跳過主内容
Microsoft Defender for Endpoint

[經驗分享]資安分析師分享 Microsoft Defender for Endpoint 獨到之處

Tyler Fornes, Principal Detection and Response Analyst ; Myles Satterfield, Detection and Response Analyst from Expel

大家都感覺到資安產業越來越多企業開始採用 Microsoft Defender for Endpoint。而我們經過幾個月的使用和與 Expel 的平台整合後,也深深感受到 Microsoft Defender for Endpoint 的獨到之處

在 Expel 的 EXE Blog 上,我們定期分享我們在 Expel 上對大規模安全性運作模式以及我們通過自動化為分析師提供決策支援(或其他情況)的思考過程。

總而言之,Defender for Endpoint 讓我們可以輕鬆滿足調查品質和回應時間的標準,因此分析師不需耗費大量精力,對我們和客戶來說是一個很好的消息。

所以,什麼是 Microsoft Defender for Endpoint

Defender for Endpoint 是針對企業端點安全防護的產品,支援 Mac、Linux 和 Windows 作業系統,同時也包含 Android 和 iOS。Defender for Endpoint 能在管理上做到很多很厲害的事情(例如:減少攻擊面和可配置的修復措施)。但是,就我們觀點而言,我們最喜歡的是它偵測和回應的能力。

Defender for Endpoint 的獨特之處,在於它不僅將 Endpoint Detection and Response(EDR)和 AV 偵測引擎整合到同一產品中,且此功能已經內建於 Windows 10 主機作業系統,不需安裝端點代理程式

有了適當的 Microsoft 授權後,Defender for Endpoint 和 Windows 10 不需大規模部署軟體或在環境中配置感應器,就能提供即時防護。

EDR 如何幫助我們成為 XDR 供應商

當我們通過將 Defender for Endpoint 類型的的 EDR 產品整合以支援客戶時,我們的目標是預測分析師將可能提出的調查問題,並自動從工具中獲取所需的資料。

這讓我們的分析人員有更多的時間決策,而不是花費時間在提取正確資料上。

我們認為 Defender for Endpoint 通過其 API 提供我們合適的工具,幫助我們達到目標,並減輕分析人員的負擔。

感謝 Defender for Endpoint 強大的 API,我們利用它的功能支援我們的分析師進行前期決策。這樣一來,我們就可以快速地提供事件的說明 。

為了找到這些答案,我們使用了 Defender for Endpoint 的一些特殊功能,將資訊提取到各個警報中:

  • 進階搜捕資料庫
  • 廣泛資訊
  • 詳細流程記錄
  • AV操作

如此一來,我們的分析師就不必糾結工具使用方式,只需專注於分析豐富資料。

這裡展示一個真實的例子,說明 Expel 分析師如何使用 Defender for Endpoint 為客戶分類警報。

Defender for Endpoint 幫助減少我們處理警報的時間

Defender for Endpoint 提供決策支援的能力(或有關警報的內容)非常強大,它使我們能夠成為分析專家,而不是只會特定技術的專家。

Defender for Endpoint 提供了一個平台,使我們的分析師可以在調查過程中快速、準確地回答重要問題。

最重要的是,在 API 中模擬這些功能後,我們能以 Defender for Endpoint 平台為基礎,更有效率地提供高品質的偵測和回應。

這對 Expel 和我們的客戶而言是雙贏的局面。

瞭解更多

若您要瞭解更多關於Expel的資訊,請參考我們在Azure Marketplace上的列表

若您要瞭解更多關於 Microsoft Intelligent Security Association(MISA)的資訊,請參考我們的網站,您可以在其中瞭解 MISA 流程、產品整合並找到 MISA 成員。參考影片播放列表來瞭解與 Microsoft 產品整合的優勢。

若要瞭解更多有關 Microsoft Security 解決方案的資訊,請查看我們的網站。記得將我們的 Security Blog 加入書籤,以獲得最新的資安專業報導。另外,也請在 @MSFTSecurity 或 LinkedIn 上關注我們,以獲得網路安全的更新消息。

延伸資料:Azure SecurityComplianceCybersecurity

若欲瞭解原文,請至微軟官方部落格參考。