Del via


Trin 5. Udvikl og test use cases

Gælder for:

  • Microsoft Defender XDR

De anbefalede metoder til udrulning af Microsoft Defender XDR i SOC (Security Operations Center) afhænger af SOC-teamets aktuelle sæt værktøjer, processer og færdigheder. Det kan være en udfordring at opretholde cyberhygiejne på tværs af platforme på grund af den enorme mængde data, der kommer fra snesevis, hvis ikke hundredvis af sikkerhedskilder.

Sikkerhedsværktøjer er indbyrdes forbundne. Hvis du aktiverer en funktion i en sikkerhedsteknologi eller ændrer en proces, kan det også ødelægge en anden funktion. Derfor anbefaler Microsoft, at dit SOC-team formaliserer en metode til definition og prioritering af use cases. Use cases hjælper med at definere krav og testprocesser for SOC-handlinger på tværs af forskellige teams. Den opretter en metode til registrering af målepunkter for at bestemme, om de rigtige roller og en blanding af opgaver er justeret i forhold til det rigtige team med det rigtige færdighedssæt.

Udvikl og formaliser processen for use case

SOC bør definere en standard og en proces på højt niveau for udvikling af use cases, som skal reguleres af SOC-tilsynsteamet. SOC Tilsynsteamet bør arbejde med din virksomhed, it, juridiske, HR og andre grupper for at prioritere use cases for SOC, der i sidste ende vil gøre deres vej ind i SOC-teamets runbooks og playbooks. Prioriteten af use cases er baseret på målsætninger, f.eks. overholdelse af angivne standarder eller beskyttelse af personlige oplysninger.

SOC Tilsynsaktiviteter i forbindelse med udvikling af use case omfatter:

  • Forudsætninger
  • Personale- eller uddannelsesbehov
  • Softwarelicenser
  • Leverandørkontr.
  • Administration af plan
  • Vedligeholdelse af use case-registreringsdatabasen
  • Vedligeholdelse/opdatering af skabeloner

For at facilitere processerne for oprettelse af runbook og playbook skal du oprette et beslutningstræ for use case. Dette figur viser et eksempel.

Beslutningsprocessen for use case

Når der er defineret og godkendt en standard for use case på højt niveau, er det næste trin at oprette og teste en faktisk use case. I følgende afsnit bruges scenarier til anti-phishing og trussels- og sårbarhedsscanning som eksempler.

Eksempel på brugseksempel 1: Ny phishing-variant

Det første trin i oprettelsen af en use case er at skitsere arbejdsprocessen ved hjælp af et historieforum. Her er et eksempel på et historieforum på højt niveau for en ny meddelelse om phishing-udnyttelse til et Threat Intelligence-team.

Arbejdsprocessen for en use case til en anti-phishing-kampagne

Aktivér arbejdsprocessen for use case, f.eks. 1

Når tekstenhedstavlen er blevet godkendt, er det næste trin at aktivere arbejdsprocessen for use case. Her er et eksempel på en proces til en anti-phishing-kampagne.

En detaljeret arbejdsproces til brug af en anti-phishing-kampagne

Eksempel 2 i brugseksempel: Scanning af trusler og sårbarheder

Et andet scenarie, hvor der kan bruges en use case, er til scanning af trusler og sårbarheder. I dette eksempel kræver SOC, at trusler og sårbarheder afhjælpes mod aktiver via godkendte processer, der omfatter scanning af aktiver.

Her er et eksempel på et storyboard på højt niveau for Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender af aktiver.

En arbejdsproces for anvendelse af Håndtering af trusler og sikkerhedsrisici

Aktivér arbejdsprocessen for use case, f.eks. 2

Her er et eksempel på en proces til scanning af trusler og sårbarheder.

En detaljeret arbejdsproces for use case for Håndtering af trusler og sikkerhedsrisici

Analysér outputtet fra use case og de erfaringer, du har lært

Når en use case er blevet godkendt og testet, skal der identificeres huller blandt dine sikkerhedsteams sammen med personer, processer og de involverede Microsoft Defender XDR teknologier. Microsoft Defender XDR teknologier skal analyseres for at afgøre, om de er i stand til at opnå de ønskede resultater. Disse kan spores via en tjekliste eller en matrix.

I eksemplet med anti-phishing-scenariet kunne SOC-teams f.eks. have gjort opdagelserne i denne tabel.

SOC-team Krav Mennesker opfylder kravene Behandl for at opfylde kravet Relevant teknologi Identificeret mellemrum Ændringslog for use case Undtaget (Y/N)
Threat Intelligence- og Analytics-team Datakilder fodrer trusselsintelligensmotorerne korrekt. Threat Intelligence-analytiker/-tekniker Fastsatte krav til datafeeds, udløser trusselsintelligens fra godkendte kilder Microsoft Defender for Identity, Microsoft Defender for Endpoint Threat Intelligence-teamet brugte ikke automatiseringsscript til at linke Microsoft Defender XDR API til trussels-Intel-motorer Føj Microsoft Defender XDR som datakilder til trusselsprogrammer

Opdater kørselsbog for use case

N
Overvågningsteam Datakilder forsyner overvågningsdashboards korrekt Niveau 1,2 SOC-analytiker – overvågning & beskeder Arbejdsproces til rapportering af sikker score for Security & Compliance Center Undersøg beskeder i Microsoft Defender XDR

Overvågning af sikker score

Soc-analytikere kan ikke rapportere en vellykket ny phishing-variantregistrering for at forbedre Sikker score

Få vist mailsikkerhedsrapporter på Microsoft Defender-portalen

Føj en proces til sporing af sikker scoreforbedring til arbejdsprocesser i rapportering N
Teknisk team og SecOps-team Ændringskontrolopdateringer foretages i SOC-teamets runbooks Niveau 2 SOC-tekniker Meddelelsesprocedure for ændring af kontrol for SOC-team runbooks Godkendte ændringer af sikkerhedsenheder Ændringer af Microsoft Defender XDR forbindelse til SOC-sikkerhedsteknologien kræver godkendelse Føj Microsoft Defender for Cloud Apps, Defender for Identity, Defender for Endpoint, Security & Compliance Center til SOC-runbooks Y

Derudover kunne SOC-holdene have foretaget de opdagelser, der er beskrevet i nedenstående tabel, med hensyn til defender Vulnerability Management-scenariet, der er beskrevet ovenfor:

SOC-team Krav Mennesker opfylder kravene Behandl for at opfylde kravet Relevant teknologi Identificeret mellemrum Ændringslog for use case Undtaget (Y/N)
SOC-tilsyn Alle aktiver, der er forbundet til godkendte netværk, identificeres og kategoriseres SOC Tilsyn, BU ejere, programejere, it-aktiv ejere, osv. Centraliseret system til administration af aktiver for at finde og vise aktivkategori og -attributter baseret på risiko. ServiceNow eller andre aktiver.

Oversigt over Microsoft 365-enheder
Kun 70% af aktiverne er blevet opdaget. Microsoft Defender XDR afhjælpningssporing, der kun gælder for kendte aktiver Ældre tjenester til administration af aktivlivscyklus for at sikre, at Microsoft Defender XDR har 100 % dækning N
Tekniske & SecOps Teams Høj indvirkning og kritiske sårbarheder i aktiver afhjælpes i henhold til politikken SecOps-teknikere, SOC-analytikere: Sårbarhed & overholdelse af angivne standarder, sikkerhedskonstruktion Defineret proces til kategorisering af høj risiko og kritiske sikkerhedsrisici Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender dashboards Defender for Endpoint har identificeret høj indvirkning, enheder med høj besked uden afhjælpningsplan eller implementering af Microsofts anbefalede aktivitet Tilføj en arbejdsproces for at give aktivejere besked, når afhjælpningsaktivitet er påkrævet inden for 30 dage pr. politik. Implementer et billetsystem for at give aktivejere besked om afhjælpningstrin. N
Overvågningsteams Trussels- og sårbarhedsstatus rapporteres via virksomhedens intranetportal Soc-analytiker på niveau 2 Automatisk genererede rapporter fra Microsoft Defender XDR, der viser status for afhjælpning af aktiver Undersøg beskeder i Microsoft Defender XDR

