Microsoft Defender ATP
La dynamique, puissant et en constante évolution La plateforme Microsoft Threat Protection (MTP) pour les environnements de productivité bureautique et de collaboration numérique basés sur le cloud Microsoft 365 a reçu de nouvelles API (Application Programming Interface). La société a maintenant confirmé que les nouvelles API de protection contre les menaces rendent la plate-forme «prête à l'intégration», ce qui signifie que les organisations peuvent intégrer de manière fiable la plate-forme de sécurité dans leur écosystème logiciel pour se protéger contre les menaces connues et inconnues.
Microsoft a annoncé nouvelles API pour la plate-forme Microsoft Threat Protection (MTP). De plus, le fabricant du système d'exploitation Windows 10 a ajouté que la plate-forme est désormais «prête pour l'intégration». MTP est essentiellement une plate-forme qui fournit aux organisations des mécanismes de détection et de réponse aux menaces interdomaines dans leurs environnements Microsoft 365. Il collecte de manière dynamique les données brutes de plusieurs points de terminaison dans des domaines individuels. La plateforme analyse ensuite les données des menaces pour donner une vue complète des vecteurs d'attaque afin qu'ils puissent être détectés, étudiés, prévenus et traités de manière efficace.
Microsoft Threat Protection Platform obtient plusieurs nouvelles API en plus de Splunk Enterprise et Micro Focus ArcSight FlexConnector:
Microsoft a annoncé l'inclusion de nouvelles API pour la plate-forme MTP. Il s'agit notamment de l'API Incidents et de l'API de recherche de menaces inter-produits. De plus, les alertes MTP seront bientôt disponibles via l'API Microsoft Graph Security.
En outre, Microsoft a indiqué qu'il prévoyait d'ajouter une interface de streaming d'événements, qui diffusera les données d'événements dans des sources externes afin que les professionnels de la sécurité puissent les analyser avec d'autres sources de données et développer des analyses personnalisées. La société a même affirmé que les deux nouvelles API ne faisaient que partie d'un nouvel ensemble d'API développées en interne. Ces nouvelles API seront progressivement révélées et intégrées au MTP. Ils seraient conçus pour répondre aux besoins des professionnels de la sécurité.
NOUVEAU BLOG: Un exemple concret de Microsoft Threat Protection & XDR. https://t.co/NEETydumZK @we_are_inspark @msftsecurity @MicrosoftMTP
- Derk van der Woude | CISSP | CCSP | Maître CEH (@DerkVanDerWoude) 16 septembre 2020
Microsoft a noté que «l'API des incidents» peut révéler des détails complets sur les incidents MTP. L'entreprise insiste sur le fait qu'il s'agit d'une évolution par rapport à de simples mécanismes d'alerte. L'API Incident permet aux équipes de sécurité de surveiller et d'analyser toute l'étendue des attaques et des services concernés. Plusieurs informations sur les données incluent des informations sur la gravité et les entités responsables des alertes.
Microsoft annonce de nouvelles API de protection contre les menaces, une plate-forme désormais prête à l'intégration #MicrosoftThreatProtection : https://t.co/XPLLVHWO1Q via @NeowinFeed
- Atle Vatland (@atlevatland) 16 septembre 2020
L ’« API de recherche de menaces inter-produits »permettra aux professionnels de la sécurité d’accéder par requêtes aux banques de données brutes dans MTP. Les équipes de gestion des données et des menaces réseau peuvent utiliser leur propre expertise et leurs connaissances existantes pour créer des requêtes personnalisées afin de détecter les menaces. Il n'est pas clair si Microsoft autorisera les professionnels de la sécurité à partager leurs requêtes personnalisées avec d'autres équipes pour renforcer davantage la détection des menaces actives avant qu'elles n'aient un impact négatif sur une organisation.
Outre les nouvelles API, Microsoft a également annoncé les connecteurs SIEM (Security Information and Event Management) Splunk Enterprise et Micro Focus ArcSight FlexConnector. Celles-ci sont actuellement disponibles en mode «Aperçu». Le premier permet aux organisations d'intégrer les incidents de sécurité avec Splunk Enterprise, tandis que le second fait de même pour ArcSight.
Mots clés Microsoft
