Láthatóság, automatizálás és vezénylés Teljes felügyelet
Az egyik jelentős változás a perspektívákban, amelyek a Teljes felügyelet biztonsági keretrendszerek egyik jellemzője, hogy az alapértelmezett megbízhatóságról a megbízhatósági kivétel felé haladnak. Azonban megbízható módon kell létrehoznia a megbízhatóságot, ha szükség van a megbízhatóságra. Mivel már nem feltételezi, hogy a kérések megbízhatóak, a kérés megbízhatóságának igazolására alkalmas eszköz létrehozása kritikus fontosságú az időponthoz kötött megbízhatóság igazolásához. Ehhez az igazoláshoz hozzá kell férni ahhoz, hogy a kérelemben és annak környékén végzett tevékenységek is jobban megismerhetőek legyenek.
A többi Teljes felügyelet útmutatóban meghatároztuk a végpontok és eszközök, az adatok, az alkalmazások, az infrastruktúra és a hálózat teljes körű Teljes felügyelet megközelítésének megvalósítását. Mindezek a beruházások növelik a láthatóságot, ami jobb adatokat biztosít a megbízhatósági döntések meghozatalához. Ha azonban Teljes felügyelet megközelítést alkalmaz ezen a hat területen, szükségszerűen növeli az incidensek számát a Security Operation Centers (SOC) elemzőinek. Az elemzők minden eddiginél forgalmasabbak lesznek, amikor már van tehetséghiány. Ez krónikus riasztási fáradtsághoz vezethet, és az elemzők kritikus riasztásokat hiányozhatnak.
Ezen egyes területek mindegyike saját releváns riasztásokat hoz létre, integrált képességre van szükségünk az így keletkező adatbeáramlás kezeléséhez a fenyegetések elleni hatékonyabb védelem és a tranzakciókba vetett bizalom érvényesítése érdekében.
A következő képességre van szüksége:
- Fenyegetések és biztonsági rések észlelése.
- Vizsgálja meg.
- Válaszol.
- Vadászat.
- Adjon meg további kontextust fenyegetéselemzéssel.
- Biztonsági rések felmérése.
- Segítség a világszínvonalú szakértőktől
- Az oszlopok közötti események megakadályozása vagy letiltása.
A fenyegetések kezelése magában foglalja a reaktív és proaktív észlelést, és mindkettőt támogató eszközöket igényel.
A reaktív észlelés az, amikor az incidensek a vizsgálható hat pillér egyikéből indulnak ki. Emellett egy SIEM-hez hasonló felügyeleti termék valószínűleg egy másik elemzési réteget is támogat, amely bővíti és korrelálja az adatokat, ami egy incidens rosszként való megjelölését eredményezi. A következő lépés az lenne, hogy kivizsgáljuk a támadás teljes narratíváját.
A proaktív észlelés akkor történik, ha az adatokra vadászik, hogy bizonyítsa a sérült hipotézist. A fenyegetéskeresés azzal a feltételezéssel kezdődik, hogy megsértették, és bizonyítékot keres arra, hogy valóban van-e szabálysértés.
A fenyegetéskeresés a jelenlegi fenyegetéseken alapuló hipotézissel kezdődik, például a COVID-19 adathalászati támadásokkal. Az elemzők ezzel a hipotetikus fenyegetéssel kezdik, azonosítják a kompromisszum főbb mutatóit, és az adatokon keresztül keresik, hogy van-e bizonyíték arra, hogy a környezet sérült. Ha léteznek mutatók, a vadászati forgatókönyvek olyan elemzéseket eredményezhetnek, amelyek értesítik a szervezeteket, ha bizonyos mutatók ismét előfordulnak.
Akárhogy is, az incidens észlelése után meg kell vizsgálnia, hogy felépítse a támadás teljes történetét. Mit tett még a felhasználó? Milyen más rendszerek voltak benne? Milyen végrehajtható fájlokat futtattak?
