Étape 1. Planifier la préparation des opérations Microsoft Defender XDR
S’applique à :
- Microsoft Defender XDR
Quelle que soit la maturité actuelle de vos opérations de sécurité, il est important que vous vous aligniez sur votre Centre des opérations de sécurité (SOC). Bien qu’il n’existe aucun modèle unique qui convient à chaque organization, certains aspects sont plus courants que d’autres.
Les sections suivantes décrivent les fonctions principales du SOC.
Fournir une connaissance situationnelle des menaces modernes
Une équipe SOC prépare et chasse les menaces nouvelles et entrantes afin qu’elle puisse travailler avec les organization pour établir des contre-mesures et des réponses. Votre équipe SOC doit avoir du personnel hautement formé aux méthodes et techniques d’attaque modernes et comprendre les acteurs des menaces. Le renseignement sur les menaces partagé et les infrastructures comme cyber-kill chain ou MITRE ATT&framework CK peuvent donner à votre personnel des analystes de menaces et des chasseurs de menaces.
Fournir des réponses de premier, deuxième et potentiellement troisième niveau aux cyber-incidents et aux événements
Le SOC est la première ligne de la défense contre les événements et incidents de sécurité. Lorsqu’un événement, une menace, une attaque, une violation de stratégie ou une recherche d’audit déclenche une alerte ou un appel à l’action, l’équipe SOC effectue une évaluation pour la trier et la contenir ou la remonter à des fins d’investigation. Par conséquent, les intervenants de première ligne SOC doivent avoir une connaissance technique étendue des événements et des indicateurs de sécurité.
Centraliser la surveillance et la journalisation des sources de sécurité de votre organization
En règle générale, la fonction principale de l’équipe SOC est de s’assurer que tous les appareils de sécurité tels que les pare-feu, les systèmes de prévention des intrusions, les systèmes de protection contre la perte de données, les systèmes de gestion des vulnérabilités et les systèmes d’identité fonctionnent correctement et sont surveillés. Les équipes SOC travaillent avec les opérations réseau plus larges telles que l’identité, DevOps, le cloud, l’application, la science des données et d’autres équipes commerciales pour garantir que l’analyse des informations de sécurité est centralisée et sécurisée. En outre, l’équipe SOC est chargée de gérer les journaux des données dans des formats utilisables et lisibles, ce qui peut inclure l’analyse et la normalisation de formats disparates.
Établir la préparation opérationnelle de l’équipe rouge, bleue et violette
Chaque équipe SOC doit tester sa préparation en réponse à un incident cybernétique. Les tests peuvent être effectués par le biais d’exercices de formation, tels que des tables et des exécutions pratiques avec diverses personnes dans le domaine informatique, de la sécurité et au niveau de l’entreprise. Les équipes d’exercice d’entraînement individuelles sont créées en fonction de rôles représentatifs et jouent le rôle d’un défenseur (Blue Team), d’un attaquant (Red Team), ou en tant qu’observateurs cherchant à améliorer les méthodes et techniques des équipes Bleu et Rouge grâce aux forces et aux faiblesses découvertes pendant l’exercice (Purple Team).
Étape suivante
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.