Microsoft威胁防护和内部人员风险管理达到了普遍可用性

 
微软今天在下周在旧金山揭幕的RSAC 2020之前分享了一系列安全新闻。最大的公告可以说是Microsoft Threat Protection的普遍可用性，它使用AI提供了威胁和自动化解决方案的关联视图。其他值得关注的消息包括来自Microsoft Defender ATP(即将提供Android和iOS支持)，内部风险管理和Azure Sentinel的新闻。
Microsoft在12月发布了Microsoft Threat Protection的公开预览。当时，该公司描述了一种基于“ Microsoft Defender Advanced Threat Protection(ATP)(用于端点)，Office 365 ATP(用于电子邮件和协作工具)，Azure ATP(用于基于身份的威胁)以及Microsoft Cloud App Security(MCAS)的“集成解决方案”。适用于SaaS应用程序。简而言之，Microsoft威胁防护在这些产品之间共享威胁见解，以帮助阻止攻击的发展。微软公司副总裁安·约翰逊(Ann Johnson)告诉VentureBeat，到目前为止，这些产品“彼此交谈，但不是自动，大规模”。通讯线路已经开放，但是今天通过宣布全面上市，该公司表示对“能够检测到威胁，阻止威胁，然后在毫秒内传递这些信息”充满信心。
今年早些时候，微软分享了内置于Microsoft Security解决方案中的自定义算法和机器学习模型，它们均接受了每天8万亿次威胁信号的培训。 Microsoft威胁防护使用此AI来帮助安全团队确定其组织中所有各种警报的优先级并对其采取行动。它主动搜索跨用户，电子邮件，应用程序和端点(Windows，macOS和Linux)的威胁。该解决方案可以对威胁进行调查，做出响应，并自动将受影响的资产恢复到安全状态，而无需任何人工干预。
适用于Linux，Android和iOS的Microsoft Defender ATP
“ Microsoft威胁防护确实是一种基于云的解决方案，它在端点使用大量的人工智能和机器学习来理解和识别威胁，能够检测到威胁，实时阻止威胁，并在全球范围内阻止它们，并跨平台进行交流。”约翰逊说。 “因此，如果Windows端点发现威胁，它将通知Office。如果Office端点发现威胁，它将通知Azure存储或Azure服务器或Windows。现在，我们将获得跨平台支持，我们还将拥有更广泛的覆盖范围。”
早在三月份，微软就将Windows Defender更名为Microsoft Defender，以表示它正在将其端点保护平台扩展到其他操作系统。该公司随后在有限的预览版中推出了适用于Mac的Microsoft Defender高级威胁防护(ATP)，并在12月进行了私人预览。
适用于Windows和macOS的Microsoft Defender ATP提供预防性保护，入侵后检测以及自动调查和响应。今天，该公司宣布了Linux服务器预防性保护功能的公开预览。它支持以下Linux服务器版本：RHEL 7 +，CentOS Linux 7 +，Ubuntu 16 LTS或更高版本，SLES 12 +，Debian 9+和Oracle EL 7。
更值得注意的是，微软今天宣布了今年将Microsoft Defender ATP引入移动平台的计划。这意味着Android和iOS设备将获得防病毒保护和完整的命令行体验。在Microsoft Defender安全中心中，您将能够查看基本警报和计算机信息。如果不同时在移动设备上提供保护，就无法提供企业安全性。
内部威胁防护
Microsoft今天还宣布了Insider Risk Management的全面上市。随着移动设备数量的增加，可以在任何地方轻松传输和访问的公司数据量也在增加。内部人风险管理旨在帮助IT部门识别，补救和防止内部人风险。另外，它不需要部署代理程序或配置数据提取。
Insider Risk Management于11月首次提供预览，它扩展了相同的Microsoft Information Protection技术，该技术已经为Microsoft客户分类和保护了超过500亿个文档。该服务利用AI和机器学习来识别用户行为异常并标记高风险活动。具体来说，机器学习算法会考虑变量，例如文件活动，通信情绪和异常用户行为。 Microsoft承诺该工具将以保护隐私的方式(名称已匿名)识别模式和风险。该产品还包括IP盗窃模板以及骚扰，机密性和安全性模板的预览。
约翰逊告诉VentureBeat：“真正受到大量客户需求的驱动，但同时也受到我们内部组织的驱动，是需要围绕内部风险管理采取一些措施，并实际上将机器学习再次用于解决这一问题。” “我们的客户今天告诉我们，而研究表明，[是]超过50%的违规行为具有某种内幕因素。”
Azure哨兵
当宣布Azure哨兵将于9月正式上市时，微软将其称为第一个由主要云提供商构建的本机安全信息和事件管理(SIEM)工具。基于云的SIEM使用AI来“降低噪音”并在整个企业范围内提供智能安全分析。 Azure Sentinel可以将“大量低保真信号”转变为“安全专业人员需要关注的一些重要事件”。
Azure Sentinel漏斗
本着这种精神，微软今天同意，Azure Sentinel于2019年12月评估了公司内部近500亿个可疑信号，以发出25个高可信事件进行调查。当然，即使对于像微软这样规模的公司，员工也无法在一个月内手动分析500亿个信号。
2月24日，Azure Sentinel进行了以下增强：
新的内置连接器：Forcepoint，Zimperium，Quest，Cyber​​Ark和Squadra等合作伙伴提供的数据连接器和工作簿。 IoT的Azure安全中心的新连接器使Azure Sentinel成为第一个具有本地IoT支持的SIEM。
新资源：开发人员文档，指南，示例，验证条件和更新的GitHub Wiki。
在6月30日之前，无需额外费用即可导入AWS CloudTrail日志：Azure Sentinel提供了整个企业的安全见解，而不仅仅是Microsoft工作负载。
最后一点是微软真正想要回家的地方。您已经可以使用Azure Sentinel免费获取Microsoft Azure活动日志，Office 365审核日志和Microsoft 365安全警报。但是Amazon Web Services比Microsoft Azure更大，因此此促销旨在吸引这些客户。
“我们还想确保我们的客户知道，即使该解决方案被称为Microsoft Azure Sentinel，它实际上是一个完全构建的解决方案，并有望与市场上的任何其他SIEM一样-跨云且能够能够以非常不同的方式在任何环境中工作。”约翰逊说。 “我们真的希望我们的客户能够以非常低的风险为自己测试异构环境。”