAR وغيروا من اجهزت الحماية للشبكات. ال XDR يقوم بعمل تجميع لل logs الخاصة بكل هذه  الأجهزة ومن هنا  نستطيع القول انه  مشابه لل SIEM solution ولكن  الفرق الجوهري هو ان  ال XDR موجه للأشخاص الذين يعملون في ال threat hunting وبسبب هذا  ال XDR قادر علي عمل  response او action  علي الاجهزة علي عكس ال SIEM كان من الضروري الذهاب للجهاز نفسه المتواجدة به المشكلة ومحاولت حلها من عنده واصلاحها. 

 الآن  بما اني ذكرت ال XDR بالنسبة لل EDR وبالنسبة لل SIEM فهنا يأتي سؤال يطرح نفسوا .

(ماهو  الفرق بين XDR وال SOAR؟ ) 
 ببساطة وبدون كلام كثير ال SOAR موجه لل automation وال XDR موجه لل threat hunting هذا غير ان  ال SOAR كان لها consol منفردة عن الخاصة بال SIEM يعني ال SOAR له consol وال SIEM له consol  مختلفة علي عكس ال XDR هو consol واحد فقط تسطتيع ان تتحكم بكل شئ به وهذه الميزة الخاصة بال XDR  (المركزية) مكان واحد فقط تستطيع ان تتحكم بكل شئ  فيه وبالحديث ياصديقي عن الميزة الخاصة بال XDR لا يمكننا تجاهل العيب المتواجد فيه  الا وهو انه اذا كنت من محبي ال XDR وتريده في الشركة عندك  في هذه الحالة سوف تضع  عينك علي vendor واحد فقط  من الvendors الكتيرة التي تصمم  network Security solutions وسوف تشتري كل ال security solutions منها وهذا شرط في تواجد ال XDR في شركتك  مع العلم ان هذا عيب خطير وهذا بسبب انه لا توجد  شركة وصلت لمستوي من الحماية كامل او دعنا نكون ادق لا يوجد شركة وصلت للمستوي الخاص الذي يجعل  كل ال security solutions خاصتها تكون ممتازة لم تحدث وصعب حدوثها  ومن هنا نستنتج اننا معنا طريقين نبني بهم  ال  Security operation center :

١* اول طريق هو ان تضع عينك  علي ال XDR و تقررت أن  يكون vendor واحد فقط هو من سوف تتعامل معه 

٢*ثاني طريق وهو ان لا يعجبك ال XDR فتذهب لتبني ال security operation center مع نفسك ومن عدت vendors وهنا اسمح لي  إن اعطيك ملحوظة هامة جدا جدا جدا 

[[[ملحوظة :لو كنت  تتوقع  ان ال security operation center يتم بنائها عن طريق انك تمسك كل solution وتبحث من افصل شركة انتجته وبهذا يكون عملك انتهي فهاذا لا يحدث ، من الضروي ان  تضع في حسباتك موضوع ال logs عندما يتم عمل جمع لها (collection) طريقة تفكير مثل التي ذكرتها بالاعلي سوف تسبب تعب شديد لك وانت تجمع  ال logs فضع   في عقلق ياصديقي الأن الموضوع لن يحدث بسهولة عليك ان تعرف ان ال security operation center هو لا يعد فقط بعض من اجهزة الحماية في الشبكة وأنتهى ، لا انتا من الضروري ان  تدرك هل الجهاز يصلح مع ال SIEM solution المتواجد عندي ام ولا ؟ 
هل الlog التي سوف تطلع  هتطلع علي اي  هيئة ؟؟
والخ موضوع تصميم security operation center لا يمكن ان يكون سهل جدا كمان هو متوقع ؛ لا هناك العديد من الأشياء التي يتم وضعها بالحسبان ولكن نكتفي بهذا القدر ونحاول ان نجعل لها سلالة مقلات خاصة بها في وقت آخر ]]]

بعض المصادر الجيدة لو أجببت ان  تتعمق او لم تفهم كلامي يمكن  أن تغهموا من المصدر 


في النهاية اتمني منك ياصديقي لو معاك تعليق علي اسلوبي في  السرد او حتى معلومة تريد ان  تضيفها او حتى مصدر  تشاركني به او لو معاك تعليق علي اي شئ ممكن يحسن مني اتشرف ان اسمعها منك ♥️ 

تعليقات

إرسال تعليق

المشاركات الشائعة من هذه المدونة

network security monitoring (NDR)

صورة
#قبل الكلام عن ال network security monitoring احترام لوقتك الغالي ياصديقي  دا  نبذة عن بعض الي هنتكلم عنه من الضروري  توضيح كام شئ في البداية عشان الصورة تكون واضحة والمعلومة تثبت ان شاء الله ، هنتكلم في البداية عن ال visibility في ال SOC  ثم  ال total visibility ثم انواع ال data في ال SOC وهنتطرق لشرح نبذة عن ال endpoint data و شرح نبذة  لل network data وانواعها  ثم شرح نبذة ايضا لل network security monitoring # بسم الله الرحمن الرحيم نبداء :- اولا- ال  visibility في ال soc : لازم نعرف ان عصب ال soc هو ال visibility (الرؤية ) عشان من غير visibility مش هيكون فيه detection ((مسحيل تعرف تقاوم أو تتعامل مع  شئ انتا لا تره )) فلازم يكون في ال soc عندك visibility كويسة جدا مينفعش تسيب نقطة عمياء ممكن يتحرك فيها المهاجم ومن هنا خلينا متفقين احنا في ال soc  بنعمل collect لل data من كل مكان في الشبكة سواء كان firewall أو IDS أو IPS أو اي endpoint بصفة عامة وبننقلها لنقطة مركزية الا وهو ال SIEM solution الخاص بنا وكل دا يصب في مصلحة عمل visibility ممتازة بعد مجمعنا كل ال data الموجودة عندي في ا
قراءة المزيد

security operation center fundamentals

صورة
ما هو security operation center (soc) ؟ هو عبارة عن تكامل بين ثلاث اشياء وهذا التكامل قد يكون في مكان مستقل وموحد  ومن الممكن ان لا يكون المكان موحد فمثلا قد تكون الشركة عندك بتأخذ  technology كخدمة remotely او قد يكون people هو ال remotely  فببساطة هو يعد مصطلح او مفهوم  ١- people  ٢- process  ٣- Technology  فأحنا عندنا ال people هو الإشخاص المؤهلين للعمل  و ال process هو الطريقة التي يؤدوا العمل بها  و ال technology هي الأدوات المستخدمة  (network security solutions)  ونحن في هذه المقالة سوف نحكي عن people و process   -كل شخص شغال في soc سوف يخبرك بشكل مختلف لل soc الذي يعمل به فأنسب تعريف لل soc هو ما تم ذكره بالأعلى وهو مجموع الثلاث نقاط التي سلف ذكرها  فمن الممكن مثلا ان تكون ال Technology في الشركة نفسها أو يكون يتم الدخول عليها remotely  * نبداء بال people  هو تنظيم الإشخاص في ال soc : "ملحوظة" : انا هنا بحكي لو انتا شركة كبيرة مثل Google أو face book أو Microsoft وغيره يمكن القول ما سوف يتم شرحه الان هو اوسع شكل ورؤية ومنظر لل SOC ، يوجد  شركات
قراءة المزيد