利用集成式 XDR 和 SIEM 为采用强大的网络安全 AI 做好准备

第5章13为使用Microsoft安全Copilot做好准备 目录 第4章10借助生成式AI扩大安全运营 第2章05为自己增加胜算 现在是网络安全的关键时刻 利用集成式XDR和SIEM打造强大、安全的基础 现在是网络安全的关键时刻安全运营即将顺应时代趋势，发生翻天覆地的变化。网络安全专业人员面临严峻的挑战，而这些挑战没有丝毫减弱的迹象。勒索软件和企业电子邮件入侵等攻击变得更频繁、更具针对性且更难以检测，恶意行为者也在不断发展他们的策略。同时，远程和混合工作模式继续充分发挥作用，导致组织将更多关键资源迁移到云。人员、设备和应用需要能够从几乎任何地方访问网络，跟随这种需求产生的许多终结点和身份很容易成为网络犯罪分子的攻击途径。这是一场硬仗，如果不使用合适的工具，几乎没有胜算。抵御此类狡诈的攻击者并保护庞大的攻击面（通常跨多个云和平台）本就十分困难，雪上加霜的是，安全团队往往人手不足，并缺乏检测现代攻击所需的一些专业知识和资源。在经济环境不景气和全球网络安全人才短缺的双重问题的影响下，预计到2025年将短缺350万个职位1，这让许多安全团队不堪重负，劳累过度。安全领导者需要增强团队的能力来克服这些难题。值得庆幸的是，全新的工具、创新的应用程序以及包含检测、调查、响应和保护的集成方法可以扭转局势，为防御者提供支持。在这些新一代工具中，生成式AI（如Microsoft安全Copilot）是其中关键的一环。它经过训练，可分析威胁信号并以自然语言向安全团队提出建议，为防御者提供经过优先排序的至关重要的背景信息帮助。它可以加快检测和响应速度，从而减少对复杂工作流和行动手册的需求，即使是初级分析师也能完成以前需要多年专业知识才能胜任的工作。生成式AI蓄势待发，即将彻底转变安全运营方式，将响应威胁的时间从数小时和数天缩短到数分钟。许多组织正在优化其安全体系，为使用生成式AI网络安全工具奠定所需的基础。将扩展检测和响应(XDR)与安全信息和事件管理(SIEM)系统集成到一起，可为组织提供安全信号和响应的端到端可见性与深度，而这正是奠定基础所需的基石。1Cybersecurity Jobs Report: 3.5 Million Unfilled Positions In 2025，Cybersecurity Ventures，2023年。 本指南将向你展示如何开始使用生成式安全AI，包括：•简化安全工具如何帮助安全团队应对一些最大的挑战。•集成式XDR和SIEM如何提高安全运营效率。•采取集成XDR和SIEM的措施如何为下一步（即使用生成式安全AI）做好准备。 将SIEM和XDR技术整合到一个平台后，我们获得了前所未有的可见性。专业服务领域网络安全和IT基础结构经理 “我们从同一个供应商那里获得多个安全工具，帮助我们节省了检测和响应时间。现在，我们无需在很多不同屏幕和工具间切换即可调查和响应威胁。这种集成非常顺畅。”物流领域网络和技术采购主管 为自己增加胜算对于在当今的威胁形势下强化安全机制的组织来说，他们需要使用工具来简化安全团队在整个攻击链中的工作，降低保护、检测和响应的复杂性。安全团队通常会在产生需求时，使用已添加到安全体系的拼凑在一起的多个单点解决方案来满足特定需求，而不进行太多前瞻性规划，并且这些单点解决方案在多年的时间里越积越多。对于安全团队来说，这种工作方式太过复杂，因为它迫使团队使用大量存在可见性缺口的孤立工具，并手动关联各个工具中迥然不同的警报，这会减慢他们的调查和响应速度并导致警报疲劳。这为攻击者打开了大门。如果缺乏对威胁和组织数字资产全面且一致的了解，组织就无法充分洞察整个攻击链和整个攻击范围的情况，从而导致在调查过程中浪费宝贵的时间。如果安全团队的电子邮件、终结点、身份、云应用、工作负载和数据保护解决方案无法高效地共享信号，导致警报延迟数小时甚至数天， 2Microsoft Entra已扩展到了Security Service Edge，Azure AD已发展为Microsoft Entra ID | Microsoft安全博客，Joy Chik，2023年7月11日。