勒索软件已成近年企业最大威胁,微软本周宣布Azure新的勒索软件侦测服务Fusion正式上线。
这项服务是Azure团队和微软威胁情报中心(Microsoft Threat Intelligence Center,MSTIC)合作开发而成。
Fusion以机器学习模型关联特定软件在防护规避及执行阶段的信号,分析是否有勒索软件活动的特征。一旦侦测到疑似勒索软件的活动,即会在云计算安全信息与事件管理员(SIEM)平台Azure Sentinel上触发“侦测到可能与勒索软件活动相关的多道信号”并显示给管理员,微软表示此类侦测可协助缩短平均侦测时间(Mean Time to Detect,MTTD),以及平均回应时间(Mean Time to Respond,MTTR)。
为提供管理员快速了解可能的恶意活动,Fusion也会将微软各项安全产品发送的信号,以及搜集自网络及云计算上的信号加以关联,以针对可疑活动进行更全面的剖析。Fusion集成的微软安全产品包括杀毒产品Azure Defender、基础架构安全管理系统Azure Defender(Azure Security Center)、端点安全Microsoft Defender for Endpoint、身份安全Microsoft Defender for Identity、应用程序安全Microsoft Cloud App Security,以及Azure Sentinel调度分析规则等。
微软也建议一旦企业收到Azure Sentinel发出的警告,应查看警告并采取回应行动,像是隔离特定机器、执行全系统扫描、回复到先前状态,寻求厂商协助并检查整体网络安全。微软表示也会持续增进Fusion的多阶段攻击场景侦测能力。