Perencanaan respons insiden

Gunakan tabel ini sebagai daftar periksa untuk menyiapkan Security Operations Center (SOC) Anda untuk merespons insiden keamanan cyber.

Selesai	Tinggi	Deskripsi	Keuntungan
	Latihan teratas tabel	Lakukan latihan teratas tabel berkala dari insiden cyber yang berdampak pada bisnis yang dapat diperkirakan yang memaksa manajemen organisasi Anda untuk me contemplate keputusan berbasis risiko yang sulit.	Dengan tegas menetapkan dan menggambarkan keamanan cyber sebagai masalah bisnis. Mengembangkan memori otot dan memunculkan keputusan yang sulit dan keputusan masalah hak di seluruh organisasi.
	Menentukan keputusan pra-serangan dan pembuat keputusan	Sebagai pelengkap latihan teratas tabel, tentukan keputusan berbasis risiko, kriteria untuk membuat keputusan, dan siapa yang harus membuat dan menjalankan keputusan tersebut. Misalnya: Siapa/kapan/jika mencari bantuan dari penegak hukum? Siapa/kapan/jika untuk mendaftarkan responden insiden? Siapa/kapan/jika harus membayar tebusan? Siapa/kapan/jika untuk memberi tahu auditor eksternal? Siapa/kapan/jika untuk memberi tahu otoritas peraturan privasi? Siapa/kapan/jika untuk memberi tahu regulator sekuritas? Siapa/kapan/jika akan memberi tahu dewan direksi atau komite audit? Siapa memiliki wewenang untuk mematikan beban kerja misi penting?	Menentukan parameter respons awal dan kontak untuk melibatkan yang menyederhanakan respons terhadap insiden.
	Mempertahankan hak istimewa	Biasanya, saran dapat diistimewakan, tetapi fakta dapat ditemukan. Latih pemimpin insiden utama dalam mengomunikasikan saran, fakta, dan pendapat di bawah hak istimewa sehingga hak istimewa dipertahankan dan risiko berkurang.	Mempertahankan hak istimewa dapat menjadi proses yang berantakan ketika mempertimbangkan banyak saluran komunikasi, termasuk email, platform kolaborasi, obrolan, dokumen, artefak. Misalnya, Anda dapat menggunakan Ruang Microsoft Teams. Pendekatan yang konsisten di seluruh personel insiden dan organisasi eksternal pendukung dapat membantu mengurangi potensi paparan hukum.
	Pertimbangan perdagangan orang dalam	Pertimbangkan pemberitahuan kepada manajemen yang harus diambil untuk mengurangi risiko pelanggaran sekuritas.	Dewan dan auditor eksternal cenderung menghargai bahwa Anda memiliki mitigasi yang akan mengurangi risiko perdagangan sekuritas yang dipertanyakan selama periode turbulensi.
	Playbook peran dan tanggung jawab insiden	Menetapkan peran dan tanggung jawab dasar yang memungkinkan berbagai proses untuk mempertahankan fokus dan kemajuan ke depan. Ketika tim respons Anda jarak jauh, tim respons dapat memerlukan pertimbangan lain untuk zona waktu dan handoff yang tepat kepada penyelidik. Anda mungkin harus berkomunikasi di seluruh tim lain yang mungkin terlibat, seperti tim vendor.	Pemimpin Insiden Teknis - Selalu dalam insiden, mensintesis input dan temuan dan merencanakan tindakan berikutnya. Penghubung Komunikasi – Menghapus beban berkomunikasi ke manajemen dari Pemimpin Insiden Teknis sehingga mereka dapat tetap terlibat dalam insiden tanpa kehilangan fokus. Kegiatan ini harus mencakup pengelolaan olahpesan dan interaksi eksekutif dengan pihak ketiga lainnya seperti regulator. Perekam Insiden – Menghapus beban temuan rekaman, keputusan, dan tindakan dari responden insiden dan menghasilkan akuntansi insiden yang akurat dari awal hingga akhir. Forward Planner – Bekerja dengan pemilik proses bisnis yang sangat penting, merumuskan kegiatan dan persiapan kelangsungan bisnis yang merenungkan gangguan sistem informasi yang berlangsung selama 24, 48, 72, 96 jam, atau lebih. Public Relations – Jika terjadi insiden yang kemungkinan akan menarik perhatian publik, dengan Forward Planner, merenungkan dan menyusun pendekatan komunikasi publik yang mengatasi kemungkinan hasil.
	Playbook respons insiden privasi	Untuk memenuhi peraturan privasi yang semakin ketat, kembangkan playbook yang dimiliki bersama antara SecOps dan kantor privasi. Playbook ini akan memungkinkan evaluasi cepat terhadap potensi masalah privasi yang mungkin timbul karena insiden keamanan.	Sulit untuk mengevaluasi insiden keamanan karena potensinya berdampak pada privasi karena sebagian besar insiden keamanan muncul di SOC yang sangat teknis. Insiden harus dengan cepat muncul ke kantor privasi (seringkali dengan harapan pemberitahuan 72 jam) di mana risiko peraturan ditentukan.
	Uji penetrasi	Lakukan serangan simulasi titik waktu terhadap sistem penting bisnis, infrastruktur penting, dan pencadangan untuk mengidentifikasi kelemahan dalam postur keamanan. Biasanya, kegiatan ini dilakukan oleh tim ahli eksternal yang berfokus pada melewati kontrol pencegahan dan memunculkan kerentanan utama.	Mengingat insiden ransomware yang dioperasikan manusia baru-baru ini, pengujian penetrasi harus dilakukan terhadap peningkatan cakupan infrastruktur, terutama kemampuan untuk menyerang dan mengontrol cadangan sistem dan data misi penting.
