微软认为：在安全产品组合中必须内置由 AI 驱动的智能系统，以提供用户开箱即用的保护。我们的产品应该尽可能减少复杂的配置或手动定制设置，即可进行检测和保护。并且必须对报警提示进行优化，面对海量的报警提示往往是造成企业安全团队无从下手的主要原因。

　　MITRE Engenuity ATT&CK 评估是全球网络安全行业头部公司的实战大比武，以 APT 组织 FIN7 加 Carbanak 所采用的攻击技术为测试目标，评估中包括对整个攻击链中超过174个步骤的安全检测和保护，除了包含 Windows 客户端、Windows 服务器之外，也第一次引入了 Linux 系统设备。是以 APT 组织所采用的实际 APT 攻击技术进行实战、验证安全解决方案的安全监测与防护能力的评估。

　　在今年的评估中，我们的 Microsoft Defender for Endpoint 和 Microsoft Defender for Identity 方面提供了市场领先的安全防护能力，可以为我们的用户提供：

　　我们在 ATT&CK 评估中的操作与在客户环境中是完全一样的，可以通过自动 AI 和行为算法提供开箱即用的防护能力和检测功能。不需要特殊的复杂操作，也不存在任何防护性能的差距。虽然检测性能是此次评估的主要衡量标准，但是攻击活动——包括警报、技术和受影响的资产——是如何被关联到一起，成为一个连贯的端到端攻击事件同样重要。对于安全团队来说，帮助 SOC 分析师高效地调查和应对各种高级攻击是至关重要的。

　　跨 Microsoft 365 Defender 的协调检测和可见性与自动化、优先级和预防相结合，是阻止这些高级攻击的关键

　　今年的 MITRE Engenuity Carbanak+FIN7 评估提供了一个新的基准：衡量参与者是否能够防止高级攻击。我们认为，授权保护不仅仅是对攻击的认识；防止攻击才是成功保护客户企业安全的关键。

　　如下图所示，我们在每次测试的最早阶段都成功介入并阻止了模拟攻击，处于保护测试功能的顶部。Microsoft Defender for Endpoint 会在模拟攻击中进行精确拦截和主动报警，提供了一个清晰的攻击被阻止的企业安全风险事件。

 

　　▲各厂商在最早阶段阻止攻击的次数。微软在六次防护测试中成功地在最早的时间点上拦截并化解了攻击。

　　Microsoft Defender for Endpoint 在各种平台上提供开箱即用的全面可视性、防护能力和检测功能，包括 macOS、多种 Linux 版本、Android 和 iOS 搭载多种系统的设备。

　　今年，MITRE Engenuity 强调了跨平台保护的重要性，包括对 Linux 文件服务器的攻击，包括系统发现、数据收集以及使用远程服务或哈希传递攻击（pass-the-hash）在 Windows 和 Linux 之间的横向移动等多种高级技术，还模拟了针对 Linux 平台的保护测试。

　　我们在 Linux 的所有攻击步骤中都获得了最好的覆盖结果。如下图所示，Microsoft Defender for Endpoint 对模拟的 Linux 攻击技术实现了100%的检测。在保护测试中，在执行的第一阶段就阻止了攻 击，使微软成为 Linux 保护和检测的四大厂商之一。

　

　图片▲在 Linux 上执行的模拟攻击步骤，每一列代表各安全厂商检测到的风险数量。在攻击最早的阶段便介入阻止攻击的厂商用浅蓝色表示。

　　在故意关闭保护功能的测试中，微软在所有20个测试的攻击阶段和不同的平台上显示了卓越的覆盖深度和可视性。提供了87％的测试技术覆盖率，代表了整个攻击链的端到端检测。

 

　　图片▲各厂商的总检测计数，显示了 Microsoft 领先的安全检测功能。我们还可以将所有报警信号关联为两个事件 （代表不同的攻击），从而优化了报警信息的数量确保企业安全团队能够更加直观高效地调查攻击行为。

　　在信息安全威胁日益复杂的时代，企业对于企业级安全产品及服务的需求急剧增加，以帮助企业保护电子邮件、数据、设备和用户身份安全，抵御不断增加且破坏性越来越大的网络威胁风险，并逐步提高内部信息安全。横向移动攻击就是其中一个典型的例子，黑客会在被攻击的环境移动以达到获得宝贵信息及造成最大损害为目标。安全软件的侦测及跟踪横向移动是攻击调查和移除威胁的重要一环。

