Fenyegetésészlelés a Microsoft egyesített SecOps platformján
A kiberbiztonsági fenyegetések a jelenlegi technológiai környezetben bővelkednek. A biztonsági műveleti központok számára rendelkezésre álló jelek állandó spektrátora nagy zajt hoz létre. A Microsoft egységes SecOps platformja elkülöníti a végrehajtható fenyegetéseket a zajtól. A Microsoft egységesített SecOps platformjának minden szolgáltatása saját, finomhangolt észleléseket ad hozzá, hogy azok megfeleljenek az általa nyújtott megoldásnak, és mindezt egyetlen irányítópulton helyezik el.
A Microsoft egyesített SecOps platformja a Microsoft Defender portálon riasztások és incidensek formájában egyesíti az észleléseket a felhőhöz készült Microsoft Defender XDR, Microsoft Sentinel és Microsoft Defender.
Fenyegetésészlelés a Microsoft Defender portálon
A biztonsági csapatoknak a vakriasztások kiküszöbölése érdekében összpontosítaniuk és egyértelművé kell tenni a helyzetet. A Microsoft Defender portál korrelálja és egyesíti a Microsoft összes támogatott biztonsági és megfelelőségi megoldásának riasztásait és incidenseit, és egységesíti a külső megoldások fenyegetésészlelését a felhőhöz készült Microsoft Sentinel és Microsoft Defender keresztül. Ezeknek a jeleknek a korrelációja és egyesítése gazdag kontextust és rangsorolást eredményez. Például egy támadó-in-The-Middle (AiTM) adathalász támadás lehet darabjai a fenyegetés puzzle szétszórva több forrásból. A Defender portál ezeket az elemeket egy támadási történetbe helyezi, miközben támadási zavarokat és irányított reagálást biztosít a fenyegetés elhárításához.
Az alábbi képen az incidensek irányítópultja látható, amely több szolgáltatásból származó jeleket korrelál, beleértve az egyes észlelési forrásokat is egy teljes AiTM-támadási történethez.
Az egyes támogatott Microsoft biztonsági termékek több jelet oldanak fel a Defender portálra való streameléshez. A jelek összefűzéséről és rangsorolásáról további információt az Incidensek és riasztások a Microsoft Defender portálon című témakörben talál.
Microsoft Defender XDR fenyegetésészlelés
Defender XDR egyedi korrelációs képességgel rendelkezik, amely további adatelemzési és fenyegetésészlelési réteget biztosít. Az alábbi táblázat példákat tartalmaz a támogatott biztonsági szolgáltatások hangolására a megoldás karakterének megfelelő fenyegetések észleléséhez.
| Defender XDR szolgáltatás | Fenyegetésészlelési specializáció |
|---|---|
| Végponthoz készült Microsoft Defender | Microsoft Defender víruskereső viselkedésalapú és heurisztikus elemzéssel rendelkező polimorf kártevőket észlel a végpontokon, például mobileszközökön, asztali számítógépeken stb. |
| Office 365-höz készült Microsoft Defender | Észleli az adathalászatot, a kártevőket, a fegyverzett hivatkozásokat és egyebeket az e-mailekben, a Teamsben és a OneDrive-on. |
| Microsoft Defender for Identity | Észleli a jogosultságok eszkalálását, az oldalirányú mozgást, a felderítést, a védelmi kijátszást, az adatmegőrzést és egyebeket a helyszíni és a felhőbeli identitásokban is. |
| Microsoft Defender for Cloud Apps | Gyanús tevékenységeket észlel a felhasználók és entitások viselkedéselemzésével (UEBA) a felhőalkalmazásokban. |
| Microsoft Defender biztonságirés-kezelése | Észleli az eszközök biztonsági réseit, amelyek jól érthető kontextust biztosítanak a vizsgálatokhoz. |
| Microsoft Entra ID-védelem | Észleli a bejelentkezésekkel kapcsolatos kockázatokat, például a lehetetlen utazást, az ellenőrzött fenyegetést jelző IP-címeket, a kiszivárgott hitelesítő adatokat, a jelszófeltöréseket és egyebeket. |
| Microsoft adatveszteség-megelőzés | Észleli a bizalmas adatok Microsoft 365-szolgáltatásokban, Office-alkalmazásokban, végpontokon és egyebekben való túlmegosztásával és kiszűrésével kapcsolatos kockázatokat és viselkedést. |
További információ: Mi az a Microsoft Defender XDR?
