Microsoft 威胁报告指出,随着组织越来越多地转向云计算,利用微软生态系统进行威胁检测和响应时存在五大关键陷阱。
核心观点与关键数据:
- 不了解 E5/Microsoft Defender 许可证的优先顺序:建议优先考虑 Microsoft Defender for Endpoint (DfE)、Microsoft Defender for Identity 和 Microsoft Defender for Office 365,这些方案提供了成本效益高的许可方式,并在关键环境中结合了预防和检测能力。
- 在了解如何配置之前购买 Microsoft 安全解决方案:建议在购买前充分理解所需的时间和洞察力,确保有效配置和识别正确的遥测数据,避免冗余监控。推荐使用 Microsoft Sentinel 集成 Defender 解决方案,并通过 MDR 服务(如 Kroll Responder MDR for Microsoft)进行详细调查和修复。
- 不利用响应自动化和本地集成阻止剧本:建议利用 Azure Logic Apps 和 Power Automate 等本地工具设置自动化云响应,并在 Microsoft Sentinel 中构建本地化剧本,例如检测异常用户活动并触发通知。
- 无法解决日志摄入的成本和复杂性:建议在数据摄入时进行过滤,将合规性和低分辨率数据归档到 Azure 数据探索器(ADX)等长期云数据湖,将高分辨率数据路由到 Microsoft Sentinel 进行威胁检测。
- 没有利用 Defender 为云提供的机会:建议利用 Microsoft Defender for Cloud 监控 Azure 和 AWS 等环境中的威胁,并保护传统 PaaS 和云原生资源。推荐将云日志提供给事件响应专家,进行云妥协调查和及时修复。
研究结论:
- 组织应优先考虑覆盖端点、身份和 O365 的 Microsoft Defender 解决方案,并将其集成到 Microsoft Sentinel 中,以实现全面的威胁检测和响应。
- 有效的 MDR 服务(如 Kroll Responder MDR for Microsoft)可以帮助整合微软安全工具,提高投资回报率,并提供必要的专家团队和流程。
- 评估 MDR 提供商时,应考虑其经验、响应能力、威胁情报和与微软的互动程度。
- 微软安全工具带来的回报显著,但需要有效的 MDR 服务支持以降低风险,并最大化其投资回报。
案例研究:
- BSM 公司通过与 Kroll 合作,成功从遗留 SIEM 解决方案迁移到基于 Microsoft Sentinel 的云原生安全监控,提高了威胁检测和响应能力,并获得了对其全球网络的更大可见性。
