Microsoft 結合 SIEM 與 XDR 避免進階攻擊
Cloud Security Vice President Eric Doerr
Microsoft 365 Security Corporate Vice President Rob Lefferts
對於所有人在資安而言,我們在過去十二個月面臨一系列難以置信的挑戰:從在遠端工作與家庭生活順序中取得平衡,到幫助打造企業韌性,以及抵禦新型攻擊。2020年告訴我們,儘管我們已經有很大進步,但我們無論是從個人、組織和社群,都仍有許多要做的事來確保安全性。在Microsoft,我們致力於應用這些知識來提供大眾更強大、更整合的資訊安全方法──無論您使用的平台、要保護的裝置為何或資料是否儲存於雲端中。
為了防堵進階攻擊發生,我們去年9月在Microsoft Ignite上分享願景,希望創造最完整的方法來保護您的數位化環境,而這一切都在單一保護範圍內。我們結合Azure Sentinel的廣泛性、雲端原生的SIEM(安全性資訊與事件管理)與Microsoft 365 Defender的深度和Azure Defender及我們的XDR(延伸的偵測與回應)工具,幫助對抗因現代多元化、分散式與複雜環境而形成的攻擊。
我們正在透過統整這些經驗,並提供更強化的工具和情報來阻止現代威脅。
統一性的體驗
目前市場上多數的SIEM都僅是從多個來源獲取紀錄。Azure Sentinel 能夠善用您環境中橫跨各種第三方安全性產品的紀錄,並能進一步與Azure Defender和Microsoft 365 Defender一起使用。即日起,事件、架構和警報會在Azure Sentinel和Microsoft 365 Defender之間共享。這代表您可以在Azure Sentinel中獲得單一整合的檢視,並可以根據單一事件深入挖掘以取得更多在Microsoft 365 Defender中的內容。
例如:透過Azure Sentinel了解整體事件,接著直接進入Microsoft 365 Defender,詳細調查資產或使用者。您甚至可以直接在Microsoft 365 Defender中修復並關閉事件,同時與Azure Sentinel雙向同步。這是您無法在其他地方找到新一代的SIEM整合。
在Microsoft 365 Defender方面,我們正在努力減少入口網站的數量,目的是讓單一的整合XDR體驗來保護終端使用者環境。現在,我們將Microsoft Defender for Endpoint和Defender for Office 365的功能整合到統一的Microsoft 365 Defender入口網站中。這些更改簡化了原先需要使用市場上各種同類產品,才能達到的任務。我們也透過具有內容和電子郵件警報的新型360度電子郵件檢視警報來強化電子郵件實體頁面。
強化工具與情報阻止進階攻擊
除了將Microsoft Defender for Endpoint和Defender for Office 365的功能統一到Microsoft 365 Defender之外,我們還提供了新的強化體驗,包括:
- Threat Analytics(現已提供預覽版本)提供Microsoft專業安全研究人員的詳細威脅情資報告,幫助您了解、預防和修復威脅。
- 您可以利用Learning Hub當中的指南資源,了解如何使用。
- Attack Simulation Training in Microsoft Defender for Office 365能夠幫助您偵測、排定優先順序與修復網路釣魚風險。它使用真實攻擊模擬不斷變化的攻擊者情勢,提供高準確度和最新型的風險行為偵測,以及豐富的報告和分析功能,以幫助客戶衡量進度。
透過 Azure Sentinel,我們能夠利用延伸的資料搜集,為您的組織提供豐富的資料,讓您以回應和自動化功能快速回應新型事件。我們今日也宣佈推出30多個新的連接器,以簡化整個環境(包括多個雲端環境)中的資料收集。這些新的連接器包括Salesforce服務雲端、VMWare、Cisco Umbrella和Microsoft Dynamics。
我們也將增加Azure Sentinel的SOAR功能。我們今日將介紹自動化規則(用於將日常任務自動化)以及含有內建SOAR工作手冊的新型自動化連接器。這些新的手冊讓工作流程足以自動化,例如使用Azure Firewall阻止可疑IP地址、使用Microsoft Intune隔離端點裝置或使用Azure Active Directory Identity Protection更新使用者的風險狀態。您可以在Azure Sentinel Microsoft Ignite 2021公告部落格上,了解有關這些Azure Sentinel更新的資訊。
最後,Azure Defender提升了警報功能,透過讓大型警報列表、來自Azure Resource Graph的警報、Azure Defender警報的範本建立功能,以及Azure Sentinel事件一致性有更好的表現以提升分級體驗。若要了解相關資訊和其他Azure Security Center公告,請參考Azure Security Center Microsoft Ignite 2021公告部落格。
展望未來
我們已經花費很多時間在了解如何協助防禦進階攻擊。我們的任務才正要開始,我們將繼續統一工具並加入智慧功能,幫助您確保環境的安全。
請參考我們的Microsoft Ignite session 並了解關於SIEM + XDR offering的更多內容。
感謝您在這段旅程上持續陪伴我們。
若欲瞭解原文,請至微軟官方部落格參考。
若要了解更多有關 Microsoft Security. 解決方案的資訊,請查看我們的網站。記得將我們的 Security Blog 加入書籤,以獲得最新的資安專業報導。另外,也請在 @MSFTSecurity 或 LinkedIn 上關注我們,以獲得網路安全的更新消息。
延伸資料:
