Co to jest ujednolicona platforma operacji zabezpieczeń firmy Microsoft?
Ujednolicona platforma operacji zabezpieczeń firmy Microsoft zapewnia jedną platformę do kompleksowych operacji zabezpieczeń (SecOps). Integruje informacje o zabezpieczeniach i zarządzanie zdarzeniami (SIEM), orkiestrację zabezpieczeń, automatyzację i reagowanie (SOAR), rozszerzone wykrywanie i reagowanie (XDR), zarządzanie stanem i narażeniem, bezpieczeństwo w chmurze, analizę zagrożeń i generowane rozwiązania sztucznej inteligencji.
Aby uwzględnić wszystkie te możliwości, ujednolicona platforma SecOps firmy Microsoft łączy usługi, takie jak Microsoft Defender XDR, Microsoft Sentinel, Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsofti Microsoft Security Copilot w portalu Microsoft Defender. Zintegruj więcej usług Microsoft Defender, aby dodać zabezpieczenia i zapewnić zintegrowaną ochronę przed zaawansowanymi atakami. Portal usługi Defender udostępnia pojedynczą lokalizację do monitorowania, wykrywania, badania, korygowania i reagowania na zagrożenia i zagrożenia cyberbezpieczeństwa przed i po naruszeniu zabezpieczeń.
Ochrona zasobów
Chroń szeroką gamę zasobów, integrując Defender XDR, Microsoft Sentinel i inne usługi Defender na ujednoliconej platformie SecOps firmy Microsoft.
usługi Microsoft Defender XDR obejmują następujące możliwości ochrony zasobów:
| Możliwości | Produkt zabezpieczający |
|---|---|
| Identyfikowanie, wykrywanie i badanie zagrożeń Tożsamość Microsoft Entra. | Microsoft Defender for Identity |
| Ochrona przed zagrożeniami związanymi z wiadomościami e-mail, linkami adresów URL i narzędziami do współpracy Office 365. | Ochrona usługi Office 365 w usłudze Microsoft Defender |
| Monitorowanie i ochrona urządzeń punktu końcowego. Monitorowanie, wykrywanie i badanie naruszeń urządzeń oraz automatyczne reagowanie na zagrożenia bezpieczeństwa. | Ochrona punktu końcowego w usłudze Microsoft Defender |
| Identyfikowanie i ochrona zasobów technologii operacyjnych (OT) i it przez rozszerzenie ochrony Defender XDR na środowiska OT. | Usługa Microsoft Defender dla IoT |
| Identyfikowanie zasobów i spisu oprogramowania oraz ocena stanu urządzenia w celu znalezienia luk w zabezpieczeniach. | Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender |
| Chroń i kontroluj dostęp do aplikacji W chmurze SaaS. | Microsoft Defender for Cloud Apps |
Ochrona zasobów dla usług nieobjętych licencją Microsoft Defender XDR obejmuje następujące możliwości:
| Możliwości | Produkt zabezpieczający |
|---|---|
| Monitorowanie i ochrona urządzeń, usług i rozwiązań innych niż microsoft oraz lokalnych. | Microsoft Sentinel |
| Odnajdywanie i ocenianie zasobów oraz korygowanie ryzyka w celu zmniejszenia obszarów ataków. | Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft |
| Poprawianie stanu zabezpieczeń wielochmurowych i lokalnych oraz ochrona obciążeń chmury przed zagrożeniami. | Microsoft Defender for Cloud |
Upraszczanie zarządzania zabezpieczeniami
Połącz usługi zabezpieczeń firmy Microsoft, takie jak Defender XDR, Microsoft Sentinel i nie tylko, w celu kompleksowej ochrony punktów końcowych, tożsamości, aplikacji i obciążeń w chmurze oraz poczty e-mail w całej organizacji.
Portal usługi Defender udostępnia jeden, scentralizowany widok stanu zabezpieczeń organizacji oraz wykrywania zagrożeń i reagowania na nie. Zapewnia połączoną kolejkę zdarzeń, która grupuje informacje o zagrożeniach i naruszeniach zabezpieczeń.
Zwolnij czas analityków, ponieważ ujednolicone pulpity nawigacyjne zabezpieczeń umożliwiają analitykom krzyżowanie silosów organizacji, określanie priorytetów najbardziej krytycznych zagrożeń i skuteczne wyszukiwanie prób naruszeń.
Na poniższej ilustracji przedstawiono ujednoliconą kolejkę zdarzeń na ujednoliconej platformie SecOps firmy Microsoft z incydentami z wielu źródeł usług.