3现代攻击面剖析，Microsoft安全，2023年。4Gartner Predicts Nearly Half of Cybersecurity Leaders Will Change Jobs by 2025，Gartner，2023年2月22日。那么即使是拥有强大安全解决方案的成熟安全团队，也难以检测勒索软件等复杂攻击。此外，如果没有工具来划分警报的优先级，安全专业人员可能会因为每天面临的挑战而不堪重负。例如：•平均每秒发生4,000次密码攻击2•攻击者在成功完成网络钓鱼电子邮件攻击后访问私有数据的中位时间仅为72分钟。3•攻击者的资源越来越丰富，社交工程、勒索软件和支持AI的欺诈行为变得日益复杂。Gartner预测，到2025年，安全人员短缺问题或人为故障将导致一半以上的网络安全事件。4最新的安全创新技术旨在通过更全面、更具指导性和自动化程度更高的解决方案来防止漏检攻击，从而扭转这种安全趋势。 Gartner预测，到2025年，安全人员短缺问题或人为故障将导致一半以上的网络安全事件。4集成式XDR和SIEM可为安全运营提供所需的可见性、敏捷性和复原能力，以应对这些常见挑战并提升组织的安全性，无论未来会发生什么情况。在当前的经济环境中，组织难以定夺多项预算之间的优先顺序，而精简工具并准备好系统以支持生成式网络安全AI兼具短期和长期的财务意义。 实现常规流程的自动化。分类得到了精简，因为系统基于机器学习的检测会显示最紧迫的安全警报、划分事件的优先级并自动修复大多数威胁。富有价值的团队成员能够更自由地专注于重要事宜。从被动响应转变为自动切断攻击。XDR收集的高可信度信号有助于及早识别正在进行的攻击，因此内置的自动化可以实时停止攻击进度、隔离受影响的设备并暂停受到攻击的用户帐户。通过划分事件优先级减少警报疲劳。集成式XDR和SIEM解决方案利用机器学习和富有深度的信号将警报与事件相关联，针对数字环境中的活动威胁为分析师提供了划分优先级的、更完整的端到端视图，从而消除了耗时的警报关联和分类工作。充分发挥可用威胁智能的作用。由强大的全球化威胁智能提供支持的XDR可帮助你抵御勒索软件等不断演变的威胁。安全团队可访问的情报越多，组织的复原能力就越强。降低开销成本。通过整合供应商和工具，你可以快速获得积极的投资回报率，将节省下来的资金更好地用于发挥人类创造力和实现创新。 利用集成式XDR和SIEM打造强大、安全的基础将统一的XDR和SIEM作为组织安全策略的基础，可以实现安全运营的现代化，并在威胁不断演变的过程中保护组织的安全。如果拥有集成式工具堆栈，安全运营中心(SOC)便能获得整个攻击链的端到端可见性，甚至能够跨多个云和平台查看信息。SIEM可让你从整个企业的海量活动数据中收集、分析和搜寻警报，XDR则能完善威胁数据，使其进一步细化，不仅包含来自终结点的数据，还包含电子邮件、身份、应用、云数据工作负载等来源的数据。将XDR和SIEM整合在一起，可让你全面地检测、调查、修复和响应针对你的所有身份、终结点、应用程序、电子邮件、物联网(IoT)设备、基础结构甚至多个云的攻击。当安全团队拥有全面的可见性以及集成式XDR和SIEM带来的效率和准确性时，他们便获得了一个关键优势：速度。丰富的可用数据为SOC提供了发现攻击并快速反击所需的准确性和洞察力。集成式XDR和SIEM的优势在整个网络攻击链中发挥着重要作用。 XDR和SIEM共同为组织提供了独特的优势。一项研究表明，一家使用集成式解决方案的复合型组织可获得的运营和业务优势包括：•将调查威胁所需的时间缩短65%，将响应威胁所需的时间缩短88%。•将用于创建新工作簿的时间缩短90%，将用于对新入职的安全专业人员进行培训的时间缩短91%。•将发生重大数据泄露的风险降低60%。