什麼是Microsoft的統一安全性作業平臺?
Microsoft的整合安全性作業平臺為 SecOps) (端對端安全性作業提供單一平臺。 它會整合安全性資訊和事件管理 (SIEM) 、安全性協調流程、自動化和回應 (SOAR) 、擴充偵測和回應 (XDR) 、狀態和曝光管理、雲端安全性、威脅情報和產生的 AI 解決方案。
為了涵蓋所有這些功能,Microsoft的整合 SecOps 平台結合 Microsoft Defender 全面偵測回應、Microsoft Sentinel、Microsoft 安全性暴露風險管理 和等服務Microsoft Defender 入口網站中的 Microsoft Security Copilot。 整合更多 Microsoft Defender 服務來新增安全性,並提供整合式保護來抵禦複雜的攻擊。 Defender 入口網站提供單一位置來監視、偵測、調查、補救及回應入侵前和入侵後網路安全性風險和威脅。
保護資產
在 Microsoft 的整合 SecOps 平臺中整合 Defender 全面偵測回應、Microsoft Sentinel 和其他 Defender 服務,以保護各種資產。
Microsoft Defender 全面偵測回應 服務包含下列資產保護功能:
| 功能 | 安全性產品 |
|---|---|
| 識別、偵測及調查 Microsoft Entra ID 威脅。 | 適用於身分識別的 Microsoft Defender |
| 防範電子郵件訊息、URL 連結和 Office 365 共同作業工具所造成的威脅。 | 適用於 Office 365 的 Microsoft Defender |
| 監視及保護端點裝置。 監視、偵測及調查裝置缺口,並自動回應安全性威脅。 | 適用於端點的 Microsoft Defender |
| 藉由將 Defender 全面偵測回應 保護延伸至 OT 環境,識別及保護 OT) 和 IT 資源 (操作技術。 | 適用於IoT的 Microsoft Defender |
| 識別資產和軟體清查,並評估裝置狀態以找出安全性弱點。 | Microsoft Defender 弱點管理 |
| 保護和控制對 SaaS 雲端應用程式的存取。 | Microsoft 雲端 App 安全性 |
未使用 Microsoft Defender 全面偵測回應 授權之服務的資產保護包含下列功能:
| 功能 | 安全性產品 |
|---|---|
| 監視及保護非Microsoft和內部部署裝置、服務和解決方案。 | Microsoft Sentinel |
| 探索和評估資產,並補救風險以降低受攻擊面。 | Microsoft 安全性暴露風險管理 |
| 改善多重雲端和內部部署安全性狀態,並保護雲端工作負載免於遭受威脅。 | 適用於雲端的 Microsoft Defender |
簡化安全性管理
結合Microsoft安全性服務,例如 Defender 全面偵測回應、Microsoft Sentinel 等,以在組織內進行端點、身分識別、雲端應用程式和工作負載,以及電子郵件的端對端預先和入侵后保護。
Defender 入口網站提供組織安全性狀態、威脅偵測和回應的單一集中式檢視。 它提供合併的事件佇列,將安全性風險和缺口的相關信息群組在一起。
將分析師時間釋出為統一的安全性儀錶板,讓分析師能夠跨組織尋址接收器、排定最重大威脅的優先順序,並有效地搜捕嘗試的入侵。
下圖顯示Microsoft整合 SecOps 平臺中的整合事件佇列,以及來自多個服務來源的事件。
降低安全性風險並防止攻擊
在組織風險管理架構中持續降低安全性風險並防止網路攻擊。 Microsoft的整合 SecOps 平臺提供完整的曝光管理和雲端保護功能。 使用 Microsoft 安全性暴露風險管理,以及適用於雲端的 Microsoft Defender:
- 持續探索組織資產並評估其安全性狀態。
- 保護雲端工作負載從程式代碼到運行時間。
- 匯總數據和威脅情報以探索安全性缺口和弱點,包括潛在攻擊路徑的分析。
- 調查和查詢以取得安全性狀態的深入解析。
- 優先處理資產補救,並著重於重要資源,以減少安全性缺口和攻擊面。
下圖顯示Microsoft整合 SecOps 平臺中曝光管理的概觀頁面。
![Defender 入口網站曝光管理中 [概觀] 頁面的螢幕快照。](media/overview-unified-security/exposure-management-overview.png#lightbox)
減少威脅偵測和響應時間
Standard 網路安全性計量著重於偵測 (TTD) 的時間,以及 (TTR) 回應的時間。 偵測 (TTD 的時間) 測量安全性小組探索事件所需的時間。 (TTR 回應的時間) 測量偵測到威脅之後回應所需的時間。 TTD 和 TTR 越短,偵測和回應策略就越有效。
Microsoft的整合 SecOps 平臺會將來自 Defender 產品、Microsoft Sentinel、Microsoft安全性研究和威脅情報的數百萬個訊號相互關聯,以識別進行中的攻擊。 它會起始自動攻擊中斷以自動包含攻擊、及早限制橫向移動,並降低攻擊影響。 自動攻擊中斷有助於降低與生產力損失相關聯的成本,為 SecOps 小組控制提供控制權,以調查和補救遭入侵的資產。
自動攻擊中斷可藉由包含裝置及包含或停用用戶來減輕攻擊,以回應威脅。
下圖顯示觸發自動攻擊中斷的事件範例。
如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 中的自動攻擊中斷。
使用 AI 轉換 SOC 生產力
Microsoft Security Copilot 整合 AI 和人類專業知識的威力,協助 SOC 小組更快速且更有效率地回應攻擊。 Security Copilot 內嵌在Defender入口網站中,可讓安全性小組有效率地摘要事件、分析腳本和程式碼、分析檔案、摘要裝置資訊、使用引導式回應來解決事件、產生 KQL 查詢,以及建立事件報告。 Security Copilot 可協助您:
- 降低曝光率並改善狀態。 使用深入解析來防止缺口,以發現重大暴露風險和風險降低建議。
- 防止和中斷威脅。 識別事件摘要 MITRE ATT&CK 架構對應並自動擴充警示,並設定其優先順序。
-
讓分析師能夠:
- 使用引導式回應、自動化補救和摘要報告產生來加速事件解決。
- 根據分析惡意腳本和檔案的最佳做法,針對量身打造的提示提供智慧型手機協助,並建議 KQL 查詢。
下圖顯示在 Defender 入口網站的事件頁面中整合 Microsoft Copilot。
如需詳細資訊,請參閱 Microsoft Defender 中的 Microsoft Copilot。