做过安全运营的朋友们都知道,影响安全运营中心(SOC)团队工作效率的最大因素之一就是关联上下文的不断切换:为了寻找和分析不同类型的信息,需要在不同的安全产品和技术解决方案之间进行切换,甚至需要在单个安全产品和技术解决方案中的各种视图之间进行切换。这些缺乏集成和统一的解决方案和视图除了极大的增加了SOC团队的人工投入之外,也消耗了在事件调查过程中所需的宝贵时间。

这正是微软的优势所在。微软具有领先、全面且丰富的安全产品和技术覆盖场景/集成安全体系,为客户提供全场景、全平台、全生命周期的端到端安全能力,具有优秀的生态系统与合作伙伴体系,并充分支持与第三方集成。Microsoft 365Defender 横跨端点设备、云和本地标识、电子邮件、文档和云应用,充分的结合领先地云计算、机器学习、人工智能、安全情报大数据、自动化等技术,对关联的数十亿个安全信号数据进行自动化的分析、调查、告警和安全事件分组,并满足超过93%的正确率要求,为SOC安全团队提供统一集成的管理体验,从而可以更有效的调查和应对安全威胁,并提高企业整体的安全运营效率。

微软一直在持续优化和提高企业整体的安全运营效率。为了更好的帮助SOC提高安全调查效率,我们目前正式发布了Microsoft 365 Defender的攻击故事视图(Attack story view)。通过攻击故事视图(Attack story view),SOC分析人员现在可以轻松地在安全事件中相关受影响的资产之间导航或深入了解各个警报的详细信息,同时始终保留事件的完整上下文。这能够使SOC的分析调查体验更加出色,以帮助SOC分析人员更快地阻止违规行为。

从 Microsoft 365Defender 中的事件队列中选择事件时,新的攻击故事视图现在是安全事件分析调查体验的核心。它是所有受影响资源的可视化交互式视图,使SOC分析人员能够在调查期间随时了解事件上下文。此外,SOC分析人员可以与攻击故事视图交互,以确定后续步骤或从带有选项的下拉列表中采取措施。

图 1 显示了新的攻击故事视图 - 它允许您轻松识别在这种情况下,哪些用户、文件、端点、电子邮件帐户以及外部域会受到影响。

图 2 显示了与新事件页面交互的外观,以及视图如何动态调整你的操作。在图 2 的左侧,可以看到与此事件相关的警报列表 - 当SOC分析人员选择不同的警报时,攻击故事视图会自动调整以放大相关警报,事件页面会进行调整以提供与此警报相关的所有相关详细信息。

或者,SOC分析人员还可以通过单击相关资产(图 3)直接与图形互动以查看实体详细信息,甚至可以选择他们想要采取的操作来进一步调查或开始修复,如图 4 所示。

图 3 – 与攻击故事视图交互以检索设备信息

图 4:选择任何可用操作以进行进一步调查或开始响应

新的攻击故事视图改变了 SOC 团队的游戏规则 - 永无止境的相关上下文切换和尽量不忽视整体事件和受影响资产的日子已经一去不复返了。交互式视图将使调查和响应更加直观,最重要的是有助于更快地响应威胁并限制攻击的影响,提高企业安全运营的整体效率。

Microsoft 365 Defender,Gartner 魔力象限和 Forrester 领导者榜单双加持的企业智能集成端到端安全套件,欢迎大家积极使用。