Microsoft Defender ATP
Die Dynamik, kraftvoll und sich ständig weiterentwickelnd Die Microsoft Threat Protection (MTP) -Plattform für Microsoft 365 Cloud-basierte Office-Produktivitäts- und digitale Kollaborationsumgebungen hat neue APIs (Application Programming Interface) erhalten. Das Unternehmen hat nun bestätigt, dass die neuen Threat Protection-APIs die Plattform „Integration Ready“ machen. Dies bedeutet, dass Unternehmen die Sicherheitsplattform zum Schutz vor bekannten und unbekannten Bedrohungen zuverlässig in ihr Software-Ökosystem integrieren können.
Microsoft hat angekündigt neue APIs für die Microsoft Threat Protection (MTP) -Plattform. Darüber hinaus hat der Windows 10-Hersteller hinzugefügt, dass die Plattform jetzt 'integrationsbereit' ist. MTP ist im Wesentlichen eine Plattform, die Unternehmen domänenübergreifende Mechanismen zur Erkennung und Reaktion von Bedrohungen in ihren Microsoft 365-Umgebungen bietet. Es sammelt dynamisch Rohdaten von mehreren Endpunkten in einzelnen Domänen. Die Plattform analysiert dann die Bedrohungsdaten, um einen vollständigen Überblick über Angriffsvektoren zu erhalten, sodass diese auf effiziente Weise erkannt, untersucht, verhindert und beantwortet werden können.
Microsoft Threat Protection Platform bietet neben Splunk Enterprise und Micro Focus ArcSight FlexConnector mehrere neue APIs:
Microsoft hat die Aufnahme neuer APIs für die MTP-Plattform angekündigt. Dazu gehören die Incidents-API und die produktübergreifende API für die Bedrohungssuche. Darüber hinaus werden MTP-Warnungen in Kürze über die Microsoft Graph Security API verfügbar sein.
Darüber hinaus hat Microsoft angekündigt, auch eine Ereignis-Streaming-Schnittstelle hinzuzufügen, über die Ereignisdaten in externe Quellen gestreamt werden, damit Sicherheitsexperten sie mit anderen Datenquellen analysieren und benutzerdefinierte Analysen entwickeln können. Das Unternehmen behauptete sogar, dass die beiden neuen APIs lediglich Teil eines neuen Satzes von APIs sind, die intern entwickelt werden. Diese neuen APIs werden schrittweise enthüllt und in das MTP aufgenommen. Berichten zufolge sollen sie die Bedürfnisse von Sicherheitsexperten erfüllen.
NEUER BLOG: Ein reales Beispiel für Microsoft Threat Protection & XDR. https://t.co/NEETydumZK @we_are_inspark @msftsecurity @MicrosoftMTP
- Derk van der Woude | CISSP | CCSP | CEH-Master (@DerkVanDerWoude) 16. September 2020
Microsoft stellte fest, dass die 'Incidents API' umfassende Details zu MTP-Vorfällen enthalten kann. Das Unternehmen besteht darauf, dass dies eine Weiterentwicklung einfacher Alarmmechanismen ist. Mit der Incident-API können Sicherheitsteams den gesamten Umfang von Angriffen und betroffenen Diensten überwachen und analysieren. Mehrere Datenerkenntnisse enthalten Informationen zum Schweregrad und zu den Entitäten, die für Warnungen verantwortlich sind.
Microsoft kündigt neue Threat Protection-APIs an. Die Plattform ist jetzt 'integrationsbereit'. #MicrosoftThreatProtection :: https://t.co/XPLLVHWO1Q über @NeowinFeed
- Atle Vatland (@atlevatland) 16. September 2020
Die 'Produktübergreifende Bedrohungssuche-API' ermöglicht Sicherheitsexperten den abfragebasierten Zugriff auf Rohdatenspeicher in MTP. Daten- und Netzwerk-Bedrohungsmanagement-Teams können ihr eigenes Fachwissen und vorhandenes Wissen nutzen, um benutzerdefinierte Abfragen zur Erkennung von Bedrohungen zu erstellen. Es ist nicht klar, ob Microsoft Sicherheitsexperten erlaubt, ihre benutzerdefinierten Abfragen mit anderen Teams zu teilen, um die Erkennung aktiver Bedrohungen weiter zu verbessern, bevor sie sich negativ auf ein Unternehmen auswirken.
Neben den neuen APIs kündigte Microsoft auch SIEM-Konnektoren (Splunk Enterprise und Micro Focus ArcSight FlexConnector für Sicherheitsinformationen und Ereignisverwaltung) an. Diese sind derzeit im Vorschaumodus verfügbar. Die erste ermöglicht es Unternehmen, Sicherheitsvorfälle in Splunk Enterprise zu integrieren, während die letztere das Gleiche für ArcSight tut.
Stichworte Microsoft
