Best practices voor beveiliging van Microsoft voor beveiligingsbewerkingen

Beveiligingsbewerkingen (SecOps) handhaven en herstellen de beveiligingsgaranties van het systeem terwijl live-aanvallers dit aanvallen. De taken van SecOps worden goed beschreven door de functies NIST Cyberbeveiligingskader van Detecteren, Reageren en Herstellen.

  • Detecteren : SecOps moet de aanwezigheid van tegenstanders in het systeem detecteren, die in de meeste gevallen worden gecentreerd om verborgen te blijven, omdat ze hierdoor hun doelstellingen ongehinderd kunnen bereiken. Dit kan de vorm aannemen van een reactie op een waarschuwing van verdachte activiteiten of proactief op zoek gaan naar afwijkende gebeurtenissen in de logboeken van de ondernemingsactiviteit.

  • Reageren : Bij detectie van mogelijke actie of campagne van een tegenpartij moet SecOps snel onderzoeken of het een werkelijke aanval is (waar positief) of een vals alarm (onwaar positief) en vervolgens het bereik en het doel van de actie van de tegenpartij opsnoemen.

  • Herstellen : het uiteindelijke doel van SecOps is het behouden of herstellen van de beveiligingsgaranties (vertrouwelijkheid, integriteit, beschikbaarheid) van zakelijke services tijdens en na een aanval.

Het belangrijkste beveiligingsrisico dat de meeste organisaties lopen, is van operatoren voor menselijke aanvallen (van verschillende vaardigheidsniveaus). Dit komt omdat het risico van geautomatiseerde/herhaalde aanvallen voor de meeste organisaties aanzienlijk is beperkt door op handtekeningen en machine learning gebaseerde benaderingen die zijn ingebouwd in anti-malware (hoewel er opvallende uitzonderingen zijn, zoals Wannacrypt en NotPetya, die sneller zijn dan deze verdedigingsmethoden).

Hoewel menselijke aanvalsoperatoren moeilijk te zien zijn vanwege hun aanpassingsvermogen (vs. geautomatiseerde/herhaalde logica), werken ze op dezelfde 'menselijke snelheid' als verdedigers, waardoor het speelveld beter wordt.

SecOps (ook wel een SOC (Security Operations Center) genoemd, speelt een belangrijke rol bij het beperken van de tijd en toegang tot waardevolle systemen en gegevens voor een aanvaller. Elke minuut die een aanvaller in de omgeving heeft, kunnen ze doorgaan met het uitvoeren van aanvalsbewerkingen en toegang krijgen tot gevoelige of waardevolle systemen.

Doelstelling en metrische gegevens

De meetgegevens hebben een aanzienlijk effect op het gedrag en de resultaten van SecOps. Als u zich op de juiste afmetingen richt, kunt u de juiste gebieden continu verbeteren, zodat risico's aanzienlijk worden verkleind.

Om ervoor te zorgen dat SecOps toegang tot aanvallers effectief bevat, moeten de doelstellingen zich richten op:

  • Minder tijd om een waarschuwing te bevestigen om ervoor te zorgen dat gedetecteerde aanvallers niet worden genegeerd terwijl de verdedigers tijd besteden aan het onderzoeken van fout-positieven.

  • Minder tijd om een gevonden tegenstrever te corrigeren om minder tijd te hebben om gevoelige systemen uit te voeren en aan te vallen en te bereiken

  • Prioriteit geven aan beveiligingsinvesteringen in systemen met een hoge intrinsieke waarde (waarschijnlijk doelen of grote zakelijke impact) en toegang tot veel systemen of gevoelige systemen (beheerdersaccounts en gevoelige gebruikers)

  • Naarmate uw programma ouder wordt en reactieve incidenten onder controle komen, wordt de focus op het proactief zoeken naar tegenstanders groter. Dit is gericht op het verkorten van de tijd die een hogeropgeleide strijder kan gebruiken in de omgeving (bijvoorbeeld gekwalificeerd genoeg om reactieve waarschuwingen te ontduiken).

Zie voor meer informatie over hoe de soc van Microsoft deze metrische gegevens gebruikt https://aka.ms/ITSOC.

Hybride ondernemingsweergave

SecOps moet ervoor zorgen dat hun hulpprogramma's, processen en analistvaardighedensets zichtbaarheid bieden over de volledige periode van hun hybride domein.

Aanvallers beperken hun acties niet tot een bepaalde omgeving wanneer ze zich richten op een organisatie, ze vallen resources aan op elk platform met elke beschikbare methode. Enterprise-organisaties die cloudservices zoals Azure en AWS gebruiken, werken effectief met een hybride van cloud- en on-premises assets.

