Microsoft вбудовує нові можливості машинного навчання в Microsoft Defender XDR, щоб зменшити навантаження від потоку сповіщень і пришвидшити роботу SOC. Паралельно компанія розширює Microsoft Incident Response – акцент на підготовку до інцидентів ще до того, як вони стануться.
Ключова зміна в Defender XDR – ШІ-орієнтована пріоритизація інцидентів. Її завдання просте: допомогти аналітикам швидше відокремлювати те, що потребує негайної реакції, від того, що може зачекати.
“Проблема команд безпеки не в нестачі алертів, а в їх надлишку, який надходить швидше, ніж люди здатні їх опрацювати”, – зазначила Microsoft у технічному блозі.
Система виставляє кожному інциденту бал пріоритету від 0 до 100 і додає пояснення, чому інцидент отримав саме такий рейтинг. Працює вона не лише з нативними алертами Microsoft: у розрахунок беруться користувацькі правила виявлення та сигнали від сторонніх рішень.
Оцінювання спирається на набір факторів, які мають практичну вагу для triage: сигнали порушення атак, контекст аналітики загроз, рівень критичності, техніки MITRE ATT&CK, важливість активів, а також наявність високоризикових загроз – зокрема ransomware або активність державних хакерських угруповань.
- червоний – високий пріоритет (понад 85 балів)
- помаранчевий – середній (від 15 до 85)
- сірий – низький (менше 15)
У Microsoft пояснюють, що підхід базується на алгоритмі BM25, який застосовують для ранжування пошукових результатів. Це дозволяє збалансувати рідкісні сигнали, повторюваність і складність інциденту. Компанія підкреслює: нетипові патерни алертів і незвичні комбінації технік у такій моделі стають інформативнішими за стандартну поведінку.
Разом із оцінкою оновлюється і робочий процес: черга інцидентів отримала окрему панель, де зібрані узагальнення пріоритету, чинники оцінювання, ключові деталі, рекомендовані дії та пов’язані загрози. Перегляд інцидентів доступний без виходу з основного сценарію роботи аналітика.
Цей інтерфейс черги інцидентів Microsoft анонсувала на Microsoft Ignite, і він уже доступний у єдиному порталі Defender. Документацію опубліковано на платформі Microsoft Learn.
Друга частина оновлень – розширення Microsoft Incident Response. Компанія повідомила про запуск нових проактивних сервісів, які мають готувати організації до інцидентів до їх появи. Генеральний менеджер підрозділу Ендрю Репп зазначив, що нові послуги спираються на практичний досвід реагування на реальні кібератаки.
“У міру того як кіберзагрози стають швидшими, складнішими й менш помітними, організації мають зосереджуватися на стійкості – здатності запобігати інцидентам, витримувати їх і швидко відновлюватися”, – зазначив він у блозі з безпеки.
Серед нових пропозицій – допомога у створенні планів реагування на інциденти з урахуванням реальних сценаріїв атак. Окремий напрям – підтримка під час великих подій, таких як корпоративні конференції або спортивні заходи, коли потрібні виділені команди для моніторингу загроз у режимі реального часу.
Також Microsoft запускає cyber range – сервіс симуляцій для тренування команд безпеки у виявленні, розслідуванні та стримуванні атак у контрольованому середовищі з використанням інструментів Microsoft. Додаються й консультативні послуги з індивідуальними рекомендаціями, галузевою експертизою та оцінкою активності реальних загроз.
Для угод злиття та поглинання компанія пропонує оцінки компрометації, щоб з’ясувати, чи були або залишаються придбані компанії скомпрометованими. Загалом цей блок доповнює наявне портфоліо Microsoft Incident Response, куди вже входять оцінки компрометації, аудит ідентичностей, посилення захисту облікових записів і tabletop-вправи.
У Microsoft наголошують: AI-пріоритизація інцидентів у Defender XDR має допомогти організаціям реагувати на загрози швидко й упевнено. Компанія називає ефективну пріоритизацію “мультиплікатором сили” для SOC – вона має забезпечувати швидший triage, вищу впевненість аналітиків і кращі результати завдяки фокусу на інцидентах із найбільшим впливом.
Залишити коментар