Zmniejszanie ryzyka związanego z bezpieczeństwem i zapobieganie atakom
Spójne zmniejszanie ryzyka związanego z bezpieczeństwem i zapobieganie atakom cybernetycznym w ramach struktury zarządzania ryzykiem organizacji. Ujednolicona platforma SecOps firmy Microsoft oferuje kompleksowe możliwości zarządzania narażeniem i ochrony w chmurze. W przypadku Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft i Microsoft Defender dla chmury:
- Stale odnajduj zasoby organizacyjne i oceniaj ich stan bezpieczeństwa.
- Chroń obciążenia chmury przed kodem do środowiska uruchomieniowego.
- Agregowanie danych i analizy zagrożeń w celu wykrycia luk w zabezpieczeniach i słabych punktów, w tym analizy potencjalnych ścieżek ataku.
- Badanie i wykonywanie zapytań w celu uzyskania wglądu w stan zabezpieczeń.
- Określanie priorytetów korygowania zasobów z naciskiem na zasoby krytyczne w celu zmniejszenia luk w zabezpieczeniach i obszarów ataków.
Na poniższej ilustracji przedstawiono stronę przeglądu zarządzania ekspozycjami na ujednoliconej platformie SecOps firmy Microsoft.
Skrócenie czasu wykrywania zagrożeń i reagowania na nie
Standardowe metryki cyberbezpieczeństwa koncentrują się na czasie wykrywania (TTD) i czasie odpowiedzi (TTR). Czas wykrywania (TTD) mierzy, ile czasu zajmuje zespołom ds. zabezpieczeń odnalezienie zdarzenia. Czas odpowiedzi (TTR) mierzy czas potrzebny na reagowanie po wykryciu zagrożenia. Im krótsze są TTD i TTR, tym bardziej efektywna jest strategia wykrywania i reagowania.
Ujednolicona platforma SecOps firmy Microsoft koreluje miliony sygnałów z produktów defendera, Microsoft Sentinel, badań nad zabezpieczeniami firmy Microsoft i analizy zagrożeń w celu identyfikowania ataków w toku. Inicjuje automatyczne zakłócenie ataków, aby automatycznie zawierać ataki, ograniczając wczesne ruchy boczne i zmniejszając wpływ ataku. Automatyczne zakłócenie ataków pomaga zmniejszyć koszty związane z utratą produktywności, zapewnić kontrolę zespołowi SecOps w celu zbadania i skorygowania zagrożonych zasobów.
Automatyczne zakłócenie ataków reaguje na zagrożenia, zawierające urządzenia i zawierające lub wyłączające użytkowników w celu wyeliminowania ataków.
Na poniższej ilustracji przedstawiono przykład zdarzenia, w którym wyzwolono automatyczne zakłócenie ataku.
Aby uzyskać więcej informacji, zobacz Automatyczne zakłócanie ataków w Microsoft Defender XDR.
Przekształcanie produktywności SOC za pomocą sztucznej inteligencji
Microsoft Security Copilot łączy w sobie możliwości sztucznej inteligencji i ludzkiej wiedzy, aby pomóc zespołowi SOC szybciej i skuteczniej reagować na ataki. Security Copilot jest osadzona w portalu usługi Defender, aby umożliwić zespołom ds. zabezpieczeń efektywne podsumowywanie zdarzeń, analizowanie skryptów i kodów, analizowanie plików, podsumowywanie informacji o urządzeniu, używanie odpowiedzi z przewodnikiem w celu rozwiązywania zdarzeń, generowanie zapytań KQL i tworzenie raportów o zdarzeniach. Security Copilot ułatwia:
- Zmniejsz narażenie i popraw stan. Zapobieganie naruszeniom przy użyciu szczegółowych informacji w celu wykrycia krytycznego ryzyka narażenia i zaleceń dotyczących redukcji ryzyka.
- Zapobieganie zagrożeniom i ich zakłócanie. Identyfikowanie i określanie priorytetów za pomocą podsumowań zdarzeń MITRE ATT&mapowania struktury CK i automatycznego wzbogacania alertów.
-
Zwiększanie możliwości analityków:
- Przyspieszanie rozwiązywania zdarzeń za pomocą odpowiedzi z przewodnikiem, zautomatyzowanego korygowania i generowania raportów podsumowania.
- Zapewnianie inteligentnej pomocy przy użyciu dostosowanych monitów opartych na najlepszych rozwiązaniach analizujących złośliwe skrypty i pliki oraz sugerujących zapytania KQL.
Na poniższej ilustracji przedstawiono integrację Microsoft Copilot na stronie zdarzenia w portalu usługi Defender.
Aby uzyskać więcej informacji, zobacz Microsoft Copilot w Microsoft Defender.