Overvågning af sikker score

Der kommunikeres ingen visninger eller dashboardrapporter til aktivejere vedrørende aktivernes trussels- og sårbarhedsstatus. Create automatiseringsscript til at udfylde status for afhjælpning af højrisiko- og kritisk aktivsårbarhed i organisationen. N

I disse eksempelanvendelsessager viste testen flere huller i SOC-teamets krav, der blev fastlagt som basispunkter for hvert teams ansvarsområder. Brugscasens tjekliste kan være lige så omfattende som nødvendigt for at sikre, at SOC-teamet er forberedt til Microsoft Defender XDR integration med nye eller eksisterende SOC-krav. Da dette er en iterativ proces, tjener use case-udviklingsprocessen og indholdet af use case-output naturligvis til at opdatere og modne SOC's runbooks med erfaringer.

Opdater produktions runbooks og playbooks

Når use case-test er blevet afhjulpet for alle huller, kan de erfaringer og målepunkter, der indsamles i dem, inkorporeres i soc-teamets produktions runbooks (operativsystemer) og playbooks (hændelsessvar og eskaleringsprocedurer).

Vedligeholdelse af SOC-teamets runbooks og playbooks kan organiseres på mange måder. Hvert SOC-team kan være ansvarlig for deres egne, eller der kan være en enkelt centraliseret version, som alle teams kan dele i et centralt lager. Administration af runbooks og strategibøger for de enkelte organisationer er baseret på størrelse, kompetencesæt, roller og opdeling af opgaver. Når en runbook er blevet opdateret, bør opdateringsprocessen for playbook følge.

Brug en standardstruktur til eskalering

Playbooks er de trin, SOC-holdene skal følge, når der opstår en rigtig begivenhed, baseret på vellykket integration og test af use case. Det er derfor altafgørende, at SOC følger en formaliseret tilgang til svar på hændelser, f.eks . NIST Incident Response Standard , der er blevet en af de førende branchestandarder for svar på hændelser.

NIST-processen for svar på fire trin indeholder fire faser:

  1. Under forberedelse
  2. Registrering og analyse
  3. Opbevaring, udryddelse og genopretning
  4. Aktivitet efter hændelse

Eksempel: Sporing af aktivitet i forberedelsesfasen

Et af de centrale fundamenter for en eskalering playbook er at sikre, at der er lidt flertydighed med hensyn til, hvad hvert SOC-team skal gøre før, under og efter en begivenhed eller hændelse. Det er derfor god praksis at angive trinvise instruktioner.

Forberedelsesfasen kan f.eks. indeholde en if/then- eller XoR-matrix med opgaver. I tilfælde af brugseksempel på den nye phishing-variant kan en sådan matrix se sådan ud:

Hvorfor er eskalering berettiget? Næste trin
Besked i SOC-overvågning bedømt som kritisk udløst >500/time Gå til Playbook A, Sektion 2, Aktivitet 5 (med et link til playbook-sektionen)
eCommerce rapporterede potentielle DDoS-angreb Aktivér Playbook B-sektion C, Aktivitet 19 (med et link til playbook-sektionen)
Direktør rapporterede en mistænkelig e-mail som et forsøg på phishing i spyd Gå til Playbook 5, Sektion 2, Aktivitet 5 (med et link til playbook-sektionen)

Når du har kørt forberedelsesfasen, skal organisationer aktivere de resterende faser som beskrevet af NIST:

  • Registrering og analyse
  • Opbevaring, udryddelse og genopretning
  • Aktivitet efter hændelse

Næste trin

Trin 6. Identificer SOC-vedligeholdelsesopgaver

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.