Planning voor het reageren op incidenten

Gebruik deze tabel als controlelijst om uw Security Operations Center (SOC) voor te bereiden om te reageren op cyberbeveiligingsincidenten.

Gereed	Activiteit	Beschrijving	Voordeel
	Topoefeningen voor tabellen	Voer periodieke tabeltopoefeningen uit van voorspelbare zakelijke impactvolle cyberincidenten die het beheer van uw organisatie dwingen om moeilijke beslissingen op basis van risico's te overwegen.	Stelt cyberbeveiliging stevig vast en illustreert deze als bedrijfsprobleem. Ontwikkelt spiergeheugen en oppervlakten moeilijke beslissingen en beslissingen rechten problemen in de hele organisatie.
	Beslissingen en besluitvormers vóór aanvallen bepalen	Als aanvulling op tabeltopoefeningen kunt u beslissingen op basis van risico's, criteria voor het nemen van beslissingen bepalen en wie deze beslissingen moet nemen en uitvoeren. Bijvoorbeeld: Wie/wanneer/of om hulp te vragen bij de rechtshandhaving? Wie/wanneer/als om incidentantwoorders in te schakelen? Wie/wanneer/als om losgeld te betalen? Wie/wanneer/of externe auditors op de hoogte stellen? Wie/wanneer/wanneer om privacyautoriteiten op de hoogte te stellen? Wie/wanneer/wanneer om effectenregelgevers op de hoogte te stellen? Wie/wanneer/wanneer de raad van bestuur of auditcomité op de hoogte moet stellen? Wie heeft de bevoegdheid om bedrijfskritieke workloads af te sluiten?	Definieert de initiële antwoordparameters en contactpersonen om de reactie op een incident te stroomlijnen.
	Bevoegdheden behouden	Normaal gesproken kan advies bevoegd zijn, maar feiten kunnen worden gedetecteerd. Train belangrijke incidentleiders bij het communiceren van advies, feiten en meningen onder bevoegdheden, zodat bevoegdheden behouden blijven en risico's worden verminderd.	Het onderhouden van bevoegdheden kan een rommelig proces zijn bij het overwegen van de vele communicatiekanalen, waaronder e-mail, samenwerkingsplatformen, chats, documenten, artefacten. U kunt bijvoorbeeld Microsoft Teams-ruimten gebruiken. Een consistente aanpak voor incidentpersoneel en ondersteunende externe organisaties kan helpen elke potentiële juridische blootstelling te verminderen.
	Overwegingen voor insiderhandel	Houd rekening met meldingen over het beheer dat moet worden genomen om het risico op schendingen van effecten te verminderen.	Boards en externe auditors waarderen meestal dat u risicobeperkende maatregelen hebt die het risico op twijfelachtige effectentransacties tijdens perioden van turbulentie verminderen.
	Playbook voor incidentrollen en verantwoordelijkheden	Stel basisrollen en verantwoordelijkheden vast waarmee verschillende processen de focus kunnen behouden en de voortgang vooruit kunnen leiden. Wanneer uw antwoordteam extern is, kan het andere overwegingen voor tijdzones en de juiste overdracht aan onderzoekers vereisen. Mogelijk moet u communiceren tussen andere teams die betrokken kunnen zijn, zoals leveranciersteams.	Technisch incidentleider : altijd in het incident, waarbij invoer en bevindingen worden gesynthetiseert en volgende acties worden gepland. Communicatieverbinding : hiermee wordt de last van communicatie met het management van de leider van het technische incident verwijderd, zodat ze betrokken kunnen blijven bij het incident zonder dat er geen aandacht meer verloren gaat. Deze activiteit moet bestaan uit het beheren van leidinggevende berichten en interacties met andere derden, zoals toezichthouders. Incidentrecorder : verwijdert de last van het vastleggen van bevindingen, beslissingen en acties van een incidentantwoorder en produceert een nauwkeurige boekhouding van het incident van begin tot eind. Forward Planner – Werken met bedrijfskritieke bedrijfsproceseigenaren, formuleert bedrijfscontinuïteitsactiviteiten en voorbereidingen die een beperking in het informatiesysteem beschouwen die 24, 48, 72, 96 uur of meer duren. Public Relations – In het geval van een incident dat waarschijnlijk openbare aandacht krijgt, met Forward Planner, overweegt en ontwerpt openbare communicatiebenaderingen die de waarschijnlijke resultaten aanpakken.
	Playbook voor reactie op privacyincidenten	Om aan steeds strengere privacyvoorschriften te voldoen, ontwikkelt u een playbook dat gezamenlijk eigendom is tussen SecOps en het privacykantoor. Dit playbook biedt een snelle evaluatie van mogelijke privacyproblemen die kunnen voortvloeien uit beveiligingsincidenten.	Het is moeilijk om beveiligingsincidenten te evalueren voor hun potentieel om de privacy te beïnvloeden, omdat de meeste beveiligingsincidenten zich voordoen in een zeer technische SOC. De incidenten moeten snel worden weergegeven aan een privacykantoor (vaak met een meldingsverwachting van 72 uur) waar het risico op regelgeving wordt bepaald.
	Indringingstests	Voer gesimuleerde aanvallen naar een bepaald tijdstip uit tegen bedrijfskritieke systemen, kritieke infrastructuur en back-ups om zwakke plekken in de beveiligingspostuur te identificeren. Deze activiteit wordt doorgaans uitgevoerd door een team van externe experts die gericht zijn op het omzeilen van preventieve controles en het oplossen van belangrijke beveiligingsproblemen.	In het licht van recente door mensen beheerde ransomware-incidenten moet penetratietests worden uitgevoerd tegen een verhoogd bereik van infrastructuur, met name de mogelijkheid om back-ups van bedrijfskritieke systemen en gegevens aan te vallen en te controleren.
