Microsoft przedstawił dziś dwie nowe usługi chmurowe, które pomogą zespołom odpowiedzialnym w firmach za bezpieczeństwo. Jedna z nich pomoże zredukować szum informacyjny i liczbę fałszywych alarmów, czasochłonność i stopień złożoności zadań. Druga z kolei oferuje firmom bezpośrednią pomoc ekspertów Microsoftu w identyfikacji i reagowaniu na ataki. Te dwie nowe oferty to Microsoft Azure Sentinel i Microsoft Threat Experts.
Microsoft Azure Sentinel
Azure Sentinel to natywne narzędzie klasy Security Information and Event Management (SIEM) wbudowane w Azure. Umożliwi ono zespołom SecOps dostrzeżenie i zatrzymanie zagrożeń, zanim wyrządzą one szkody. Azure Sentinel jest napędzany przez sztuczną inteligencję, dzięki czemu redukcja szumów (w tym fałszywych alarmów) zmniejsza ich częstotliwość występowania nawet o 90%. Zespoły SecOps mogą bezpłatnie przekazywać do Azure Sentinel dane z Office 365 i łączyć je z innymi danymi do analizy.
Azure Sentinel wspiera otwarte standardy, takie jak Common Event Format (CEF), i połączenia partnerskie, w tym partnerów Microsoft Intelligent Security Association, takich jak Check Point, Cisco, F5, Fortinet, Palo Alto i Symantec. Jak wyjaśnia Microsoft:
Azure Sentinel łączy wiedzę ekspertów Microsoftu i sztucznej inteligencji z unikalnymi spostrzeżeniami i umiejętnościami własnych "obrońców" wewnątrz [organizacji] oraz narzędzi machine learningowych, aby odkrywać najbardziej wyrafinowane ataki, zanim zdążą puścić korzenie.
– Eliav Levi, Director of Product Management, Microsoft Azure Sentinel
Szacuje się, że Azure Sentinel znacząco zmniejsza czas potrzebny na "polowanie" na zagrożenia - jest to już kwestia nie godzin, a sekund. Azure Sentinel jest dostępny w wersji zapoznawczej (preview) już dziś. Można uzyskać dostęp do niego na portalu Azure.
Microsoft Threat Experts
Microsoft Threat Experts to nowa usługa w ramach Windows Defender Advanced Threat Protection (ATP), która zapewnia "proaktywne polowanie", priorytetyzację oraz dodatkowy kontekst i wglądy, pomagające centrom operacyjnym bezpieczeństwa (SOCs) w firmach szybko i precyzyjnie identyfikować i odpowiadać na zagrożenia. Mówiąc dokładniej, Microsoft udostępnia klientom korporacyjnym swoich ekspertów od bezpieczeństwa.
W ramach tej usługi do dyspozycji użytkowników (przynajmniej na razie) oddano dwie możliwości:
- Targetowane powiadomienia o atakach: alerty dostosowane do organizacji, zapewniające tyle informacji, ile można w krótkim czasie dostarczyć, by skierować uwagę na krytyczne zagrożenia w sieci, wliczając w to oś czasu, zakres naruszenia i metody wtargnięcia.
- Eksperci na żądanie: kiedy zagrożenie przerasta możliwości zespołów wewnątrz firmy lub potrzebne są dodatkowe informacje, eksperci Microsoftu zapewnią konsultacje techniczne lub odpowiednie wykrycie/przeciwdziałanie. W przypadku, gdy konieczna będzie pełna odpowiedź na incydent, możliwe będzie bezproblemowe przejście do usług IR (incident response) Microsoftu.
Usługa zacznie niebawem działać w wersji zapoznawczej. Zainteresowani klienci Windows Defender ATP mogą się zarejestrować i zgłosić chęć jej używania. Microsoft skontaktuje się z użytkownikami mailowo, by potwierdzić uczestnictwo w fazie testowej.
341f31d.png)