Microsoft veut aider à l’utilisation du renseignement sur les menaces dans Defender ATP

L’annonce aurait pu passer inaperçue s’il n’avait fallu compter que sur les communicants de Microsoft. Mais voilà, elle a été accueillie avec un enthousiasme certain par de nombreux professionnels de la sécurité et autres spécialistes du renseignement sur les menaces.

L’éditeur de Redmond veut en effet aider les entreprises à utiliser leurs indicateurs de compromission dans Defender ATP afin d’améliorer la détection de menaces et en particulier de celles qui lui seraient inconnues. Des API dédiées à l’injection d’indicateurs de compromission (IoC) sont en effet mises à disposition.

Mais Microsoft tenait apparemment à souligner la simplicité de mise en œuvre de ses API et s’est tourné, pour la démonstration, vers la plateforme de partage de renseignements sur les menaces MISP. Dans un billet de blog, l’éditeur montre ainsi, pas à pas, comment intégrer les quatre derniers jours de condensat SHA-1 de MISP dans Microsoft ATP. La popularité du projet MISP a fait le reste.

C’est fin avril dernier que Microsoft a annoncé l’ouverture à tous des API de Defender ATP. Celle-ci doit ouvrir la voie « au développement d’applications à façon et à l’intégration, avec des outils et des processus existants ». En même temps que, notamment, les systèmes de gestion des informations et des événements de sécurité (SIEM), des systèmes de gestion de tickets et de services IT (ITSM), les outils d’orchestration et d’automatisation de la sécurité (SOAR), ou encore des outils d’investigation et de corrélation d’indicateurs de compromission.