	Tim Merah / Tim Biru / Tim Ungu / Tim Hijau	Melakukan serangan simulasi berkelanjutan atau berkala terhadap sistem penting bisnis, infrastruktur penting, pencadangan untuk mengidentifikasi kelemahan dalam postur keamanan. Biasanya, kegiatan ini dilakukan oleh tim serangan internal (tim Merah) yang berfokus pada pengujian efektivitas kontrol detektif dan tim (tim Biru). Misalnya, Anda dapat menggunakan Pelatihan simulasi serangan di Microsoft Defender XDR untuk Office 365 dan Tutorial serangan & simulasi untuk Pertahanan Microsoft XDR untuk Titik Akhir.	Simulasi serangan tim Merah, Biru, dan Ungu, ketika dilakukan dengan baik, melayani banyak tujuan: Memungkinkan teknisi dari seluruh organisasi TI untuk mensimulasikan serangan pada disiplin infrastruktur mereka sendiri. Permukaan celah dalam visibilitas dan deteksi. Meningkatkan keterampilan teknik keamanan di seluruh papan. Berfungsi sebagai proses yang lebih berkelanjutan dan ekspansif. Tim Hijau mengimplementasikan perubahan dalam ti atau konfigurasi keamanan.
	Perencanaan kelangsungan bisnis	Untuk proses bisnis misi penting, rancang dan uji proses kelangsungan yang memungkinkan bisnis minimum yang layak berfungsi selama waktu gangguan sistem informasi. Misalnya, gunakan rencana pencadangan dan pemulihan Azure untuk melindungi sistem bisnis penting Anda selama serangan untuk memastikan pemulihan operasi bisnis Anda yang cepat.	Menyoroti fakta bahwa tidak ada solusi kelangsungan untuk gangguan atau tidak adanya sistem TI. Dapat menekankan kebutuhan dan pendanaan untuk ketahanan digital yang canggih daripada pencadangan dan pemulihan yang lebih sederhana.
	Pemulihan dari bencana	Untuk sistem informasi yang mendukung proses bisnis misi penting, Anda harus merancang dan menguji skenario pencadangan dan pemulihan panas/dingin dan panas/hangat, termasuk waktu penahapan.	Organisasi yang melakukan pembuatan bare metal sering menemukan aktivitas yang tidak mungkin untuk direplikasi atau tidak sesuai dengan tujuan tingkat layanan. Sistem misi penting yang berjalan pada perangkat keras yang tidak didukung berkali-kali tidak dapat dipulihkan ke perangkat keras modern. Pemulihan cadangan sering kali tidak diuji dan mengalami masalah. Pencadangan mungkin lebih offline sehingga waktu penahapan belum diperhitungkan ke dalam tujuan pemulihan.
	Komunikasi di luar band	Bersiaplah untuk bagaimana Anda akan berkomunikasi dalam skenario berikut: Gangguan layanan email dan kolaborasi Tebusan repositori dokumentasi Tidak tersedianya nomor telepon personel.	Meskipun ini adalah latihan yang sulit, tentukan cara menyimpan informasi penting tanpa diubah di perangkat off-line dan lokasi untuk distribusi dalam skala besar. Misalnya: Nomor telepon Topologi Menyusun dokumen Prosedur pemulihan TI
	Pengerasan, kebersihan, dan manajemen siklus hidup	Sejalan dengan kontrol keamanan Center for Internet Security (CIS) Top 20, perkuat infrastruktur Anda dan lakukan aktivitas kebersihan menyeluruh.	Menanggapi insiden ransomware yang dioperasikan manusia baru-baru ini, Microsoft telah mengeluarkan panduan khusus untuk melindungi setiap tahap rantai pembunuhan serangan cyber. Panduan ini berlaku untuk kemampuan Microsoft atau kemampuan penyedia lain. Catatan tertentu adalah: Pembuatan dan pemeliharaan salinan cadangan yang tidak dapat diubah jika terjadi sistem tebusan. Anda mungkin juga mempertimbangkan cara menyimpan file log yang tidak dapat diubah yang mempersulit kemampuan penyerang untuk menutupi trek mereka. Risiko yang terkait dengan perangkat keras yang tidak didukung untuk pemulihan bencana.
	Perencanaan respons insiden	Pada awal insiden, putuskan: Parameter organisasi penting. Penugasan orang terhadap peran dan tanggung jawab. Sense-of-urgency (seperti 24x7 dan jam kerja). Staf untuk keberlanjutan selama durasi.	Ada kecenderungan untuk melempar semua sumber daya yang tersedia pada insiden di awal, dengan harapan resolusi cepat. Setelah Anda mengenali atau mengantisipasi bahwa insiden akan berlangsung untuk jangka waktu yang lama, ambil postur yang berbeda dengan staf dan pemasok Anda yang memungkinkan mereka untuk menetap dalam jangka waktu yang lebih lama.
	Responden insiden	Tetapkan harapan yang jelas satu sama lain. Format populer melaporkan aktivitas yang sedang berlangsung meliputi: Apa yang telah kami lakukan (dan apa hasilnya)? Apa yang kita lakukan (dan hasil apa yang akan dihasilkan dan kapan)? Apa yang kita rencanakan untuk dilakukan selanjutnya (dan kapan realistis untuk mengharapkan hasil)?	Responden insiden hadir dengan teknik dan pendekatan yang berbeda, termasuk analisis kotak mati, analisis big data, dan kemampuan untuk menghasilkan hasil inkremental. Dimulai dengan harapan yang jelas akan memfasilitasi komunikasi yang jelas.

