Microsoft brengt securitytools uit voor threat intelligence en redteaming

Microsoft brengt twee nieuwe producten uit voor bedrijven om zich tegen cyberdreigingen te beschermen. Defender Threat Intelligence geeft data over bekende aanvallers en hun patronen. Defender External Attack Surface Management is een tool die zwakke plekken in kaart brengt.

Microsoft presenteert de nieuwe producten volgende week op de BlackHat-securityconferentie in Las Vegas. Defender Threat Intelligence is een tool waarmee securityteams in een bedrijf toegang krijgen tot data die Microsoft verzamelt over bekende cybercrime-incidenten. Het gaat om een library met ruwe data waarin bendes en bekende threat actors worden gesorteerd, waarbij gebruikers kunnen zien welke tools, tactieken en procedures zij gebruiken. Zo kunnen ze zien of er een overeenkomst is met wat ze in hun eigen netwerk zien.

Als aanvallers bijvoorbeeld steevast dezelfde drie tools gebruiken, kan een beveiliger via de data zien of die drie tools niet toevallig ook onlangs in het bedrijfsnetwerk gebruikt zijn. Een dergelijke functie zat ook al in de bestaande Defender-producten en in Microsoft Sentinel, maar nu gaat het voor het eerst om data die in real time wordt bijgewerkt en is de tool losstaand te gebruiken.

Microsoft Defender Threat Intelligence

Een tweede tool die het bedrijf uitbrengt, is het redteam-achtige Defender External Attack Surface Management. Die tool scant het netwerk en de verbindingen van een bedrijf en bouwt daarmee een portfolio op van de netwerkomgeving van een gebruiker. Systeembeheerders krijgen op die manier een beter inzicht in de endpoints en apparaten die van buitenaf toegankelijk zijn, waar ze mogelijk zelf geen zicht op hadden. Het doel is om dat specifiek van een buitenstaandersperspectief te bekijken, om zo aan te tonen hoe een netwerk er voor een aanvaller uitziet. De resultaten daarvan zijn te combineren in security informatie and event management- of in extended detection and response-tools.

Defender External Attack Surface Management

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 02-08-2022 15:51 31

02-08-2022 • 15:51

31

Lees meer

Microsoft gaat Defender automatisch installeren bij Microsoft 365-abonnees
Microsoft gaat Defender automatisch installeren bij Microsoft 365-abonnees Nieuws van 26 februari 2023
Incidentresponse: de digitale brandweer moet op steeds grotere schaal werken
Incidentresponse: de digitale brandweer moet op steeds grotere schaal werken Nieuws van 18 november 2022
Microsoft lost Defender-bug op die Chromium-apps aanzag voor malware
Microsoft lost Defender-bug op die Chromium-apps aanzag voor malware Nieuws van 5 september 2022
Microsoft brengt Defender for IoT uit die iot-apparaten centraal kan beheren
Microsoft brengt Defender for IoT uit die iot-apparaten centraal kan beheren Nieuws van 12 juli 2022
Onderzoeker kan tweestapsverificatie omzeilen via WebView2 om cookies te stelen
Onderzoeker kan tweestapsverificatie omzeilen via WebView2 om cookies te stelen Nieuws van 27 juni 2022
Microsoft brengt Defender for Individuals uit voor beveiligingsstatus apparaten
Microsoft brengt Defender for Individuals uit voor beveiligingsstatus apparaten Nieuws van 17 juni 2022
Microsoft Defender gaf valspositieve ransomwaremeldingen bij Office-bestanden
Microsoft Defender gaf valspositieve ransomwaremeldingen bij Office-bestanden Nieuws van 17 maart 2022
Microsoft brengt Defender for Business uit voor bestaande Business-klanten
Microsoft brengt Defender for Business uit voor bestaande Business-klanten Nieuws van 3 maart 2022
Microsoft voegt functie aan Defender toe die wachtwoorddumps in LSA voorkomt
Microsoft voegt functie aan Defender toe die wachtwoorddumps in LSA voorkomt Nieuws van 15 februari 2022
Microsoft verhelpt Defender-kwetsbaarheid waarmee antivirus omzeild kon worden
Microsoft verhelpt Defender-kwetsbaarheid waarmee antivirus omzeild kon worden Nieuws van 11 februari 2022
Meer producten en artikelen
Beveiliging en antivirus Defender Windows defender

