Microsoft potencia la inteligencia ante amenazas con nuevos programas Defender
Aprovechando la adquisición de RiskIQ, Microsoft lanza Defender External Attack Surface Management y Defender Threat Intelligence.
Aprovechando la adquisición de RiskIQ el año pasado, Microsoft añadirá dos nuevas aplicaciones de inteligencia ante amenazas a su familia de productos Defender, y ofreciendo por separado nuevas capacidades de detección y respuesta para los sistemas SAP ERP a su producto Sentinel SIEM (información de seguridad y gestión de eventos).
Combinando la inteligencia del equipo de investigación de seguridad de RiskIQ con los hallazgos de seguridad internos existentes, Microsoft ha desarrollado Microsoft Defender Threat Intelligence, una biblioteca independiente de datos brutos sobre adversarios. Microsoft dice que ofrece la biblioteca de forma gratuita, accesible directamente por todos los usuarios, o desde su actual familia de productos de seguridad Defender, según una entrada del blog de Vasu Jakkal, vicepresidente de Microsoft para la seguridad, el cumplimiento, la identidad y la gestión.
Microsoft también ha lanzado Microsoft Defender External Attack Surface Management, diseñado para escanear los entornos informáticos y las conexiones de los usuarios con el fin de proporcionar a los equipos de seguridad la misma visión que tiene un atacante de su organización mientras selecciona un objetivo.
La biblioteca de amenazas ofrece inteligencia en tiempo real sobre los adversarios
Según Jakkal, Microsoft combinará sus datos de seguridad internos -recopilados a partir de una red de seguimiento de 35 familias de ransomware, más de 250 estados-nación únicos, ciberdelincuentes y actores de amenazas- con la inteligencia adquirida por RiskIQ, para actualizar en tiempo real la nueva biblioteca Defender Threat Intelligence (DFI).
La biblioteca proporcionará inteligencia sobre amenazas en bruto detallando a los adversarios por su nombre -correlacionando sus herramientas, tácticas y procedimientos (TTP)- y proporcionará actualizaciones cuando se destile nueva información de una serie de fuentes, incluyendo el equipo de rastreo de estados-nación de Microsoft, el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y los equipos de investigación de seguridad de Microsoft 365 Defender.
La DFI tiene como objetivo ayudar a los centros de operaciones de seguridad (SOC) a comprender las amenazas específicas a las que se enfrentan sus organizaciones y a reforzar su postura de seguridad en consecuencia con ello, añadió Jakkal.
También se espera que la inteligencia DFI mejore las capacidades de detección de Microsoft Sentinel y de toda la familia de productos Microsoft Defender. Se espera que se añadan más fuentes de información para DFI a finales de este año, dijo Jakkal.
Defender EASM ofrece una "visión del atacante" de los activos
Diseñado para proporcionar a los equipos de seguridad la capacidad de descubrir recursos desconocidos y no gestionados que son visibles y accesibles desde Internet, Defender External Attack Surface Management (EASM) esencialmente escaneará Internet y los activos conectados para catalogar el entorno de un cliente y sus recursos orientados a Internet.
Los recursos identificados -incluidos los dispositivos finales, los activos no gestionados y sin agente- se pueden gestionar de forma segura con herramientas SIEM y de detección y respuesta ampliada (XDR).
"Con la misma visión que tiene un atacante, Defender External Attack Surface Management ayuda a los clientes a descubrir recursos no gestionados que podrían ser potenciales puntos de entrada para un atacante", dijo Jakkal en el blog. La empresa no detalló inmediatamente el precio del producto.
Sentinel incorpora nuevas funciones de supervisión de SAP
Por su parte, Microsoft Sentinel, la aplicación SIEM y SOAR (orquestación, automatización y respuesta de la seguridad) nativa de la empresa, ofrecerá soporte para las alertas de SAP. Las aplicaciones SAP ERP, que pueden ejecutarse tanto en las instalaciones como en la infraestructura de la nube, son complejas y pueden presentar riesgos como la escalada de privilegios y las descargas sospechosas. Estas pueden ser monitoreadas, detectadas y respondidas por las nuevas características que se están agregando a Microsoft Sentinel, dijo la compañía.
Las capacidades de monitorización de Microsoft Sentinel para SAP estarán disponibles de forma general con una promoción gratuita de seis meses a partir de este mes, y la facturación comenzará el 1 de febrero de 2023, como un cargo adicional al modelo existente de facturación por consumo de Microsoft Sentinel, dijo Microsoft.
