Che cos'è la piattaforma di operazioni di sicurezza unificata di Microsoft?
La piattaforma di operazioni di sicurezza unificata di Microsoft offre un'unica piattaforma per le operazioni di sicurezza end-to-end (SecOps). Integra le informazioni di sicurezza e la gestione degli eventi (SIEM), l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR), il rilevamento e la risposta estesi (XDR), la gestione delle posizioni e dell'esposizione, la sicurezza del cloud, l'intelligence sulle minacce e le soluzioni di intelligenza artificiale generativa.
Per coprire tutte queste funzionalità, la piattaforma SecOps unificata di Microsoft combina servizi come Microsoft Defender XDR, Microsoft Sentinel, Gestione dell'esposizione in Microsoft Security e Microsoft Security Copilot nel portale di Microsoft Defender. Integrare altri servizi Microsoft Defender per aggiungere sicurezza e fornire protezione integrata da attacchi sofisticati. Il portale di Defender offre un'unica posizione per monitorare, rilevare, analizzare, correggere e rispondere ai rischi e alle minacce di cybersecurity pre e post-violazione.
Proteggere gli asset
Proteggere un'ampia gamma di asset integrando Defender XDR, Microsoft Sentinel e altri servizi Defender nella piattaforma SecOps unificata di Microsoft.
Microsoft Defender XDR servizi includono le funzionalità di protezione degli asset seguenti:
| Funzionalità | Prodotto di sicurezza |
|---|---|
| Identificare, rilevare e analizzare Microsoft Entra ID minacce. | Microsoft Defender per identità |
| Proteggersi dalle minacce poste da messaggi di posta elettronica, collegamenti URL e strumenti di collaborazione Office 365. | Microsoft Defender per Office 365 |
| Monitorare e proteggere i dispositivi endpoint. Monitorare, rilevare e analizzare le violazioni dei dispositivi e rispondere automaticamente alle minacce alla sicurezza. | Microsoft Defender per endpoint |
| Identificare e proteggere la tecnologia operativa (OT) e le risorse IT estendendo la protezione Defender XDR agli ambienti OT. | Microsoft Defender per IoT |
| Identificare gli asset e l'inventario software e valutare il comportamento del dispositivo per individuare le vulnerabilità di sicurezza. | Gestione delle vulnerabilità di Microsoft Defender |
| Proteggere e controllare l'accesso alle app cloud SaaS. | Microsoft Defender for Cloud Apps |
La protezione degli asset per i servizi non concessi in licenza con Microsoft Defender XDR include le funzionalità seguenti:
| Funzionalità | Prodotto di sicurezza |
|---|---|
| Monitorare e proteggere dispositivi, servizi e soluzioni non Microsoft e locali. | Microsoft Sentinel |
| Individuare e valutare gli asset e correggere i rischi per ridurre le superfici di attacco. | Gestione dell'esposizione in Microsoft Security |
| Migliorare il comportamento di sicurezza multicloud e locale e proteggere i carichi di lavoro cloud dalle minacce. | Microsoft Defender for Cloud |
Semplificare la gestione della sicurezza
Combinare servizi di sicurezza Microsoft come Defender XDR, Microsoft Sentinel e altro ancora per la protezione end-to-end pre e post-violazione di endpoint, identità, app cloud e carichi di lavoro e posta elettronica nell'intera organizzazione.
Il portale di Defender offre un'unica visualizzazione centralizzata del comportamento di sicurezza dell'organizzazione e dei rilevamenti e delle risposte alle minacce. Fornisce una coda combinata di eventi imprevisti che raggruppa le informazioni sui rischi e sulle violazioni della sicurezza.
Liberare il tempo degli analisti poiché i dashboard di sicurezza unificati consentono agli analisti di attraversare i silos dell'organizzazione, assegnare priorità alle minacce più critiche e cercare in modo efficace le violazioni tentate.
L'immagine seguente mostra la coda di eventi imprevisti unificata nella piattaforma SecOps unificata di Microsoft, con eventi imprevisti provenienti da più origini del servizio.
