微軟Azure Sentinel新增勒索軟體偵測服務

勒索軟體已成近年企業最大威脅，微軟本周宣布Azure新的勒索軟體偵測服務Fusion正式上線。

這項服務是Azure團隊和微軟威脅情報中心（Microsoft Threat Intelligence Center，MSTIC）合作開發而成。

Fusion以機器學習模型關聯特定軟體在防護規避及執行階段的訊號，分析是否有勒索軟體活動的特徵。一旦偵測到疑似勒索軟體的活動，即會在雲端安全資訊與事件管理員（SIEM）平臺Azure Sentinel上觸發「偵測到可能與勒索軟體活動相關的多道訊號」並顯示給管理員，微軟表示此類偵測可協助縮短平均偵測時間（Mean Time to Detect，MTTD），以及平均回應時間（Mean Time to Respond，MTTR）。

為提供管理員快速了解可能的惡意活動，Fusion也會將微軟各項安全產品發送的訊號，以及蒐集自網路及雲端上的訊號加以關聯，以針對可疑活動進行更全面的剖析。Fusion整合的微軟安全產品包括防毒產品Azure Defender、基礎架構安全管理系統Azure Defender（Azure Security Center）、端點安全Microsoft Defender for Endpoint、身份安全Microsoft Defender for Identity、應用程式安全Microsoft Cloud App Security，以及Azure Sentinel排程分析規則等。

微軟也建議一旦企業收到Azure Sentinel發出的警告，應檢視警告並採取回應行動，像是隔離特定機器、執行全系統掃瞄、回復到先前狀態，尋求廠商協助並檢查整體網路安全。微軟表示也會持續增進Fusion的多階段攻擊情境偵測能力。