1단계. Microsoft Defender XDR 작업 준비 계획
적용 대상:
- Microsoft Defender XDR
보안 작업의 현재 완성도에 관계없이 SOC(보안 운영 센터)에 맞추는 것이 중요합니다. 모든 organization 맞는 단일 모델은 없지만 다른 모델보다 더 일반적인 특정 측면이 있습니다.
다음 섹션에서는 SOC의 핵심 기능에 대해 설명합니다.
최신 위협에 대한 상황 인식 제공
SOC 팀은 organization 협력하여 대책과 대응을 수립할 수 있도록 신규 및 들어오는 위협을 준비하고 헌팅합니다. SOC 팀에는 최신 공격 방법 및 기술에서 고도로 훈련된 인력이 있어야 하며 위협 행위자를 이해해야 합니다. 사이버 킬 체인 또는 MITRE ATT&CK 프레임워크와 같은 공유 위협 인텔리전스 및 프레임워크는 위협 분석가 및 위협 사냥꾼의 직원에게 권한을 부여할 수 있습니다.
사이버 인시던트 및 이벤트에 대한 첫 번째, 두 번째 및 잠재적으로 세 번째 수준 대응 제공
SOC는 보안 이벤트 및 인시던트에 대한 방어의 최전선입니다. 이벤트, 위협, 공격, 정책 위반 또는 감사 검색이 경고 또는 작업 호출을 트리거하는 경우 SOC 팀은 평가하여 심사하고 포함하거나 조사를 위해 에스컬레이션합니다. 따라서 SOC 일선 응답자는 보안 이벤트 및 지표에 대한 광범위한 기술 지식을 가지고 있어야 합니다.
organization 보안 원본의 모니터링 및 로깅 중앙 집중화
일반적으로 SOC 팀의 핵심 기능은 방화벽, 침입 방지 시스템, 데이터 손실 방지 시스템, 취약성 관리 시스템 및 ID 시스템과 같은 모든 보안 디바이스가 올바르게 작동하고 모니터링되도록 하는 것입니다. SOC 팀은 ID, DevOps, 클라우드, 애플리케이션, 데이터 과학 및 기타 비즈니스 팀과 같은 광범위한 네트워크 운영과 협력하여 보안 정보 분석을 중앙 집중화하고 보호합니다. 또한 SOC 팀은 서로 다른 형식의 구문 분석 및 정규화를 포함할 수 있는 사용 가능하고 읽기 가능한 형식으로 데이터 로그를 유지 관리할 책임이 있습니다.
Red, Blue 및 Purple 팀 운영 준비 설정
모든 SOC 팀은 사이버 인시던트에 대응하기 위한 준비 상태를 테스트해야 합니다. 테스트는 IT, 보안 및 비즈니스 수준에서 다양한 개인과 함께 테이블 탑 및 연습 실행과 같은 교육 연습을 통해 수행할 수 있습니다. 개별 학습 연습 팀은 대표 역할에 따라 만들어지고, 수비수(블루 팀), 공격자(레드 팀) 또는 연습 중에 발견된 강점과 약점을 통해 블루와 레드 팀의 방법과 기술을 개선하려는 관찰자로 사용됩니다(자주색 팀).
다음 단계
2단계. 제로 트러스트 Framework를 사용하여 SOC 통합 준비 평가 수행
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기