SecOps-hulpprogramma's en -processen moeten zijn ontworpen voor aanvallen op cloud- en on-premises assets, evenals aanvallers die draaien tussen cloud- en on-premises resources met behulp van identiteit of andere middelen. Met deze bedrijfsbrede weergave kunnen SecOps-teams snel aanvallen detecteren, beantwoorden en herstellen, waardoor het organisatierisico wordt verkleind.

Native detecties en besturingselementen gebruiken

U moet het gebruik van beveiligingsdetecties en -besturingselementen die in het cloudplatform zijn ingebouwd, gebruiken voordat u aangepaste detecties maakt met behulp van gebeurtenislogboeken vanuit de cloud.

Cloudplatforms ontwikkelen zich snel met nieuwe functies, waardoor het handhaven van detecties lastig kan zijn. Native besturingselementen worden onderhouden door de cloudprovider en zijn meestal van hoge kwaliteit (lage fout-positieve rente).

Omdat veel organisaties meerdere cloudplatforms kunnen gebruiken en een geïntegreerde weergave nodig hebben in de hele onderneming, moet u ervoor zorgen dat deze native detecties en besturingselementen een gecentraliseerde SIEM of een ander hulpprogramma voeren. U wordt niet aangeraden algemene hulpprogramma's en query's voor logboekanalyse te vervangen in plaats van native detecties en besturingselementen. Deze hulpprogramma's kunnen talloze waarden bieden voor proactieve jachtactiviteiten, maar voor het verkrijgen van een waarschuwing van hoge kwaliteit met deze hulpmiddelen is een grote expertise en tijd vereist die beter kan worden besteed aan de jacht en andere activiteiten.

Als aanvulling op de brede zichtbaarheid van een gecentraliseerde SIEM (zoals Microsoft Sentinel, Splunk of QRadar), moet u gebruikmaken van native detecties en besturingselementen, zoals:

  • Organisaties die Azure gebruiken, moeten gebruikmaken van mogelijkheden zoals Microsoft Defender voor Cloud voor het genereren van waarschuwingen op het Azure-platform.

  • Organisaties moeten gebruikmaken van native logging-mogelijkheden, zoals Azure Monitor en AWS CloudTrail, om logboeken in een centrale weergave te trekken.

  • Organisaties die Azure gebruiken, moeten gebruikmaken van NSG-mogelijkheden (Network Security Group) voor zichtbaarheid in netwerkactiviteiten op het Azure-platform.

  • Onderzoekspraktijken moeten gebruikmaken van native tools met een grote kennis van het type activa, zoals een endpoint detection and response (EDR) oplossing, identiteitshulpmiddelen en Microsoft Sentinel.

Prioriteit geven aan waarschuwings- en logboekintegratie

Zorg ervoor dat u kritieke beveiligingswaarschuwingen en -logboeken in SIEMs integreert zonder dat u een groot aantal gegevens met een lage waarde introduceert.

Als u te veel gegevens met een lage waarde introduceert, kunnen de SIEM-kosten toenemen, het geluid en de fout-positieven toenemen en de prestaties lager zijn.

De gegevens die u verzamelt, moeten zijn gericht op het ondersteunen van een of meer van deze activiteiten:

  • Waarschuwingen (detecties van bestaande hulpprogramma's of gegevens die nodig zijn voor het genereren van aangepaste waarschuwingen)

  • Onderzoek naar een incident (bijvoorbeeld vereist voor veelgebruikte query's)

  • Proactief jagen

Als u meer gegevens integreert, kunt u waarschuwingen verrijken met extra context die snelle reactie en herstel mogelijk maakt (fout-positieven filteren en echte positieven verheffen, enzovoort), maar verzameling is geen detectie. Als u niet een redelijke verwachting hebt dat de gegevens waarde bieden (bijvoorbeeld door een hoog aantal firewall-gebeurtenissen), kunt u de prioriteit van de integratie van deze gebeurtenissen bepalen.

SecOps-resources voor Microsoft-beveiligingsservices

Als u een nieuwe rol als beveiligingsanalist hebt, bekijkt u deze bronnen om aan de slag te gaan.

