微軟近日表示將開放其內部數據的訪問權限,以便於內部網絡安全專家能夠查看和使用。擁有成熟企業安全運營中心 (SOC) 的企業將能夠通過這種方式更好地保護自己。
本周,微軟推出了“Defender Threat Intelligence”(Defender威脅情報)和“Defender External Attack Surface Management (EASM) ”(Defender外部攻擊面管理,簡稱 EASM),均是基於網絡安全公司 RiskIQ 開發的技術。微軟去年以 5 億美元收購了該公司,此後一直在其產品中融入新技術。
微軟還發布了一篇博客文章,解釋了它如何以及為什麼會分享它每天收集的大量威脅情報:
從我們的平台和產品中獲得的[大量]情報為我們提供了獨特的見解,幫助我們從內到外保護客戶。此外,一年多前我們收購了 RiskIQ,使我們能夠為客戶提供對威脅參與者活動、行為模式和目標的獨特可見性。
[SOCs]可以映射他們的數字環境和基礎設施,以將他們的組織視為攻擊者。這種由外而內的審查提供了更深入的洞察力,可幫助組織預測惡意活動並保護非託管資源。
包括 Azure 雲安全功能在內,Microsoft 自己的企業級安全解決方案,可以吸收大量攻擊向量、可疑代碼和信號以及威脅情報。事實上,該公司聲稱它積極追蹤 35 個勒索軟件家族以及 250 多個民族國家、網絡犯罪分子和其他威脅。
微軟聲稱,僅 Azure 公共雲每天就處理和分析超過 43 萬億個安全信號。此信息有助於改進 Microsoft Defender 防病毒和反惡意軟件產品線。此外,Azure 中的 Sentinel 安全信息和事件管理 (SIEM) 服務通常更擅長實時檢測威脅。
通過 Microsoft Defender 威脅情報提供的威脅情報已集成到 Microsoft 威脅情報中心 (MSTIC)、Sentinel 以及 Microsoft 365 Defender 安全產品中。展望未來,企業 SOC 應該能夠訪問微軟提供給上述產品的原始威脅情報。
SOC 可以動態訪問威脅組的詳細信息。關鍵信息應包括威脅組的名稱及其首選工具以及常用的策略。 Microsoft 將在新門戶中不斷更新可用信息。