Rodina Microsoft Defender opět početnější

Vyjmenovat celý rodokmen v dnešní linii začíná být na jeden letní večer, protože zde máme dva nejnovější přírůstky, které dále rozšiřují možnosti obránců uspět v boji za bezpečnější firemní IT.

Microsoft Defender Threat Intelligence (Defender TI)

Pravidelní uživatelé konzole Defender for Endpoint a dnešního Microsoft 365 Security Center si jistě všimli upozornění a celé sekce zaměřené na ty největší hrozby, které dnes můžeme potkat. Společně s možností obohatit detekční mechanismy a indikátory kompromitace daty od dalších poskytovatelů, třetích stran, i zcela vlastních.

Nahlédnout pod pokličku těchto dat, korelovat je napříč dalšími zdroji, doménami, certifikáty, IP adresami, články o jednotlivých hrozbách a organizovat si v týmu data k dané hrozbě, umožňuje nový Defender TI portál na adrese https://ti.defender.microsoft.com/.

Ten nabízí ve standardní licenci přístup k datům, které konzole standardně vyhodnocuje. V prémiové pak provádět vlastní investigace a rozhodovat se na základě informací od dalších stovek zdrojů. Jedná se o rozhodně zajímavý zdroj, pokud se chcete dozvědět podrobnější informace například i o zranitelnostech dalších aplikací, operačních systémů a aplikací a pomoci si ve vyšetřování případného incidentu.

Obrázek 1: Portál Microsoft Defender Threat Intelligence

Microsoft Defender External Attack Surface Management (Defender EASM)

Další a velmi zajímavou službou je možnost skenování zranitelností, a to ne vnitřní, o kterou se stará již zmíněný Defender for Endpoint, nebo z hlediska konfigurace například Defender for Cloud či Defender for Cloud Apps, ale právě vnější. Z veřejného internetu. Například pro webové stránky, portály, IP adresní rozsahy VPN bran a další prvky, kterými je organizace viditelná světu.

K jeho fungování a zprovoznění budete potřebovat předplatné Azure. Že jej nemáte? S tím dokážeme rychle pomoci.

V průvodci následně definujete a ověříte jednotlivé organizační zdroje, aplikace, weby a služby, které publikujete do internetu. V mnoha organizacích už jen inventura těchto zdrojů může chvíli zabrat. A spustíte se do pravidelného skenování.

Obrázek 2: Bezpečnostní přehledy v Microsoft Defender EASM (Zdroj: Microsoft)

K dispozici jsou nyní čtyři základní přehledy:

• Attack Surface Summary obsahuje ty nejdůležitější nálezy za všechny oblasti a služby. Poskytuje prioritizaci jednotlivých zranitelností a nedostatků podle závažnosti (High, Medium, Low) vůči jednotlivým zdrojům, aplikacím a IP adresám, ze kterých se skládají vámi definované externí služby. Ideální manažerský přehled, který chcete udržovat v zeleném.

• Security Posture report se zaměřuje na hodnocení vyspělosti a komplexity vašeho programu kybernetické bezpečností s ohledem na realitu, jak jsou jednotlivé služby publikovány do veřejného internetu. Spočívá v hodnocení technických i organizačních politik, procesů a kontrol pro minimalizaci rizik objevených zranitelností nebo možnosti jejich výskytu v budoucnosti na základě detekovaných CVE, konfiguraci komponent, poskytovatelů hostingových služeb, cloudových služeb, otevřených portů a dalších parametrů.

• GDPR Compliance je užitečný pro organizace působící právě v EU a pracuje s detekcemi dopadů na osobní údaje z hlediska možnosti jejich úniku nebo zpracování, zabezpečení, fungování přihlašovacích formulářů, práci s cookies soubory a může tak být kontrolním mechanismem, že se na nic nezapomnělo.

• OWASP Top 10 dokáže zastat práci běžných nejlevnějších penetračních testů, které se zaměřují právě na tyto nejčastější zranitelnosti webových aplikací. Automaticky otestuje a nahlásí všechny nedostatky v této oblasti, na které se také bohužel stále dost často zapomíná ze strany vývojářů.