Поделиться через

Что такое единая платформа операций безопасности Майкрософт?

  • Статья

Единая платформа операций безопасности Майкрософт предоставляет единую платформу для комплексных операций безопасности (SecOps). Она интегрирует управление информационной безопасностью и событиями безопасности (SIEM), оркестрацию безопасности, автоматизацию и реагирование (SOAR), расширенное обнаружение и реагирование (XDR), управление состоянием и экспозицией, облачную безопасность, аналитику угроз и генеривные решения ИИ.

Чтобы охватить все эти возможности, единая платформа SecOps корпорации Майкрософт объединяет такие службы, как Microsoft Defender XDR, Microsoft Sentinel, Управление рисками Microsoft Security и Microsoft Security Copilot на портале Microsoft Defender. Интегрируйте больше Microsoft Defender служб, чтобы повысить безопасность и обеспечить интегрированную защиту от сложных атак. Портал Defender предоставляет единое расположение для мониторинга, обнаружения, исследования, устранения рисков и угроз кибербезопасности до и после нарушения безопасности.

Снимок экрана: домашняя страница унифицированной платформы SecOps корпорации Майкрософт на портале Defender.

Защита ресурсов

Защитите широкий спектр ресурсов, интегрируя Defender XDR, Microsoft Sentinel и другие службы Defender в единую платформу SecOps Корпорации Майкрософт.

Microsoft Defender XDR службы включают следующие возможности защиты ресурсов:

Возможность Продукт безопасности
Выявление, обнаружение и исследование Microsoft Entra ID угроз. Microsoft Defender для удостоверений
Защита от угроз, связанных с сообщениями электронной почты, URL-ссылками и средствами совместной работы Office 365. Microsoft Defender для Office 365
Мониторинг и защита устройств конечных точек. Мониторинг, обнаружение и исследование нарушений безопасности устройств и автоматическое реагирование на угрозы безопасности. Microsoft Defender для конечной точки
Выявление и защита операционных технологий (OT) и ИТ-ресурсов путем расширения защиты Defender XDR сред OT. Microsoft Defender для Интернета вещей
Определите ресурсы и программное обеспечение, а также оцените состояние устройства, чтобы найти уязвимости системы безопасности. Управление уязвимостями в Microsoft Defender
Защита и управление доступом к облачным приложениям SaaS. Microsoft Defender for Cloud Apps

Защита ресурсов для служб, не лицензированных с помощью Microsoft Defender XDR, включает следующие возможности:

Возможность Продукт безопасности
Мониторинг и защита сторонних и локальных устройств, служб и решений. Microsoft Sentinel
Обнаружение и оценка ресурсов, а также устранение рисков для уменьшения направлений атак. Управление рисками Microsoft Security
Улучшение многооблачного и локального состояния безопасности, а также защита облачных рабочих нагрузок от угроз. Microsoft Defender для облака

Упрощение управления безопасностью

Объедините службы безопасности Майкрософт, такие как Defender XDR, Microsoft Sentinel и многое другое, для комплексной защиты конечных точек, удостоверений, облачных приложений и рабочих нагрузок, а также электронной почты в организации.

Портал Defender предоставляет единое централизованное представление о безопасности организации, обнаружении угроз и реагировании на нее. Она предоставляет объединенную очередь инцидентов, в которую объединяются сведения о рисках безопасности и нарушениях безопасности.

Освободите время аналитика, так как унифицированные панели мониторинга безопасности позволяют аналитикам пересекать разрозненные организации, определять приоритеты для наиболее критически важных угроз и эффективно искать попытки взлома.

На следующем рисунке показана единая очередь инцидентов на унифицированной платформе SecOps корпорации Майкрософт с инцидентами из нескольких источников служб.

Снимок экрана: единая очередь инцидентов, на котором показаны инциденты с несколькими источниками служб.

Снижение риска безопасности и предотвращение атак

Последовательно уменьшайте риски безопасности и предотвращайте атаки кибербезопасности в рамках корпоративной платформы управления рисками. Единая платформа SecOps корпорации Майкрософт предлагает комплексные возможности управления экспозицией и облачной защиты. С помощью Управление рисками Microsoft Security и Microsoft Defender для облака:

  • Непрерывное обнаружение ресурсов организации и оценка их состояния безопасности.
  • Защита облачных рабочих нагрузок от кода до среды выполнения.
  • Агрегировать данные и аналитику угроз для обнаружения пробелов в безопасности и слабых мест, включая анализ потенциальных путей атаки.
  • Исследуйте и запрашивайте, чтобы получить аналитические сведения о безопасности.
  • Назначьте приоритет исправлению ресурсов с акцентом на критически важные ресурсы, чтобы уменьшить пробелы в безопасности и области атак.

На следующем рисунке показана страница обзора для управления экспозицией на унифицированной платформе SecOps корпорации Майкрософт.

Снимок экрана: страница обзора в управлении экспозицией на портале Defender.

Сокращение времени обнаружения угроз и реагирования

Standard метрики кибербезопасности ориентированы на время обнаружения (TTD) и время реагирования (TTR). Время обнаружения (TTD) измеряет, сколько времени требуется группам безопасности для обнаружения инцидента. Время реагирования (TTR) измеряет время, необходимое для реагирования после обнаружения угрозы. Чем короче TTD и TTR, тем эффективнее будет стратегия обнаружения и реагирования.

Единая платформа SecOps корпорации Майкрософт сопоставляет миллионы сигналов от продуктов Defender, Microsoft Sentinel, исследований безопасности Майкрософт и аналитики угроз для выявления атак, которые выполняются. Он инициирует автоматическое прерывание атаки, чтобы автоматически сдерживать атаки, ограничивая боковое перемещение на ранних этапах и уменьшая влияние атаки. Автоматическое нарушение атак помогает снизить затраты, связанные с потерей производительности, предоставляет контроль команде SecOps для расследования и исправления скомпрометированных ресурсов.

Автоматическое нарушение атаки реагирует на угрозы путем размещения устройств, а также содержит или отключает пользователей для устранения атак.

На следующем рисунке показан пример инцидента, в котором активируется автоматическое прерывание атаки.

Снимок экрана: атака, которая вызвала автоматическое прерывание атаки.

Дополнительные сведения см. в статье Автоматическое прерывание атак в Microsoft Defender XDR.

Преобразование производительности SOC с помощью ИИ

Microsoft Security Copilot объединяет возможности ИИ и человеческий опыт, чтобы помочь вашей команде SOC реагировать на атаки быстрее и эффективнее. Security Copilot внедрены на портале Defender, чтобы группы безопасности могли эффективно обобщать инциденты, анализировать сценарии и коды, анализировать файлы, обобщать сведения об устройстве, использовать управляемые ответы для разрешения инцидентов, создавать запросы KQL и создавать отчеты об инцидентах. Security Copilot помогает:

  • Уменьшение воздействия и улучшение осанки. Предотвращение нарушений с помощью аналитических сведений для выявления риска критического воздействия и рекомендаций по снижению рисков.
  • Предотвращение и нарушение угроз. Определение и определение приоритетов с помощью сводок по инцидентам MITRE ATT&сопоставление платформы CK и автоматическое обогащение оповещений.
  • Расширение возможностей аналитиков:
    • Ускорьте устранение инцидентов с помощью интерактивных ответов, автоматического исправления и создания сводных отчетов.
    • Предоставьте интеллектуальную помощь с помощью специализированных запросов на основе рекомендаций, которые анализируют вредоносные скрипты и файлы и предлагают запросы KQL.

На следующем рисунке показана интеграция Microsoft Copilot на странице инцидента на портале Defender.

Снимок экрана: интеграция Microsoft Copilot в Defender.

Дополнительные сведения см. в разделе Microsoft Copilot в Microsoft Defender.

Связанные материалы