Onderwerp Resource
SecOps-planning voor incidentrespons Reactieplanning voor incidenten voor het voorbereiden van uw organisatie op een incident.
SecOps-incidentreactieproces Incident response process for best practices on responding to an incident.
Werkstroom voor incidentrespons Voorbeeld van de werkstroom voor incidentrespons voor Microsoft 365 Defender
Periodieke beveiligingsbewerkingen Voorbeeld van periodieke beveiligingsbewerkingen voor Microsoft 365 Defender
Onderzoek voor Microsoft Sentinel Incidenten in Microsoft Sentinel
Onderzoek voor Microsoft 365 Defender Incidenten in Microsoft 365 Defender

Als u een ervaren beveiligingsanalist bent, bekijkt u deze bronnen om snel uw SecOps-team voor Microsoft-beveiligingsservices te verbeteren.

Onderwerp Resource
Azure Active Directory (Azure AD) Handleiding beveiligingsbewerkingen
Microsoft 365 Defender Handleiding beveiligingsbewerkingen
Microsoft Sentinel Incidenten onderzoeken
Microsoft 365 Defender Incidenten onderzoeken
Inrichting of modernisatie van beveiligingsbewerkingen Azure Cloud Adoption Framework voor SecOps- en SecOps-functies
Playbooks voor incidentreacties Overzicht op https://aka.ms/IRplaybooks
- Phishing
- Wachtwoordsproei
- Toestemming verlenen voor apps
SOC Process Framework Microsoft Sentinel
MSTICPy- en Jupyter-notitieblokken Microsoft Sentinel

Blogreeks over SecOps binnen Microsoft

Bekijk deze blogreeks over hoe het SecOps-team bij Microsoft werkt.

Simuland

Simuland is een open-source-initiatief voor het implementeren van labomgevingen en end-to-endsimulaties die:

  • Reproduceer bekende technieken die in echte aanvalsscenario's worden gebruikt.
  • Test en controleer actief de effectiviteit van gerelateerde Microsoft 365 Defender, Microsoft Defender voor Cloud en Microsoft Sentinel-detecties.
  • Onderzoek naar bedreigingen uitbreiden met behulp van telemetrie en gerechtelijke artefacten die na elke oefening zijn gegenereerd.

Simuland-labomgevingen bieden use cases uit diverse gegevensbronnen, waaronder telemetrie uit Microsoft 365 Defender beveiligingsproducten, Microsoft Defender voor Cloud en andere geïntegreerde gegevensbronnen via Microsoft Sentinel-gegevensconnectoren.

In de veiligheid van een proefabonnement of betaald sandbox-abonnement kunt u het volgende doen:

  • Inzicht in het onderliggende gedrag en de functionaliteit van wederpartijhandel.
  • Identificeer risicobeperkings- en aanvallerpaden door randvoorwaarden voor elke actie van de aanvaller te documenteren.
  • Versnel het ontwerp en de implementatie van labomgevingen voor bedreigingsonderzoek.
  • Blijf op de hoogte van de nieuwste technieken en hulpmiddelen die worden gebruikt door echte bedreigingsacteurs.
  • Identificeer, document en deel relevante gegevensbronnen om acties van tegenpartij te modelleren en te detecteren.
  • Detectiemogelijkheden valideren en afstemmen.

De leerprocessen van simuland-labomgevingscenario's kunnen vervolgens in productie worden geïmplementeerd.

Nadat u een overzicht van Simuland hebt gelezen, bekijkt u de Simuland GitHub repository.

Belangrijke Microsoft-beveiligingsbronnen

Resource Beschrijving
Microsoft Digital Defense Report 2021 Een rapport met informatie over het leren van beveiligingsexperts, werkers en verdedigers bij Microsoft om mensen overal in staat te stellen zich te beschermen tegen cyberaanvallen.
Referentiearchitectuur voor Microsoft Cyberbeveiliging Een reeks visuele architectuurdiagrammen met de cyberbeveiligingsmogelijkheden van Microsoft en hun integratie met Microsoft-cloudplatforms zoals Microsoft 365 en Microsoft Azure en cloudplatforms en apps van derden.
Minuten belangrijk infographic downloaden Een overzicht van hoe het SecOps-team van Microsoft reageert op incidenten om lopende aanvallen te beperken.
Azure Cloud Adoption Framework beveiligingsbewerkingen Strategische richtlijnen voor leidinggevenden bij het opzetten of moderniseren van een beveiligingsfunctie.
Microsoft cloudbeveiliging voor IT-architectenmodel Beveiliging op microsoft-cloudservices en -platforms voor identiteits- en apparaattoegang, bedreigingsbeveiliging en informatiebeveiliging.
Microsoft-beveiligingsdocumentatie Aanvullende beveiligingsadviezen van Microsoft.

Volgende stap

Bekijk de mogelijkheden voor beveiligingsbewerkingen.