Passaggio 1. Pianificare la preparazione delle operazioni di Microsoft Defender XDR
Si applica a:
- Microsoft Defender XDR
Indipendentemente dalla maturità corrente delle operazioni di sicurezza, è importante allinearsi al Centro operazioni di sicurezza (SOC). Anche se non esiste un singolo modello adatto a ogni organizzazione, esistono alcuni aspetti più comuni rispetto ad altri.
Le sezioni seguenti descrivono le funzioni principali del SOC.
Fornire consapevolezza situazionale delle minacce moderne
Un team soc si prepara e caccia le minacce nuove e in ingresso in modo che possano collaborare con l'organizzazione per stabilire contromisure e risposte. Il team soc deve avere personale altamente qualificato in metodi e tecniche di attacco moderni e comprendere gli attori delle minacce. L'intelligence sulle minacce condivise e i framework come Cyber Kill Chain o MITRE ATT&framework CK possono consentire al personale di analisti delle minacce e cacciatori di minacce.
Fornire risposte di primo, secondo e potenzialmente di terzo livello agli eventi e agli eventi informatici
Il SOC è la prima linea di difesa degli eventi e degli eventi imprevisti di sicurezza. Quando un evento, una minaccia, un attacco, una violazione di criteri o una ricerca di controllo attiva un avviso o una chiamata all'azione, il team soc esegue una valutazione per valutare e contenerlo o inoltrarlo per l'indagine. Pertanto, i risponditori di prima riga soc devono avere un'ampia conoscenza tecnica degli eventi e degli indicatori di sicurezza.
Centralizzare il monitoraggio e la registrazione delle origini di sicurezza dell'organizzazione
In genere, la funzione principale del team SOC è garantire che tutti i dispositivi di sicurezza, ad esempio firewall, sistemi di prevenzione delle intrusioni, sistemi di prevenzione della perdita dei dati, sistemi di gestione delle vulnerabilità e sistemi di identità, funzionino correttamente e vengano monitorati. I team SOC collaborano con le più ampie operazioni di rete, ad esempio identity, DevOps, cloud, applicazioni, data science e altri team aziendali, per garantire che l'analisi delle informazioni di sicurezza sia centralizzata e protetta. Inoltre, il team SOC è responsabile della gestione dei log dei dati in formati utilizzabili e leggibili, che potrebbero includere l'analisi e la normalizzazione di formati diversi.
Stabilire la preparazione operativa del team Rosso, Blu e Viola
Ogni team soc deve testare la sua preparazione nel rispondere a un incidente informatico. I test possono essere eseguiti tramite esercizi di training, ad esempio table-top e esecuzioni di procedure con vari utenti it, sicurezza e a livello aziendale. I singoli team di allenamento vengono creati in base a ruoli rappresentativi e svolgono il ruolo di difensore (Blue Team), un utente malintenzionato (Red Team) o come osservatori che cercano di migliorare metodi e tecniche sia dei team blu che di quello rosso attraverso punti di forza e debolezza scoperti durante l'esercizio (Purple Team).
Passaggio successivo
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.