微软宣布了两项新的云服务,以帮助管理员检测和管理对其系统的威胁。第一个是 Azure Sentinel,与其他云服务非常一致:它依赖于机器学习来筛选大量数据以在所有噪音中找到信号。第二个 Microsoft Threat Experts 有点不同:它由人类而非机器提供支持。
Azure Sentinel是一种基于机器学习的安全信息和事件管理,它处理(通常是压倒性的)安全事件流——错误的密码、提升权限的失败尝试、被反恶意软件阻止的异常可执行文件等等——并区分实际值得调查的重要事件和可能被忽略的平凡事件。
Sentinel 可以使用一系列数据源。有明显的 Microsoft 来源——Azure Active Directory、Windows 事件日志等——以及与第三方防火墙、入侵检测系统、端点反恶意软件等的集成。Sentinel 还可以摄取任何使用 ArcSight 通用事件格式的数据源,该格式已被广泛的安全工具采用。
Azure Sentinel 现已提供预览版,可在 Azure 仪表板中找到。在预览期间它可以免费使用,微软还没有决定它一旦上线后如何定价。
威胁专家是Windows Defender 高级威胁检测 (ATP) 的一项新功能,它有两个要素。有针对性的攻击通知使用机器学习系统和人工监督(使用匿名数据)的组合来提醒管理员注意,尤其是有针对性的攻击——针对特定组织的恶意活动(例如,员工试图闯入系统以访问他们不应该看到的数据),而不是参与更广泛的大规模目标活动(例如自我传播的勒索软件)。
第二个元素是 Windows Defender 安全中心中的“询问威胁专家”按钮。看到您的反恶意软件未捕获的攻击迹象并需要帮助调查?单击询问威胁专家,您将与真人取得联系,帮助您了解正在发生的事情以及如何响应,并在必要时过渡到 Microsoft 的事件响应服务。
威胁专家带来人类专业知识,不仅可以识别可疑行为,还可以对其进行实际调查。机器学习可能擅长监控日志和事件,以发现横向移动的迹象,例如重用被盗凭据来探索组织的网络或与意外 IP 地址的网络连接。威胁专家还进一步帮助确定入口的初始点是什么、启用该入口的安全漏洞以及攻击者如何实现对受感染系统的持久访问。至少就目前而言,这些是人们比计算机做得更好的推断和调查。
人的最大问题当然是可扩展性。有了计算机驱动的 Sentinel,微软就可以把它贴在 Azure 门户上,让人们尝试一下,使用 Azure 的大规模计算基础设施来提供必要的扩展。Threat Experts 需要使用真正的计算机安全专家,而这些专家无法像新的虚拟机或容器那样快速启动。因此,预览程序受到更多限制;感兴趣的组织必须申请进入预览,然后等待批准。