	Rood team / blauw team / paars team / groen team	Voer doorlopende of periodieke gesimuleerde aanvallen uit op bedrijfskritieke systemen, kritieke infrastructuur, back-ups om zwakke plekken in de beveiligingspostuur te identificeren. Deze activiteit wordt doorgaans uitgevoerd door interne aanvalsteams (Rode teams) die zijn gericht op het testen van de effectiviteit van rechercheurcontroles en teams (Blauwe teams). U kunt bijvoorbeeld training voor aanvalssimulatie gebruiken in Microsoft Defender XDR voor Office 365 en zelfstudies over aanvallen en simulaties voor Microsoft Defender XDR voor Eindpunt.	Simulaties van rode, blauwe en paarse teamaanvallen, wanneer ze goed zijn gedaan, dienen een groot aantal doeleinden: Hiermee kunnen technici van over de hele IT-organisatie aanvallen simuleren op hun eigen infrastructuurdisciplines. Hiaten in zichtbaarheid en detectie. Verhoogt de vaardigheden van beveiligingstechniek over de hele linie. Fungeert als een continuer en uitgebreider proces. Het Green Team implementeert wijzigingen in de IT- of beveiligingsconfiguratie.
	Planning voor bedrijfscontinuïteit	Voor bedrijfskritieke bedrijfsprocessen ontwerpt en test u continuïteitsprocessen waarmee het minimale levensvatbare bedrijf kan functioneren in tijden van een beperking van informatiesystemen. Gebruik bijvoorbeeld een Azure-back-up- en herstelplan om uw kritieke bedrijfssystemen tijdens een aanval te beveiligen om een snel herstel van uw bedrijfsactiviteiten te garanderen.	Markeert het feit dat er geen tijdelijke oplossing voor continuïteit is voor de beperking of afwezigheid van IT-systemen. Kan de noodzaak en financiering benadrukken voor geavanceerde digitale tolerantie ten opzichte van eenvoudigere back-up en herstel.
	Herstel na noodgeval	Voor informatiesystemen die bedrijfskritieke bedrijfsprocessen ondersteunen, moet u dynamische/koude en dynamische/warme back-up- en herstelscenario's ontwerpen en testen, waaronder faseringstijden.	Organisaties die bare metal-builds uitvoeren, vinden vaak activiteiten die niet kunnen worden gerepliceerd of die niet in de serviceniveaudoelstellingen passen. Bedrijfskritieke systemen die worden uitgevoerd op niet-ondersteunde hardware, kunnen vaak niet worden hersteld naar moderne hardware. Het herstellen van back-ups wordt vaak niet getest en ondervindt problemen. Back-ups kunnen offline zijn, zodat faseringstijden niet zijn meegenomen in hersteldoelstellingen.
	Out-of-band-communicatie	Bereid u voor op de communicatie in de volgende scenario's: Servicebeperking voor e-mail en samenwerking Losgeld van documentatieopslagplaatsen De beschikbaarheid van telefoonnummers voor personeel is niet beschikbaar.	Hoewel het een moeilijke oefening is, moet u bepalen hoe belangrijke informatie onveranderlijk moet worden opgeslagen op off-line apparaten en locaties voor distributie op schaal. Bijvoorbeeld: Telefoonnummers Topologieën Documenten maken IT-herstelprocedures
	Beveiliging, hygiëne en levenscyclusbeheer	In overeenstemming met Cis (Center for Internet Security) Top 20 beveiligingscontroles, beveiligt u uw infrastructuur en voert u grondige hygiëneactiviteiten uit.	In reactie op recente door mensen beheerde ransomware-incidenten heeft Microsoft specifieke richtlijnen gegeven voor het beschermen van elke fase van de kill chain voor cyberaanvallen. Deze richtlijnen zijn van toepassing op Microsoft-mogelijkheden of de mogelijkheden van andere providers. Van bijzondere opmerking zijn: Het maken en onderhouden van onveranderbare back-upkopieën in het geval van losgeldsystemen. U kunt ook overwegen hoe u onveranderbare logboekbestanden kunt bewaren die de mogelijkheid van de aanvaller om hun sporen te bedekken bemoeilijken. Risico's met betrekking tot niet-ondersteunde hardware voor herstel na noodgevallen.
	Planning voor het reageren op incidenten	Bepaal aan het begin van het incident het volgende: Belangrijke organisatieparameters. Toewijzing van personen aan rollen en verantwoordelijkheden. De urgentie (zoals 24x7 en kantooruren). Personeel voor duurzaamheid voor de duur.	Er is een tendens om alle beschikbare resources in het begin op een incident te gooien, in de hoop op een snelle oplossing. Zodra u herkent of verwacht dat een incident een langere tijd zal duren, neemt u een ander houding op met uw personeel en leveranciers waarmee ze zich voor langere afstanden kunnen vestigen.
	Incidentantwoorders	Maak duidelijke verwachtingen met elkaar. Een populaire indeling voor het rapporteren van lopende activiteiten omvat: Wat hebben we gedaan (en wat waren de resultaten)? Wat doen we (en welke resultaten worden geproduceerd en wanneer)? Wat willen we hierna doen (en wanneer is het realistisch om resultaten te verwachten)?	Incidentantwoorders worden geleverd met verschillende technieken en benaderingen, waaronder dead box-analyse, big data-analyse en de mogelijkheid om incrementele resultaten te produceren. Beginnen met duidelijke verwachtingen zal duidelijke communicatie mogelijk maken.

