Was ist die Unified Security Operations-Plattform von Microsoft?
Die Unified Security Operations-Plattform von Microsoft bietet eine einzige Plattform für End-to-End-Sicherheitsvorgänge (SecOps). Es integriert Sicherheitsinformations- und Ereignisverwaltung (SECURITY Information and Event Management, SIEM), Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR), Erweiterte Erkennung und Reaktion (XDR), Status- und Expositionsmanagement, Cloudsicherheit, Threat Intelligence und generative KI-Lösungen.
Um alle diese Funktionen abzudecken, kombiniert die einheitliche SecOps-Plattform von Microsoft Dienste wie Microsoft Defender XDR, Microsoft Sentinel, Microsoft Security Exposure Management und Microsoft Security Copilot im Microsoft Defender-Portal. Integrieren Sie mehr Microsoft Defender Dienste, um Die Sicherheit zu erhöhen und integrierten Schutz vor komplexen Angriffen zu bieten. Das Defender-Portal bietet einen zentralen Ort zum Überwachen, Erkennen, Untersuchen, Beheben und Reagieren auf Cybersicherheitsrisiken und -bedrohungen vor und nach einer Sicherheitsverletzung.
Schützen von Ressourcen
Schützen Sie eine Vielzahl von Ressourcen, indem Sie Defender XDR, Microsoft Sentinel und andere Defender-Dienste in die einheitliche SecOps-Plattform von Microsoft integrieren.
Microsoft Defender XDR Dienste umfassen die folgenden Ressourcenschutzfunktionen:
| Funktion | Sicherheitsprodukt |
|---|---|
| Identifizieren, erkennen und untersuchen Sie Microsoft Entra ID Bedrohungen. | Microsoft Defender for Identity |
| Schutz vor Bedrohungen durch E-Mail-Nachrichten, URL-Links und Office 365 Tools für die Zusammenarbeit. | Microsoft Defender für Office 365 |
| Überwachen und Schützen von Endpunktgeräten Überwachen, erkennen und untersuchen Sie Geräteverletzungen und reagieren Sie automatisch auf Sicherheitsbedrohungen. | Microsoft Defender für Endpunkt |
| Identifizieren und schützen Sie Ot-Ressourcen (Operational Technology) und IT-Ressourcen, indem Sie Defender XDR Schutz auf OT-Umgebungen erweitern. | Microsoft Defender für IoT |
| Identifizieren Sie Ressourcen und Softwareinventur, und bewerten Sie den Gerätestatus, um Sicherheitsrisiken zu finden. | Microsoft Defender Sicherheitsrisikomanagement |
| Schützen und Steuern des Zugriffs auf SaaS-Cloud-Apps | Microsoft Defender for Cloud Apps |
Der Ressourcenschutz für Dienste, die nicht mit Microsoft Defender XDR lizenziert sind, umfasst die folgenden Funktionen:
| Funktion | Sicherheitsprodukt |
|---|---|
| Überwachen und schützen Sie nicht von Microsoft stammende und lokale Geräte, Dienste und Lösungen. | Microsoft Sentinel |
| Ermitteln und bewerten Sie Ressourcen, und beseitigen Sie Risiken, um Angriffsflächen zu reduzieren. | Microsoft Security Exposure Management |
| Verbessern Sie den Multicloud- und lokalen Sicherheitsstatus und schützen Sie Cloudworkloads vor Bedrohungen. | Microsoft Defender für Cloud |
Vereinfachen der Sicherheitsverwaltung
Kombinieren Sie Microsoft-Sicherheitsdienste wie Defender XDR, Microsoft Sentinel und mehr für den End-to-End-Schutz vor und nach der Verletzung von Endpunkten, Identitäten, Cloud-Apps und Workloads sowie E-Mail in Ihren organization.
Das Defender-Portal bietet eine zentrale Ansicht des Sicherheitsstatus der Organisation sowie der Bedrohungserkennung und -reaktion. Es stellt eine kombinierte Incidentwarteschlange bereit, die Informationen zu Sicherheitsrisiken und Sicherheitsverletzungen gruppiert.
Freigeben von Zeit für Analysten, da einheitliche Sicherheitsdashboards es Analysten ermöglichen, organization Silos zu durchlaufen, die kritischsten Bedrohungen zu priorisieren und effektiv nach versuchten Sicherheitsverletzungen zu suchen.
Die folgende Abbildung zeigt die einheitliche Incidentwarteschlange auf der einheitlichen SecOps-Plattform von Microsoft mit Incidents aus mehreren Dienstquellen.