Ridurre i rischi per la sicurezza e prevenire gli attacchi
Ridurre costantemente i rischi per la sicurezza e prevenire gli attacchi di cybersecurity come parte del framework di gestione dei rischi dell'organizzazione. La piattaforma SecOps unificata di Microsoft offre funzionalità complete di gestione dell'esposizione e protezione del cloud. Con Gestione dell'esposizione in Microsoft Security e Microsoft Defender per il cloud:
- Individuare continuamente gli asset dell'organizzazione e valutarne il comportamento di sicurezza.
- Proteggere i carichi di lavoro cloud dal codice al runtime.
- Aggregare i dati e l'intelligence sulle minacce per individuare le lacune e i punti deboli della sicurezza, inclusa l'analisi dei potenziali percorsi di attacco.
- Analizzare ed eseguire query per ottenere informazioni dettagliate sul comportamento di sicurezza.
- Assegnare priorità alla correzione degli asset, con particolare attenzione alle risorse critiche, per ridurre le lacune di sicurezza e le superfici di attacco.
L'immagine seguente mostra la pagina di panoramica per la gestione dell'esposizione nella piattaforma SecOps unificata di Microsoft.
Ridurre il rilevamento delle minacce e i tempi di risposta
Standard metriche di cybersecurity si concentrano sul tempo di rilevamento (TTD) e sul tempo di risposta (TTR). Il tempo necessario per rilevare (TTD) misura il tempo impiegato dai team di sicurezza per individuare un evento imprevisto. Il tempo necessario per rispondere (TTR) misura la quantità di tempo necessaria per rispondere dopo il rilevamento di una minaccia. Più breve è il TTD e il TTR, più efficace è la strategia di rilevamento e risposta.
La piattaforma SecOps unificata di Microsoft correla milioni di segnali provenienti da prodotti Defender, Microsoft Sentinel, ricerche sulla sicurezza Microsoft e intelligence sulle minacce per identificare gli attacchi in corso. Avvia l'interruzione automatica degli attacchi per contenere automaticamente gli attacchi, limitando il movimento laterale in anticipo e riducendo l'impatto degli attacchi. L'interruzione automatica degli attacchi consente di ridurre i costi associati alla perdita di produttività, fornire il controllo al team SecOps per analizzare e correggere gli asset compromessi.
L'interruzione automatica degli attacchi risponde alle minacce contenendo i dispositivi e includendo o disabilitando gli utenti per mitigare gli attacchi.
L'immagine seguente mostra un esempio di evento imprevisto in cui è stata attivata l'interruzione automatica degli attacchi.
Per altre informazioni, vedere Interruzione automatica degli attacchi in Microsoft Defender XDR.
Trasformare la produttività soc con l'intelligenza artificiale
Microsoft Security Copilot riunisce la potenza dell'intelligenza artificiale e delle competenze umane per aiutare il team SOC a rispondere agli attacchi in modo più rapido ed efficace. Security Copilot è incorporato nel portale di Defender per consentire ai team di sicurezza di riepilogare in modo efficiente gli eventi imprevisti, analizzare script e codici, analizzare i file, riepilogare le informazioni sul dispositivo, usare risposte guidate per risolvere gli eventi imprevisti, generare query KQL e creare report sugli eventi imprevisti. Security Copilot consente di:
- Ridurre l'esposizione e migliorare la postura. Evitare violazioni con informazioni dettagliate per individuare i rischi di esposizione critici e le raccomandazioni sulla riduzione dei rischi.
- Prevenire e interrompere le minacce. Identificare e assegnare priorità ai riepiloghi degli eventi imprevisti MITRE ATT&mapping del framework CK e all'arricchimento automatico degli avvisi.
-
Potenziare gli analisti:
- Accelerare la risoluzione degli eventi imprevisti con risposte guidate, correzione automatizzata e generazione di report di riepilogo.
- Fornire assistenza intelligente con richieste personalizzate basate su procedure consigliate che analizzano script e file dannosi e suggerire query KQL.
L'immagine seguente mostra l'integrazione di Microsoft Copilot in una pagina degli eventi imprevisti nel portale di Defender.
Per altre informazioni, vedere Microsoft Copilot in Microsoft Defender.