ما الفرق بين EDR و XDR و NDR؟ وكيف تختار الحلّ الأمني الأنسب لشركتك

الفرق بين EDR وXDR وNDR — الدليل الشامل لاختيار الحل الأمني الأنسب

10 نوفمبر 2025 | الفئة: Cybersecurity – Threat Detection – SOC – Enterprise Security

EDR وXDR وNDR — ثلاثة حلول أمنية متكاملة تُشكّل منظومة دفاع شاملة ضد التهديدات الحديثة

⚠️ ملاحظة: هذا المقال موجّه لمسؤولي الأمن السيبراني ومهندسي البنية التحتية والمدراء التقنيين الذين يريدون فهم هذه الحلول واتخاذ قرار شراء مدروس. لا يحتاج خبرة متقدمة مسبقة.

مقدمة

قبل عشر سنوات كان الـ Antivirus والـ Firewall يكفيان لحماية الشبكات. اليوم الأمر مختلف تماماً — الهجمات الحديثة لا تعتمد على ملفات خبيثة تقليدية بل على تقنيات مثل Living-off-the-Land التي تستخدم أدوات النظام نفسه (PowerShell، WMI، certutil) لتنفيذ الهجوم. الـ Antivirus لا يرى شيئاً — لأنه يبحث عن ملفات مشبوهة وليس عن سلوكيات مشبوهة.

هنا ظهرت أجيال جديدة من الحلول الأمنية: EDR لحماية الأجهزة، XDR لدمج كل طبقات الأمان، وNDR لمراقبة الشبكة. الثلاثة مختلفون في المنطق والنطاق — لكنهم متكاملون. في هذا المقال ستفهم كل واحد منهم بعمق وتعرف متى تستخدم أيّاً منهم أو جميعهم.

📋 جدول المحتويات

1. لماذا لم تعد الحلول التقليدية كافية؟
2. EDR — الحماية العميقة للأجهزة
3. XDR — الرؤية الموحّدة عبر كل الطبقات
4. NDR — مراقبة الشبكة والتدفق
5. مقارنة شاملة بين الثلاثة
6. مثال هجوم حقيقي — كيف يتعامل كل حل؟
7. أبرز الحلول التجارية في السوق
8. العلاقة مع SIEM وSOAR
9. كيف تختار الحل الأنسب لمؤسستك؟
10. الأخطاء الشائعة عند اختيار هذه الحلول
11. الأسئلة الشائعة (FAQ)
12. الخاتمة
13. مقالات مرتبطة

1. لماذا لم تعد الحلول التقليدية كافية؟

الـ Antivirus التقليدي يعمل بآلية بسيطة: يقارن الملفات بقاعدة بيانات من Signatures (بصمات التهديدات المعروفة). إذا وجد تطابقاً — يحظر. إذا لم يجد — يسمح.

المشكلة: الهجمات الحديثة لا تستخدم ملفات مميزة. المهاجم يكتب سكريبت PowerShell مخصصاً، أو يستخدم أدوات Windows المدمجة، أو يشفّر الاتصالات. الـ Antivirus لا يرى شيئاً لأنه يبحث عن توقيعات معروفة لملفات — لا عن سلوكيات مشبوهة.

أسلوب الهجوم	Antivirus	EDR	XDR	NDR
Malware تقليدي	✔	✔	✔	جزئي
Fileless Attack (PowerShell)	✘	✔	✔	جزئي
Lateral Movement داخل الشبكة	✘	جزئي	✔	✔
C2 Communication (اتصال بخادم تحكم)	✘	جزئي	✔	✔
هجوم متعدد المراحل (APT)	✘	✘	✔	جزئي
IoT / Unmanaged Devices	✘	✘	جزئي	✔

2. EDR — Endpoint Detection and Response

📌 تعريف بسيط: EDR هو "كاميرا مراقبة" مثبّتة على كل جهاز — تراقب كل ما يحدث داخله (عمليات، ملفات، اتصالات، تغييرات في Registry) وتُنبّه أو تتدخل عند اكتشاف سلوك مشبوه.

كيف يعمل EDR؟

يُثبَّت على كل جهاز Agent خفيف يعمل في الخلفية. هذا الـ Agent يجمع البيانات ويُرسلها لمنصة تحليل مركزية. المنصة تستخدم قواعد وخوارزميات تحليل السلوك لاكتشاف الأنماط الخبيثة — حتى لو لم يكن الملف موجوداً في قاعدة بيانات التهديدات.

