微软针对紧急安全威胁推出911按需服务
微软已经推出了一项新服务,当威胁严重到无法单独解决时,企业客户可以直接与公司的顶级安全专家联系。
托管威胁搜寻服务称为“按需威胁专家”现已达到“一般可用性”,并且是Microsoft Defender高级威胁防护(ATP)服务的一部分,该服务针对订阅了Windows 10 Enterprise E5和Microsoft 365捆绑包的客户。
它专门针对确实具有高级安全功能但可能处于棘手状况的大型组织,例如处理下一次NotPetya爆发,应对Emotet垃圾邮件,内部威胁和国家赞助的黑客的网络间谍威胁。
按需人工服务是对Microsoft在4月启动的针对性攻击通知的补充。该公司在2月宣布了Threat Experts on Demand及其Azure Azure Sentinel云SIEM服务。Sentinel于9月正式上市。
可从Microsoft Defender安全中心应用程序访问“按需威胁专家”。如果安全运营团队收到有关危险威胁的警报,例如在设备内核上,他们现在可以在“操作”列表的下拉菜单中选择“咨询威胁专家”。
克里姆林宫支持的黑客Fancy Bear最近在今年早些时候被发现利用Windows内核进行新颖的固件攻击。像这样的攻击也促使微软为来自惠普,戴尔和微软的Surface业务的高端PC推出“安全核心”。
微软承诺其威胁专家将提供有关检测和攻击者的技术咨询。单击该按钮后,安全团队可以将问题升级为Microsoft的事件响应服务。
Microsoft Defender研究小组高级研究负责人Brian Hooper告诉ZDNet:“这是我们管理的威胁狩猎功能。它结合了专业的人类猎手与我们自己的人工智能和自动化技术,可帮助我们的企业客户应对那些关键威胁。”
“我们帮助他们意识到环境中的那些威胁,减少停留时间,并让他们了解这些关键威胁,以便他们可以确定优先次序并充满信心地做出响应。”
该服务是对大型企业中的安全团队的回应,这些企业可能对安全警报的数量感到不知所措。微软的威胁专家可以帮助他们消除噪音,并专注于重要的警报。
胡珀说:“客户会尽力应对这些威胁,但有时他们需要更多帮助。”“有时他们只是想要一个值得信赖的合作伙伴。Microsoft在全球拥有超过10亿台计算机的可见性,我们能够利用它来了解并深刻理解企业面临的威胁。”
那么,当欧洲的某个客户在微软位于雷德蒙德总部的安全专家在睡觉时遇到严重的安全问题时,究竟谁能为您提供帮助呢?
微软没有透露其专家的位置,但胡珀说,“按需威胁猎人”确实允许企业客户“利用微软在全球范围内的3500多名安全专业人员”。
收到有关新威胁的通知后,认为自己无法单独解决威胁的客户可以单击按钮与威胁专家联系。微软告诉ZDNet,将有一个全职的Microsoft员工来处理每一个寻求帮助的请求,以解决需要全面事件响应的情况。
按需专家的人为因素包括:
有关警报的其他说明,包括事件的根本原因或范围。
明确可疑机器的行为,并建议面对高级攻击者的下一步。
确定有关威胁参与者,活动或新兴攻击者技术的风险和防护。
必要时无缝过渡到Microsoft事件响应(IR)服务。