“部署SIEM和XDR后，我们的安全漏洞风险降低了90%。这给我们带来了巨大改变。”政府部门首席技术官 •供应商整合每年可实现近160万美元的成本节省。对于希望通过出色的安全功能加强防御、提高安全运营效率并及时采用最新安全创新技术的组织而言，集成式XDR和SIEM在各个方面都提供了可观的投资回报率。此外，在采用安全工具时以长远利益为出发点，可为组织奠定坚实的基础来实现下一轮的技术飞跃：生成式AI支持的安全工具。 检测人眼不易察觉的模式和行为。Copilot使用XDR和SIEM解决方案中的端到端可见性，并将安全方面的技能应用于海量数据，从而帮助团队实时发现威胁，以便采取主动措施。将大量数据转化为切实可行的明确见解。经过安全性训练的生成式AI可将威胁数据转变为以自然语言提供的见解，为争分夺秒的团队节省宝贵的时间。为安全分析师提供即时、关键的指导和背景信息。安全团队可获得与任何安全事件相关的分步指导和深入的背景信息，从而加快调查速度。为安全人才提供支持并提高其技能。通过简单的自然语言提供出色的安全策略和最佳实践，让安全团队的每位成员（从初级到高级）都能掌握先进的修复技术。提供精简的自然语言工作流。借助能够快速总结事件并自动推荐纠正措施的技术，团队可以集中精力一起快速采取行动，并以易于共享的格式轻松撰写报告。预测攻击者的后续行动。AI不断将其学习成果应用于集成式XDR和SIEM中的数据，并预测恶意行为者接下来可能会做什么，因此你的团队可以击败攻击者。 借助生成式AI扩大安全运营OpenAI的ChatGPT4标志着大型语言模型科学领域的重大飞跃，多个行业的从业人员都在思考AI在精简工作方式方面可以发挥多大的作用。网络安全专业人员比大多数人都更迫切地需要简化工作流，而且你可能想知道自然语言提示和深度学习在你自己的安全运营中会是什么样子。生成式AI支持的安全工具将转变威胁检测和修复的范式，为防御者提供支持。它不仅能让威胁检测从主动演变为预测，还通过使用节省时间的自然语言提示提供报告和指导，针对整个网络攻击链为分析师提供支持。集成式XDR和SIEM的基础是这项新技术不可或缺的一部分。它为经过安全性训练的AI提供所需的高质量信号，让AI能够从数万亿条遥测数据中学习，并将数据转化为量身定制的见解和建议。它还提供跨安全层协调响应操作所需的平台和框架。随着Microsoft安全Copilot的推出，Microsoft成为了生成式AI网络安全领域的先驱。Copilot让安全团队能够使用直观的工作流并提交自然语言提示，帮助他们在数分钟内（而不是数小时或数天）击败攻击者并响应威胁。与XDR和SIEM结合使用时，Copilot还能为安全团队带来指数级提升的改善效果。 利用SIEM和XDR大幅增强检测功能。防护不可能做到天衣无缝，所以我宁愿拥有世界上最好的检测功能，也不愿拥有缺乏可见性的最佳保护。专业服务领域网络安全和IT基础结构经理 第5章为使用Microsoft安全Copilot做好准备 持续推理超过65万亿个全球威胁情报信号，为组织提供卓越的威胁防护。它可从内置的反馈工具中学习以适应组织的偏好，并不断改进它与团队协作的方式。攻击者现在掌握了AI技术，防御者也可以这样做。可以肯定的是，安全团队每天必须分类处理的大量威胁信号在未来几年都不会减少，并且团队需要通过更简单、全面且能够协同工作的安全解决方案来应对这一挑战。利用端到端威胁可见性，以及使用自然语言提出有关安全状况和环境的问题的能力，你便可以做好准备，让运营具备抵御网络犯罪的长久复原能力。 探索你的部署选项SIEM和XDR解决方案| Microsoft安全Copilot | Microsoft安全Microsoft Defender XDR和MicrosoftDefender for Cloud都是强大的XDR解决方案。它们与Microsoft Sentinel基于云的SIEM解决方案无缝协作，可提供安全团队所需的统一性、效率和广泛的可见性，以便在犯罪分子的策略不断演变的过