راهکار امنیتی Endpoint Detection and Response (EDR) چیست؟
به گفته موسسه گارتنر، EDR راهکار امنیتی یکپارچه برای نقطه انتهایی (Endpoint) است که با نظارت مداوم، رفتارها و دادهها را در سیستمهای Endpoint ضبط و ذخیره میکند و سپس با استفاده تکنیکهای مختلف، رفتارهای مشکوک را شناسایی و تجزیهوتحلیل کرده و در آخرین مرحله باقابلیت پاسخ به تهدید فعالیتهای مخرب را مسدود میکنند. و برای اصلاح و بازیابی سیستمهای آسیبدیده پیشنهاداتی ارائه میکند.
سیستم امنیتی شناسایی و پاسخ به تهدیدات EDR مخفف سه واژه زیر است:
Endpoint
دستگاههایی مثل رایانه یا سرورهایی که کاربر از آنها استفاده میکند.
Detection (شناسایی)
تکنولوژی EDR برای تیم امنیتی اطلاعاتی فراهم میکند تا بتوانند به شناسایی و بررسی حملات بر روی دستگاههای Endpoint بپردازند.
Response (پاسخ)
راهکارهای EDR با انجام کارهایی مانند مسدود کردن حملات مخرب و یا قرنطینه کردن Endpoint به حملات پاسخ میدهند.
وظایف اصلی سیستم امنیتی EDR:
- با نظارت بر روی فعالیتهای نقاط انتهایی Endpoint تهدیدات امنیتی را جمعآوری میکند.
- سپس دادهها را مورد تجزیهوتحلیل قرار داده و تهدیدات مخرب را شناسایی (Detection) میکند.
- و با سیستم پاسخگویی (Response) خودکار برای مهار و مسدود کردن تهدیدات به تیم امنیتی هشدار میدهد.
- جرمشناسی و ابزار تجزیهوتحلیل و تحقیق در مورد تهدیدات شناساییشده.
تفاوت آنتیویروس و EDR
سیستم امنیتی EDR از نقاط پایانی محافظت کرده و در برابر دادههای نقاط پایانی و مورداستفاده کاربران در برابر خطرات احتمالی بهعنوان سنگر عمل میکند. شرکتهای تولیدکننده راهکار ضدویروس درباره آنتیویروس گفته است: «یک اصطلاحی قدیمی که برای توصیف نرمافزار امنیتی که بدافزارها را شناسایی و از بین میبرد و همچنین از شما محافظت میکند.»
آنتیویروس علاوه بر متوقف کردن ویروسهای کامپیوتری، تهدیدهای مدرنی مثل: باج افزارها تروجان ها و ابزارهای تبلیغاتی مزاحم را نیز متوقف میکند.
در اصطلاح مدرنتر از آنتیویروس بهعنوان ضد بدافزار یاد میشود. اکنون برای درک تفاوت بین EDR و آنتیویروس، موارد استفاده هریک را توضیح میدهیم.
ضد بدافزار یا همان آنتیویروس برای آن دسته از کاربرانی طراحیشده که به دنبال محافظت از دستگاههای شخصی خود (موبایل، لپتاپ، تبلت) هستند. اما EDR مناسب برای کاربری تجاری است که از صد یا هزاران دستگاه نقطه پایانی محافظت میکند. این دستگاهها میتواند متعلق به سازمان یا کارمند (BYOD) باشند، و ممکن است از هر تعداد نقاط مهم WiFi ناامن به شبکه شرکت متصل شوند.
تجزیهوتحلیل برای کاربران معمولی چیزی فراتر از تعداد و نوع تهدیدات در بازه زمانی خاص نمیباشد. اما برای کاربران تجاری این کافی نیست و آنها میخواهند برای تمامی عملکردها در نقاط پایانی و اتفاقات غیرمعمول هشدار دریافت کنند. تا بتوانند بهموقع تهدیدها متوقف یا اصلاح کنند.