ما يراقبه EDR على كل جهاز:

• Process Trees: أي عملية أطلقت عملية أخرى — مثل Word يُطلق PowerShell = إشارة تحذير.
• File System Changes: ملفات جديدة تظهر في مسارات حساسة.
• Registry Modifications: تغييرات في مفاتيح Registry للـ Persistence.
• Network Connections: اتصالات شبكية يُنشئها كل Process.
• Memory Injections: عمليات تحقن كوداً في ذاكرة عمليات أخرى.
• User Behavior: تصرفات غير عادية للمستخدم (ساعات غير معتادة، كميات ضخمة من الملفات).

قدرات الاستجابة في EDR:

• Isolation: عزل الجهاز المصاب عن الشبكة فوراً مع الإبقاء على اتصاله بمنصة الإدارة.
• Process Kill: إنهاء عملية خبيثة عن بُعد.
• File Quarantine: عزل ملف مشبوه لتحليله.
• Live Investigation: المحقق يستطيع الاتصال بالجهاز مباشرةً للتحقيق اللحظي.
• Rollback: بعض حلول EDR تستطيع التراجع عن تغييرات Ransomware.

🔴 مثال عملي — Fileless Attack:

موظف يفتح مرفق Excel. الملف يُشغّل Macro يستدعي PowerShell. PowerShell يُحمّل Shellcode من الإنترنت في الذاكرة مباشرةً (بدون ملف على القرص). الـ Antivirus لا يرى شيئاً. EDR يرى: Excel → PowerShell → Outbound Connection — هذا Pattern مشبوه، يُوقفه فوراً.

قيود EDR:

• يعمل على الأجهزة المُدارة فقط — لا يرى أجهزة IoT أو Printers أو Cameras.
• لا يرى الحركة بين الأجهزة على مستوى الشبكة.
• يولّد كميات ضخمة من التنبيهات تحتاج فريقاً لمراجعتها.

3. XDR — Extended Detection and Response

📌 تعريف بسيط: XDR هو EDR + كل شيء آخر. بدلاً من رؤية جهاز واحد، يرى الصورة الكاملة — الأجهزة + البريد الإلكتروني + السحابة + الشبكة + تطبيقات SaaS — ويُربط بين الأحداث المتفرقة في قصة هجوم واحدة متكاملة.

المشكلة التي يحلها XDR:

تخيّل هجوماً متعدد المراحل (APT): مهاجم يبدأ بإرسال بريد إلكتروني خبيث → الضحية تفتحه → يتم اختراق الجهاز → المهاجم يتحرك لجهاز آخر → يبدأ جمع البيانات وإرسالها لخارج الشبكة.

في بيئة بدون XDR: فريق الأمان يرى 4 تنبيهات منفصلة من 4 أنظمة مختلفة (Email Security، EDR، Network Monitor، DLP) ولا يدرك أنها مراحل هجوم واحد. XDR يجمع هذه التنبيهات الأربعة في حادثة واحدة مع Timeline كامل وسياق واضح.

مصادر البيانات في XDR:

📧 Email Security

Phishing، مرفقات خبيثة، روابط مشبوهة.

💻 Endpoints (EDR)

سلوك العمليات والملفات على الأجهزة.

☁️ Cloud & SaaS

نشاط غير عادي في Azure AD، M365، AWS.

🌐 Network

حركة الشبكة وإشارات NDR.

🔑 Identity

محاولات تسجيل دخول مشبوهة، انتحال هوية.

📱 Mobile

نشاط الأجهزة المحمولة المُدارة.

🔴 مثال عملي — هجوم متعدد المراحل:

1. Email Security: رسالة Phishing تصل لموظف.
2. EDR: موظف يفتح المرفق — تُشغَّل Macro — تثبيت Backdoor.
3. Identity: نفس المستخدم يُسجّل دخولاً من IP مختلف في دولة أخرى.
4. Network: الجهاز يبدأ Lateral Movement لأجهزة أخرى.
XDR يرى الأربعة معاً ويُصدر تنبيهاً واحداً: "هجوم APT منذ 3 ساعات — المرحلة الحالية: Lateral Movement"

قيود XDR:

• تكلفة أعلى من EDR وحده.
• يعتمد على Ecosystem موحّد — XDR من Microsoft يعمل بشكل أفضل مع منتجات Microsoft.
• يحتاج فريق SOC لتفسير النتائج واتخاذ القرار.