Reacties (31)

-Moderatie-faq
31
30
16
0
0
8
Wijzig sortering
Luppie 2 augustus 2022 16:04
In hoeverre is dit redteaming, als de tools met name gericht zijn om "securityteams in een bedrijf" oftewel blueteams inzicht te verschaffen welke patronen externe actoren gebruiken. M.i. zijn het juist de redteams die gebruik maken van deze patronen om een aanval van een externe actor te simuleren of uit te voeren.
knights16 @Luppie2 augustus 2022 16:13
Auteur schrijft red team achtig. Ik snap zijn denkwijze wel omdat de tool het perspectief van een buitenstaander schetst.

Ik ben het met je eens dat de tool waarschijnlijk juist door de klant (blueteams) zelf gebruikt worden.

Persoonlijk vind ik red team achtig een prima beschrijving
AuteurTijsZonderH Nieuwscoördinator @knights162 augustus 2022 16:56
Ja bij gebrek aan een betere beschrijving was 'redteam-achtig' het beste dat ik kon bedenken. Inderdaad, perspectief van buitenaf, maar het dekt misschien de lading niet helemaal.
Bor Coördinator Frontpage Admins / FP Powermod
2 augustus 2022 16:04
Defender External Attack Surface Management klinkt interessant. Ik vraag mij af of dit wordt ondersteund voor Azure maar ook on-prem infrastructuren. Jammer genoeg is er nog weinig info beschikbaar over de vereisten en kosten behalve een "contact sales".

Update: multi-cloud en hybrid dus
Maintain a dynamic inventory of external resources across multiple cloud and hybrid environments.

[Reactie gewijzigd door Bor op 23 juli 2024 17:15]

CAPSLOCK2000
@Bor2 augustus 2022 16:27
Defender External Attack Surface Management klinkt interessant. Ik vraag mij af of dit wordt ondersteund voor Azure maar ook on-prem infrastructuren. Jammer genoeg is er nog weinig info beschikbaar over de vereisten en kosten behalve een "contact sales".
Ik vind dit maar een eng systeem. Het scant niet alleen je eigen netwerk maar ook alle netwerken waar je gebruikers inzitten. Dus ook thuis. Je ziet gewoon een lijst van apparaten bij mensen thuis. Dat vind ik best wel een groot privacy ding want wij hebben onze gebruikers nooit vertelt dat we dit doen. Dat kon ook niet want het bestond nog niet en is vrij stilletjes geintroduceerd. Maar we sturen hun apparaten en namen dus wel door naar de MS cloud.

Een hostname al 'iphone-van-henk' is gewoon een persoonsgegeven en valt dus onder AVG/GDPR.
In onze omgeving zitten veel jonge mensen die "creatieve" namen geven aan hun apparatuur. Ik weet niet of die er op zitten te wachten dat hun collega's dat weten. Om het maar niet hebben over de situatie dat 'iphone-van-henk' en 'iphone-van-tina' in hetzelfde subnet opduiken want iedereen weet dat henk en tina allebij getrouwd zijn maar niet met elkaar.
Bor Coördinator Frontpage Admins / FP Powermod
@CAPSLOCK20002 augustus 2022 16:33
Het scant niet alleen je eigen netwerk maar ook alle netwerken waar je gebruikers inzitten. Dus ook thuis.
Waar lees je dat? Is dat niet te configureren?
HKLM_ @Bor2 augustus 2022 16:43
Die functie zit al een tijdje in Defender en heet Device Discovery https://docs.microsoft.co...overy?view=o365-worldwide heeft best veel config opties om het tot zakelijk netwerk te beperken maar dan moet je het wel beheren en niet 1x inrichten en nooit meer naar kijken.

[Reactie gewijzigd door HKLM_ op 23 juli 2024 17:15]

CAPSLOCK2000
@HKLM_2 augustus 2022 17:00
Beetje vervelend is dat het is aangezet door MS. Dat is wel aangekondigd maar niemand kan alle veranderingen bijhouden en overzien. Op een dag kwamen we er dus achter dat we devices zagen buiten ons netwerk.

