Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'operazione di sicurezza (SecOps) è fondamentale per Zero Trust perché garantisce non solo che le minacce vengano impedite, ma anche che vengano rilevate, analizzate e risposte in modo continuo. In un modello di Zero Trust le organizzazioni presuppongono la violazione, rendendo essenziali le funzionalità secops avanzate per contenere attacchi, ridurre l'impatto e mantenere la resilienza.
Le linee guida del pilastro SecOps sono incentrate sulla raccolta e la correlazione dei segnali di sicurezza nell'ambiente, il rilevamento e l'analisi delle minacce, l'orchestrazione e l'automazione delle azioni di risposta, la ricerca proattiva delle minacce e il miglioramento continuo delle operazioni di sicurezza.
Implementazione del workshop
Il workshop SecOps illustra le aree di implementazione riepilogate nella tabella.
| Area | Dettagli |
|---|---|
| Centralizzare i dati di sicurezza e i dati di telemetria | Integrare log e segnali da identità, dispositivi, rete, dati e infrastruttura in piattaforme centralizzate per la visibilità unificata. Garantire una copertura completa degli eventi rilevanti per la sicurezza nell'ambiente. |
| Identificare l'esposizione e classificare in ordine di priorità la correzione dei rischi | Analizzare i percorsi di attacco, le configurazioni errate e le esposizione alla sicurezza nell'ambiente. Usare le funzionalità di gestione dell'esposizione per classificare in ordine di priorità la correzione e ridurre la probabilità e l'impatto dei potenziali attacchi. |
| Rilevare le minacce e generare avvisi di alta qualità | Usare regole di rilevamento, analisi comportamentale e intelligence sulle minacce per identificare potenziali compromessi. Generare avvisi con attendibilità elevata e perfezionare continuamente la logica di rilevamento per migliorare la qualità dei segnali e ridurre i falsi positivi. |
| Correlare gli avvisi in eventi imprevisti e assegnare priorità alla risposta | Correlare gli avvisi correlati in eventi imprevisti, in genere tramite la correlazione automatizzata e applicare la priorità in base a rischi, gravità e potenziale impatto. Fornire un approccio strutturato alla valutazione e alla gestione degli eventi imprevisti. |
| Analizzare e rispondere agli eventi imprevisti | Eseguire flussi di lavoro di indagine strutturati per comprendere l'ambito e l'impatto degli eventi imprevisti. Contenere minacce tramite azioni come l'isolamento dei dispositivi o la disabilitazione degli account e garantire processi di correzione coerenti. |
| Automatizzare la risposta e l'orchestrazione | Usare strumenti e flussi di lavoro di automazione per orchestrare, standardizzare e accelerare le azioni di risposta nell'ambiente. Abilitare il contenimento e le azioni correttive automatizzati, ove appropriato, per ridurre i tempi di risposta e limitare i movimenti degli attaccanti. |
| Cercare in modo proattivo le minacce | Analizzare i dati di telemetria raccolti per identificare attività anomale, tecniche di attacco e indicatori di compromissione che possono evitare il rilevamento automatizzato. Perfezionare continuamente le ipotesi di ricerca e le strategie di rilevamento in base ai risultati dell'indagine, all'intelligence sulle minacce e all'evoluzione del comportamento antagonista. |
| Sfruttare l'intelligence sulle minacce | Incorporare intelligence sulle minacce interne ed esterne per arricchire i rilevamenti e le indagini. Usare indicatori e dati contestuali per migliorare la comprensione del comportamento degli utenti malintenzionati e migliorare la copertura del rilevamento. |
| Regolare e ottimizzare continuamente i rilevamenti | Esaminare e perfezionare avvisi, regole di eliminazione e logica di rilevamento per ridurre il rumore e migliorare l'efficienza operativa. Assicurati che SecOps si concentri su segnali di alto valore e azionabili. |
| Correlare i segnali tra domini per la visibilità completa degli attacchi | Combinare segnali di identità, dispositivo, rete, dati e infrastruttura per rilevare catene di attacco complesse e a più fasi. Usare la visibilità tra domini per migliorare l'efficacia delle indagini e della risposta. |
| Migliorare continuamente i processi SecOps | Migliorare continuamente le strategie di rilevamento e i processi di risposta in base all'apprendimento degli eventi imprevisti e alle minacce in continua evoluzione. Incorporare il feedback degli eventi imprevisti, la ricerca delle minacce e l'analisi dell'esposizione per favorire miglioramenti operativi continui. |
Passaggi successivi
Iniziare il workshop SecOps.