Microsoft Defender ATP
A dinamika, hatalmas és folyamatosan fejlődő A Microsoft Threat Protection (MTP) platform a Microsoft 365 felhőalapú irodai termelékenységhez és digitális együttműködési környezetekhez új API-kat kapott (Application Programming Interface). A vállalat most megerősítette, hogy az új Threat Protection API-k „Integration Ready” -re teszik a platformot, ami azt jelenti, hogy a szervezetek megbízhatóan integrálhatják a biztonsági platformot a szoftverek ökoszisztémájába az ismert és ismeretlen fenyegetések elleni védelem érdekében.
A Microsoftnak van bejelentett új API-k a Microsoft Threat Protection (MTP) platformhoz. Továbbá a Windows 10 operációs rendszer gyártója hozzáadta, hogy a platform most már „integrációra kész”. Az MTP lényegében egy olyan platform, amely a szervezeteknek tartományokon átívelő fenyegetés-felderítő és -megoldó mechanizmusokat biztosít a Microsoft 365 környezetükben. Dinamikusan gyűjti a nyers adatokat több végponttól az egyes tartományokon keresztül. Ezután a platform elemzi a fenyegetés adatait, hogy teljes képet nyújtson a támadási vektorokról, hogy azok hatékonyan felismerhetők, kivizsgálhatók, megelőzhetők és reagálhassanak rájuk.
A Microsoft fenyegetésvédelmi platformja számos új API-t kap a Splunk Enterprise és a Micro Focus ArcSight FlexConnector mellett:
A Microsoft bejelentette új API-k felvételét az MTP Platformhoz. Ide tartoznak az Incidents API és a Cross-product fenyegetésvadász API. Ezenkívül az MTP-riasztások hamarosan elérhetők lesznek a Microsoft Graph Security API-n keresztül.
Ezenkívül a Microsoft jelezte, hogy egy esemény streaming felületet is tervez hozzáadni, amely az eseményadatokat külső forrásokba áramolja, így a biztonsági szakemberek elemezhetik más adatforrásokkal és egyéni elemzéseket dolgozhatnak ki. A vállalat még azt állította, hogy a két új API csupán egy új, saját fejlesztésű API-k része. Ezeket az új API-kat fokozatosan feltárják és beillesztik az MTP-be. Állítólag a biztonsági szakemberek igényeinek kielégítésére tervezték őket.
ÚJ BLOG: A Microsoft Threat Protection és XDR valós példája. https://t.co/NEETydumZK @ we_are_inspark @msftsecurity @MicrosoftMTP
- Derk van der Woude | CISSP | CCSP | Ceh mester (@derk_hell) 2020. szeptember 16
A Microsoft megjegyezte, hogy az „Incidents API” átfogó részleteket tárhat fel az MTP-eseményekről. A vállalat ragaszkodik ahhoz, hogy ez az egyszerű riasztási mechanizmusokkal szembeni fejlődés. Az Incident API lehetővé teszi a biztonsági csapatok számára, hogy figyelemmel kísérjék és elemezzék a támadások és az érintett szolgáltatások teljes körét. Többszörös adatbetekintés tartalmaz információkat a riasztások súlyosságáról és a felelős személyekről.
A Microsoft bejelentette az új Threat Protection API-kat, a platform immár „integrációra kész” #MicrosoftThreatProtection : https://t.co/XPLLVHWO1Q keresztül @NeowinFeed
- Atle Vatland (@atlevatland) 2020. szeptember 16
A „Termékeken átívelő fenyegetésvadász API” lehetővé teszi a biztonsági szakemberek számára, hogy lekérdezésen alapuló hozzáférést nyújtsanak az MTP nyers adattáraihoz. Az adat- és hálózati fenyegetéskezelő csoportok saját szakértelmüket és meglévő tudásukat felhasználva egyedi lekérdezéseket hozhatnak létre a fenyegetések észleléséhez. Nem világos, hogy a Microsoft megengedi-e a biztonsági szakembereknek, hogy megosszák egyedi lekérdezéseiket más csapatokkal, hogy tovább fokozzák az aktív fenyegetések észlelését, mielőtt azok bármely szervezetre negatív hatást gyakorolnának.
Az új API-k mellett a Microsoft bejelentette a Splunk Enterprise és a Micro Focus ArcSight FlexConnector biztonsági információs és eseménykezelő (SIEM) csatlakozókat is. Ezek jelenleg az „Előnézet” módban érhetők el. Az első lehetővé teszi a szervezetek számára, hogy integrálják a biztonsági eseményeket a Splunk Enterprise-ba, míg az utóbbi ugyanezt teszi az ArcSight esetében is.
Címkék Microsoft