چرا شرکتها به EDR نیاز دارند؟
بر طبق گزارشهای سالهای اخیر، همواره حملات سایبری به سازمانها با افزایش و در عوض حملات مصرفکنندگان کاهشیافته است. و این آمار نشان میدهد، مجرمان سایبری بیشتر تلاش خود را بر روی مؤسسات آموزشی و نهادهای دولتی متمرکز میکنند. سازمانها در هراندازهای باشند بازهم مورد هدف باندهای تبهکار سایبری و هکرها قرار میگیرند، و این مجرمان همیشه به دنبال یافتن امتیازهای بزرگ از شرکتهایی که ذخیره دادههای ارزشمندی دارند میباشند. پس با در نظر گرفتن موارد یادشده، برای محافظت از نقاط پایانی، کارمندان، دادههای باارزش، مشتریان و کسبوکارتان در مقابل تهدیدات سایبری و آسیبها خرید EDR بسیار ضروری و اجتنابناپذیر میباشد.
کاربردهای مهم Endpoint Detection and Response(EDR)
نظارت مستمر برای تهدیدات احتمالی
اولویتبندی هشدارها و فعالیتهای مشکوک
جمعآوری دادهها و فعالیتهای دستگاهها
بررسی و تشخیص تهدیدات
هشدار به تیم امنیتی
پاسخ خودکار به تهدیدات
ویژگیهای کلیدی Endpoint Detection and Response
دانستن جنبه کلیدی امنیت و اهمیت EDR، به کاربران این امکان را میدهد که ویژگیهای ضروری EDR را بشناسند. و مطلع باشند که سیستم امنیتی EDR با صرف کمترین تلاش و سرمایهگذاری و بدون اتلاف منابع برای تیم امنیتی بسیار مفید است و بالاترین سطح حفاظت را نیز فراهم میکند. ویژگیهای کلیدی سیستم امنیتی Endpoint Detection and Response عبارتاند از:
۱- دارای قابلیت دید Real-Time
این قابلیت به کاربر در تمام Endpoint ها، توانایی مشاهده و توقف فعالیتها و تهدیدات را در مراحل اولیه میدهد.
۲- بانک اطلاعات تهدیدات
راهکار امنیتی Endpoint Detection and Response با جمعآوری دادهها از Endpoint ها، با توجه به ساختارشان آنها را غنیسازی کرده و با تکنیکهای بررسی خود، نشانههای حمله را پیشبینی میکند.
۳- حفاظت با رفتارهای پیشگیرانه
راهکار امنیتی Endpoint Detection and Response با تکیهبر روشهای مبتنی بر رویکردهای رفتاری همواره به دنبال نشانههای حمله (IOA ها) میباشد تا برای کاربر این امکان را فراهم نماید که همیشه پیش از وقوع آسیب امنیتی از فعالیتهای مشکوک آگاه شود.
۴- تشخیص و هوش
یک راهکار امنیتی EDR که هوش تهدیدات را یکپارچهسازی میکند، امکان فراهم کردن ساختاری جامع و جزئیاتی درباره مهاجم یا اطلاعات دیگری مربوط به حمله را فراهم میکند، و قابلیت ارائه گزارشات جامع و تحلیلی درباره تهدیدات و حملات را نیز ارائه میدهد.
۵- پاسخگویی سریع
راهکار امنیتی EDR، پیش از تبدیل حمله به آسیب امنیتی آن را متوقف کرده و امکان بازگشت سریع به کسبوکار را برای کاربر فراهم میکند.
۶- راهکار مبتنی بر Cloud
راهکار مبتنی بر Cloud، راهحل تضمینی و تجزیهوتحلیل بسیار دقیق Real-Time است و در عملکرد خود هیچگونه تأثیری بر روی Endpoint ها نمیگذارد.