　　运用 Microsoft Defender for Identity 监视并分析网络中的用户活动和信息（例如权限和组成员身 份）。然后，Microsoft Defender for Identity 通过自适应内置智能识别异常情况，让公司深入了解可疑活动和事件、揭示公司面临的高级威胁、用户侵害和内部威胁。Microsoft Defender for Identity 的专有传感 器监视组织域控制器，提供每个设备中所有用户活动的全面视图。此外，Microsoft Defender for Identity 为企业 IT 人员提供有关身份配置和建议的最佳安全方案和见解。通过安全报告和用户配置文件分析， Microsoft Defender for Identity 可以显着减少攻击面，使入侵用户凭据和推进攻击更加艰难。Microsoft Defender for Identity 的可视横向移动路径有助于快速准确地了解攻击者如何在公司内横向移动来入侵敏感帐户，并协助提前预防这些风险。Microsoft Defender for Identity 安全报告有助于识别使用明文密码进行身份验证的用户和设备，提供其他见解以改善安全状况和策略。

　　Microsoft Defender for Office 365 是基于云的信息安全服务，可帮助企业抵御垃圾邮件和恶意软件。当传入的邮件进入 Exchange Online 时，它最初通过连接筛选，检查发件人信誉。大多数垃圾邮件在此时 即被拦截，并由 Microsoft Defender for Office 365 拒绝。然后，检查邮件中是否存在恶意软件的迹象。如果在邮件中找到恶意软件或附件，邮件路由到“仅管理员”隔离存储。邮件将继续通过策略筛选，并根据自定义邮件流规则对其进行评估。例如，公司可以将规则设置为当收到来自特定发件人的邮件时向管理器发送通知。接下来，邮件通过内容筛选，此筛选器确定为垃圾邮件或网络钓鱼的邮件可以被发送到隔离区或用户的“垃圾邮件”文件夹中。成功传递经过所有这些保护层的任何邮件都将传递给收件人。这让企业能够成功防守住邮件安全这道防线。

　　我们发现企业安全团队每天需要面对大量的安全警报信息，因此，Microsoft Defender for Endpoint 利用其对攻击模式和进展的深刻理解，将警报、遥测数据和受影响的资产关联起来，并将它们归入一组较小的综合事件。在这次评估中，这种关联性导致了两个事件，每个攻击模拟一个，将队列减少到只有两个工作项目需要调查。被优化的综合事件使 SOC 分析师能够在一个综合的视图中查看整个攻击范围，包括所有警报、阻断行动和所有支持证据。

　　这种跨平台、复杂的攻击模拟极大地提高了检测和保护的难度和有效性。我们很自豪地宣布，在本次评估中 Microsoft Defender for Endpoint 取得了极为优异的成绩，并在每个主要攻击阶段都有效地检测和阻止了恶意攻击行为。在最终的成绩报告中，Microsoft Defender for Endpoint 的成绩超越了 Symantec、McAfee、FireEye、CrowdStrike 等一众传统大牌安全厂商，与 BitDefender 不相伯仲。

　　在 MITRE Engenuity 最近的 Carbanak + FIN7 ATT＆CK 评估中所使用的 Microsoft Defender 未经过任何特殊优化和调试配置，与用户部署到生产环境中完全相同。通过警报的覆盖范围、准确性、可见性和调查经验级别在评估中的结果再次证明了我们可以使用行业领先的安全防御能力来阻止各种高级攻击技术进行的真实的攻击。

　　“我们认为：在安全产品组合中必须内置由 AI 驱动的智能系统，为提供用户开箱即用的保护。我们的产品应该尽可能减少复杂的配置或手动定制设置，即可进行检测和保护。并且必须对报警提示进行优化，面对海量的报警提示往往是造成企业安全团队无从下手的主要原因。”

　　随着攻击面几乎每天都在演变，攻击者也持续创造更先进的攻击技术，针对不同的领域，如端点、身份、电子邮件、文件和云应用程序。这要求安全解决方案有能力自动分析这些领域的威胁数据，并建立一个完整的攻击防护面。

　　通过微软自身强大的安全大数据和安全情报分析能力，结合微软全球第一流的安全解决方案，我们有信心持续守护企业的数字资产安全。