Ha egy vizsgálat végrehajtható tanulást eredményez, elvégezheti a szervizelési lépéseket. Ha például egy vizsgálat hiányosságokat fedez fel egy zéró megbízhatósági üzemelő példányban, a szabályzatok módosíthatók, hogy elhárítsa ezeket a hiányosságokat, és megakadályozza a jövőbeni nemkívánatos incidenseket. Amikor csak lehetséges, célszerű automatizálni a szervizelési lépéseket, mivel csökkenti az SOC-elemzők számára a fenyegetés elhárításához és a következő incidenshez való áttéréshez szükséges időt.
A fenyegetések értékelésének egy másik fő összetevője az ismert fenyegetésfelderítés beépítése a betöltött adatokkal szemben. Ha egy IP-cím, kivonat, URL-cím, fájl, végrehajtható stb. hibás, azonosíthatók, kivizsgálhatók és szervizelhetők.
Az infrastruktúra pillérében a biztonsági rések kezelésére fordítottak időt. Ha egy rendszerről ismert, hogy sebezhető, és egy fenyegetés kihasználta ezt a biztonsági rést, ez olyan dolog, amely észlelhető, kivizsgálható és orvosolható.
Ahhoz, hogy ezeket a taktikákat használhassa a fenyegetések kezeléséhez, rendelkeznie kell egy központi konzollal, amely lehetővé teszi az SOC-rendszergazdák számára a fenyegetésfelderítés észlelését, kivizsgálását, szervizelását, keresését, a fenyegetésfelderítés használatát, az ismert biztonsági rések megértését, a fenyegetésszakértőkre támaszkodva és a fenyegetések blokkolását a hat pillér bármelyikében. A fázisok támogatásához szükséges eszközök akkor működnek a legjobban, ha egyetlen munkafolyamatba vannak konvergálva, és zökkenőmentes élményt nyújtanak, amely növeli az SOC-elemző hatékonyságát.
A biztonsági műveleti központok gyakran SIEM- és SOAR-technológiák kombinációját helyezik üzembe a fenyegetések gyűjtésére, észlelésére, kivizsgálására és elhárítására. A Microsoft SIEM-szolgáltatásként kínálja a Microsoft Sentinelt. A Microsoft Sentinel betölti az összes Microsoft Defender for Identity és külső fél adatait.
A Microsoft Sentinel kulcsfontosságú hírcsatornája, a Microsoft Threat Protection (MTP) egységes vállalati védelmi csomagot biztosít, amely környezettudatos védelmet, észlelést és választ biztosít a Microsoft 365 összes összetevőjére. A Környezettudatos és koordinált verzióval a Microsoft 365-öt használó ügyfelek láthatják és védhetik a végpontokat, együttműködési eszközöket, identitásokat és alkalmazásokat.
Ezen a hierarchián keresztül tesszük lehetővé ügyfeleink számára, hogy maximálisan összpontosítsanak. Bár a környezettudatosság és az automatizált szervizelés, az MTP számos fenyegetést képes észlelni és megállítani anélkül, hogy további riasztási fáradtságot ad a már túlterhelt SOC-személyzetnek. Az MTP-n belüli speciális vadászat ezt a kontextust hozza a vadászathoz, hogy több kulcsfontosságú támadási pontra összpontosítson. A Microsoft Sentinelen keresztüli vadászat és vezénylés az egész ökoszisztémában lehetővé teszi a heterogén környezet minden aspektusának megfelelő láthatóságát, miközben minimalizálja az operátor kognitív túlterhelését.
