Microsoft は SIEM と XDR を統合して高度な攻撃を阻止します

news

セキュリティに携わる私たち全員にとって、過去 12 か月は信じられないほどの一連の課題でした。リモートワークと家族の優先事項のバランスを取ることから、回復力のあるビジネスの構築を支援すること、最新の攻撃から保護することまでです。 2020 年は、私たちが大きな進歩を遂げた一方で、個人として、組織として、そしてコミュニティとして安全を維持するためにできることがまだたくさんあることを示しました。ここマイクロソフトでは、これらの学習を適用して、使用しているプラットフォーム、保護しようとしているデバイス、またはデータがクラウド化されているかどうかに関係なく、すべてのセキュリティに対するより強力で統一されたアプローチを作成することに取り組んでいます.

高度な攻撃から保護するために、昨年 9 月の Microsoft Ignite で、デジタル ランドスケープを保護するための最も完全なアプローチをすべて 1 つの傘の下で作成するというビジョンを共有しました。クラウド ネイティブな SIEM (セキュリティ情報とイベント管理) である Azure Sentinel の幅広さと、Microsoft 365 Defender と Azure Defender の奥深い XDR (拡張された検出と対応) ツールを組み合わせて、セキュリティを悪用する攻撃に対抗できるようにしました。今日の多様で分散した複雑な環境。

今日、私たちはこれらのエクスペリエンスを統合し、最新の脅威を阻止するための強化されたツールとインテリジェンスを提供するための次のステップを踏み出しています。

統一されたエクスペリエンス

現在市場に出回っているほとんどの SIEM は、単純に複数のソースからログを取得します。 Azure Sentinelは、多くのサード パーティのセキュリティ製品を使用して環境全体でログを受け入れ、Azure Defender と Microsoft 365 Defender を使用してさらに一歩進めることができます。本日より、インシデント、スキーマ、アラートが Azure Sentinel と Microsoft 365 Defender の間で共有されます。これは、Azure Sentinel で統一されたビューを取得し、Microsoft 365 Defender でより多くのコンテキストについてインシデントにシームレスにドリルダウンできることを意味します。

例: Azure Sentinel から始めて鳥瞰図で包括的なインシデントを理解してから、Microsoft 365 Defender に直接移動して、資産またはユーザーをより詳細に調査します。 Azure Sentinel との双方向の同期を維持しながら、Microsoft 365 Defender 内で直接インシデントを修正してクローズすることもできます。これは、他では見られない次のレベルの SIEM 統合です。

Microsoft 365 Defender側では、ポータル エクスペリエンスの数を減らすために取り組んでいます。目標は、一連の製品ではなく、エンド ユーザー環境を保護するための単一の統合 XDR エクスペリエンスを提供することです。今日は、Microsoft Defender for Endpoint と Defender for Office 365の機能を統合された Microsoft 365 Defender ポータルに統合するという、その取り組みにおける重要なマイルストーンです。これらの変更により、市場の同等の製品で複数の経験を必要とするタスクが簡素化されますまた、関連するコンテキストと電子メール アラート機能を備えた電子メール アラートの新しい 360 度ビューを使用して、電子メール エンティティ ページを大幅に強化しました。

高度な攻撃を阻止する強化されたツールとインテリジェンス

Microsoft Defender for Endpoint と Defender for Office 365 の機能を Microsoft 365 Defender に統合するだけでなく、次のような新しい拡張エクスペリエンスも作成しました。

  • 現在プレビュー段階にあるThreat Analyticsは、アクティブな脅威を理解し、防止し、緩和するのに役立つ、専門の Microsoft セキュリティ研究者による詳細な脅威インテリジェンス レポートを提供します。
  • ベスト プラクティスとハウツーを含む教育リソースを使用できるラーニング ハブ
  • Microsoft Defender for Office 365 の攻撃シミュレーション トレーニングは、フィッシング リスクの検出、優先順位付け、修復に役立ちます。実際の攻撃を無力化したバージョンを使用して、絶えず変化する攻撃者の状況をシミュレートし、リスクのある行動を非常に正確かつ最新の状態で検出できるようにし、豊富なレポートと分析を使用して顧客が進捗状況を測定できるようにします。

Azure Sentinelでは、拡張されたデータ収集によって組織全体のより豊かなビューを提供し、新しいインシデント対応と自動化機能でより迅速に対応できるようにすることに重点を置いています。本日、マルチクラウド環境を含む環境全体でデータ収集を簡素化する 30 を超える新しいコネクタを発表します。これらの新しいコネクタには、Salesforce サービス クラウド、VMWare、Cisco Umbrella、および Microsoft Dynamics が含まれます。

Azure Sentinel の新しい自動化ルール

また、 Azure Sentinel の SOAR 機能も拡張しています。本日、自動化ルール (一般的なタスクを自動化するための新しいシンプルなフレームワーク) と、追加の組み込み SOAR プレイブックを備えた新しい自動化コネクタを導入します。これらの新しいプレイブックにより、Azure Firewall による疑わしい IP アドレスのブロック、Microsoft Intune によるエンドポイント デバイスの分離、Azure Active Directory Identity Protection によるユーザーのリスク状態の更新などの自動化ワークフローが可能になります。これらの Azure Sentinel のイノベーションについては、 Azure Sentinel Microsoft Ignite 2021 発表ブログで詳しく知ることができます。

最後に、 Azure Defenderは改善されたアラート機能を提供するようになりました。これには、大規模なアラート リストのパフォーマンス向上によるトリアージ エクスペリエンスの向上、Azure Resource Graph からのアラート、Azure Defender アラートのサンプル作成機能、および Azure Sentinel のインシデント エクスペリエンスとの調整が含まれます。これらおよびその他の Azure Security Center の発表の詳細については、 Azure Security Center Microsoft Ignite 2021 発表ブログをお読みください。

Microsoft の統合された脅威保護は、クラウドネイティブ SIEM である Azure Sentinel、エンド ユーザー環境に XDR 機能を提供する Microsoft 365 Defender、およびインフラストラクチャとクラウド プラットフォームに XDR 機能を提供する Azure Defender で構成されます。

将来を見据えて

私たちは、高度な攻撃を理解して保護する方法を見つけるために、長い道のりを歩んできました。私たちの使命はまだ始まったばかりであり、引き続きツールを統合し、インテリジェンスを追加して、お客様の環境を健全かつ安全に保つのに役立てていきます。

Microsoft Ignite セッションをチェックして、 SIEM + XDRの詳細を確認してください。

いつものように、この旅の継続的なパートナーシップに感謝します.

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してくださいセキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

-Rob、Eric、およびマイクロソフト セキュリティ チーム全体

参照: https://www.microsoft.com/en-us/security/blog/2021/03/02/microsoft-unifies-siem-and-xdr-to-help-stop-advanced-attacks/

Comments

タイトルとURLをコピーしました