Najlepsze rozwiązania firmy Microsoft dotyczące zabezpieczeń w zakresie operacji zabezpieczeń

Operacje zabezpieczeń (SecOps) zachowywają i przywracają gwarancje zabezpieczeń systemu w przypadku ataków na niego na żywo adversaries. Zadania secops są dobrze opisane przez funkcje struktury NIST NIST w zakresie wykrywania, odpowiadania i odzyskiwania.

  • Wykryj — usługi secops muszą wykrywać obecność adwersarzy w systemie, którzy są zachęceni do pozostania ukrytym w większości przypadków, ponieważ umożliwia im to osiągnięcie swoich celów bez zmierzenia. Może to mieć postać reagowania na alerty o podejrzanych działaniach lub aktywnego pogotowania na nieomatywne zdarzenia w dziennikach aktywności przedsiębiorstwa.

  • Odpowiedz — Po wykryciu potencjalnych akcji lub kampanii adwersji usługi SecOps muszą szybko zbadać, czy jest to rzeczywisty atak (prawdziwe dodatnie), czy fałszywy alarm (wynik fałszywie dodatni), a następnie wyliczyć zakres i cel operacji adversary.

  • Odzyskiwanie — ostatecznym celem usługi SecOps jest zachowanie lub przywrócenie gwarancji zabezpieczeń (poufność, integralność, dostępność) usług biznesowych podczas ataków i po nich.

Najbardziej istotne ryzyko bezpieczeństwa, na które ma wpływ większość organizacji, to ataki ze strony operatorów ludzkich (o różnych poziomach umiejętności). Jest to spowodowane tym, że ryzyko związane z automatycznymi/powtarzalnymi atakami zostało znacząco zminimalizowane dla większości organizacji dzięki podpisom i metodom uczenia maszynowego wbudowanych w złośliwe oprogramowanie (istnieją jednak istotne wyjątki, takie jak Wannacrypt i Not Jegoa, które przesuwały się szybciej niż te metody ochrony przed złośliwym oprogramowaniem).

Mimo że operatory ataków przez człowieka są trudne do twarz ze względu na możliwość ich dostosowania (a także zautomatyzowaną/powtarzaną logikę), działają one z taką samą szybkością jak defenderzy, co ułatwiają poziom gry.

Firma SecOps (czasami nazywana Centrum operacji zabezpieczeń)) odgrywa kluczową rolę w ograniczaniu czasu, przez który atakujący może uzyskać dostęp do cennych systemów i danych. Każda minuta posiadana przez atakującego w środowisku umożliwia im kontynuowanie operacji ataków oraz uzyskiwanie dostępu do poufnych lub cennych systemów.

Cel i metryki

Metryki, które mierzysz, będą mieć istotny wpływ na zachowania i wyniki secop. Skupienie się nad właściwymi wymiarami pomoże w nieustannym ulepszaniu właściwych obszarów, które znacząco ograniczają ryzyko.

W celu zapewnienia, że program SecOps skutecznie zawiera dostęp atakujących, cele powinny koncentrować się na:

  • Skracanie czasu potwierdzenia alertu w celu zagwarantowania, że wykryci adwersja nie są ignorowane, gdy defenderzy spędzają czas, badając wyniki fałszywie dodatnie.

  • Skracanie czasu rozwiązywania problemów z wykrytym adwersarym w celu skrócenia czasu ich czasu na przeprowadzanie i ataki oraz dotarcie do poufnych systemów

  • Określanie priorytetów inwestycji w zabezpieczenia w systemy o wysokiej wartości wartości pokłoń (prawdopodobne cele lub duży wpływ na działalność biznesową) oraz dostęp do wielu systemów lub systemów poufnych (kont administratora i poufnych użytkowników)

  • Coraz większa koncentracja na proaktywnym poszukaniu adwersariuszy, gdy Twój program dojrzeje dojrzeje i reagować na zdarzenia, które zajmą się kontrolą. Skoncentruje się to na skróceniu czasu, w którym wyżej uzdolnieni adversary mogą pracować w środowisku (na przykład na tyle uzdolnieni, aby reagować na alerty).

Aby uzyskać więcej informacji na temat użycia tych metryk przez soc firmy Microsoft, zobacz https://aka.ms/ITSOC.

Hybrydowy widok przedsiębiorstwa

Program SecOps powinien zapewnić, że ich zestawy umiejętności narzędzi, procesów i analityków umożliwią widoczność całego całego zakresu środowiska hybrydowego.

