Trinn 1. Plan for Microsoft Defender XDR driftsberedskap
Gjelder for:
- Microsoft Defender XDR
Uansett gjeldende forfall av sikkerhetsoperasjonene dine, er det viktig for deg å justere med Security Operations Center (SOC). Selv om det ikke finnes noen enkeltmodell som passer for hver organisasjon, finnes det visse aspekter som er mer vanlige enn andre.
Avsnittene nedenfor beskriver kjernefunksjonene i SOC.
Gi situasjonsforståelse om moderne trusler
Et SOC-team forbereder seg på og jakter på nye og innkommende trusler, slik at de kan samarbeide med organisasjonen for å etablere mottiltak og svar. SOC-teamet ditt bør ha personell som er høyt utdannet i moderne angrepsmetoder og teknikker og forstå trusselaktører. Delt trusselintelligens og rammeverk som Cyber Kill Chain eller MITRE ATT&CK-rammeverket kan styrke dine ansatte av trusselanalytikere og trusseljegere.
Gi svar på første, andre og potensielt tredje nivå på netthendelser og -hendelser
SOC er frontlinjen av forsvar mot sikkerhetshendelser og hendelser. Når et hendelses-, trussel-, angreps-, policybrudd- eller revisjonsfunn utløser et varsel eller en handlingsopplysning, gjør SOC-teamet en vurdering for å triage og inneholde det eller eskalere det for undersøkelse. Derfor må SOC førstelinjerespondere ha bred teknisk kunnskap om sikkerhetshendelser og indikatorer.
Sentraliser overvåking og logging av organisasjonens sikkerhetskilder
Vanligvis er SOC-teamets kjernefunksjon å sørge for at alle sikkerhetsenheter som brannmurer, systemer for hindring av inntrenging, systemer for hindring av datatap, systemer for sårbarhetsstyring og identitetssystemer fungerer som de skal og overvåkes. SOC-teamene arbeider med de bredere nettverksoperasjonene som identitet, DevOps, sky, program, datavitenskap og andre forretningsteam for å sikre at analysen av sikkerhetsinformasjonen er sentralisert og sikret. I tillegg er SOC-teamet ansvarlig for å vedlikeholde logger av dataene i brukbare og lesbare formater, som kan omfatte analysering og normalisering av ulike formater.
Etablere rød, blå og lilla driftsberedskap
Hvert SOC-team bør teste beredskapen sin for å svare på en cyberhendelse. Testing kan gjøres via opplæringsøvelser, for eksempel tabelltopper og øvelseskjøringer med ulike personer innen IT, sikkerhet og på bedriftsnivå. Individuelle treningsteam er opprettet basert på representative roller og spiller enten rollen som en forsvarer (Blue Team), en angriper (Red Team), eller som observatører som søker å forbedre metoder og teknikker for både blå og røde lag gjennom styrker og svakhet som avdekkes under øvelsen (Purple Team).
Neste trinn:
Trinn 2. Utfør en soc-integrasjonsberedskapsvurdering ved hjelp av nulltillit Framework
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.