運用 Transparity 和 Microsoft 技術保護您的端點
這篇部落格文章隸屬 Microsoft 情報安全性聯盟客座部落格系列。深入了解 Microsoft 情報安全性聯盟 (MISA)。
端點保護平台 (EPP) 已經過時,且不足以保護貴組織嗎?並非如此。
網路安全性十分看中將不同裝置、應用裝置和來源的各種記錄正規化並相互關聯的能力,畢竟,在遭受攻擊時,唯有仰賴此一能力,才能快速做出回應。回應和修復速度越快,貴組織的損害範圍和受影響層面就越小。這篇部落格文章旨在探討將 EPP 視為安全性策略必備要件的重要性、保護端點的重要性,以及 EPP 如何進化為端點偵測與回應 (EDR) 以及延伸偵測與回應 (XDR)。此外,我們也會探討受管理的偵測與回應 (MDR),以及經驗老到的受管理服務提供者能提供哪些價值。Transparity Cyber Managed Security Service 採用全方位的網路安全性方法,不僅可透過 EPP、EDR 和 XDR 保護旗下客戶,還能提供全天候、全年無休的 MDR,以偵測和修復威脅。
歡迎了解 EPP、EDR、XDR 和 MDR 可為您帶來哪些效益,以及 Microsoft 雲端安全性服務如何搭配運作,以提供完善的安全性基礎。
雲端架構的 EPP 如何協助減輕現代化威脅
舉凡防毒軟體和反惡意程式碼等傳統 EPP,都會使用簽章和被動的啟發式技術 (模式或例行工作比對),識別和封鎖已知、常見且易於偵測的威脅,以達到保護端點的目的。這類型的 EPP 不但不足以保護端點,還可使用相當簡單的規避防禦技巧繞過。
現代化端點防護會在既有的領域之外添加層層堆砌的防護機制,並於端點保護架構中扮演一大要角。這類型的 EPP 可使用預先執行的分析、行為分析、主動的啟發式技術和沙箱,以偵測惡意行動。
許多新一代防毒產品都有提供被動的保護功能,例如主機架構的防火牆和資料加密。
使用 EPP 的重大功能考量之一,就是淘汰傳統的管理伺服器,並改用雲端管理平台。雲端管理可收集遙測資料、持續進行監控,並讓組織不用全神貫注地管理端點。
Microsoft Defender for Endpoint 方案一 備有新一代 EPP,可提供雲端架構的反惡意程式碼功能,以透過內建的 AI 遏止勒索軟體、已知和未知惡意程式碼,以及不懷好意的其他威脅。此外,這款解決方案也提供多項功能來縮小受攻擊面,可強化裝置,以協助抵禦零時差攻擊,同時精密控制端點上的存取和行為。Microsoft Defender for Endpoint 方案 1 能透過以裝置為基礎的條件式存取,提供另一層資料保護和外洩防範機制,因此相當適合有意改善自身零信任方法的組織。
如果組織想要進一步發揮其 Microsoft 端點安全性的價值,則可考慮Microsoft Defender for Endpoint 方案二,當中一舉結合了方案 1 的所有防護功能,以及多項 EDR 功能 (例如自動化調查和修復工具、核心威脅和弱點管理功能,以及進階威脅搜捕)。只要結合運用 EPP 和 EDR,組織就可獲得更完善的端點安全性解決方案,繼而因應不斷進化的威脅環境。
唯有同時運用 EPP 和 EDR 所提供的眾多項目,才能成功建構全方位的端點保護平台。因此,EPP 和 EDR 應相輔相成,而非相互取代。
使用 EDR 分析裝置和使用者行為
端點偵測與回應會以 EPP 為基礎,但不會取而代之。兩者皆為妥善保護端點的必備要項。
EDR 可大舉延伸端點保護範圍,藉由全面偵測和回應所有端點上的威脅來消除盲點。如果在任一端點上偵測到威脅,就會立即在遭到入侵的裝置上自動做出回應,以保護、隔離和移除威脅,並著手調查所有已上線裝置是否有類似的行為。
EDR 不同於 EPP,會聚焦於裝置和使用者行為,以偵測異常和惡意活動。這表示,EDR 可偵測企圖規避偵測機制的縝密攻擊 (網路攻擊鏈中的主要項目之一)。
Microsoft Defender for Endpoint 可自裝置汲取遠大於 EPP 的遙測資料量 (每 24 小時可分析超過 24 兆筆訊號),以利工程師同步針對所有裝置執行威脅搜捕和鑑識作業,並著手充實資料關聯性1。
EDR 會分析攻擊行為,而非特定裝載或預先定義的攻擊模式,藉此偵測許多進階攻擊,例如無檔案、就地取材、多型態惡意程式碼,以及其他進階持續威脅 (APT)。任何未於一開始偵測到的攻擊,也可在入侵後自動遭到修復,如此即可透過移除植入登錄機碼、服務或排程工作等方式,在攻擊發動之前進行回顧,以識別攻擊起始點。
舉凡 AI、機器學習和威脅情報,都在此一行為架構的防護機制中扮演著重要角色,且有助於立即回應作用中的威脅。
使用 XDR 串連威脅背後的各個點
EDR 採用 EPP 的功能為基礎,而 XDR 則奠基於 EDR 的防護和安全態勢管理功能。XDR 的作用,是要汲取來自不同摘要和連接器的訊號、記錄和遙測資料,並協助安全性分析師擴大檢視組織的安全態勢和環境。
XDR 可匯集來自雲端和地端工作負載、防火牆、Proxy、網路 AI、使用者和實體行為分析、雲端存取安全性代理人、平台即服務、軟體即服務、安全存取服務邊緣、安全性事件、網域名稱系統、無線控制器、Active Directory 網域服務和 Microsoft Azure Active Directory、應用程式、威脅情報、安全性分析、Syslog、通用式間格式,以及威脅和弱點管理等項目的摘要,藉此將監控能力延伸至個別安全性工具和平台之外,從而提供攻擊關聯性。舉例來說,安全性分析師有機會透過 EPP 或 EDR 收到攻擊警示,卻可透過 XDR 識別初步攻擊媒介,並追蹤其橫向移動。
這項功能可大幅縮短識別威脅、進行隔離並加以修復的所需時間。此外,先前提及的威脅搜捕和鑑識功能,現在也可延伸至端點之外,並於整個資產內執行。
Microsoft 能透過結合安全性資訊和事件管理 (SIEM) 和 XDR,為適當的人員提供適當的工具和情報,藉此賦予防禦者更多能力,從而提升效率和效益,並保護您的數位資產。Microsoft Sentinel 是我們旗下的雲端原生 SIEM,可提供組織整體的深入解析。Microsoft 365 Defender 能透過自動化的整合式 XDR 保護您的使用者,Microsoft Defender for Cloud 則可保護您的基礎架構。
MDR 可強化威脅回應和管理功能
如同先前幾個章節所述,EPP、EDR 和 XDR 可為安全性分析師提供豐富的資料,以利進行威脅搜捕和鑑識。MDR 服務會使用這項資料來提供上述功能,以及進行事件回應和管理,並縮短平均偵測時間 (MTTD) 和平均回應時間 (MTTR)。安全性團隊越能快速且精準地做出回應,組織的損害範圍和受影響層面就越小。
MDR 並非單一產品或技術,而是一項服務。這項服務可提供同級最佳的威脅偵測和回應,並由訓練有素的專家隨時待命,以確保組織安全無虞。業界經常使用「深度防護」一詞,而採用層層把關的防護機制,正是抵禦各種威脅的最佳手段;不過,由安全性專家團隊負責建立這項資料的關聯性,將可發揮全然不同的效益,並確保組織充分發揮其安全性堆疊的價值。
Transparity 簡介
Transparity 成立於 2015 年,為 MISA 成員之一,也是 Microsoft Pureplay 金級合作夥伴,旗下含有一系列專業產品,包括專屬的安全性品牌 Transparity Cyber。Transparity 具有獨特的企業文化,並致力於透過旗下的產品系列提供出色的服務和專業能力,藉此協調不同領域的協同合作,進而發揮 Microsoft 雲端技術的最大效益。
Transparity 旗下訓練有素的雲端專家,皆累積數十年的深厚經驗。該公司擁有 16 項 Microsoft 金級合作夥伴認證、Azure 專家受管理服務提供者 (MSP) 資格,以及 11 項進階專業認證。Transparity Cyber 致力於每天體現此一頂級標準。除了 Microsoft 金級安全性認證之外,他們也遵守多項嚴格標準,並以「追求卓越的安全性合作夥伴」之姿,贏得眾多組織的信賴。
Transparity 很榮幸入圍 2022 年 Microsoft 安全性卓越大獎的決賽名單。
受管理的安全性服務旨在提供持續的端對端防護措施,以及主動的網路安全性方法。Transparity 的專家以零信任原則為基礎,不僅在保護和預防優先方面具有卓越實績,更專精於執行偵測、回應和復原活動。該公司會運用主動的威脅搜捕和弱點管理,讓客戶環境從一開始就能獲得保護,並隨著時間推移,持續強化並發展安全態勢。
Transparity 每月都需管理和回應數千件直接對客戶環境造成威脅的事件,協助確保客戶組織及其使用者安全無虞。在 2021 年 12 月至 2022 年 6 月這段期間,客戶藉助於該服務之力,每月抵禦 1,000 項以上的威脅。
深入了解
在 Microsoft 商業市集中尋找 Transparity。
若要深入了解 MISA,歡迎造訪我們的 MISA 網站,以從中了解 MISA 計畫、產品整合,並探索 MISA 的成員。歡迎透過影片播放清單,深入了解成員與 Microsoft 產品整合所發揮的強大威力。
深入了解 Microsoft 雲端安全性服務。
如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。
1 Microsoft 數位防禦報告,Microsoft,2021 年 10 月。
歸檔:
