Expel implementa detección y respuesta administradas para Microsoft


Expulse las alertas de Microsoft y responda a las vulnerabilidades específicas de Microsoft que los atacantes suelen explotar.

security-remote-work.jpg

Imagen: iStockphoto / Igor Kutyaev

El jueves, el proveedor de detección y respuesta administradas Expel anunció el lanzamiento de su oferta Expel para Microsoft, que analiza y prioriza automáticamente las alertas en un conjunto de productos de Microsoft, incluidos Lively Directory, Advert Identity Safety, Azure, Microsoft Cloud Application Protection, Microsoft Defender for Endpoint. , Place of work 365 y Sentinel.

Las API de Expel ingieren señales de seguridad de los productos de Microsoft junto con cualquier otra señal de terceros en Expel Workbench: el motor de análisis de Expel que clasifica las alertas mediante el uso de inteligencia de amenazas recopilada de toda su foundation de clientes para descubrir actividades sospechosas. Cosas como inicios de sesión sospechosos, intentos de exfiltración de datos, actividad sospechosa del protocolo de escritorio remoto o reglas inusuales de la bandeja de entrada se pueden marcar para que los analistas de Expel y los equipos de ciberseguridad del cliente las investiguen para determinar qué es y qué no es una amenaza.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Quality)

Las reglas inusuales de la bandeja de entrada son reglas que los atacantes configuran en aplicaciones de correo que están fuera de lo común, como:

  • Reenvío automático de correos electrónicos a suscripciones RSS, correo no deseado o notas

  • Eliminar mensajes automáticamente

  • Redirigir mensajes a una dirección de correo electrónico externa

  • Establecer reglas que contengan palabras clave que comprometan el correo electrónico empresarial, como virus, contraseña, bandeja de entrada o impuestos.

  • Reenvío de correos electrónicos a direcciones externas

  • Configuración de nuevos delegados de buzón

  • Inicios de sesión exitosos al buzón de correo que ocurren minutos después de los inicios de sesión denegados debido a las políticas de acceso condicional

El contexto personalizado y las reglas comerciales también se pueden aplicar para ayudar al motor de detección de Expel para que pueda aprender cómo se ve el tráfico típico de la pink y las aplicaciones.

«Filosóficamente, creemos que los humanos son mejores que la tecnología en dos áreas principales: hacer juicios y construir relaciones», dijo Matt Peters, director de productos de Expel. «Entonces, en el centro de lo que hacemos, Expel Workbench está diseñado para automatizar tanto como sea posible, dejando al ser humano los momentos que son verdaderamente humanos».

Si se encuentra un indicador de compromiso, la plataforma de Expel automatiza los pasos de investigación de Nivel 1 y Nivel 2 y puede actuar para aislar las amenazas en nombre de sus clientes.

«¿Ese archivo potencialmente malicioso?» Ya se ha detonado y se han buscado IOC de eso en las instancias de Office environment 365, Microsoft Defender para Endpoint y Sentinel de los clientes «, dijo Peters.

Expel para Microsoft incluye supervisión y respuesta 24 horas al día, 7 días a la semana para las herramientas de seguridad de Microsoft y otros proveedores, así como colaboración en tiempo real con los analistas del centro de operaciones de seguridad de Expel que utilizan Microsoft Teams o Slack.

La remediación automatizada no es una característica actualmente, pero la compañía dijo que está en camino.

«También hemos dado nuestros primeros pasos para automatizar la remediación (contener hosts es lo más importante para nuestros clientes) y agregaremos remediaciones específicas con el tiempo», dijo Peters.

Ver también



Enlace a la noticia primary