4. NDR — Network Detection and Response

📌 تعريف بسيط: NDR هو "محلل حركة المرور الشبكية" — يرى كل حزمة بيانات تتحرك في شبكتك ويكتشف الأنماط المشبوهة حتى في الأجهزة التي لا يمكن تثبيت Agent عليها.

لماذا NDR منفصل عن EDR و XDR؟

EDR يعتمد على Agent مثبَّت. ماذا عن:

• كاميرات المراقبة IP وأجهزة IoT — لا يمكن تثبيت Agent عليها.
• طابعات الشبكة ومتحكمات التصنيع (OT/ICS).
• أجهزة الضيوف المتصلة بشبكة الشركة.
• خوادم Legacy لا يمكن تشغيل Agent حديث عليها.

NDR يحل هذه المشكلة — يتصل بنقاط محورية في الشبكة (Core Switch، Firewall، SPAN Port) ويحلل الحركة دون الحاجة لـ Agent على أي جهاز.

تقنيات NDR الأساسية:

• Deep Packet Inspection (DPI): فحص محتوى الحزم — ليس فقط Header.
• Flow Analysis (NetFlow/IPFIX): تحليل أنماط التدفق بدون فحص المحتوى — مفيد للـ Encrypted Traffic.
• Machine Learning: بناء Baseline طبيعي للشبكة والكشف عن أي انحراف.
• Behavioral Analytics: تحديد Lateral Movement وDNS Tunneling وBrute Force.

🔴 مثال عملي — Data Exfiltration:

خادم قاعدة بيانات داخلي يبدأ إرسال 50GB من البيانات لـ IP خارجي مجهول في الساعة 2 صباحاً. لا Malware على الخادم — المهاجم يستخدم بيانات اعتماد مسروقة. EDR لا يرى شيئاً مشبوهاً. NDR يرى: حجم غير اعتيادي من البيانات، وجهة جديدة، وقت غير معتاد — يُصدر تنبيهاً فورياً.

قيود NDR:

• يحتاج بنية شبكية داعمة: SPAN Ports أو Network TAP — يحتاج تجهيزاً مسبقاً.
• التشفير الكامل (HTTPS End-to-End) يُقلّل من فعاليته في بعض السيناريوهات.
• بمفرده لا يستطيع التدخل المباشر على الجهاز المصاب.

5. مقارنة شاملة بين EDR وXDR وNDR

الجانب	EDR	XDR	NDR
نطاق المراقبة	الأجهزة الطرفية	كل البنية التحتية	حركة الشبكة
يحتاج Agent	نعم — على كل جهاز	جزئياً	لا
يغطي IoT/OT	✘	جزئياً	✔
ربط الأحداث عبر الطبقات	✘	✔ — هذا تخصصه	جزئياً
اكتشاف Lateral Movement	جزئياً	✔	✔
التعقيد والإعداد	بسيط	متوسط–متقدم	يحتاج بنية شبكية
التكلفة النسبية	متوسطة	مرتفعة	متوسطة–مرتفعة
الفئة المستهدفة	صغيرة ومتوسطة	متوسطة وكبيرة	بنى معقدة وكبيرة
يحتاج SOC لتشغيله؟	مُستحسَن	ضروري	ضروري

6. مثال هجوم حقيقي — كيف يتعامل كل حل؟

لنتابع هجوم Ransomware متكامل ونرى كيف يتعامل معه كل حل:

1

Phishing Email

موظف يستلم بريداً يبدو من CEO — مرفق Excel.

EDR: لا يرى البريد ✘ | XDR: ✔ يكتشف Phishing في Email Layer | NDR: ✘

2

Macro Execution

Macro في Excel يُشغّل PowerShell لتحميل Payload.

EDR: ✔ يكتشف Excel→PowerShell | XDR: ✔ + ربطه بالـ Email | NDR: ✔ يرى الاتصال الخارجي

3

Lateral Movement

المهاجم ينتشر لأجهزة أخرى باستخدام PsExec.

EDR: جزئياً — يرى على كل جهاز | XDR: ✔ يرى الحركة كلها | NDR: ✔ يرى الحركة الشبكية

4

Ransomware Deployment

تشفير الملفات وإرسال مفتاح التشفير لخادم C2.

