在Microsoft Defender for Endpoint(MDE)中管理端点和响应安全事件可能既耗时又复杂。MDEAutomator是一个开源工具,旨在使这一点变得更容易。
MDEAutomator是一个模块化的无服务器解决方案,适用于希望节省时间和减少手工工作的IT和安全团队。通过使用Azure Function Apps和自定义PowerShell模块,MDEAutomator可以自动执行将MDE部署到新设备和响应警报等任务,而无需管理额外的基础设施。
主要特点
- 便携式PowerShell模块
- MDE响应操作和实时响应操作的批量自动化
- MDE威胁指标(IOC)的批量管理
- 专为多租户用例而设计
- 无秘密应用程序注册/UMI身份验证+手册$SPNSECRET灵活性
- 能够通过PowerShell提供端点安全配置文件中不可用的关键配置设置
- 为所有入职租户自动进行每日威胁狩猎
- 自定义检测同步和管理与Azure存储
- 方便地将端点软件包/文件上传到Azure存储
- 简化后卫事件的管理
MDEAutomator的关键部件
MDEAutomator由几个工具组成,这些工具共同在Microsoft Defender for Endpoint中自动执行任务。每个部分都有特定的工作,帮助安全团队节省时间并更快地应对威胁。
PowerShell模块
MDEAutomator的核心是一个自定义的PowerShell模块。它包括用于管理Defender for Endpoint的广泛命令(称为cmdlet)。这些允许用户处理设置身份验证、运行实时响应操作、管理检测规则以及使用威胁指示器等任务。它还支持使用Defender的狩猎功能进行高级搜索。
MDEAutomator编排平台
这是幕后运行的主要系统。它是无服务器的,这意味着不需要管理基础设施。它可以将PowerShell脚本推送到Defender管理的设备,同时跨多个端点运行实时响应命令,并自动执行大规模操作。
威胁情报经理
此部分管理威胁指标,如文件哈希、IP地址、域和代码签名证书。它自动添加、更新或删除这些指标。它还可以同步来自Azure Blob存储的自定义检测规则,并内置版本控制和检查,以确保规则在部署之前有效。
行动经理
操作管理器会跟踪 Defender for Endpoint 中跨设备执行的操作。它还包括一个安全开关,可以停止所有待定操作,以防某些东西需要快速回滚。
狩猎经理
这个工具有助于威胁狩猎。它支持手动和计划狩猎,管理查询,并自动将结果保存到Azure Blob Storage以供进一步审查。
事件经理
事件管理器是查看和管理Defender XDR事件的中心位置。它还会跟踪与每个事件相关的评论和更新,帮助团队在响应过程中保持协调。
MDEAutomator在GitHub上免费提供。
消息来源:helpnetsecurity, 编译:安全114;
本文由 anquan114.com 翻译整理,封面来源于网络;
转载请注明“转自 anquan114.com”并附上原文
暂无评论内容