Er is een optie om aan te geven dat je prive-netwerken niet wil scannen maar de detectie daarvan is blijkbaar niet bepaald foutloos. Dan kun je met de hand wel overrides doen maar gezien ons grote aantal gebruikers die over de hele wereld zwerven en overal wifi tegenkomen zagen onze beheerders dat niet zo zitten.
djwice @CAPSLOCK20002 augustus 2022 17:41
Sterker nog, als internationaal bedrijf is het een uitdaging om iemand uit continent X die her beheer doet, er continu op te laten letten dat d configuraties aan GDPR blijven voldoen als de standaard setting van Microsoft in dat continent niet compliant is, omdat de normen en waarden en wetten (opt-out vs opt-in bijvoorbeeld, en waar persoonsgegevens gebruiken voor andere doelen dan waarvoor ze verstrekt zijn heel normaal is) niet overeenkomen.

We zijn dus bij default niet compliant als gevolg van het gedrag van onze leverancier: Microsoft.

[Reactie gewijzigd door djwice op 23 juli 2024 17:15]

HKLM_ @djwice2 augustus 2022 18:54
Daar hebben ze toch Microsoft 365 Geo voor. Als je meerdere “users” hebt in verschillende continenten kan je met MS 365 Geo die “User” en settings verplaatsen zodat je wel compliant bent :+
bussie66 @CAPSLOCK20002 augustus 2022 18:03
"Dat vind ik best wel een groot privacy ding want wij hebben onze gebruikers nooit vertelt dat we dit doen. Dat kon ook niet want het bestond nog niet en is vrij stilletjes geintroduceerd."

Ben benieuwd wat de AP hier van vindt...
CAPSLOCK2000
@dasiro2 augustus 2022 18:38
geen idee wie een toestel zo'n benaming heeft gegeven, waarschijnlijk iets default van Apple, maar dat maakt het geen persoonsgegeven.
Ten eerste is het wel een persoonsgegeven. Het is de telefoon van 1 persoon. Als je die telefoon ziet dan weet je vrij zeker dat het om die persoon gaat. Dat je niet weet wat de achternaam van Henk is doet er niet toe, het hoeft niet eens z'n echte naam te zijn.
Het apparaat hoort bij 1 persoon en heeft een eigen naam. Aan de telefoon kan je de persoon herkennen. Dan is het een persoonsgegeven.
Als iemand de GDPR overtreedt dan is het Apple wel door die gegevens te gebruiken in een hostname die vrij beschikbaar is voor elk ander netwerkdevice.
Misschien, maar dat ontslaat andere bedrijven niet van eigen plichten. Als een bedrijf persoonsgegevens verzamelt dan moeten ze zich aan de GDPR houden.
Als iemand roept "hey henk kom ff", dan zou iemand die naast hem staat plots ook de GDPR overtreden, want hij is by proxy te identificeren.
We zijn het er in ieder geval over eens dat de naam 'henk' een persoonsgegeven is. Als iemand er op reageert dan wijst die naam duidelijk naar een persoon.

De GPDR is dit geval niet van toepassing omdat de GDPR alleen gaat over computers en niet over menselijke ogen en oren. Maar als die iemand een (zakelijke) telefoon vast heeft dan is dat strict genomen een overtreding (al is er waarschijnlijk wel een uitzondering voor).
Je kan je IT-policy trouwens gewoon updaten
Dat kan dat moet vooraf gebeuren. Dat gaat niet als iemand anders het voor je aanzet.
en als mensen dit gedrag niet in hun thuisnetwerk willen, dan moeten ze hun werktoestel niet in het thuisnetwerk hangen of segmenteren, ...
Pas op voor victim blaming. Hoewel ik het er mee eens ben dat mensen hun systemen beter moeten beveiligen kun je realistisch gezien niet van consumenten verwachten dat ze dat zelf kunnen. Een klein stukje van mij vindt dat die mensen hun computer en telefoon moeten weggooien en in het bos gaan wonen tot ze genoeg van IT weten om wel mee te kunnen, maar zo werkt het natuurljik niet.