Atakujący nie ograniczają swoich działań do określonego środowiska podczas określania docelowych wartości organizacji, będą atakować zasoby na dowolnej platformie przy użyciu dowolnej dostępnej metody. Enterprise organizacjom przejmujące usługi w chmurze, takie jak platforma Azure i usługa AWS, są w praktyce działające hybrydowe z chmurą i zasobami lokalnymi.

Narzędzia i procesy usługi SecOps powinny być zaprojektowane do ataków na zasoby lokalne i w chmurze, a także dla atakujących obracających się między chmurą a zasobami lokalnymi przy użyciu tożsamości lub innych środków. Ten widok dla całego przedsiębiorstwa umożliwia zespołom usługi SecOps błyskawiczne wykrywanie ataków, odpowiadanie na nie i odzyskiwanie ich w celu zmniejszenia ryzyka organizacyjnego.

Korzystanie z natywnych wykrywania i kontrolek

Przed utworzeniem niestandardowych wykrywania przy użyciu dzienników zdarzeń z chmury należy preferować korzystanie z funkcji wykrywania zabezpieczeń i kontrolek wbudowanych na platformie w chmurze.

Platformy w chmurze szybko ewoluują z nowymi funkcjami, które mogą utrudnić utrzymanie wykrywania. Kontrolki natywne są utrzymywane przez dostawcę chmury i zazwyczaj są wysokiej jakości (niska wartość fałszywie dodatnia).

Ponieważ wiele organizacji może korzystać z wielu platform chmurowych i potrzebujesz jednolitego widoku dla całego przedsiębiorstwa, należy zadbać o to, aby te natywne wykrywanie i kontrolki były kanałem scentralizowanego SIEM lub innego narzędzia. Nie zaleca się podstępować zapytań i narzędzi do ogólnych analiz dziennika zamiast natywnych kontrolek i wykrywania. Te narzędzia mogą oferować wiele wartości dla aktywnych działań łowiectwo, ale dostania się do alertów wysokiej jakości za pomocą tych narzędzi wymaga podania specjalistycznej wiedzy i czasu, który można lepiej poświęcić na czas łowiectwo i inne działania.

W celu uzupełnienia szerokiej widoczności scentralizowanego SIEM (takiego jak Microsoft Sentinel, Splunk lub QRadar) należy korzystać z natywnych wykrywanie i kontrolek, takich jak:

  • Organizacje korzystające z platformy Azure powinny korzystać z funkcji, Microsoft Defender dla Chmury na przykład do generowania alertów na platformie Azure.

  • Organizacje powinny korzystać z natywnych funkcji rejestrowania, takich jak usługa Azure Monitor i CloudTrail usługi AWS, do odciągania dzienników do widoku centralnego.

  • Organizacje korzystające z platformy Azure powinny korzystać z funkcji grupy zabezpieczeń sieciowych (NSG, Network Security Group) w celu wglądu w działania sieciowe na platformie Azure.

  • Rozwiązania do analizy powinny korzystać z natywnych narzędzi, które mają dogłębną wiedzę na temat typu zasobu, takiego jak rozwiązanie do wykrywania punktu końcowego i odpowiedzi (EDR), narzędzia tożsamości i program Microsoft Sentinel.

Określanie priorytetów integracji alertów i dziennika

Upewnij się, że integrujesz krytyczne alerty zabezpieczeń i dzienniki z wiadomościami SMS bez wprowadzania dużej ilości danych o niskiej wartości.

Wprowadzenie zbyt wielu danych o niskiej wartości może zwiększyć koszt SIEM, zwiększyć szum i wyniki fałszywie dodatnie oraz obniżyć wydajność.

Zbierane dane powinny być skoncentrowane na obsługi jednego lub wielu z tych działań operacyjnych:

  • Alerty (wykrywanie z istniejących narzędzi lub danych wymaganych do generowania alertów niestandardowych)

  • Badanie zdarzenia (na przykład wymagane w przypadku typowych zapytań)

  • Aktywne działania chłoniające

Integrowanie większej liczby danych umożliwia wzbogacanie alertów o dodatkowy kontekst, który umożliwia szybkie reagowanie i rozwiązywanie problemów (filtrowanie wyników fałszywie dodatnich i wzrost prawdziwych wyników dodatnich itp.), ale gromadzenie nie jest wykrywane. Jeśli nie masz uzasadnionego oczekiwania, że dane będą dostarczyć wartości (na przykład duża liczba zdarzeń zapory blokuje zdarzenia), możesz przestać oznaczać integrację tych zdarzeń.

