微软近日表示,将开放其内部数据的访问权限,以便内部网络安全专家可以查看和使用。拥有成熟的企业安全运营中心(SOC)的组织将能够通过这种方式更好地保护自己。本周,微软推出了“防御者威胁情报”(DefenderThreatIntelligence)和“防御者外部攻击面管理(EASM)”(DefenderExternalAttackSurfaceManagement,简称EASM),两者均基于网络安全公司RiskIQ开发的技术。微软去年以5亿美元收购了该公司,此后一直将新技术融入其产品中。微软还发布了一篇博文,解释了它如何以及为何分享每天收集的大量威胁情报:从我们的平台和产品中获得的[大量]情报为我们提供了独特的见解,以帮助我们从内部走出去并保护您的顾客。此外,我们在一年多前收购了RiskIQ,使我们能够为客户提供威胁参与者活动、行为模式和目标的独特可见性。[SOC]可以映射他们的数字环境和基础设施,将他们的组织视为对手。这种由外而内的审查提供了更深入的洞察力,可帮助组织预测恶意活动并保护非托管资源。Microsoft自己的企业级安全解决方案,包括Azure云安全功能,可以吸收大量攻击向量、可疑代码和信号以及威胁情报。事实上,该公司声称它积极跟踪35个勒索软件系列和250多个民族国家、网络犯罪和其他威胁。微软声称,仅Azure公有云每天就处理和分析超过43万亿个安全信号。此信息有助于改进MicrosoftDefender防病毒和反恶意软件产品线。此外,Azure中的Sentinel安全信息和事件管理(SIEM)服务通常更擅长实时检测威胁。通过MicrosoftDefender威胁情报提供的威胁情报已集成到Microsoft威胁情报中心(MSTIC)、Sentinel和Microsoft365Defender安全产品中。展望未来,企业SOC应该能够访问Microsoft为上述产品提供的原始威胁情报。SOC可以动态访问威胁组的详细信息。关键信息应包括威胁组织的名称、其首选工具和常用策略。Microsoft将继续更新新门户中提供的信息。
