扩展 Microsoft Defender Experts 覆盖范围,提升云工作负载防护能力

微软宣布 Defender Experts 服务扩展,为混合和多云服务器提供 24/7 专家驱动的 MXDR 防护和威胁狩猎,并支持第三方网络信号增强事件检测与响应能力。

扩展 Microsoft Defender Experts 覆盖范围,提升防护能力

合著者: Henry Yan,高级产品营销经理和 Sylvie Liu,首席产品经理

由于威胁形势快速演变、AI 驱动的攻击数量和频率增加,以及技能差距扩大,安全运营中心(SOC)面临巨大压力。为应对这些挑战,各行业组织依赖 Microsoft Defender Experts for XDR 和 Microsoft Defender Experts for Hunting 来加强其 SOC 并领先于新兴威胁。我们致力于持续增强 Microsoft Defender Experts 服务,帮助客户保护其组织并专注于最重要的事务。

我们很高兴宣布扩展 Defender Experts 覆盖范围的全面可用性。通过此次更新,Defender Experts for XDR 和 Defender Experts for Hunting 现在为您的云工作负载提供全天候保护和主动威胁狩猎,从 Microsoft Defender for Cloud 中的混合和多云服务器开始。此外,来自 Palo Alto Networks、Zscaler 和 Fortinet 的第三方网络信号现在可用于 Defender Experts for XDR 中的事件丰富,实现更快、更准确的检测和响应。

将 24/7 专家主导的防御和威胁狩猎扩展到混合和多云服务器

随着云采用的加速,云攻击的复杂性和频率正在上升。根据 IDC 的数据,2024 年,组织平均经历了超过九次云安全事件,89% 的组织报告同比增长。此外,云安全是领先的技能差距,在 O’Reilly 2024 安全状况调查中,近 40% 的受访者将其确定为最需要熟练专业人员的领域。虚拟机(VM)是云基础设施的支柱,用于运行包含敏感数据的关键应用程序,同时提供灵活性、效率和可扩展性。这使它们成为攻击者的有吸引力的目标,因为受感染的 VM 可能被用于执行恶意活动,如数据外泄、横向移动和资源利用。

Defender Experts for XDR 现在为 Defender for Cloud 中的混合和多云服务器提供 24/7 专家主导的托管扩展检测和响应(MXDR)。我们的安全分析师将调查、分类和响应您在 Microsoft Azure、Amazon Web Services 和 Google Cloud Platform 上的本地和云 VM 的警报。通过 Defender Experts for Hunting(包含在 Defender Experts for XDR 中,也可作为独立服务提供),我们的专家威胁狩猎者现在能够在端点、身份、电子邮件和云应用之外,跨混合和多云服务器进行狩猎,减少盲点并发现新兴云威胁。

图 1: Defender Experts 调查的 Defender for Cloud 服务器事件

事件丰富以提高检测准确性和更快响应

通过使用来自 Palo Alto Networks(PAN-OS 防火墙)、Zscaler(Zscaler Internet Access 和 Zscaler Private Access)和 Fortinet(FortiGate 下一代防火墙)的第三方网络信号丰富 Defender 事件,我们的安全分析师获得对攻击路径的更深入洞察。额外的上下文帮助 Defender Experts for XDR 识别跨域的模式和连接,实现更准确的威胁检测和更快响应。

图 2: Defender Experts for XDR 报告中的第三方丰富数据

在这个假设场景中,我们探讨了如何使用第三方网络信号的事件丰富帮助 Defender Experts for XDR 发现横向移动和潜在数据外泄尝试。

  • 检测: Microsoft Defender for Identity 为用户 A 标记了“非典型旅行”警报,显示在短时间内使用不同设备和 IP 从印度和德国登录,表明可能的凭据泄露或会话劫持。然而,初始身份和云审查未显示恶意活动迹象。
  • 关联: 通过第三方网络信号的事件丰富,Palo Alto 防火墙日志显示尝试访问未经授权的远程工具,而 Zscaler 代理数据显示加密流量到未受保护的旧版 SharePoint 服务器。
  • 调查: 我们的安全分析师发现攻击者从德国的托管移动设备进行身份验证。由于令牌重用和移动设备管理配置文件配置错误,设备通过了状态检查并绕过了条件访问,从而能够访问内部 SharePoint。来自第三方网络信号的洞察帮助 Defender Experts for XDR 确认横向移动和潜在数据外泄。
  • 响应: 一旦确认恶意访问,Defender Experts for XDR 启动了协调响应,撤销活动令牌,隔离受影响的设备,并加强移动策略以强制执行条件访问。

灵活、成本效益高的定价

Defender for Cloud 中服务器的 Defender Experts 覆盖按每月每服务器定价,费用基于每月总服务器小时数。您可以根据需要灵活扩展服务器,同时确保成本效益,因为您只需根据使用的资源支付 Defender Experts 覆盖费用。例如,如果您在 6 月份受 Defender for Cloud 保护的所有服务器总共有 4000 小时(6 月总共有 720 小时),您将被收取 5.56 台服务器的费用(4000/720 = 5.56)。

除了通过 Microsoft Sentinel 的数据摄取费用外,第三方网络信号丰富没有额外费用。请联系您的 Microsoft 账户代表以获取更多定价信息。

立即开始

Defender for Cloud 中服务器的 Defender Experts 覆盖将作为 Defender Experts for XDR 和 Defender Experts for Hunting 的附加组件提供。要启用覆盖,您必须满足以下条件:

  • Defender Experts for XDR 或 Defender Experts for Hunting 许可证
  • Defender for Cloud 中的 Defender for Servers 计划 1 或计划 2

您只需要至少一个 Defender Experts for XDR 或 Defender Experts for Hunting 许可证即可启用 Defender for Cloud 中所有服务器的覆盖。

如果您有兴趣购买 Defender Experts for XDR 或 Defender for Cloud 中服务器 Defender Experts 覆盖的附加组件,请填写此兴趣表单。

第三方网络信号丰富仅适用于 Defender Experts for XDR 客户。要启用第三方网络信号丰富,您必须满足以下条件:

  • 部署的 Microsoft Sentinel 实例
  • Microsoft Sentinel 已加入 Microsoft Defender 门户
  • 通过 Sentinel 内置连接器摄取的至少一个受支持网络信号:
    • Palo Alto Networks(PAN-OS 防火墙)
    • Zscaler(Zscaler Internet Access 和 Zscaler Private Access)
    • Fortinet(FortiGate 下一代防火墙)

如果您是现有的 Defender Experts for XDR 客户,并有意启用第三方网络信号丰富,请联系您的服务交付经理。

了解更多

  • 技术文档
    • Microsoft Defender Experts for XDR
    • Microsoft Defender Experts for Hunting
    • 第三方网络信号丰富
    • 规划 Defender for Servers 部署
  • Defender Experts Ninja 培训
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次