Resources voor reactie op incidenten

• Overzicht van Microsoft-beveiligingsproducten en -resources voor nieuwe rollen en ervaren analisten
• Playbooks voor gedetailleerde richtlijnen voor het reageren op veelvoorkomende aanvalsmethoden
• Microsoft Defender XDR-incidentrespons
• Microsoft Defender voor Cloud (Azure)
• Reactie op microsoft Sentinel-incidenten
• Microsoft Incident Response team guide shares best practices for security teams and leaders
• Handleidingen voor het reageren op incidenten van Microsoft helpen beveiligingsteams verdachte activiteiten te analyseren

Belangrijke Microsoft-beveiligingsbronnen

Bron	Beschrijving
Microsoft Digital Defense-rapport 2021	Een rapport dat kennis omvat van beveiligingsexperts, beoefenaars en verdedigers bij Microsoft om mensen overal te helpen zich te beschermen tegen cyberdreigingen.
Naslagarchitecturen voor Microsoft Cybersecurity	Een set visuele architectuurdiagrammen met de mogelijkheden van Microsoft voor cyberbeveiliging en hun integratie met Microsoft-cloudplatforms zoals Microsoft 365 en Microsoft Azure en cloudplatforms en apps van derden.
Minuten belangrijk infographic downloaden	Een overzicht van hoe het SecOps-team van Microsoft incidentrespons doet om lopende aanvallen te beperken.
Azure Cloud Adoption Framework-beveiligingsbewerkingen	Strategische richtlijnen voor leiders die een beveiligingsbewerkingsfunctie tot stand brengen of moderniseren.
Aanbevolen procedures voor Microsoft-beveiliging voor beveiligingsbewerkingen	Hoe u uw SecOps-centrum het beste kunt gebruiken om sneller te gaan dan de aanvallers die gericht zijn op uw organisatie.
Microsoft-cloudbeveiliging voor IT-architectenmodel	Beveiliging in Microsoft-cloudservices en -platforms voor identiteits- en apparaattoegang, bedreigingsbeveiliging en gegevensbeveiliging.
Microsoft-beveiligingsdocumentatie	Aanvullende beveiligingsrichtlijnen van Microsoft.