1. lépés: A Microsoft Defender XDR műveletek készenlétének megtervezása
Érintett szolgáltatás:
- Microsoft Defender XDR
A biztonsági műveletek aktuális fejlettségétől függetlenül fontos, hogy igazodjon a Security Operations Centerhez (SOC). Bár nincs minden szervezetnek megfelelő modell, vannak olyan szempontok, amelyek gyakoribbak, mint mások.
A következő szakaszok az SOC alapvető funkcióit ismertetik.
A modern fenyegetések helyzettudatosságának biztosítása
Az SOC-csapatok felkészülnek az új és bejövő fenyegetésekre, és vadásznak rájuk, hogy a szervezettel együttműködve ellenintézkedéseket és válaszokat hozzanak létre. Az SOC-csapatnak olyan személyzettel kell rendelkeznie, amely magasan képzett a modern támadási módszerekben és technikákban, és ismeri a fenyegetési szereplőket. A közös fenyegetésfelderítési és keretrendszerek, például a Kibertámadási lánc vagy a MITRE ATT&CK-keretrendszer lehetővé teszik a fenyegetéselemzők és fenyegetésvadászok személyzetének a fejlesztését.
Első, második és potenciálisan harmadik szintű válaszok biztosítása a kibereseményekre és eseményekre
Az SOC a biztonsági események és incidensek elleni védelem frontvonala. Ha egy esemény, fenyegetés, támadás, szabályzatmegsértés vagy auditálás riasztást vagy cselekvésre való felhívást vált ki, az SOC-csapat kiértékeli és tartalmazza, vagy eszkalálja a vizsgálatot. Ezért az SOC első vonal válaszadóinak széles körű technikai ismeretekkel kell rendelkezniük a biztonsági eseményekről és mutatókról.
A szervezet biztonsági forrásainak monitorozása és naplózása központosítása
Az SOC-csapat alapvető feladata általában annak biztosítása, hogy minden biztonsági eszköz, például a tűzfalak, a behatolásmegelőző rendszerek, az adatveszteség-megelőzési rendszerek, a biztonságirés-kezelési rendszerek és az identitásrendszerek megfelelően működjenek és monitorozzák őket. Az SOC-csapatok a szélesebb körű hálózati műveletekkel, például az identitással, a DevOpssal, a felhővel, az alkalmazásokkal, az adatelemzéssel és más üzleti csapatokkal együttműködve biztosítják a biztonsági információk elemzését központosított és biztonságossá tenni. Emellett az SOC-csapat felelős az adatok naplóinak használható és olvasható formátumban történő karbantartásáért, amely magában foglalhatja a különböző formátumok elemzését és normalizálását.
Vörös, kék és lila csapat működési felkészültségének kialakítása
Minden SOC-csapatnak tesztelnie kell felkészültségét, hogy reagáljon egy számítógépes incidensre. A tesztelést olyan gyakorlatokon keresztül végezheti el, mint például a table-tops és a gyakorlófuttatások különböző informatikai, biztonsági és üzleti szinten. Az egyéni edzési csapatok reprezentatív szerepkörök alapján jönnek létre, és vagy egy védő (kék csapat), egy támadó (vörös csapat) szerepkörét töltik be, vagy megfigyelőkként, akik a gyakorlat során feltárt erősségek és gyengeségek révén próbálják javítani a kék és a piros csapatok módszereit és technikáit (lila csapat).
További lépés
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: