Microsoft Defender ATP
Dinamiskā, spēcīgs un pastāvīgi attīstās Microsoft Threat Protection (MTP) platforma Microsoft 365 mākoņdatošanas biroja produktivitātei un digitālās sadarbības vidēm ir saņēmusi jaunus API (Application Programming Interface). Uzņēmums tagad ir apstiprinājis, ka jaunie draudu aizsardzības API padara platformu “Integration Ready”, kas nozīmē, ka organizācijas var droši integrēt drošības platformu savā programmatūras ekosistēmā, lai aizsargātu pret zināmiem un nezināmiem draudiem.
Microsoft ir paziņoja jaunas API Microsoft draudu aizsardzības (MTP) platformai. Turklāt Windows 10 OS veidotājs ir pievienojis, ka platforma tagad ir “gatava integrācijai”. MTP būtībā ir platforma, kas nodrošina organizācijām starpdomēnu draudu noteikšanas un reaģēšanas mehānismus savās Microsoft 365 vidēs. Tas dinamiski apkopo neapstrādātus datus no vairākiem galapunktiem atsevišķos domēnos. Pēc tam platforma analizē draudu datus, lai sniegtu pilnīgu priekšstatu par uzbrukuma vektoriem, lai tos varētu atklāt, izmeklēt, novērst un efektīvi reaģēt.
Microsoft draudu aizsardzības platforma kopā ar Splunk Enterprise un Micro Focus ArcSight FlexConnector iegūst vairākas jaunas API:
Microsoft ir paziņojis par jaunu API iekļaušanu MTP platformā. Tie ietver starpgadījumu API un starpproduktu draudu medību API. Turklāt MTP brīdinājumi drīz būs pieejami, izmantojot Microsoft Graph Security API.
Turklāt Microsoft ir norādījis, ka plāno pievienot arī notikumu straumēšanas saskarni, kas notikumu datus straumēs ārējos avotos, lai drošības profesionāļi varētu tos analizēt kopā ar citiem datu avotiem un izstrādāt pielāgotu analīzi. Uzņēmums pat apgalvoja, ka abas jaunās API ir tikai daļa no jauna API komplekta, kas tiek veidots iekšēji. Šīs jaunās API pakāpeniski tiks atklātas un iekļautas MTP. Tiek ziņots, ka tie tiek veidoti, lai apmierinātu drošības speciālistu vajadzības.
JAUNS BLOGS: reāls pasaules piemērs Microsoft draudu aizsardzībai un XDR. https://t.co/NEETydumZK @ we_are_inspark @msftsecurity @MicrosoftMTP
- Derks van der Vude | CISSP | CCSP | Ceh meistars (@derk_hell) 2020. gada 16. septembris
Microsoft atzīmēja, ka ‘Incidents API’ var atklāt visaptverošu informāciju par MTP incidentiem. Uzņēmums uzstāj, ka šī ir evolūcija salīdzinājumā ar vienkāršiem brīdināšanas mehānismiem. Incident API ļauj drošības komandām uzraudzīt un analizēt visu uzbrukumu un ietekmēto pakalpojumu apjomu. Vairākos datu ieskatos ir informācija par brīdinājumu smagumu un vienībām, kas ir atbildīgas par brīdinājumiem.
Microsoft paziņo par jaunām draudu aizsardzības API, platforma tagad ir “gatava integrācijai” #MicrosoftThreatProtection : https://t.co/XPLLVHWO1Q caur @NeowinFeed
- Atle Vatland (@atlevatland) 2020. gada 16. septembris
“Starpproduktu draudu medību API” ļaus drošības speciālistiem piekļūt neapstrādātu datu krātuvēm MTP, izmantojot vaicājumus. Datu un tīkla draudu pārvaldības komandas var izmantot savas zināšanas un esošās zināšanas, lai izveidotu pielāgotus vaicājumus draudu noteikšanai. Nav skaidrs, vai Microsoft ļaus drošības profesionāļiem koplietot savus pielāgotos vaicājumus ar citām komandām, lai vēl vairāk veicinātu aktīvo draudu noteikšanu, pirms tie negatīvi ietekmē jebkuru organizāciju.
Papildus jaunajām API Microsoft paziņoja arī par Splunk Enterprise un Micro Focus ArcSight FlexConnector drošības informācijas un notikumu pārvaldības (SIEM) savienotājiem. Tie pašlaik ir pieejami režīmā “Priekšskatījums”. Pirmais ļauj organizācijām integrēt drošības incidentus ar Splunk Enterprise, bet otrais dara to pašu ArcSight.
Tagi Microsoft
