Trusselsregistrering på Microsofts samlede SecOps-platform
Cybersikkerhedstrusler vrimler i det nuværende teknologilandskab. En masse støj er skabt af den konstante spekter af brud og en overflod af signaler til rådighed for sikkerhedsoperation centre. Microsofts unified SecOps-platform adskiller handlingsrettede trusler fra støj. Hver tjeneste i Microsofts samlede SecOps-platform tilføjer sine egne finjusterede registreringer, så de matcher teinten af den løsning, den leverer, og samler det hele i et enkelt dashboard.
Microsofts samlede SecOps-platform på Microsoft Defender-portalen samler registreringer i form af beskeder og hændelser fra Microsoft Defender XDR, Microsoft Sentinel og Microsoft Defender for Cloud.
Sikkerhedsteams har brug for fokus og klarhed for at fjerne falske positiver. Microsoft Defender-portalen korrelerer og fletter beskeder og hændelser fra alle understøttede Microsoft-løsninger til sikkerhed og overholdelse af angivne standarder og samler trusselsregistrering fra eksterne løsninger via Microsoft Sentinel og Microsoft Defender til Cloud. Korrelationen og fletningen af disse signaler medfører omfattende kontekst og prioritering. Et aiTM-phishingangreb (Adversary-in-The-Middle) kan f.eks. have dele af trusselsgåden spredt på tværs af flere kilder. Defender-portalen samler disse dele i en angrebshistorie, samtidig med at den giver forstyrrende angreb og vejledt svar for at afhjælpe truslen.
På følgende billede vises hændelsesdashboardet, der korrelerer signaler fra flere tjenester, herunder de individuelle registreringskilder for en komplet AiTM-angrebshistorie.
Hvert understøttet Microsoft-sikkerhedsprodukt, der er aktiveret, låser op for flere signaler, så de kan streames til Defender-portalen. Du kan få mere at vide om, hvordan disse signaler syes sammen og prioriteres, under Hændelser og beskeder på portalen Microsoft Defender.
Defender XDR har en unik korrelationsfunktionalitet, der giver et ekstra lag af dataanalyse og trusselsregistrering. Følgende tabel indeholder eksempler på, hvordan understøttede sikkerhedstjenester er tilpasset til at registrere trusler, der svarer til løsningens karakter.
| Defender XDR tjeneste | Speciale i trusselsregistrering |
|---|---|
| Microsoft Defender for Endpoint | Microsoft Defender antivirus registrerer polymorfe malware med adfærdsbaserede og heuristiske analyser på slutpunkter, f.eks. mobilenheder, stationære computere og meget mere. |
| Microsoft Defender for Office 365 | Registrerer phishing, malware, links med våben m.m. i mail, Teams og OneDrive. |
| Microsoft Defender for Identity | Registrerer rettighedseskalering, tværgående bevægelse, registrering, forsvarunddragelse, vedholdenhed og meget mere på tværs af identiteter i både det lokale miljø og cloudmiljøet. |
| Microsoft Defender for Cloud Apps | Registrerer mistænkelige aktiviteter via UEBA (user and entity behavioral analytics) på tværs af cloudprogrammer. |
| Microsoft Defender Vulnerability Management | Registrerer sikkerhedsrisici på enheder, der giver meningsfuld kontekst for undersøgelser. |
| Microsoft Entra ID-beskyttelse | Registrerer risici, der er forbundet med logon, f.eks. umulig rejse, bekræftede trusselsaktør-IP-adresser, lækkede legitimationsoplysninger, adgangskodespray og meget mere. |
| Microsoft Forebyggelse af datatab | Registrerer risici og funktionsmåder, der er knyttet til overdeling og eksfiltration af følsomme oplysninger på tværs af Microsoft 365-tjenester, Office-programmer, slutpunkter og meget mere. |
Du kan få flere oplysninger under Hvad er Microsoft Defender XDR?
Microsoft Sentinel forbundet til Defender-portalen muliggør dataindsamling fra et stort antal Microsoft- og ikke-Microsoft-kilder, men stopper ikke der. Med Microsoft Sentinel trusselsadministrationsfunktioner får du de værktøjer, der er nødvendige for at registrere og organisere trusler mod dit miljø.
| Funktion til trusselsstyring | Registreringsfunktionalitet | Du kan få flere oplysninger |
|---|---|---|
| MITRE ATT&CK-dækning | Organiser dækningen af trusselsregistrering, og forstå huller. | Forstå sikkerhedsdækningen af MITRE ATT&CK-strukturen® |
| Analytics | Regler gennemgår hele tiden dine data for at generere beskeder og hændelser og integrerer disse signaler på Defender-portalen. | Registrer trusler fra kassen |
| Visningslister | Organiser meningsfulde relationer i dit miljø for at forbedre kvaliteten og prioriteringen af registreringer. | Visningslister i Microsoft Sentinel |
| Projektmapper | Registrer trusler med visuel indsigt, især for at overvåge tilstanden af din dataindsamling og forstå huller, der forhindrer korrekt trusselsregistrering. | Visualiser dine data med projektmapper |
| Oversigtsregler | Optimerer logge med støjende, store mængder for at registrere trussel i data med lav sikkerhedsværdi. | Generér beskeder om trusselsintelligens i forbindelse med netværksdata |
Du kan få flere oplysninger under Opret forbindelse Microsoft Sentinel til Microsoft Defender-portalen.
Defender for Cloud giver trusselsregistrering til at generere beskeder og hændelser ved løbende at overvåge dine cloudaktiver med avancerede sikkerhedsanalyser. Disse signaler er integreret direkte i Defender-portalen for korrelations- og alvorsgradsklassifikation. Hver plan, der er aktiveret i Defender for Cloud, føjer til de registreringssignaler, der streames til Defender-portalen. Du kan få flere oplysninger under Beskeder og hændelser i Microsoft Defender XDR.
Defender for Cloud registrerer trusler på tværs af en lang række arbejdsbelastninger. Følgende tabel indeholder eksempler på nogle af de trusler, der registreres. Du kan få flere oplysninger om bestemte beskeder på referencelisten over sikkerhedsbeskeder.
| Defender for Cloud-plan | Speciale i trusselsregistrering |
|---|---|
| Defender for Servers | Registrerer trusler mod Linux og Windows baseret på antimalwarefejl, filløse angreb, kryptomining og ransomware-angreb, brute force-angreb og mange flere. |
| Defender for Storage | Registrerer phishingindhold og distribution af malware, mistænkelig adgang og registrering, usædvanlig dataudtrækning og meget mere. |
| Defender for Containers | Registrerer trusler på kontrolflade og arbejdsbelastningskørsel for risikobelastende eksponering, skadelig mineaktivitet eller kryptominingaktivitet, webshell-aktivitet, brugerdefinerede simuleringer og meget mere. |
| Defender for Databases | Registrerer SQL-injektion, fuzzing, usædvanlig adgang, brute force forsøg og meget mere. |
| Defender for API'er | Registrerer mistænkelige stigninger i trafik, adgang fra skadelige IP-adresser, registrerings- og optællingsteknikker for API-slutpunkter og meget mere. |
| AI-trusselsbeskyttelse | Registrerer trusler på tværs af generative AI-programmer for forsøg på jailbreak, følsom eksponering af data, beskadiget ai og meget mere. |
Du kan få flere oplysninger under Sikkerhedsbeskeder og -hændelser.