Reduzieren von Sicherheitsrisiken und Verhindern von Angriffen
Reduzieren Sie das Sicherheitsrisiko konsequent, und verhindern Sie Cybersicherheitsangriffe als Teil Ihres Risikomanagement-Frameworks ihrer Organisation. Die einheitliche SecOps-Plattform von Microsoft bietet umfassende Funktionen für Das Expositionsmanagement und Cloudschutz. Mit Microsoft Security Exposure Management und Microsoft Defender für Cloud:
- Ermitteln Sie kontinuierlich Organisationsressourcen und bewerten Sie deren Sicherheitsstatus.
- Schützen Sie Cloudworkloads vom Code bis zur Laufzeit.
- Aggregieren von Daten und Threat Intelligence, um Sicherheitslücken und Schwachstellen zu ermitteln, einschließlich der Analyse potenzieller Angriffspfade.
- Untersuchen und Abfragen, um Einblicke in den Sicherheitsstatus zu erhalten.
- Priorisieren Sie die Wiederherstellung von Ressourcen mit dem Schwerpunkt auf kritischen Ressourcen, um Sicherheitslücken und Angriffsflächen zu verringern.
Die folgende Abbildung zeigt die Übersichtsseite für die Expositionsverwaltung auf der einheitlichen SecOps-Plattform von Microsoft.
Reduzieren von Bedrohungserkennungs- und Antwortzeiten
Standard Cybersicherheitsmetriken konzentrieren sich auf die Zeit bis zur Erkennung (Time to Detect, TTD) und die Antwortzeit (TTR). Time to Detect (TTD) misst, wie lange es Sicherheitsteams dauert, einen Incident zu erkennen. Time to Respond (TTR) misst die Zeit, die benötigt wird, um zu reagieren, nachdem eine Bedrohung erkannt wurde. Je kürzer die TTD und TTR, desto effektiver ist Ihre Erkennungs- und Reaktionsstrategie.
Die einheitliche SecOps-Plattform von Microsoft korreliert Millionen von Signalen von Defender-Produkten, Microsoft Sentinel, Microsoft-Sicherheitsforschung und Threat Intelligence, um laufende Angriffe zu identifizieren. Es initiiert eine automatische Angriffsunterbrechung, um Angriffe automatisch einzudämmen, wodurch laterale Bewegungen frühzeitig eingeschränkt und die Auswirkungen auf Angriffe reduziert werden. Automatische Angriffsunterbrechungen helfen dabei, die Kosten im Zusammenhang mit Produktivitätsverlusten zu senken und dem SecOps-Team die Kontrolle zu geben, kompromittierte Ressourcen zu untersuchen und zu beheben.
Automatische Angriffsunterbrechungen reagieren auf Bedrohungen, indem Sie Geräte enthalten und Benutzer ein- oder ausschalten, um Angriffe abzumildern.
Die folgende Abbildung zeigt ein Beispiel für einen Vorfall, bei dem eine automatische Angriffsunterbrechung ausgelöst wurde.
Weitere Informationen finden Sie unter Automatische Angriffsunterbrechung in Microsoft Defender XDR.
Transformieren der SOC-Produktivität mit KI
Microsoft Security Copilot vereint die Leistungsfähigkeit von KI und menschlichem Fachwissen, damit Ihr SOC-Team schneller und effektiver auf Angriffe reagieren kann. Security Copilot ist in das Defender-Portal eingebettet, damit Sicherheitsteams Incidents effizient zusammenfassen, Skripts und Codes analysieren, Dateien analysieren, Geräteinformationen zusammenfassen, geführte Antworten verwenden können, um Incidents zu beheben, KQL-Abfragen zu generieren und Incidentberichte zu erstellen. Security Copilot hilft Ihnen dabei:
- Reduzieren Sie die Exposition und verbessern Sie die Körperhaltung. Verhindern Sie Sicherheitsverletzungen mit Erkenntnissen, um kritische Risiken aufzudecken, und Empfehlungen zur Risikoreduzierung.
- Verhindern und unterbrechen Sie Bedrohungen. Identifizieren und Priorisieren mit Incidentzusammenfassungen mit MITRE ATT&CK-Frameworkzuordnung und automatischer Warnungsanreicherung.
-
Unterstützen von Analysten:
- Beschleunigen Sie die Lösung von Vorfällen mit geführten Antworten, automatisierter Korrektur und Generierung von Zusammenfassungsberichten.
- Stellen Sie intelligente Unterstützung mit maßgeschneiderten Eingabeaufforderungen bereit, die auf bewährten Methoden basieren, die schädliche Skripts und Dateien analysieren und KQL-Abfragen vorschlagen.
Die folgende Abbildung zeigt die Integration von Microsoft Copilot in eine Incidentseite im Defender-Portal.
Weitere Informationen finden Sie unter Microsoft Copilot in Microsoft Defender.