【大小通吃】Azure Sentinel新增人工智能技術 快思邏輯偵破勒索軟件細節
Microsoft 宣布旗下的 Azure Sentinel 雲原生 SIEM 平台將會加入勒索軟件的人工智能偵測技術,加強監察企業內部系統及雲端服務的數據傳輸,讓企業客戶能及早發現可疑活動。另外又提供多項處理懷疑勒索軟件入侵的流程建議,就算無用 Azure Sentinel,都值得大家參考。
在 Microsoft 新加入的勒索軟件偵測技術中,使用了 Azure Sentinel 內置的人工智能技術,快速分析大量的數據傳輸。Microsoft 方面指出快思邏輯 (Fusion) 技術可從收集到的數據中聯想出多種可能性,可捕捉及串連多種細微的可疑活動,早一步定性是否屬於勒索軟件活動,並向 IT 員工發出警報及分析報告。
一般來說,系統會鎖定在同一時段內發生的可疑活動進行評估,阻止勒索軟件入侵之餘,連帶近年其他經常與勒索軟件一起入侵的惡意程式如 Emotet、Tofsee 及 Parite 等也可一併揪出。而為了提升準確度及減少誤報,Azure Sentinel 會從多個途徑取得新的威脅情報,包括 Azure Defender、Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft Cloud App Security 及 Azure Sentinel scheduled analytics rules,單看這些工具已可了解系統收集的資料相當豐富,由端點設備、登入權限以至雲應用服務的數據都在監察之列,令企業由外至內均得到保護,集中數據偵測亦大大提升數據的透明度。
經 Azure Sentinel 鎖定的可疑活動,會自動向 IT 員工發出警報,IT 員工便可根據優先次序或安全風險程度,啟動各種事前擬定的處理流程,加快截斷受影響範圍。另外,Microsoft 亦對勒索軟件入侵後的即時應變活動作出如下建議,IT 員工不妨參考以下做法。
1. 如懷疑受到勒索軟件入侵,應即隔離受影響設備避免進一步擴散。
2. 執行完整的病毒掃描,並根據事前擬定的各種案例啟動後續應變行動。
3. 審視所有已安裝及正在執行的軟件,有需要時移除不知名或不需要的套件。
4. 調查整個網絡了解入侵方法,同時找出有可能受影響的設備或軟件。
5. 如懷疑系統有問題,應將設備及作業系統回復到上一次健康備份的狀態。
6. 向網絡安全供應商諮詢建議堵塞漏洞,防止再次被入侵。
