Detekce hrozeb na sjednocené platformě SecOps od Microsoftu
Kybernetické hrozby se v současné technologické oblasti překypují. Mnoho šumu je vytvářeno konstantním přízrakem porušení zabezpečení a množstvím signálů dostupných pro bezpečnostní operační centra. Sjednocená platforma Microsoftu SecOps odděluje hrozby s akcemi od šumu. Každá služba na sjednocené platformě Microsoftu SecOps přidává své vlastní jemně vyladěné detekce tak, aby odpovídaly komplexu řešení, které poskytuje, a všechny je spojuje do jednoho řídicího panelu.
Sjednocená platforma Microsoftu SecOps na portálu Microsoft Defender spojuje detekce ve formě výstrah a incidentů z Microsoft Defender XDR, Microsoft Sentinel a Microsoft Defender for Cloud.
Detekce hrozeb na portálu Microsoft Defender
Bezpečnostní týmy se musí soustředit a jasně eliminovat falešně pozitivní výsledky. Portál Microsoft Defender koreluje a slučuje výstrahy a incidenty ze všech podporovaných řešení zabezpečení a dodržování předpisů od Microsoftu a sjednocuje detekci hrozeb z externích řešení prostřednictvím Microsoft Sentinel a Microsoft Defender pro cloud. Korelace a sloučení těchto signálů přináší bohatý kontext a stanovení priorit. Například útok phishing typu Adversary-in-The-Middle (AiTM) může obsahovat části hádanky hrozeb rozptýlené napříč několika zdroji. Portál Defender tyto části spojuje do scénáře útoku a zároveň poskytuje narušení útoku a řízenou reakci, která hrozbu napraví.
Následující obrázek znázorňuje řídicí panel incidentů, který koreluje signály z více služeb, včetně jednotlivých zdrojů detekce pro kompletní příběh útoku na AiTM.
Každý podporovaný bezpečnostní produkt Od Microsoftu odemyká další signály pro streamování do portálu Defender. Další informace o tom, jak jsou tyto signály seskupené a seřazené podle priority, najdete v tématu Incidenty a výstrahy na portálu Microsoft Defender.
Microsoft Defender XDR detekce hrozeb
Defender XDR má jedinečnou schopnost korelace, která poskytuje další vrstvu analýzy dat a detekce hrozeb. Následující tabulka uvádí příklady, jak jsou podporované služby zabezpečení vyladěny tak, aby detekovaly hrozby odpovídající charakteru jejich řešení.
| Defender XDR služba | Specializace detekce hrozeb |
|---|---|
| Microsoft Defender for Endpoint | Microsoft Defender antivirový program detekuje polymorfní malware pomocí heuristické analýzy založené na chování na koncových bodech, jako jsou mobilní zařízení, stolní počítače a další. |
| Microsoft Defender pro Office 365 | Detekuje phishing, malware, zbraňové odkazy a další v e-mailu, Teams a OneDrivu. |
| Microsoft Defender for Identity | Detekuje eskalaci oprávnění, laterální pohyb, zjišťování, úniky v obraně, trvalost a další možnosti napříč místními i cloudovými identitami. |
| Microsoft Defender for Cloud Apps | Detekuje podezřelé aktivity prostřednictvím analýzy chování uživatelů a entit (UEBA) napříč cloudovými aplikacemi. |
| Microsoft Defender Správa zranitelností | Detekuje ohrožení zabezpečení v zařízeních, která poskytují smysluplný kontext pro šetření. |
| Microsoft Entra ID Protection | Detekuje rizika spojená s přihlášeními, jako jsou například neuskutečení, ověřené IP adresy aktéra hrozeb, uniklé přihlašovací údaje, hesla a další. |
| Microsoft Data Loss Prevention | Detekuje rizika a chování spojené s nadměrným sdílením a exfiltrací citlivých informací napříč službami Microsoft 365, aplikacemi Office, koncovými body a dalšími. |
Další informace najdete v tématu Co je Microsoft Defender XDR?
Microsoft Sentinel detekce hrozeb
Microsoft Sentinel připojené k portálu Defender umožňuje shromažďování dat z velkého počtu zdrojů microsoftu i jiných zdrojů, ale nekončí tím. Díky možnostem správy hrozeb Microsoft Sentinel získáte nástroje potřebné k detekci a uspořádání hrozeb pro vaše prostředí.
| Funkce správy hrozeb | Schopnost detekce | Další informace |
|---|---|---|
| Pokrytí MITRE ATT&CK | Uspořádejte pokrytí detekce hrozeb a seznamte se s mezerami. | Vysvětlení pokrytí zabezpečení architekturou MITRE ATT&CK® |
| Analýzy | Pravidla neustále procházejí data, aby vygenerovala výstrahy a incidenty a integrovala tyto signály na portálu Defender. | Předdefinované zjišťování hrozeb |
| Seznamy ke zhlédnutí | Spravujte ve svém prostředí smysluplné vztahy, abyste zlepšili kvalitu detekce a jejich prioritu. | Seznamy ke zhlédnutí v Microsoft Sentinel |
| Sešity | Detekovat hrozby pomocí vizuálních přehledů, zejména kvůli monitorování stavu shromažďování dat a pochopení mezer, které brání správné detekci hrozeb. | Vizualizace dat pomocí sešitů |
| Souhrnná pravidla | Optimalizuje hlučné a velkoobjemové protokoly pro detekci hrozeb v datech s nízkou hodnotou zabezpečení. | Generování upozornění na shody analýzy hrozeb pro síťová data |
Další informace najdete v tématu Připojení Microsoft Sentinel k portálu Microsoft Defender.
Microsoft Defender pro detekci cloudových hrozeb
Defender for Cloud poskytuje detekci hrozeb pro generování výstrah a incidentů tím, že nepřetržitě monitoruje prostředky vašich cloudů pomocí pokročilých analýz zabezpečení. Tyto signály jsou integrované přímo na portálu Defenderu pro klasifikaci korelace a závažnosti. Každý plán povolený v Defenderu for Cloud se přidá do signálů detekce streamovaných na portálu Defender. Další informace najdete v tématu Výstrahy a incidenty v Microsoft Defender XDR.
Defender for Cloud detekuje hrozby napříč širokou škálou úloh. Následující tabulka obsahuje příklady některých hrozeb, které detekuje. Další informace o konkrétních výstrahách najdete v tématu Seznam referenčních informací o výstrahách zabezpečení.
| Plán Defenderu for Cloud | Specializace detekce hrozeb |
|---|---|
| Defender pro servery | Detekuje hrozby pro Linux a Windows na základě selhání antimalwaru, útoků bez souborů, kryptografického dolování a útoků ransomware, útoků hrubou silou a mnoha dalších. |
| Defender pro úložiště | Detekuje phishingový obsah a distribuci malwaru, podezřelý přístup a zjišťování, neobvyklou extrakci dat a další. |
| Defender for Containers | Detekuje hrozby v řídicí rovině a za běhu úloh pro rizikovou expozici, škodlivou aktivitu nebo aktivitu kryptografického dolování, aktivitu webového prostředí, vlastní simulace a další. |
| Defender for Databases | Detekuje injektáž SQL, fuzzing, neobvyklý přístup, pokusy hrubou silou a další. |
| Rozhraní API služby Defender for | Detekuje podezřelé špičky v provozu, přístup ze škodlivých IP adres, techniky zjišťování a výčtu koncových bodů rozhraní API a další. |
| Ochrana před hrozbami AI | Detekuje hrozby ve generativních aplikacích AI pro pokusy o jailbreak, odhalení citlivých dat, poškozenou AI a další. |
Další informace najdete v tématu Výstrahy zabezpečení a incidenty.