Sumber daya respons insiden

• Gambaran umum produk dan sumber daya keamanan Microsoft untuk analis baru ke peran dan berpengalaman
• Playbook untuk panduan terperinci tentang menanggapi metode serangan umum
• Respons insiden Microsoft Defender XDR
• Microsoft Defender untuk Cloud (Azure)
• Respons insiden Microsoft Azure Sentinel
• Panduan tim Respons Insiden Microsoft berbagi praktik terbaik untuk tim dan pemimpin keamanan
• Panduan Respons Insiden Microsoft membantu tim keamanan menganalisis aktivitas yang mencurigakan

Sumber daya keamanan Microsoft utama

Sumber daya	Deskripsi
Laporan Pertahanan Digital Microsoft 2021	Laporan yang mencakup pembelajaran dari pakar keamanan, praktisi, dan pertahanan di Microsoft untuk memberdayakan orang-orang di mana saja untuk bertahan melawan ancaman cyber.
Arsitektur Referensi Keamanan Cyber Microsoft	Serangkaian diagram arsitektur visual yang menunjukkan kemampuan keamanan cyber Microsoft dan integrasinya dengan platform cloud Microsoft seperti Microsoft 365 dan Microsoft Azure serta platform dan aplikasi cloud pihak ketiga.
Unduhan infografis menit penting	Gambaran umum tentang bagaimana tim SecOps Microsoft melakukan respons insiden untuk mengurangi serangan yang sedang berlangsung.
Operasi keamanan Azure Cloud Adoption Framework	Panduan strategis untuk pemimpin yang membangun atau memodernisasi fungsi operasi keamanan.
Praktik terbaik keamanan Microsoft untuk operasi keamanan	Cara terbaik menggunakan pusat SecOps Anda untuk bergerak lebih cepat daripada penyerang yang menargetkan organisasi Anda.
Keamanan cloud Microsoft untuk model arsitek TI	Keamanan di seluruh layanan dan platform cloud Microsoft untuk akses identitas dan perangkat, perlindungan ancaman, dan perlindungan informasi.
Dokumentasi keamanan Microsoft	Panduan keamanan tambahan dari Microsoft.