NDR یا (Network Detection and Response) چیست؟
ابزارهای تشخیص و پاسخ شبکه (NDR) ترافیک خام شبکه را رصد میکنند تا حملات را شناسایی کرده و به آنها پاسخ دهند و امکان مشاهده تمام فعالیتهای شبکه ازجمله ترافیک کاربران از راه دور و محیطهای ابری، هیبرید و چند ابر دسترسی فراهم میکنند.
NDR دادههای مربوط به فعالیت جاری در شبکه را جمعآوری و ثبت میکند و فایلهای گزارشی را ایجاد میکند که معمولاً توسط SIEM برای تجزیهوتحلیل و بررسی استفاده میشوند. در حالت ایده آل، NDR باید ترکیبی هماهنگ از هشدارها (مبتنی بر امضا و/یا مبتنی بر ناهنجاری)، دادههای شبکه و تجزیهوتحلیل رفتاری ایجاد کند. بسیاری از آنها از یادگیری ماشین و اتوماسیون برای شناسایی و پاسخ به تکنیکهای حمله مبتنی بر شبکه، مانند c&c، استخراج دادهها، و دسترسی غیرمجاز استفاده میکنند.
اگرچه ذخیرهسازی دادههای PCAP ممکن است هزینهبر باشد، اما پلتفرمهای پیشرفته NDR میتوانند با تنظیم قوانین ضبط بر اساس مؤلفههایی مانند هشدارها، پروتکل، نوع یا وضعیت رمزگذاری این کار را تسهیل بخشند قوانین هوشمند NDR PCAP میتوانند به تیمهای امنیتی کمک کنند تا شواهد بیشتری از نفوذهای سایبری را کشف کنند و شواهد غنیتری را برای تحقیقات فارنزیک یا رعایت مقررات تهیه کنند.
تیمهای امنیتی از NDR برای تولید مدلهای پایه رفتار عادی شبکههای خود استفاده میکنند. سپس میتوان از NDR برای شناسایی الگوهای ترافیکی مشکوک و ایجاد هشدار استفاده کرد. این فناوری مبتنی بر امضا نیست، بلکه بر اساس رفتارها است و آن را با تغییرات در تکنیکهای حمله سازگار میکند.
مزایای NDR
تشخیص زودهنگام مسائل امنیتی شبکه، بهبود دید، تجزیهوتحلیل بهبودیافته، کاهش میانگین زمان شناسایی (MTTD) و میانگین زمان حل (MTTR)، افزایش هوش تهدید، و انطباق با مقررات.
NDR معمولاً خارج از باند پیادهسازی میشود، بنابراین بدون ایجاد تأخیر در شبکه عمل میکند.
راهکار امنیتی Managed Detection and Response (MDR) چیست؟
Managed Detection and Response (تشخیص و پاسخ مدیریتشده) یک راهکار امنیتی برونسپاری است، که خدماتی مانند شکار تهدیدات و کشف تهدیدات را به سازمانهای مختلف ارائه میدهد. با استفاده از MDR، شرکتها میتوانند با یک قسمت از هزینه یک برنامه داخلی، و یک مرکز عملیات امنیتی SOC را راهاندازی نمایند.
تشخیص و پاسخ مدیریتشده (MDR) چیست؟
افرادی که مسئول تهیه سیستم امنیتی یک شرکت هستند ممکن است ابتدا این سؤال را بپرسند “MDR چیست؟” احتمالاً قبلاً با Detection & Response (D&R) آشنایی دارید. و ازآنجاییکه آنها این سؤال را میپرسند، میدانند که سازمان آنها در تلاش است تا با تعهدات R&D عمل کند. این میتواند به دلیل کمبود پرسنل امنیتی، تخصص، منابع و فرآیندها برای اجرای صحیح یک برنامه R&D باشد.
یک ارائهدهنده خدمات امنیتی مدیریتشده (MSSP) میتواند با یک شرکت قراردادی ببند تا بهعنوان شریک SOC بهصورت سرویس (SOCaaS) عمل کند و تقریباً تمام خدمات امنیت سایبری را برای شرکت فراهم کند. همچنین یک MSSP میتواند بهسرعت تعداد کارکنان SOC را در یک حوزه خاص مانند تشخیص و پاسخ (D&R) گسترش دهد.
