Microsoft розгортає нові можливості машинного навчання в платформі Microsoft Defender XDR, спрямовані на зменшення alert fatigue та прискорення роботи центрів моніторингу безпеки (SOC). Паралельно компанія оголосила про розширення набору проактивних сервісів Microsoft Incident Response для підвищення кіберстійкості організацій.
Microsoft представила ШІ-орієнтовану систему пріоритизації інцидентів у Microsoft Defender. Вона використовує машинне навчання, щоб допомогти аналітикам SOC швидше визначати інциденти, які потребують негайної реакції. Кожному інциденту присвоюється пріоритетний бал від 0 до 100 із поясненням причин такого рейтингу.
«Проблема команд безпеки не в нестачі алертів, а в їх надлишку, який надходить швидше, ніж люди здатні їх опрацювати», — зазначила Microsoft у технічному блозі.
Нова система пріоритизації працює з нативними алертами Microsoft, користувацькими правилами виявлення та сигналами від сторонніх рішень.
Модель оцінювання враховує низку факторів, зокрема сигнали порушення атак, контекст аналітики загроз, рівень критичності, техніки MITRE ATT&CK, важливість активів і наявність високоризикових загроз, таких як ransomware або активність державних хакерських угруповань. Для швидкої орієнтації інциденти маркуються кольорами: червоний — високий пріоритет (понад 85 балів), помаранчевий — середній (від 15 до 85), сірий — низький (менше 15).
У Microsoft повідомили, що підхід базується на алгоритмі BM25, який використовується для ранжування пошукових результатів і дозволяє балансувати між рідкісними сигналами, повторюваністю та складністю інциденту. За словами компанії, нетипові патерни алертів і незвичні комбінації технік розглядаються як більш інформативні, ніж стандартна поведінка.
Черга інцидентів доповнена окремою панеллю з узагальненням пріоритету, чинників оцінювання, ключових деталей, рекомендованих дій і пов’язаних загроз. Аналітики можуть переходити між інцидентами без виходу з основного робочого процесу.
Окремо Microsoft Incident Response оголосила про запуск нових проактивних сервісів, орієнтованих на підготовку до інцидентів ще до їх виникнення. За словами генерального менеджера підрозділу Ендрю Репп, нові послуги ґрунтуються на практичному досвіді реагування на реальні кібератаки.
«У міру того як кіберзагрози стають швидшими, складнішими й менш помітними, організації мають зосереджуватися на стійкості — здатності запобігати інцидентам, витримувати їх і швидко відновлюватися», — зазначив він у блозі з безпеки.
Нові сервіси включають допомогу в розробці планів реагування на інциденти з урахуванням реальних сценаріїв атак, а також підтримку під час великих подій — наприклад, корпоративних конференцій або спортивних заходів — із виділеними командами для моніторингу загроз у режимі реального часу.
Також Microsoft запускає cyber range — сервіс симуляцій, який дозволяє командам безпеки відпрацьовувати виявлення, розслідування та стримування атак у контрольованому середовищі з використанням інструментів Microsoft. Окремий напрям — консультативні послуги з індивідуальними рекомендаціями, галузевою експертизою та оцінкою активності реальних загроз. Для угод злиття та поглинання пропонуються оцінки компрометації, щоб визначити, чи були або залишаються придбані компанії скомпрометованими.
Розширений набір сервісів доповнює чинне портфоліо Microsoft Incident Response, яке вже включає оцінки компрометації, аудит ідентичностей, посилення захисту облікових записів і tabletop-вправи.
У Microsoft зазначили, що AI-пріоритизація інцидентів у Defender XDR покликана допомогти організаціям швидко й упевнено реагувати на загрози. За словами компанії, ефективна пріоритизація є «мультиплікатором сили» для SOC, забезпечуючи швидший triage, вищу впевненість аналітиків і кращі результати завдяки фокусу на інцидентах із найбільшим впливом.
Новий інтерфейс черги інцидентів був анонсований на Microsoft Ignite і вже доступний у єдиному порталі Defender. Документація опублікована на платформі Microsoft Learn.
Читайтен на ProIT: Microsoft закрила ще один офлайн-механізм активації Windows без попередження.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