EDR: ✔ يعزل الأجهزة | XDR: ✔ يُوقف الهجوم كله | NDR: ✔ يحجب C2 Communication

💡 الخلاصة من المثال: EDR وحده كان سيكتشف المرحلة الثانية لكن لن يرى الصورة الكاملة. NDR كان سيرى الحركة الشبكية لكن لن يعرف الجهاز الصحيح. XDR هو الذي يربط كل شيء ويُعطي صورة متكاملة للهجوم منذ البداية.

7. أبرز الحلول التجارية في السوق

الشركة	EDR	XDR	NDR	ملاحظة
Microsoft	Defender for Endpoint	Microsoft Sentinel / Defender XDR	Defender for IoT	الأفضل لبيئات Microsoft 365
CrowdStrike	Falcon Prevent	Falcon XDR	Falcon Network Security	رائد في الـ EDR تاريخياً
Palo Alto Networks	Cortex XDR	Cortex XDR	Cortex NDR	حل متكامل من شركة واحدة
SentinelOne	Singularity EDR	Singularity XDR	—	قوي في الـ AI والأتمتة
Darktrace	Darktrace Endpoint	—	Darktrace Network	رائد في الـ NDR بالذكاء الاصطناعي
Vectra AI	—	Vectra XDR	Vectra NDR	متخصص في NDR

8. العلاقة مع SIEM وSOAR

كثيرون يسألون: ما الفرق بين هذه الحلول والـ SIEM؟ إليك الإجابة:

الحل	ما يفعله	متى يُستخدَم؟
EDR	كشف واستجابة على مستوى الجهاز	دائماً — القاعدة
NDR	كشف على مستوى الشبكة	عند وجود أجهزة لا تدعم Agent
XDR	دمج وربط الأحداث من كل المصادر	للمؤسسات المتوسطة والكبيرة
SIEM	تجميع وتحليل السجلات (Logs) من كل المصادر	للامتثال والتحقيق الجنائي
SOAR	أتمتة الاستجابة (Playbooks تلقائية)	لتسريع الاستجابة وتقليل التدخل البشري

💡 المنظومة المثالية: EDR/NDR يُغذّيان XDR → XDR يُغذّي SIEM → SIEM يُطلق Playbooks عبر SOAR → SOAR يستجيب تلقائياً. هذه هي البنية الأمنية المتكاملة لأي SOC حديث.

9. كيف تختار الحل الأنسب لمؤسستك؟

السيناريو	الحل المقترح
شركة صغيرة <100 موظف، لا SOC	EDR كافٍ + Microsoft Defender for Business
شركة متوسطة مع M365 وSOC صغير	XDR — Microsoft Defender XDR أو CrowdStrike Falcon
بيئة OT/ICS أو مستشفى (أجهزة طبية)	NDR ضروري + EDR على ما يمكن تثبيته
مؤسسة كبيرة متعددة الأفرع والبيئات	EDR + NDR + XDR + SIEM + SOAR (المنظومة الكاملة)
بنية سحابية بالكامل (Cloud-Native)	XDR مع دعم Cloud قوي + CSPM

الأسئلة التي يجب طرحها قبل الشراء:

1. ما حجم البيئة وعدد الأجهزة؟ أقل من 100 جهاز → EDR. أكثر → فكّر في XDR.
2. هل لديك فريق SOC داخلي؟ XDR وNDR بدون SOC = أموال مهدرة. ابدأ بـ MDR (Managed Detection and Response) إذا لم يكن لديك فريق.
3. هل لديك أجهزة لا يمكن تثبيت Agent عليها؟ IoT، OT، Printers → NDR ضروري.
4. ما البيئة السائدة؟ Microsoft-heavy → Defender XDR. Multi-vendor → فكّر في Palo Alto أو CrowdStrike.
5. هل الامتثال (Compliance) مطلب؟ PCI-DSS، ISO 27001، NCA → SIEM ضروري إلى جانب EDR/XDR.

10. الأخطاء الشائعة عند اختيار هذه الحلول

• ❌ شراء XDR بدون فريق أمني: XDR يُولّد آلاف التنبيهات — بدون محلل أمني يراجعها ستظل مجرد تنبيهات مهملة.
• ❌ الاعتقاد أن EDR يُغني عن Antivirus: EDR يعمل على Detection وResponse — الـ Antivirus على Prevention. الجيل الحديث من EDR يشمل الاثنَين، لكن تحقق من المزود.
• ❌ تثبيت NDR بدون SPAN Port مُعَدّ: NDR يحتاج أن "يرى" الحركة — إذا لم تُعدّ البنية الشبكية بشكل صحيح ستحصل على رؤية ناقصة.
• ❌ الاعتماد على Vendor واحد لكل شيء: الـ Vendor Lock-in خطر — قد تحصل على منتجات "كافية" لكل طبقة بدلاً من منتجات "ممتازة". قيّم كل حل بمعزل عن العلاقة التجارية.
• ❌ إهمال Tuning التنبيهات: في الأسابيع الأولى بعد تفعيل EDR/XDR ستحصل على كميات ضخمة من False Positives. الـ Tuning أهم من التثبيت.

11. الأسئلة الشائعة (FAQ)

❓ هل XDR يُلغي الحاجة لـ EDR و NDR منفصلَين؟

XDR يدمج قدرات EDR وNDR في منصة واحدة — لكن جودة كل طبقة تعتمد على المزود. بعض حلول XDR ممتازة في EDR لكن ضعيفة في NDR. قيّم كل طبقة على حدة وليس الاسم التجاري فقط.

❓ ما الفرق بين EDR وEPP (Endpoint Protection Platform)؟

EPP = Protection (منع التهديدات — Antivirus الجيل التالي). EDR = Detection + Response (اكتشاف والاستجابة). الجيل الحديث من المنتجات يجمع الاثنَين في حل واحد يُسمّى EPP+EDR.

❓ ما هو MDR وهل يختلف عن XDR؟

MDR (Managed Detection and Response) = XDR كخدمة مُدارة. بدلاً من بناء فريق SOC داخلي، تُعطي شركة متخصصة الوصول للبيانات وتتولى المراقبة والاستجابة نيابةً عنك. مناسب للشركات التي تريد حماية XDR بدون تكلفة بناء SOC.

❓ كيف يتعامل XDR مع Encrypted Traffic؟

XDR يستخدم Metadata وFlow Analysis بدلاً من فك التشفير — يرى "من يتحدث مع من، وبأي حجم، ومتى" حتى لو لم يرَ المحتوى. بعض حلول NDR تدعم SSL Inspection لفك التشفير على مستوى الشبكة عند الحاجة.

12. الخاتمة

EDR وXDR وNDR ليسوا منافسين — هم طبقات متكاملة في منظومة دفاعية واحدة:

• EDR يحمي الجهاز من الداخل — يرى كل عملية وملف وتغيير.
• NDR يحمي الشبكة — يرى كل حزمة بيانات حتى من الأجهزة بدون Agent.
• XDR يجمع الصورة الكاملة — يربط الأحداث من كل المصادر ليكشف الهجمات المعقدة.

الاتجاه اليوم هو نحو XDR كمنصة موحّدة تدمج كل الطبقات. لكن قبل أي قرار شراء — اسأل: "هل لديّ الفريق الذي يستطيع تشغيل هذا الحل فعلياً؟" الحل الأفضل هو الذي يناسب قدرات فريقك وحجم بيئتك.

🏷️ الكلمات الدلالية:

EDR XDR NDR Cybersecurity SOC SIEM Threat Detection CrowdStrike Microsoft Defender أمن سيبراني

13. مقالات مرتبطة

🔑

شرح Session Hijacking

كيف يسرق المهاجم الجلسات — وكيف تحمي نفسك.

اقرأ المقال ←

🛡️

ما هو Active Directory وكيف يعمل؟

AD هدف رئيسي للمهاجمين — فهمه ضروري للدفاع عنه.

اقرأ المقال ←

🔒

ما هو VPN؟ أنواع VPN وكيف يحمي اتصالك

VPN جزء من منظومة الحماية التي يراقبها NDR.

اقرأ المقال ←

🌐

الفرق بين IP وMAC Address

أساس كيف يتحرك المهاجم في الشبكة ويكتشفه NDR.

اقرأ المقال ←

↑ العودة إلى أعلى الصفحة

© 2025 – جميع الحقوق محفوظة | كمبيوترجي — تقنية المعلومات والبنية التحتية