به گفته گارتنر، ارائهدهندگان سرویس MDR باید بتوانند از طریق تجزیهوتحلیل دادههای تلهمتری مانند گزارشها، دادهها و سایر اطلاعات زمینهای و همچنین از طریق شکار تهدید و مدیریت حوادث، نتایج قابلاجرا را ارائه دهند. این به مشتریان MDR اجازه میدهد تا وضعیت امنیتی خود را بهبود بخشند و بر سایر اولویتهای تجاری تمرکز کنند.
مزایای MDR چیست؟
کاهش خستگی از هشدار: تحلیلگران ممکن است به تعداد زیادی هشدار نادرست پی ببرند یا در طول زمان نسبت به هشدارهای واقعی بیتفاوت شوند. و در صورتیکه تعداد کارمندهای تیم کافی نباشد، ممکن است هشدارها بهدرستی پیگیری نشوند. در اینجا، MDR میتواند با بررسی و تجمیع هشدارهایی که برای مشتری مهم است بهعنوان یک محرک عمل کند.
تشخیص سریعتر تهدید: یک SOC بارگذاری شده نمیتواند تهدیدها را بهموقع تشخیص دهد یا به آنها پاسخ دهد. از سوی دیگر، یک ارائهدهنده سیستم امنیتی MDR میتواند کاملاً بر روی شناسایی و پاسخ به تهدیدات از طرف مشتری تمرکز کند. تعامل ارائهدهنده سیستم امنیتی MDR با هشدارهای انبوه، میتواند بهسرعت زمان پاسخ SOC به تهدیدات را کاهش دهد، و در ترکیب باهوش تهدید داخلی، تجزیهوتحلیل بیوقفه به یک تیم اجازه میدهد تا بهطور فعالتر تهدیدات را شناسایی کند.
گسترش ظرفیتهای امنیتی: تیمها باید عملکرد فوقالعادهای مانند: شناسایی تهدیدها، تریاژ هشدارها، تجزیهوتحلیل بدافزارها، و بررسی و پاسخ به حوادث را داشته باشند. در صورت کمبود دانش فنی پرسنل و بودجه محدود، وضعیت امنیتی یک شرکت میتواند به ابعاد ویرانگری برسد. در اینجا MDR میتواند به یک تیم امنیتی با منابع محدود کمک کند تا تواناییهای خود را در این حوزه حیاتی گسترش دهند.
تقویت سطح امنیت: بدون توجه به اینکه یک شرکت یک استارتاپ است یا در یک صنعت قرار دارد که تابهحال هدف حملات بزرگی نبوده است، این خطر وجود دارد که تواناییهای شرکت توسط مسئولین امنیت بهعنوان سطح پائین در نظر گرفته شود. و یک برنامه امنیتی سطح پائین نمیتواند در محیطهای پر ریسک امروزی باقی بماند. هر مرکز عملیات امنیتی (SOC) درنهایت با یک یا چند تهدید جدی مواجه خواهد شد. داشتن بودجه برای مقابله با این مشکل مطمئناً نقطه خوبی برای شروع است. اما بدون برنامه استراتژیک برای جذب استعدادها، امیدی به موفقیت وجود ندارد.
یک ارائهدهنده سیستم امنیتی MDR قادر است در کوتاهترین زمان ممکن وظایف را بر عهده بگیرد و یک SOC را در بهبود و مقیاس بندی برنامه خود راهنمایی کند. این باعث میشود که کارکنان داخلی بتوانند بر روی پروژههای استراتژیک تمرکز کنند و امنیت را ارتقا دهند.
بازده سرمایه: (ROI) یک شریک MDR باید در یک بازه زمانی مناسب (۳-۵ سال) بازده سرمایه ROL ) (قابلتوجهی را به نمایش بگذارد. بهعنوانمثال، خدمات MDR از سوی Rapid7 در عرض سه سال، میانگین بازده سرمایه تقریباً ۵٫۵ برابری را برای مشتریان به ارمغان آورد. با افزایش کارایی در تشخیص، بررسی و پاسخگویی هشدار، واحدهای امنیتی در هزینهها صرفهجویی ایجاد میکند که میتواند در جای دیگر سرمایهگذاری مجدد شود.
دسترسی به ابزارهای تشخیص و پاسخ: مشتری MDR معمولاً به فناوری D&R فروشنده دسترسی دارد تا با پلتفرم زیربنایی آشنا شود. او همچنین میتواند تحقیقات خود را در مورد هشدارها از طریق این پلت فرم انجام دهد. علاوه بر این، او باید به تحلیل ترافیک شبکه، تحلیل رفتار کاربر (UBA) و سایر ابزارها دسترسی داشته باشد.
MDR چگونه کار میکند؟
MDR (تشخیص و پاسخ مدیریتشده) به مشتریان امکان میدهد تا امنیت شرکت خود را بهوسیله تیم SOC بهصورت ۲۴ ساعته تضمین کنند. MDR بهسرعت تعداد کارکنان SOC را افزایش میدهد، که منجر به بهبود جوانب زیر میشود:
تشخیص تهدید
تحلیل تهدید
بررسی تهدید
پاسخ فعال به تهدیدات
تمرکز به اولویتهایی غیر از تهدید
ازآنجاییکه MDR بهطور کامل کل محیط مشتری را پوشش میدهد، متخصصان امنیتی میتوانند زمان و مکان وقوع فعالیت مخرب را شناسایی کنند. ارائهدهنده همچنین باید بتواند به مشتریان در انجام وظایف زیر کمک کند:
شناسایی یک تهدید هدفمند برای یک محیط خاص
بازسازی سیستمهای آسیبدیده
ترکیب تلاشها برای از بین بردن یک تهدید
ارائه توصیههایی برای ایمنسازی بهتر سیستم آسیبدیده در آینده
جداسازی رویدادهای بیخطر و گزارش فقط در مورد تهدیدهای خطرناک
MDR در مقابل سایر راهحلهای امنیتی مدیریتشده
تفاوت MDR با MSSP یا EDR (تشخیص و پاسخ نقطه پایانی) چیست؟ آنچه در اینجا بسیار مهم است این است که یک SOC مایل است کدام عملکردها را به دست آورد یا گسترش دهد و چه بودجهای برای این کار اختصاص مییابد.
MDR یا MSSP
یک MSSP (ارائهدهنده خدمات امنیتی مدیریتشده) طیف گستردهای از خدمات را ارائه میدهد که MDR میتواند تنها یکی از آنها باشد. بنابراین، اگر مشتری صرفاً به دنبال راهحل D&R باشد، یک MSSP عمومی که راهحلهای SOC-as-a-Service را ارائه میدهد میتواند از نیازهای مشتری فراتر رفته و فشار غیرضروری بر بودجه امنیتی وارد کند.
MDR یا EDR
EDR (Endpoint Detection and Response) راهحلی است که باید در یکراه حل D&R بین شبکهای و ابری بزرگتر ادغام شود. این معمولاً یک سرویس اضافی است که بهطور خاص روی تهدیدات نقطه پایانی و کاهش آنها متمرکز است. یک شریک بالقوه MDR باید EDR را بهعنوان بخشی از ارائه خدمات مدیریتشده خود ارائه دهد.
یکراه حل پیشرفته باید نسبت به یکراه حل مستقل EDR یا سرویس مدیریتشده، تشخیص تهدید، شکار و مهار تهدید، اعتبارسنجی و پاسخ حادثه، تجزیهوتحلیل رفتاری، اتوماسیون، بینش عمیقتری نسبت به جزئیات حمله ارائه دهد.
Extended Detection and Response)XDR) چیست؟
راهحلهای تشخیص و پاسخ گسترده (XDR) برای اتصال و مرتبط کردن دادههای EDR با انواع مختلف دادههای امنیتی مانند شبکه، ایمیل و بارهای کاری ابری، و سپس افزودن تجزیهوتحلیل و اتوماسیون برای افزایش تشخیص تهدید و پاسخگویی به آن، طراحیشده است. این رویکردی جامعتری برای تشخیص و پاسخ به حادثه ارائه میدهد. XDR میتواند به امنیت ابر و مدیریت هویت و دسترسی گسترش یابد.
راهحلهای XDR دادهها را از چندین ابزار امنیتی ادغام میکنند و دید وسیعی از چشمانداز امنیتی شما ارائه میدهند و تیمهای امنیتی را قادر میسازند تهدیدات را در کل سازمان شناسایی و به آنها پاسخ دهند.
XDR یک نمای کامل و متصل از تأثیر یک حمله را نشان میدهد و به تیمهای امنیتی کمک میکنند تا بهسرعت و بهطور مؤثر به حوادث پاسخ دهند. هنگامیکه یک حمله رخ میدهد، آنها میتوانند نقطه آلودگی اولیه، دامنه تأثیر، دادههای تاریخی و موارد دیگر را در دسترس داشته باشند، که توسط تشخیصهای متقابل دامنه و قابلیتهای پاسخ یکپارچه پلتفرمهای XDR تقویت میشود.
در میان این ابزارهای امنیتی، XDR جدیدترین است و بحثهایی در مورد تعریف و قابلیتهای آن وجود دارد. مانند بسیاری از فناوریهای امنیتی جدید، این راهحل توسط برخی از فروشندگان امنیتی بهعنوان یک راهحل جامع به بازار عرضه میشود و عملکرد راهحل ممکن است همیشه مطابق با اندازه اظهارات فروشنده نباشد. برخی از راهحلها خطر قفل شدن فروشنده را به همراه دارند و خطر افزودن پیچیدگی و کاهش سرعت بهجای تسریع در تشخیص تهدیدات وجود دارد. تیمهای امنیتی باید قبل از انتخاب، ارزیابی کنند که آیا یک راهحل احتمالی XDR میتواند با پشته امنیتی موجود خود یکپارچه شود یا خیر.
تفاوت بین NDR EDR, XDR,MDR, چیست؟
NDR,MDR، EDR و XDR چند فناوری امنیت سایبری هستند که در صورت ترکیب، دفاعی جامع در برابر حملات سایبری ارائه میکنند.
NDR یا Network Detection and Response، تمرکز روی شناسایی و پاسخ شبکه، بهطور مستمر ترافیک شبکه را برای کمک به شناسایی و پاسخ به تهدیدات نظارت میکند.
EDR یا Endpoint Detection and Response، به شناسایی و پاسخگویی به تهدیدات در دستگاههای کاربر مانند رایانههای رومیزی، لپتاپ، تبلت و تلفن کمک میکند.
XDR یا Extended Detection and Response، بهعنوان یک متحد کننده در نظر گرفتهشده است، به این صورت که NDR، EDR و دیگر منابع داده را به هم متصل میکند و به تیمهای امنیتی یک دید متمرکز از تلهمتری از سراسر پشته فناوری خود میدهد. سازمانها با ادغام این راهحلها، پوشش و دقت تشخیص خود را بهبود میبخشند، تحلیل، بررسی و پاسخ تهدید را تسریع میکنند و از دید گستردهتر بهرهمند میشوند.
MDR یا Managed Detection and Response، یک سیستم امنیتی است که برای دفاع پیشگیرانه، از متخصصان ماهر امنیت سایبری استفاده میکند. و با استفاده از EDR بهعنوان سرویس مدیریتشده، با نظارت مستمر، شکار تهدید، و اولویتبندی هشدار کارشناسان را تضمین میکند.
در جدول زیر میتوانید خلاصه نحوه عملکرد، مزایا، محدودیتها و تفاوتهای راهکارهای امنیتی NDR, MDR، EDR و XDR را مشاهده نمائید.
| سیستم امنیتی | عملکرد | مزایا | محدودیتها |
| NDR | ترافیک شمال به جنوب و شرق به غرب (شبکه) را تجزیهوتحلیل میکند. یادگیری ماشینی، تجزیهوتحلیل رفتاری و پایگاه داده تهدید را برای شناسایی امضاهای حمله شناختهشده و همچنین فعالیت غیرعادی که ممکن است نشانگر حمله باشد، به کار میگیرد. یک خط پایه از الگوهای ترافیکی عادی ایجاد میکند. | با نظارت منفعلانه بر هر دستگاه در شبکه، بدون تأثیر بر عملکرد یا در دسترس بودن، دید امنیتی گستردهای را فراهم میکند. با EDR و SIEM ادغام و تکمیل میشود تا یک رویکرد امنیتی جامع را به شرکت ارائه دهد.
|
ذخیرهسازی دادههای شبکه ممکن است هزینهبر باشد زیرا ممکن است حجم آنها بیشتر از لاگهای برنامهها یا هشدارهای EDR باشد. |
| EDR | نقاط پایانی یا دستگاههای کاربر نهایی را نظارت و تجزیهوتحلیل میکند. جستجو برای شاخصهای حمله؛ از تجزیهوتحلیل رفتاری برای شناسایی الگوهایی استفاده میکند که ممکن است نشاندهنده رفتار مخرب یا مطابقت با تهدیدات شناختهشده در پایگاه داده باشد. ارسال هشدار و قابلیت ایزوله کردن دستگاههای تحت تأثیر. | دید امنیتی عمیق را باقابلیتهای تشخیص قوی و لایهای از دفاع در زیر فایروالها، آنتیویروسها و ابزارهای دیگر فراهم میکند. | قابلیت ارائه شناختی درباره شبکه، ابر، سرورها و سایر عناصر سازمان را فراهم نمیکند. توانایی محدود در تشخیص الگوهای حمله جدید و حملات روز-صفر. قابلیت اعمال بر روی تمامی دستگاههای پایانه (مانند چاپگرها، تلفنهای IP) قابلاجرا نیست. |
| XDR | دادهها را از منابع متفاوت، بهطور بالقوه ازجمله نقاط پایانی، سرورها، پیادهسازی ابری و شبکهها جمعآوری میکند. بهطورمعمول شامل قابلیتهای تجزیهوتحلیل ماشینی میشود. | به تیمهای امنیتی امکان میدهد تا از طریق یک پنجره تکی به دادههای تجمعی دسترسی پیدا کنند و بهسرعت به تهدیدات پاسخ دهند.
|
ممکن است باعث ایجاد پیچیدگی در دستگاه امنیتی شود یا اثربخشی سایر ابزارهای امنیتی را به دلیل قفل شدن فروشنده و ادغام ناکافی کاهش دهد. |
| MDR | با استفاده از MDR، شرکتها میتوانند با کسری از هزینه ساخت یک برنامه داخلی، یک مرکز عملیات امنیتی کلید در دست (SOC) راهاندازی کنند. | تشخیص کاربران آسیبدیده و فعالیتهای جانبی دیگر، اتوماسیون کارهای دستی، تشخیص مهاجم از طریق بررسی رفتاری و گزارش از رفتار حملهکننده، مهار سرورها و نقاط پایانی برای محدود کردن آسیبهای احتمالی مهاجم. | قابلیت ارتباط تلهمتری تهدیدات از تمام داراییهای شبکه در ارائههای MDR محدود است، که توانایی تشخیص و پاسخ به تهدیدات در مراحل ابتدایی یک حمله را محدود میکند. |
