重新設計的 Microsoft Defender 入口
在最近的 Tech Field Day 獨家活動中,Microsoft 揭示了其安全運營策略的一次重大演變,旨在解決安全團隊普遍面臨的問題:在多個控制台之間頻繁切換以理解單一攻擊的疲勞操作。
問題:界面過多,清晰度不足
安全分析師將他們的日常挑戰稱為「旋轉椅疲勞」。為了調查甚至是簡單的事件,他們被迫在不同的入口之間進行身份管理、端點保護、電子郵件安全和雲端基礎設施的切換。這不僅低效且容易出錯,隨著攻擊的日益複雜,這種情況變得越來越難以維持。
不僅僅是界面混亂這麼簡單。舊式安全系統會孤立地生成警報,未能將入侵者在組織內的實際路徑串聯起來。雖然安全工具會單獨發出警告,但攻擊者思考的是圖形結構——從一個被攻陷的系統有條不紊地轉移到另一個,直到達到他們的目標。
Microsoft 的解決方案:統一的 Microsoft Defender 入口
Microsoft 的應對措施是推出 Microsoft Defender 入口,一個設計用來消除多界面操作的統一控制台。這個平台將安全運營整合到身份、端點、電子郵件、SaaS 應用程序和雲端基礎設施的所有領域中,這些都是攻擊者在入侵期間通常會經過的途徑。
在技術層面,Sentinel 作為基礎平台,而 Defender 入口則是前端界面。目標是實現真正的跨域擴展檢測和響應 (XDR),以匹配攻擊者的實際操作方式,而非傳統安全工具的組織方式。
新架構的四大支柱
Microsoft 改進的安全平台基於四大架構基礎:
Sentinel 資料湖:直接解決存儲成本問題。通過將存儲與計算分離,Microsoft 表示,組織現在可以以較低的成本保留大量的安全數據——最多可達 12 年。數據以開放格式(Delta Parquet)儲存,允許多個分析引擎查詢相同的信息。
Sentinel 圖形:這代表了安全數據結構化方式的根本轉變。系統不再是孤立的事件,而是模擬用戶、設備和數據之間的關係,涵蓋整個環境。這支持了主動的威脅狩獵(在發生違規之前識別潛在的攻擊路徑)和反應性的調查(了解違規後發生了什麼)。
模型上下文協議 (MCP) 伺服器:作為 AI 代理的服務目錄,啟用 Microsoft 所謂的「代理安全運營」——自動化工具能夠發現和利用安全服務來完成任務。
生成式 AI 能力:通過 Security Copilot 等工具提供,為分析師提供自然語言界面來查詢數據並生成見解。
實際應用
這些實用應用解決了真實的操作痛點。平台不再向分析師轟炸不相關的警報,而是將時間和系統中的相關事件相關聯成一個單一的事件敘述。在調查過程中,它可以可視化被攻擊帳戶的「爆炸半徑」,顯示攻擊者可能下一步瞄準的關鍵資產...