Vaihe 1: Microsoft Defender XDR toimintojen valmiuden suunnittelu
Koskee seuraavia:
- Microsoft Defender XDR
Arvopaperitoimintojen senhetkisestä erääntymisestä riippumatta on tärkeää, että olet linjassa Tietoturvakeskus (SOC) -keskuksesi kanssa. Vaikka ei ole olemassa yksittäistä mallia, joka sopii kaikille organisaatioille, tietyt näkökohdat ovat yleisempiä kuin toiset.
Seuraavissa osissa kuvataan SOC:n ydinfunktiot.
tarjota tilannetietoisuutta nykyaikaisista uhista
SOC-tiimi valmistautuu uusiin ja tuleviin uhkiin ja metsästää niitä, jotta ne voivat tehdä yhteistyötä organisaation kanssa vastatoimien ja vastausten laatimiseksi. SOC-tiimilläsi pitäisi olla henkilöstöä, joka on erittäin koulutettu nykyaikaisiin hyökkäysmenetelmiin ja -tekniikoihin ja ymmärtää uhkatoimijoita. Jaetut uhkatiedot ja -kehykset, kuten Cyber Kill Chain tai MITRE ATT&CK-puitteet , voivat antaa henkilöstöllesi uhka-analyytikoita ja uhkien metsästäjiä.
Anna ensimmäinen, toinen ja mahdollisesti kolmannen tason vastaus kyberongelmiin ja -tapahtumiin
SOC on puolustuksen etulinja turvallisuustapahtumille ja -välikohtauksille. Kun tapahtuma, uhka, hyökkäys, käytäntörikkomus tai valvontalöytö laukaisee hälytyksen tai toimintokutsun, SOC-tiimi tekee arvioinnin ja pitää sen sisällään tai kärjistää sen tutkimusta varten. Sen vuoksi soc:n ensilinjavastaajilla on oltava laaja tekninen tietämys tietoturvatapahtumista ja -indikaattoreista.
Organisaation suojauslähteiden valvonnan ja kirjaamisen keskittaminen
Yleensä SOC-tiimin ydintoimintona on varmistaa, että kaikki suojauslaitteet, kuten palomuurit, luvattoman käytön estojärjestelmät, tietojen menetyksen estämisjärjestelmät, haavoittuvuuden hallintajärjestelmät ja käyttäjätietojärjestelmät, toimivat oikein ja niitä valvotaan. SOC-tiimit työskentelevät laajempien verkkotoimintojen, kuten käyttäjätietojen, DevOpsin, pilvipalvelun, sovelluksen, datatieteen ja muiden liiketoimintatiimien, kanssa varmistaakseen, että suojaustietojen analyysi keskitetään ja suojataan. Lisäksi SOC-tiimi vastaa tietojen lokien ylläpidosta käyttökelpoisissa ja luettavissa muodoissa, joihin voi kuulua eri muotojen jäsentäminen ja normalisointi.
Punaisen, sinisen ja violetin ryhmän operatiivisen valmiuden muodostaminen
Jokaisen SOC-tiimin tulisi testata sen valmiutta vastata kybertapaukseen. Testaus voidaan tehdä harjoituksilla, kuten pöytätennillä ja harjoituksilla, jotka suoritetaan eri it-, tietoturva- ja liiketoimintatasolla olevien henkilöiden kanssa. Yksittäiset harjoitusryhmät luodaan edustavien roolien perusteella, ja ne toimivat joko puolustajana (Sininen joukkue), hyökkääjänä (Punainen joukkue) tai tarkkailijoina, jotka pyrkivät parantamaan sekä sinisten että punaisten joukkueiden menetelmiä ja tekniikoita harjoituksen aikana paljastuvien vahvuuksien ja heikkouden kautta (Purple Team).
Seuraavat vaiheet
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.