Als ik niet wil dat iemand mijn telefoon steelt dan moet ik het ding niet voor het open raam laten liggen, dat is dom. Maar het is en blijft de fout van de dief die z'n arm door het raam heeft gestoken en mijn telefoon heeft gepakt.
dasiro @CAPSLOCK20002 augustus 2022 20:26
als je je gegevens openbaart dan is de rest die dit (al dan niet ongewenst) ziet niet in overtreding van de GDPR. Loop je met een bordje henk rond in de winkel, dan is de security-camera daar niet in overtreding, net zo min als je met een nummerplaat HENK rondrijdt en 10 camera's van bedrijven passeert.
Bor Coördinator Frontpage Admins / FP Powermod
@dasiro3 augustus 2022 08:20
Het gaat om het verwerken van persoonsgegevens. Dat iemand met een bordje Henk om zijn nek loopt verandert daar niets aan. Je mag persoonsgegevens niet maar zo verwerken. Ik adviseer je om eens wat beter in de AVG / GDPR te duiken.

[Reactie gewijzigd door Bor op 23 juli 2024 17:15]

dasiro @Bor3 augustus 2022 19:51
als jij je gsm iphone van henk, piet of stinkdier noemt of laat noemen, dan wil dat niet per sé zeggen dat dat jouw naam is of dat het een iphone is, daarom is een toestelnaam niet per sé een persoonsgegevens, tenzij er een noodzakelijke link is met je identiteit zoals bvb je adres of rijksregisternummer. Zelfs voor het IP-adres is dat niet per sé het geval, zie dit artikel van de autoriteit persoonsgegevens
jeroen79 @dasiro3 augustus 2022 08:33
Waarom zou er geen sprake zijn van een overtreding als ik zelf iets openbaar?
Op welke grondslag worden er dan gegevens verwerkt?

Je zou je dan kunnen beroepen op de grondslag toestemming, welke zou blijken uit het actief openbaren.
Maar toestemming waarvoor?

Als ik hier mijn adres neerzet dan kan dat zijn omdat ik dat wil delen met de lezers van dit topic.
Maar dat hoeft niet te betekenen dat ik ook wil dat tweakers of anderen dat adres kopiëren en toevoegen aan een profiel buiten dit topic, of zelfs verkoopt aan derden.

Zonder nadere toelichting kun je uit het door mij hier plaatsen van mijn adres alleen afleiden dat ik het goed vindt dat anderen mijn adres hier zien.
ictxs.nl @jeroen793 augustus 2022 10:55
Toestemming moet expliciet worden gegeven per doel en bekrachtigd worden door de persoon zelf.
Hier zijn uiteraard uitzonderingen op.

Tweakers zou de reactie modereren indien je hier je adres plaatst. Omdat tweakers geen toestemming van jou heeft voor de verwerking, laat staan publicatie.
jeroen79 @ictxs.nl3 augustus 2022 11:49
Maar wat geldt dan als expliciete toestemming?

Als ik hier mijn adres schrijf en op 'Plaats reactie' klik dan geef ik toch toestemming voor wat ik verwacht dat er gaat gebeuren? Namelijk dat mijn adres hier zichtbaar wordt.

Test:
Ir. Molsweg 5
6834 AA Arnhem
Simon Weel 2 augustus 2022 16:03
Uiteraard alleen beschikbaar voor klanten met een duurder Microsoft 365 abonnement, want tsja, kleine bedrijven krijgen immers nooit te maken met cyberdreigingen.
Lextreme @Simon Weel2 augustus 2022 16:04
Kleinere bedrijven mogen ook de duurdere abonnementen aanschaffen dus dat is niet echt een argument toch?

Er zijn ook een wagonlading aan alternatieven, dus ook qua concurrentie zit het wel goed.
Simon Weel @Lextreme2 augustus 2022 16:11
Natuurlijk kan dat, maar helaas te duur. Het is jammer dat Microsoft het MKB niet meer bedient.
Rendiertje @Simon Weel2 augustus 2022 16:18
Microsoft heeft laatst speciaal voor <300 gebruikers zijn Defender for Business suite gemaakt. Hiermee hebben MKB wel de top-notch beveiliging, maar niet alle functies die bijvoorbeeld volledig in E5 zitten. M.i hebben ze daarvoor toch niet de mankracht om dat op te pakken.

Naast alle standaard zaken welke Microsoft aanbiedt in hun producten kan de MKB zichzelf zeker beschermen door de low hanging fruit af te vangen.
Bor Coördinator Frontpage Admins / FP Powermod
@Simon Weel2 augustus 2022 16:18
Microsoft bedient het MKB ook maar je kan er niet van uitgaan dat alle features voor elk abonnement beschikbaar zijn. De ene dienst kost ook meer om te laten draaien dan de andere. Waar zie jij overigens welk abonnement je nodig hebt? Bij attack surface management staat alleen nog "contact sales".
HKLM_ @Simon Weel2 augustus 2022 16:20
MKB wil voor een duppie op de eerste rang zitten… en Microsoft ondersteund het MKB wel zie de nieuwe Defender for Business en de losse Add-on vulnerability manager

Beide tools zijn gericht op MKB
kw_nl @Simon Weel2 augustus 2022 17:42
Wat een vreemde gedachten. Business Premium is te koop voor een schappelijk bedrag per maand. Het biedt serieus veel mogelijkheden voor dat geld. En zoals al geschreven, Endpoint Protection zit er tegenwoordig ook bij.
Scriptkid @Simon Weel2 augustus 2022 18:49
die snap ik niet,

bij security hebben we het over risico, kans en impact,

Door te zeggen dat iets goedkoper of duurder wordt haal je niet ineens risk weg, dus je moet nogsteeds een counter measure doen als je kans en impact te groot vind.

Over het algemeen is juist een MS pakket goedkoper dan alles individueel aanschaffen of icm met 3rd party vervangingen, Maar dan moet je wel appels en appels gaan tellen en niet maar de helft.

Toen wij nog met symantec werkten waren we al gouw 30-40 euro pwp kwijt aan licensing.
Soeski @Simon Weel3 augustus 2022 10:33
Als ze iets zijn gaan doen is het juist wel het MKB bedienen met de Business abonnementen. Steeds meer features die alleen in de Enterprise zaten, komen naar Business.
Het is juist "Enterprise features voor het MKB".
Ze variëren niet zozeer in de beschikbaarheid van features tussen de Business en Enterprise, maar meer hoe ver ze de diepte in gaan met de features. Goede zet wat mij betreft.
Anoniem: 316512 @Simon Weel3 augustus 2022 10:41
Threat intel is nou eenmaal niet goedkoop. En een alternatieve oplossing van welke leverancier dan ook, is zoveel duurder.

Maar als klein bedrijf met een kleine portemonee ga je hier sowieso niet mee bezig, denk ik. Want hier heb je cybersecurity experts voor nodig. De gedachte dat systeembeheerders hiermee aan de slag gaan is denk ik wishfull thinking.

Overigens is de dienst enorm schappelijk
Purchase Method
Microsoft Representative $0.011 asset/day
Azure Portal $0.011 asset/day
Simon Weel @Anoniem: 3165123 augustus 2022 11:00
Ik word oud. Word oud? Ben oud! Ooit begonnen op een computerloos kantoor. Het meest geavanceerde stuk elektronica was de IBM Wheelwriter. Toen kwamen de DOS computers. Werd ik systeembeheerder. Gingen we een Novell Netware netwerk aanleggen. Allemaal kostbare dingen, tonnen werd uitgegeven in die tijd. Maar: een investering die zich terug zou verdienen, want werk werd in minder tijd gedaan. Dat was althans de belofte van automatiseren. In de praktijk werd dat: meer werk afleveren in dezelfde tijd. Maargoed, we spoelen door naar deze tijd. In plaats van investeren in productie verhogende maatregelen, gaat steeds meer geld naar het bestrijden van cyberbedreigingen. Ik krijg wel eens het idee dat we _zonder_ geautomatiseerde omgeving meer geld kunnen verdienen - scheelt een bak overheadkosten....
J.W. Roos 3 augustus 2022 15:22
Waarom alleen voor bedrijven? De burger kan net zo goed aangevallen worden door dergelijk uitschot.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq