Spingendo ulteriormente sulla collaborazione annunciata con Microsoft a settembre 2020, Mandiant aderisce alla Microsoft Intelligence Security Association (MISA) e porta avanti il progetto di estendere la soluzione di Managed Defense a supporto di Microsoft Defender For Endpoint.
Questa integrazione combina la telemetria di Defender con l’esperienza di Managed Defense e le sue capacità analitiche e di intelligence sulle minacce che sono leader di settore.
In questo modo, Mandiant Managed Defense per Defender For Endpoint è ora disponibile per tutti i clienti di FireEye e di Microsoft.
Cosa fa Managed Defense a supporto di Defender For Endpoint
Unendosi alla community Mandiant, i clienti di Defender For Endpoint possono ora beneficiare di informazioni sulle minacce più rilevanti così da poter identificare e rispondere tempestivamente agli eventi più rischiosi. I clienti avranno a disposizione l’esperienza degli investigatori FireEye Mandiant per effettuare il triage degli incidenti, lavorando con i consulenti del Managed Defense potranno identificare ed eliminare le minacce dai loro ambienti.
Il servizio include anche attività Threat Hunting svolte proattivamente da parte di un team di esperti, abili nell’identificare le minacce non ancora note all’interno degli ambienti dei clienti. In ultimo, gli utenti potranno beneficiare di consigli proattivi per la loro sicurezza che i consulenti del Managed Defense forniscono sulla base dell’esperienza di FireEye acquisita dalle attività svolte in prima linea nella gestione degli incidenti.
L’aggiunta del Managed Defense a supporto di Defender For Endpoint consente migliori risultati in termini di sicurezza. La telemetria di Defender incrementa la visibilità degli eventi fornendo contestualmente un’ampia visione degli attacchi. L’integrazione migliora al contempo anche la sicurezza per i clienti di Defender, che ora hanno la possibilità di beneficiare della visibilità derivante dalle attività in prima linea di Mandiant, della conoscenza delle minacce e dell’esperienza nei campi delle investigazioni e della risposta degli incidenti.
Triage e incident response a livello globale in tempi molto rapidi
FireEye ha dimostrato la sua efficienza come fornitore globale di Managed Detection and Response (MDR) alla fine dello scorso anno durante l’incidente SolarWinds Orion (SVR). Non appena analisti e threat hunter di Mandiant hanno identificato SUNBURST, l’azienda ha immediatamente reagito per limitare l’impatto della backdoor su tutta la base clienti di FireEye, eseguendo il triage e attività di incident response a livello globale in tempi molto rapidi.
Come sottolineato in una nota ufficiale da Gabriele Zanoni, Country Manager di Mandiant Italia: «I clienti di Managed Defense, e ora di Microsoft, possono beneficiare di un sistema di rilevamento all’avanguardia e che si aggiorna in tempo reale attraverso tutta la base clienti di Managed Defense».
In aggiunta all’attività di rilevamento e di risposta alle minacce, le investigazioni di Mandiant entrano rapidamente nei flussi di lavoro del team Managed Defense Proactive Hunting. Questo team si basa sulle tecniche osservate sul campo e sulle attività di threat intelligence e le usano per portare la propria esperienza ai clienti utilizzando Defender For Endpoint.
Defender consente ai threat hunter di condurre attività di threat hunting in modo rapido in tutti gli ambienti Windows. Grazie all’accesso a questi dati, Managed Defense ha la possibilità di testare rapidamente nuove metodologie di threat hunting e di convalidarne i risultati.
Ancora secondo Zanoni: «L’attività di threat hunting di Managed Defense è trasparente per gli utenti. Le indagini sono mappate sul Framework MITRE ATT&CK, permettendo ai clienti di FireEye di vedere esattamente le attività che l’azienda sta eseguendo e a quali aggressori sono associate le varie tecniche».
FireEye rende disponibili i link ai report di intelligence all’interno della soluzione Mandiant Advantage, che illustrano ai clienti le informazioni sugli aggressori e le relative tecniche che il team di hunting monitora in quel preciso momento, garantendo così che i clienti siano tempestivamente a conoscenza delle minacce che vengono rilevate e del loro possibile impatto.
Microsoft Defender For Endpoint: cosa aspettarsi dal futuro
Come concluso da Zanoni: «FireEye Mandiant sta continuando a migliorare il proprio servizio per offrire informazioni sempre più di valore ai propri clienti. Questa integrazione di Microsoft Defender For Endpoint è solo un primo passo nell’espansione dei dati e della telemetria in possesso della nostra azienda. Tutti i clienti, oggi, beneficiano di maggiore visibilità e consapevolezza sulle minacce, grazie a questo approccio che consente di rilevare e prevenire anche gli attacchi più avanzati e sofisticati».
Questa collaborazione segna un passo in una nuova direzione per Managed Defense nel fornire supporto diretto per prodotti endpoint di terze parti, coerentemente con l’approccio agnostico ai controlli di sicurezza di FireEye Mandiant.
