Mi a Microsoft egyesített biztonsági üzemeltetési platformja?
A Microsoft egyesített biztonsági üzemeltetési platformja egyetlen platformot biztosít a végpontok közötti biztonsági műveletekhez (SecOps). Integrálja a biztonsági információ- és eseménykezelést (SIEM), a biztonsági vezénylést, az automatizálást és a reagálást (SOAR), a kiterjesztett észlelést és reagálást (XDR), a testtartás- és expozíciókezelést, a felhőbiztonságot, a fenyegetésfelderítést és a generatív AI-megoldásokat.
A Microsoft egyesített SecOps platformja az összes ilyen képesség lefedése érdekében olyan szolgáltatásokat egyesít, mint a Microsoft Defender XDR, Microsoft Sentinel, Microsoft Biztonságikitettség-kezelés és Microsoft Security Copilot a Microsoft Defender portálon. Több Microsoft Defender szolgáltatás integrálása a biztonság és a kifinomult támadások elleni integrált védelem biztosítása érdekében. A Defender portál egyetlen helyet biztosít a biztonsági incidens előtti és utáni kiberbiztonsági kockázatok és fenyegetések monitorozásához, észleléséhez, kivizsgálásához, elhárításához és az azokra való reagáláshoz.
Objektumok védelme
A Microsoft egyesített SecOps-platformjában a Defender XDR, Microsoft Sentinel és más Defender-szolgáltatások integrálásával számos adategységet védheti.
Microsoft Defender XDR szolgáltatások a következő eszközvédelmi képességeket tartalmazzák:
| Képesség | Biztonsági termék |
|---|---|
| A fenyegetések azonosítása, észlelése és kivizsgálása Microsoft Entra ID. | Microsoft Defender for Identity |
| E-mailek, URL-hivatkozások és Office 365 együttműködési eszközök által jelentett fenyegetések elleni védelem. | Office 365-höz készült Microsoft Defender |
| Végponteszközök figyelése és védelme. Figyelheti, észlelheti és kivizsgálhatja az eszközmegsértéseket, és automatikusan reagálhat a biztonsági fenyegetésekre. | Végponthoz készült Microsoft Defender |
| Az üzemeltetési technológia (OT) és az informatikai erőforrások azonosítása és védelme az Defender XDR-környezetekre való kiterjesztésével. | Microsoft Defender for IoT |
| Az eszközök és a szoftverleltár azonosítása, valamint az eszközök állapotának felmérése a biztonsági rések megkereséséhez. | Microsoft Defender biztonságirés-kezelése |
| SaaS-felhőalkalmazásokhoz való hozzáférés védelme és szabályozása. | Microsoft Defender for Cloud Apps |
A Microsoft Defender XDR licenccel nem rendelkező szolgáltatások eszközvédelme a következő képességeket foglalja magában:
| Képesség | Biztonsági termék |
|---|---|
| Nem a Microsofttól és a helyszíni eszközök, szolgáltatások és megoldások figyelése és védelme. | Microsoft Sentinel |
| Felderítheti és felmérheti az eszközöket, és elháríthatja a támadási felületeket csökkentő kockázatokat. | Microsoft Biztonságikitettség-kezelés |
| Javíthatja a többfelhős és helyszíni biztonsági helyzeteket, és megvédheti a felhőbeli számítási feladatokat a fenyegetések ellen. | Microsoft Defender for Cloud |
A biztonságkezelés egyszerűsítése
A Végpontok, identitások, felhőalkalmazások és számítási feladatok, valamint az e-mailek teljes körű, incidens előtti és utáni védelméhez kombinálhatja a Microsoft biztonsági szolgáltatásait, például a Defender XDR, a Microsoft Sentinel és egyebeket.
A Defender portál egyetlen, központosított nézetet biztosít a szervezeti biztonsági helyzetről, valamint a fenyegetések észleléséről és a reagálásról. Egy kombinált incidenssort biztosít, amely a biztonsági kockázatokra és a biztonsági incidensekre vonatkozó információkat csoportosítja.
Időt szabadíthat fel az elemzők számára, mivel az egyesített biztonsági irányítópultok lehetővé teszik az elemzők számára, hogy átvehessék a szervezet silóit, rangsorolhassák a legkritikusabb fenyegetéseket, és hatékonyan keressenek támadásokat.
Az alábbi képen a Microsoft egyesített SecOps platformjának egyesített incidenssora látható, több szolgáltatásforrásból származó incidensekkel.
A biztonsági kockázatok csökkentése és a támadások megelőzése
A szervezeti kockázatkezelési keretrendszer részeként következetesen csökkentheti a biztonsági kockázatokat, és megelőzheti a kiberbiztonsági támadásokat. A Microsoft egyesített SecOps-platformja átfogó expozíciókezelési és felhővédelmi képességeket kínál. A Microsoft Biztonságikitettség-kezelés és a felhőhöz készült Microsoft Defender esetén:
- Folyamatosan felderítheti a szervezeti eszközöket, és felmérheti azok biztonsági állapotát.
- A felhőbeli számítási feladatok védelme a kódtól a futtatókörnyezetig.
- Az adatok és a fenyegetésfelderítés összesítése a biztonsági hiányosságok és gyengeségek felderítéséhez, beleértve a lehetséges támadási útvonalak elemzését.
- Vizsgálat és lekérdezés a biztonsági helyzet elemzéséhez.
- A biztonsági rések és a támadási felületek csökkentése érdekében fontossági sorrendbe kell helyezni az eszközök szervizelését, a kritikus erőforrásokra összpontosítva.
Az alábbi képen a Microsoft egyesített SecOps platformján elérhető expozíciókezelés áttekintő oldala látható.
A fenyegetésészlelési és reagálási idők csökkentése
A standard kiberbiztonsági metrikák az észlelési (TTD) és a válaszidőre (TTR) összpontosítanak. Az észlelési idő (TTD) azt méri, hogy mennyi ideig tart a biztonsági csapatok számára az incidensek felderítése. A válaszidő (TTR) azt méri, hogy mennyi időt vesz igénybe a fenyegetés észlelése után. Minél rövidebb a TTD és a TTR, annál hatékonyabb az észlelési és a válaszstratégia.
A Microsoft egyesített SecOps-platformja több millió, a Defender-termékektől, a Microsoft Sentinel, a Microsoft biztonsági kutatásától és a veszélyforrás-felderítéstől származó jeleket korrelál a folyamatban lévő támadások azonosítása érdekében. Automatikus támadáskimaradást kezdeményez, hogy automatikusan tartalmazza a támadásokat, korlátozza a korai oldalirányú mozgást, és csökkentse a támadás hatását. Az automatikus támadáskimaradás segít csökkenteni a termelékenység csökkenésével járó költségeket, valamint a secops-csapat irányítását a feltört eszközök kivizsgálása és elhárítása érdekében.
Az automatikus támadáskimaradás az eszközök, valamint a felhasználókat a támadások mérséklése érdekében tartalmazó vagy letiltó eszközökkel reagál a fenyegetésekre.
Az alábbi képen egy példa látható egy olyan incidensre, amely automatikus támadáskimaradást váltott ki.
További információ: Automatikus támadáskimaradás Microsoft Defender XDR.
SOC-hatékonyság átalakítása AI-val
Microsoft Security Copilot egyesíti a mesterséges intelligenciát és az emberi szakértelmet, hogy az SOC-csapat gyorsabban és hatékonyabban reagáljon a támadásokra. Security Copilot a Defender portálba van beágyazva, hogy a biztonsági csapatok hatékonyan összegezzenek incidenseket, szkripteket és kódokat elemezhessenek, fájlokat elemezhessenek, eszközinformációkat összegezzenek, irányított válaszokat használhassanak az incidensek megoldásához, KQL-lekérdezéseket generálhassanak, és incidensjelentéseket hozzanak létre. Security Copilot a következőkben nyújt segítséget:
- Csökkentse az expozíciót és javítsa a testtartást. A kritikus expozíciós kockázat és a kockázatcsökkentési javaslatok felfedése érdekében megállapításokkal előzze meg a biztonsági incidenseket.
- Fenyegetések megelőzése és megzavarása. Azonosíthatja és rangsorolhatja az incidensösszegzőket, a MITRE ATT&a CK-keretrendszer leképezését és az automatikus riasztások bővítését.
-
Az elemzők támogatása:
- Az incidensek megoldásának felgyorsítása irányított válaszokkal, automatikus szervizeléssel és összefoglaló jelentéskészítéssel.
- Intelligens segítséget nyújthat a kártékony szkripteket és fájlokat elemző ajánlott eljárásokon alapuló testreszabott kérésekkel, és KQL-lekérdezéseket javasolhat.
Az alábbi képen az Microsoft Copilot integrációja látható a Defender portál incidensoldalán.
További információ: Microsoft Defender Microsoft Copilot.