Láthatósági, automatizálási és vezénylési Teljes felügyelet üzembe helyezési célkitűzések
|
A láthatóság, az automatizálás és a vezénylés teljes körű Teljes felügyelet keretrendszerének megvalósításakor javasoljuk, hogy először az alábbi kezdeti üzembehelyezési célkitűzésekre összpontosítson: |
|
|
|
I.Láthatóság létrehozása. |
|
A befejezés után a következő további üzembehelyezési célokra összpontosítson: |
|
|
|
|
Láthatósági, automatizálási és vezénylési Teljes felügyelet üzembe helyezési útmutató
Ez az útmutató végigvezeti a láthatóság, az automatizálás és a vezénylés kezeléséhez szükséges lépéseken egy Teljes felügyelet biztonsági keretrendszer alapelveit követve.
|
|
Kezdeti üzembehelyezési célkitűzések |
I. Láthatóság létrehozása
Az első lépés a láthatóság létrehozása a Microsoft Threat Protection (MTP) engedélyezésével.
Tegye a következők egyikét:
- Regisztráljon a Microsoft Threat Protection egyik számítási feladatára.
- Engedélyezze a számítási feladatokat, és létesítsen kapcsolatot.
- Konfigurálja az észlelést az eszközökön és az infrastruktúrán, hogy azonnal áttekinthesse a környezetben folyamatban lévő tevékenységeket. Ez biztosítja a kritikus adatok áramlásának elindításához elengedhetetlen "tárcsázóhangot".
- Engedélyezze a Microsoft Threat Protection számára a munkaterhelések közötti láthatóságot és az incidensészlelést.
II. Automatizálás engedélyezése
A következő fontos lépés, miután létrehozta a láthatóságot, az automatizálás engedélyezése.
Automatizált vizsgálatok és szervizelés
A Microsoft Threat Protection használatával automatizáltuk a kivizsgálásokat és a szervizelést is, ami lényegében további 1. rétegbeli SOC-elemzést biztosít.
Az automatizált vizsgálat és szervizelés (AIR) fokozatosan engedélyezhető, így a végrehajtott műveletekkel komfortszintet alakíthat ki.
Tegye a következők egyikét:
- Az AIR engedélyezése tesztcsoporthoz.
- Elemezze a vizsgálati lépéseket és a válaszműveleteket.
- Fokozatosan váltsa át az automatikus jóváhagyásra az összes eszköz esetében, hogy csökkentse az észlelés és a válaszidőt.
Microsoft-adatösszekötők és kapcsolódó külső termékek összekapcsolása a Microsoft Sentinel szolgáltatással
A Teljes felügyelet-modell üzembe helyezéséből eredő incidensek megismerése érdekében fontos, hogy az MTP-t, más Microsoft-adatösszekötőket és a kapcsolódó külső termékeket a Microsoft Sentinelhez csatlakoztassa annak érdekében, hogy központosított platformot biztosítson az incidensek kivizsgálásához és elhárításához.
Az adatkapcsolati folyamat részeként a releváns elemzések lehetővé teszik incidensek aktiválását, és munkafüzetek hozhatók létre az adatok időbeli grafikus ábrázolásához.
Fenyegetésfelderítési adatok csatolása a Microsoft Sentinelhez
Bár a gépi tanulás és a fúziós elemzések a dobozból vannak ellátva, a fenyegetésfelderítési adatok Microsoft Sentinelbe való betöltése is előnyös az ismert rossz entitásokhoz kapcsolódó események azonosításához.
|
|
További üzembehelyezési célkitűzések |
III. További védelmi és észlelési vezérlők engedélyezése
A további vezérlők engedélyezése javítja az MTP-be és a Sentinelbe érkező jelet, hogy jobb legyen a láthatósága és a válaszok vezénylése.
A támadási felület csökkentési vezérlői egy ilyen lehetőséget jelentenek. Ezek a védelmi vezérlők nem csak blokkolnak bizonyos tevékenységeket, amelyek leginkább a kártevőkkel vannak társítva, hanem bizonyos megközelítések használatát is lehetővé teszik, amelyek segíthetnek észlelni azokat a támadókat, amelyek a folyamat korábbi szakaszában használják ezeket a technikákat.
Az útmutatóban szereplő termékek
Microsoft Azure
Microsoft Defender identitáshoz
Microsoft 365
A Teljes felügyelet üzembehelyezési útmutató sorozata
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: