سؤال وجواب حول اكتشاف الشبكة والاستجابة لها (NDR)

بدائل SIEM
ما هو NDR؟
اليوم كشف الشبكة والاستجابة لها (NDR) لها تاريخ طويل ، تطورت من أمان الشبكة و تحليل حركة مرور الشبكة (NTA). التعريف التاريخي لأمن الشبكة هو استخدام جدار حماية محيطي وأنظمة منع التطفل لفحص حركة المرور الواردة إلى الشبكة ، ولكن مع تطور تكنولوجيا المعلومات والأمن ، أصبح التعريف أوسع بكثير الآن بسبب الهجمات الحديثة التي تستخدم أساليب أكثر تعقيدًا.

اليوم ، أمان الشبكة هو كل ما تفعله الشركة لضمان أمن شبكاتها وكل ما يتعلق بها. يتضمن ذلك الشبكة والسحابة (أو السحابة) ونقاط النهاية والخوادم وإنترنت الأشياء والمستخدمين والتطبيقات. أمن الشبكة تسعى المنتجات إلى استخدام تدابير وقائية مادية وافتراضية لحماية الشبكة وأصولها من الوصول غير المصرح به والتعديل والتدمير وسوء الاستخدام.

لماذا يعتبر NDR مهمًا؟
NDR مهم لأن الشبكة هي العمود الفقري للبنية التحتية لتكنولوجيا المعلومات ، وكل مستخدم وجهاز متصل بها - إنها المصدر الوحيد للحقيقة إذا كان بإمكانك رؤية حركة المرور بطريقة مفيدة. يجب أن تمر حركة المرور من جميع أنظمتك ، بما في ذلك نقاط النهاية والخوادم والتطبيقات والإنترنت ، عبر الشبكة ، وبالتالي فإن الشبكة هي المصدر المنطقي للمعلومات الحقيقية حول مآثر الأمان ، و NDR هي الأداة التي تلتقط تلك المعلومات.

هناك الكثير من أدوات الأمان التي تغطي نقاط النهاية والتطبيقات مثل البريد الإلكتروني والخوادم ، لكن تحليل البيانات والسجلات من هذه الأدوات لا يكفي لإحباط هجمات اليوم. إذا كان هناك شيء واحد مهم يجب معرفته عن الشبكة ، فهو أنه لا يكذب. لهذا السبب يكمل NDR رحلة المنظمة إلى كشف كل شيء والاستجابة له (أي، XDR) جنبًا إلى جنب مع اكتشاف نقطة النهاية والاستجابة (أي EDR) لبيانات نقطة النهاية و SIEM لسجلات أداة الأمان. خاصة، NDR يرى ما لا تراه نقاط النهاية والسجلات الأخرى (الشبكة بأكملها ؛ الأجهزة ، تطبيقات SaaS ، سلوك المستخدم) ، تعمل كمجموعة بيانات حقيقية وتمكن من الاستجابات في الوقت الفعلي.

كيف يعمل NDR؟
NDR تستخدم الحلول تقنيات غير قائمة على التوقيع (على سبيل المثال ، آلة التعلم أو غيرها من التقنيات التحليلية) للهجمات غير المعروفة جنبًا إلى جنب مع التقنيات القائمة على التوقيع (على سبيل المثال ، تهديد إنتل مدمج في الخط للتنبيهات) للهجمات المعروفة لاكتشاف حركة المرور أو الأنشطة المشبوهة. NDR يمكن استيعاب البيانات من مخصصة أجهزة الاستشعار، الجدران النارية الموجودة ، IPS / IDS ، البيانات الوصفية من NetFlow، أو أي مصدر آخر لبيانات الشبكة ، بافتراض وضع إستراتيجي لأجهزة الاستشعار و / أو القياس عن بعد للشبكة. يجب مراقبة حركة المرور بين الشمال والجنوب وحركة المرور بين الشرق والغرب وكذلك حركة المرور في كل من البيئات المادية والافتراضية. يتم جمع جميع البيانات وتجميعها في بحيرة بيانات مركزية ، وإثرائها بسياقات مثل الاستخبارات التهديدو / أو اسم المضيف و / أو معلومات المستخدم ، ثم معالجتها بواسطة ملف محرك الذكاء الاصطناعي لاكتشاف أنماط المرور المشبوهة ورفع التنبيهات. 

بمجرد تشغيل التنبيهات ، يقوم المحلل أو NDR يجب أن يستجيب الحل. الاستجابة هي النظير الحاسم لعمليات الاكتشاف وهي أساسية ل NDR. الاستجابات التلقائية مثل إرسال الأوامر إلى ملف جدار الحماية لإسقاط حركة المرور المشبوهة أو إلى EDR أداة لعزل نقطة نهاية متأثرة ، أو الاستجابات اليدوية مثل توفير أدوات البحث عن التهديدات أو التحقيق في الحوادث هي عناصر شائعة في NDR.

كيف تدمج NDR مع أدوات الأمان الأخرى؟
تتكامل أدوات NDR مع أدوات الأمان الأخرى من خلال واجهات برمجة التطبيقات (APIs) التي يوفرها NDR بائع. بالطبع ، إذا كنت تستخدم Stellar Cyber's افتح منصة XDR, NDR تم دمجها بالفعل فيه ، إلى جانب الجيل التالي SIEM وذكاء التهديد.

تنزيل دليل مشتري NDR>

انتقل إلى الأعلى