微软XDR整合多种云端资安服务涵盖资料与身分保护

从2019年起，市面上陆续有一些资安厂商开始推出名为XDR的解决方案，希望能够涵盖端点、电子邮件、网路、云端服务等不同环境，提供统合的威胁侦测与反应功能。例如，Palo Alto在2月发表Cortex XDR，11月推出2.0版，而趋势科技则是在8月发表了XDR，而今年微软也正式推出他们的这类型解决方案，名为Microsoft Threat Protection（MTP）。

事实上，微软早在2018年9月举行的Ignite全球年度IT大会上，就预告即将推出MTP，希望能够横跨身分、端点、使用者资料、云端应用程式，以及IT基础架构，提供资安防护的机制。企业可在Microsoft 365的整合架构之下，针对层出不穷的网路进阶威胁，执行侦测及矫正的功能，当中也将运用人工智慧与资安专家的研究，来加速恶意活动的调查，以便更快消灭威胁。

经过一年半的发展，MTP终于在今年2月正式发表，当中整合了Microsoft Defender ATP、Office 365 ATP、Azure ATP，以及Microsoft Cloud App Security等多项云端服务，能够分别保护端点、云端电子邮件、身分、应用程式等环境的资讯安全，提供内建资安情资与自动化处理，并且将这些云端安全服务能够统整为单一解决方案，以便协调威胁的防护、侦测、反应、预防等处理作业。

本次MTP的发布，主打下列四大特色。首先，能够自动阻挡攻击，并消灭攻击的持续性，套用条件式存取（conditional access）的限制，自动阻止攻击进犯，实现零信任安全模式；第二，是能够排定事故优先顺序，便于进行调查与反应，透过事故的警示与低阶讯号的交互关连，让企业能够看到最关切的问题，掌握他们在整个Microsft 365服务环境当中所面临的威胁全貌。

第三，系统可以自动修复数位资产，找出受影响的使用者、端点、电子邮件信箱、应用程式，将其恢复到安全状态。举例来说，MTP可针对位于端点的恶意处理程序，提供识别与终止执行的功能，并且能移除攻击者设置的邮件转发规则，也可将目录服务当中的受害使用者标记为被入侵的状态。

第四，MTP能够针对跨领域的威胁猎捕应用需求，提供专门技术。在这套云端防护服务当中，企业可运用与自身有关的资安知识，像是：专属的入侵指标、组织独有的行为模式，以及不拘形式的研究，搭配可深入原始资料的自定查询机制，即可跨越多种应用领域，来执行主动的威胁猎捕

总体而言，微软强调MTP能够涵盖不同领域，了解整起事件的攻击链，辨识遭到破坏的数位资产，保护最敏感的资源。同时，资安团队可运用这套服务，而能採取更为主动的威胁因应态度，而在洞察分析、强化防御、阻挡更多威胁等层面的需求，节省更多上手与作业的时间。

产品资讯

Microsoft Threat Protection
●原厂：微软
●建议售价：厂商未提供
●包含的资安服务：Microsoft Defender Advanced Threat Protection（保护端点）、Office 365 Advanced Threat Protection（保护资料）、Azure Advanced Threat Protection与Azure AD（保护使用者）、Microsoft Cloud App Security（保护云端应用程式）
●搭配的云端服务授权：Microsoft 365（E5或A5）、Office 365（E5或A5）、Enterprise Mobility + Security（E5或A5）、Windows 10 Enterprise（E5或A5）
●网站入口：Microsoft 365安全性中心、Microsoft Defender安全中心、Security & Compliance Center、Azure 资讯安全中心入口网站、Azure ATP入口网站、Cloud App Security入口网站、Microsoft Defender Security Intelligence入口网站

【注：规格与价格由厂商提供，因时有异动，正确资讯请洽厂商】