Microsoft Sentinel fenyegetésészlelés
Microsoft Sentinel a Defender portálhoz csatlakozva számos Microsoft- és nem Microsoft-forrásból gyűjthet adatokat, de nem áll le. A Microsoft Sentinel fenyegetéskezelési képességeinek segítségével hozzájuthat a környezetet fenyegető fenyegetések észleléséhez és rendszerezéséhez szükséges eszközökhöz.
| Fenyegetéskezelési funkció | Észlelési képesség | További információ |
|---|---|---|
| MITRE ATT&CK lefedettsége | Rendszerezheti a fenyegetésészlelési lefedettséget, és megismerheti a hiányosságokat. | A MITRE ATT&CK-keretrendszer® biztonsági lefedettségének ismertetése |
| Analitika | A szabályok folyamatosan feltárják az adatokat, hogy riasztásokat és incidenseket generáljanak, és integrálják ezeket a jeleket a Defender portálon. | Beépített fenyegetések észlelése |
| Figyelőlisták | Az észlelések minőségének és rangsorolásának javítása érdekében alakítson ki értelmes kapcsolatokat a környezetben. | Figyelőlisták a Microsoft Sentinel |
| Munkafüzetek | Észlelheti a fenyegetéseket vizuális megállapításokkal, különösen az adatgyűjtés állapotának monitorozása és a megfelelő fenyegetésészlelést megakadályozó hiányosságok megértése érdekében. | Adatok megjelenítése munkafüzetekkel |
| Összefoglaló szabályok | Optimalizálja a zajos, nagy mennyiségű naplókat, hogy észlelje a fenyegetéseket az alacsony biztonsági értékű adatokban. | Riasztások létrehozása a hálózati adatok fenyegetésfelderítési egyezéseihez |
További információ: Microsoft Sentinel csatlakoztatása a Microsoft Defender portálhoz.
Microsoft Defender a felhőbeli fenyegetésészleléshez
A Defender for Cloud fenyegetésészlelést biztosít riasztások és incidensek létrehozásához a felhők eszközeinek fejlett biztonsági elemzésekkel történő folyamatos monitorozásával. Ezek a jelek közvetlenül a Defender portálra vannak integrálva a korreláció és a súlyosság besorolása érdekében. A Defender for Cloudban engedélyezett minden csomag hozzáadja a Defender portálra streamelt észlelési jeleket. További információ: Riasztások és incidensek Microsoft Defender XDR.
A Felhőhöz készült Defender sokféle számítási feladat fenyegetéseit észleli. Az alábbi táblázat példákat tartalmaz az észlelt fenyegetésekre. Az adott riasztásokkal kapcsolatos további információkért lásd: Biztonsági riasztások referencialistája.
| Felhőhöz készült Defender-csomag | Fenyegetésészlelési specializáció |
|---|---|
| Kiszolgálókhoz készült Defender | Észleli a Linux és a Windows fenyegetéseit kártevőirtó hibák, fájl nélküli támadások, kriptobányászati és zsarolóprogram-támadások, találgatásos támadások és sok más alapján. |
| Storage-hoz készült Defender | Észleli az adathalász tartalmakat és kártevők terjesztését, a gyanús hozzáférést és felderítést, a szokatlan adatkinyerést és egyebeket. |
| Defender tárolókhoz | Fenyegetést észlel a vezérlősíkon és a számítási feladat futtatókörnyezetében a kockázatos kitettség, a rosszindulatú vagy kriptobányászati tevékenység, a webes rendszerhéj-tevékenység, az egyéni szimulációk és egyebek érdekében. |
| Adatbázisokhoz készült Defender | Észleli az SQL-injektálást, a fuzzingot, a szokatlan hozzáférést, a találgatásos kísérleteket és egyebeket. |
| Defender API-khoz | Észleli a forgalom gyanús kiugrását, a rosszindulatú IP-címekről való hozzáférést, az API-végpontok felderítési és enumerálási technikáit és egyebeket. |
| AI veszélyforrások elleni védelem | Észleli a generatív AI-alkalmazások fenyegetéseit a jailbreakelési kísérletekhez, a bizalmas adatok kitettségéhez, a sérült AI-hoz és egyebekhez. |
További információ: Biztonsági riasztások és incidensek.