什么是Microsoft的统一安全操作平台?

Microsoft的统一安全操作平台为 SecOps) (端到端安全操作提供了单一平台。 它集成了安全信息和事件管理 (SIEM) 、安全业务流程、自动化和响应 (SOAR) 、扩展检测和响应 (XDR) 、态势和暴露管理、云安全、威胁情报和生成 AI 解决方案。

为了涵盖所有这些功能,Microsoft的统一 SecOps 平台结合了Microsoft Defender XDRMicrosoft SentinelMicrosoft 安全风险管理Microsoft Defender门户中的Microsoft Security Copilot。 集成更多Microsoft Defender服务,以增加安全性,并提供针对复杂攻击的集成保护。 Defender 门户提供一个位置,用于监视、检测、调查、修正和应对入侵前后的网络安全风险和威胁。

Defender 门户中Microsoft统一 SecOps 平台主页的屏幕截图。

保护资产

通过在Microsoft的统一 SecOps 平台中集成Defender XDR、Microsoft Sentinel和其他 Defender 服务来保护各种资产。

Microsoft Defender XDR服务包括以下资产保护功能:

功能 安全产品
识别、检测和调查Microsoft Entra ID威胁。 Microsoft Defender for Identity
防范电子邮件、URL 链接和Office 365协作工具带来的威胁。 Microsoft Defender for Office 365
监视和保护终结点设备。 监视、检测和调查设备泄露,并自动响应安全威胁。 Microsoft Defender for Endpoint
通过将 (Defender XDR保护扩展到 OT 环境来识别和保护 OT) 和 IT 资源的运营技术。 适用于 IoT 的Microsoft Defender
识别资产和软件清单,并评估设备状况以查找安全漏洞。 Microsoft Defender 漏洞管理
保护和控制对 SaaS 云应用的访问。 Microsoft Defender for Cloud Apps

针对未获得Microsoft Defender XDR许可的服务的资产保护包括以下功能:

功能 安全产品
监视和保护非Microsoft和本地设备、服务和解决方案。 Microsoft Sentinel
发现和评估资产,并修正风险以减少攻击面。 Microsoft 安全风险管理
改进多云和本地安全态势,保护云工作负载免受威胁。 Microsoft Defender for Cloud

简化安全管理

结合Microsoft安全服务(如Defender XDRMicrosoft Sentinel等),在整个组织中对终结点、标识、云应用和工作负载以及电子邮件进行端到端的入侵前后保护。

Defender 门户提供组织安全态势以及威胁检测和响应的单一集中式视图。 它提供一个合并的事件队列,将有关安全风险和违规的信息分组在一起。

释放分析师时间,因为统一的安全仪表板使分析师能够跨越组织孤岛,确定最关键威胁的优先级,并有效地搜寻企图的违规行为。

下图显示了Microsoft的统一 SecOps 平台中的统一事件队列,其中包含来自多个服务源的事件。

显示具有多个服务源的事件的统一事件队列的屏幕截图。

降低安全风险并防止攻击

作为组织风险管理框架的一部分,持续降低安全风险并防止网络安全攻击。 Microsoft的统一 SecOps 平台提供全面的公开管理和云保护功能。 使用 Microsoft 安全风险管理Microsoft Defender for Cloud

  • 持续发现组织资产并评估其安全状况。
  • 从代码到运行时保护云工作负载。
  • 聚合数据和威胁情报以发现安全漏洞和弱点,包括分析潜在的攻击路径。
  • 调查和查询,深入了解安全状况。
  • 确定资产修正的优先级,重点关注关键资源,以减少安全漏洞和攻击面。

下图显示了Microsoft统一 SecOps 平台中公开管理的概述页。

Defender 门户的公开管理中概述页的屏幕截图。

减少威胁检测和响应时间

Standard网络安全指标侧重于检测 (TTD) 的时间和 (TTR) 的响应时间。 检测 (TTD 的时间) 度量安全团队发现事件所需的时间。 响应 (TTR 的时间) 度量检测到威胁后做出响应所需的时间。 TTD 和 TTR 越短,检测和响应策略就越有效。

Microsoft的统一 SecOps 平台将来自 Defender 产品、Microsoft Sentinel、Microsoft安全研究和威胁情报的数百万个信号关联起来,以识别正在进行的攻击。 它启动自动攻击中断以自动遏制攻击,提前限制横向移动并减少攻击影响。 自动攻击中断有助于降低与生产力损失相关的成本,为 SecOps 团队控制提供控制,以调查和修正受损资产。

自动攻击中断通过包含设备并包含或禁用用户来缓解攻击来响应威胁。

下图显示了触发了自动攻击中断的事件示例。

触发自动攻击中断的事件攻击的屏幕截图。

有关详细信息,请参阅 Microsoft Defender XDR 中的自动攻击中断

使用 AI 转换 SOC 工作效率

Microsoft Security Copilot将 AI 和人类专业知识的强大功能汇集在一起,帮助 SOC 团队更快、更有效地应对攻击。 Security Copilot嵌入在 Defender 门户中,使安全团队能够有效地汇总事件、分析脚本和代码、分析文件、汇总设备信息、使用引导响应解决事件、生成 KQL 查询以及创建事件报告。 Security Copilot可帮助你:

  • 减少暴露并改善姿势。 通过见解来发现关键暴露风险和风险降低建议,防止违规。
  • 防止和中断威胁。 使用事件摘要 MITRE ATT&CK 框架映射和自动警报扩充来确定和确定优先级。
  • 为分析师提供支持
    • 通过引导响应、自动修正和摘要报告生成来加速事件解决。
    • 根据分析恶意脚本和文件的最佳做法,通过定制提示提供智能帮助,并建议 KQL 查询。

下图显示了 Microsoft Copilot 集成在 Defender 门户中的事件页中。

显示 Defender 中Microsoft Copilot的事件集成的屏幕截图。

有关详细信息,请参阅 Microsoft Defender 中的Microsoft Copilot