Обнаружение угроз на унифицированной платформе SecOps корпорации Майкрософт
Угрозы кибербезопасности изобилуют в текущем технологическом ландшафте. Много шума создает постоянный призрак нарушения и обилие сигналов, доступных центрам безопасности операций. Единая платформа SecOps корпорации Майкрософт отделяет угрозы, доступные для действий, от шума. Каждая служба на унифицированной платформе SecOps корпорации Майкрософт добавляет собственные точно настроенные средства обнаружения в соответствии с структурой решения, которое она предоставляет, и объединяет все это в одну панель мониторинга.
Единая платформа SecOps корпорации Майкрософт на портале Microsoft Defender объединяет обнаружения в виде оповещений и инцидентов из Microsoft Defender XDR, Microsoft Sentinel и Microsoft Defender для облака.
Обнаружение угроз на портале Microsoft Defender
Командам безопасности необходимо сосредоточиться и ясность, чтобы исключить ложноположительные срабатывания. Портал Microsoft Defender сопоставляет и объединяет оповещения и инциденты из всех поддерживаемых решений майкрософт по обеспечению безопасности и соответствия требованиям, а также объединяет обнаружение угроз из внешних решений с помощью Microsoft Sentinel и Microsoft Defender для облака. Корреляция и слияние этих сигналов обеспечивает широкий контекст и определение приоритетов. Например, фишинговая атака злоумышленника в середине (AiTM) может содержать фрагменты головоломки угроз, разбросанные по нескольким источникам. Портал Defender объединяет эти элементы в историю атаки, обеспечивая при этом нарушение атаки и управляемое реагирование для устранения угрозы.
На следующем рисунке показана панель мониторинга инцидентов, сопоставляющая сигналы от нескольких служб, включая отдельные источники обнаружения для полной истории атаки AiTM.
Каждый поддерживаемый продукт безопасности Майкрософт разблокирует больше сигналов для потоковой передачи на портал Defender. Дополнительные сведения о том, как эти сигналы сцепляются и расставляют приоритеты, см. в статье Инциденты и оповещения на портале Microsoft Defender.
обнаружение угроз Microsoft Defender XDR
Defender XDR имеет уникальную возможность корреляции, которая обеспечивает дополнительный уровень анализа данных и обнаружения угроз. В следующей таблице приведены примеры настройки поддерживаемых служб безопасности для обнаружения угроз, соответствующих характеру решения.
| служба Defender XDR | Специальность обнаружения угроз |
|---|---|
| Microsoft Defender для конечной точки | Microsoft Defender антивирусная программа обнаруживает полиморфные вредоносные программы с помощью анализа на основе поведения и эвристического анализа на конечных точках, таких как мобильные устройства, настольные компьютеры и т. д. |
| Microsoft Defender для Office 365 | Обнаруживает фишинг, вредоносные программы, оружейные ссылки и многое другое в электронной почте, Teams и OneDrive. |
| Microsoft Defender для удостоверений | Обнаруживает повышение привилегий, боковое перемещение, обнаружение, уклонение от защиты, сохраняемость и многое другое в локальных и облачных удостоверениях. |
| Microsoft Defender for Cloud Apps | Обнаруживает подозрительные действия с помощью аналитики поведения пользователей и сущностей (UEBA) в облачных приложениях. |
| Управление уязвимостями в Microsoft Defender | Обнаруживает уязвимости на устройствах, предоставляя значимый контекст для исследований. |
| Защита Microsoft Entra ID | Обнаруживает риски, связанные с входами, такими как невозможное путешествие, проверенные IP-адреса субъекта угроз, утечка учетных данных, распыления паролей и многое другое. |
| Защита от потери данных (Майкрософт) | Обнаруживает риски и поведение, связанные с избыточным доступом и кражей конфиденциальной информации в службах Microsoft 365, приложениях Office, конечных точках и т. д. |
Дополнительные сведения см. в статье Что такое Microsoft Defender XDR?
обнаружение угроз Microsoft Sentinel
Microsoft Sentinel, подключенный к порталу Defender, позволяет собирать данные из огромного числа источников Майкрософт и сторонних источников, но не останавливается на этом. Благодаря возможностям управления угрозами Microsoft Sentinel вы получаете средства, необходимые для обнаружения и организации угроз в среде.
| Функция управления угрозами | Возможность обнаружения | Дополнительные сведения |
|---|---|---|
| Покрытие MITRE ATT&CK | Организуйте охват обнаружения угроз и поймите пробелы. | Общие сведения о покрытии безопасности с помощью платформы MITRE ATT&CK® |
| Аналитика | Правила постоянно копают данные для создания оповещений и инцидентов и интегрируют эти сигналы на портале Defender. | Обнаружение угроз из коробки |
| Списки просмотров | Курируйте значимые отношения в вашей среде, чтобы улучшить качество и приоритизацию обнаружения. | Списки просмотров в Microsoft Sentinel |
| Книги | Обнаруживайте угрозы с помощью визуальной аналитики, особенно для мониторинга работоспособности сбора данных и выявления пробелов, препятствующих правильному обнаружению угроз. | Визуализация данных с помощью книг |
| Правила сводки | Оптимизирует шумные журналы большого объема для обнаружения угроз в данных с низким уровнем безопасности. | Создание оповещений о совпадениях аналитики угроз с сетевыми данными |
Дополнительные сведения см. в статье Подключение Microsoft Sentinel к порталу Microsoft Defender.
Microsoft Defender для обнаружения угроз в облаке
Defender для облака обеспечивает обнаружение угроз для создания оповещений и инцидентов путем непрерывного мониторинга ресурсов облака с помощью расширенной аналитики безопасности. Эти сигналы интегрируются непосредственно на портал Defender для корреляции и классификации серьезности. Каждый план, включенный в Defender для облака, добавляет к сигналам обнаружения, переданным на портал Defender. Дополнительные сведения см. в разделе Оповещения и инциденты в Microsoft Defender XDR.
Defender для облака обнаруживает угрозы для самых разных рабочих нагрузок. В следующей таблице приведены примеры некоторых обнаруженных угроз. Дополнительные сведения о конкретных оповещениях см. в разделе Справочный список оповещений системы безопасности.
| План Defender для облака | Специальность обнаружения угроз |
|---|---|
| Defender для серверов | Обнаруживает угрозы для Linux и Windows на основе сбоев защиты от вредоносных программ, атак без файлов, атак на майнинг и программ-шантажистов, атак методом подбора и многого другого. |
| Defender для хранилища | Обнаруживает фишинговое содержимое и распространение вредоносных программ, подозрительный доступ и обнаружение, необычное извлечение данных и многое другое. |
| Defender для контейнеров | Обнаруживает угрозы на уровне управления и в среде выполнения рабочей нагрузки для рискованного воздействия, вредоносных действий или активности майнинга криптографии, активности веб-оболочки, пользовательских симуляций и т. д. |
| Defender для баз данных | Обнаруживает внедрение КОДА SQL, нечеткое выполнение, необычный доступ, попытки подбора и многое другое. |
| Defender для API | Обнаруживает подозрительные пики трафика, доступ из вредоносных IP-адресов, методы обнаружения и перечисления конечных точек API и многое другое. |
| Защита от угроз ИИ | Обнаруживает угрозы в приложениях генеративного ИИ для попыток взлома, раскрытия конфиденциальных данных, повреждения ИИ и т. д. |
Дополнительные сведения см. в статье Оповещения и инциденты системы безопасности.