Zasoby usługi SecOps dla usług zabezpieczeń firmy Microsoft

Jeśli jesteś nowym analitykiem zabezpieczeń, zapoznaj się z tymi zasobami, aby rozpocząć pracę.

Temat Zasób
Planowanie działań w celu reagowania na zdarzenia Planowanie reakcji na incydenty na wypadek zdarzenia w organizacji.
Proces reagowania na zdarzenia secOps Proces reagowania na incydenty, aby uzyskać najlepsze rozwiązania dotyczące reakcji na zdarzenie.
Przepływ pracy reagowania na incydenty Przykładowy przepływ pracy reagowania na zdarzenia dla Microsoft 365 Defender
Okresowe operacje zabezpieczeń Przykład okresowych operacji zabezpieczeń Microsoft 365 Defender
Badanie programu Microsoft Sentinel Zdarzenia w Programie Microsoft Sentinel
Badanie Microsoft 365 Defender Zdarzenia w Microsoft 365 Defender

Jeśli jesteś doświadczonym analitykiem zabezpieczeń, zapoznaj się z tymi zasobami, aby szybko skonfigurować zespół usługi SecOps do obsługi zabezpieczeń firmy Microsoft.

Temat Zasób
Azure Active Directory (Azure AD) Przewodnik po operacji zabezpieczeń
Microsoft 365 Defender Przewodnik po operacji zabezpieczeń
Microsoft Sentinel Jak badać zdarzenia
Microsoft 365 Defender Jak badać zdarzenia
Operacje związane z zabezpieczeniami lub unowocześnienie Artykuły Cloud Adoption Framework usługi Azure dotyczące funkcji SecOpsi SecOps
Podręczniki reagowania na incydenty Omówienie: https://aka.ms/IRplaybooks
- Wyłudzanie informacji
- Password do ochrony przed hasłami
- Udzielenie zgody na aplikację
Struktury procesów SOC Microsoft Sentinel
Notesy MSTICPy i Jupyter Microsoft Sentinel

Seria blogów na temat secopsów w obrębie firmy Microsoft

Zapoznaj się z tą serią blogów na temat pracy zespołu usługi SecOps w firmie Microsoft.

Simuland

Program Simuland to otwarta inicjatywa w zakresie wdrażania środowisk laboratoryjnych i końcowych symulacyjnych, które:

  • Odtąd odtąd używane techniki będą używane w rzeczywistych scenariuszach ataków.
  • Aktywnie testuje i sprawdza skuteczność wykrywania Microsoft 365 Defender, Microsoft Defender dla Chmury i Microsoft Sentinel.
  • Rozszerzanie badań zagrożeń przy użyciu artefaktów telemetrycznych i forensycznych generowanych po każdym ćwiczeniu symulacyjnej.

Środowiska laboratoryjnych na platformie Simuland zapewniają przypadki użycia z różnych źródeł danych, w tym telemetrii z produktów zabezpieczeń firmy Microsoft 365 Defender, Microsoft Defender dla Chmury i innych zintegrowanych źródeł danych za pośrednictwem łączników danych Programu Microsoft Sentinel.

Bezpieczeństwo wersji próbnej lub płatnej subskrypcji w trybie piaskownicy umożliwia:

  • Zrozumienie podstawowych zachowań i funkcji organizacji adversary tradecraft.
  • Określ środki zaradcze i ścieżki atakujące, dokumentując schłody dla poszczególnych działań atakujących.
  • Przyspieszyć projektowanie i wdrażanie środowisk laboratoryjnych w zakresie badań zagrożeń.
  • Bądź na bieżąco z najnowszymi technikami i narzędziami używanymi przez rzeczywiste zagrożenia.
  • Identyfikowanie, dokumentowanie i udostępnianie odpowiednich źródeł danych w celu modelowania i wykrywania działań adversary.
  • Weryfikowanie i dostosowywanie funkcji wykrywania.

Badania z scenariuszy środowiska laboratorium simulandzkiego można następnie zaimplementować w środowisku produkcyjnym.

Po przeczytaniu o overview of Simuland, zobacz Simuland GitHub repository.

Kluczowe zasoby zabezpieczeń firmy Microsoft

Zasób Opis
Raport Microsoft Digital Defense 2021 Raport obejmujący informacje od ekspertów ds. zabezpieczeń, wytłaczyń i defenderów w firmie Microsoft, aby umożliwić innym osobom obronę przed cyberatakami.
Architektury odwłaści firmy Microsoft Zestaw diagramów architektury wizualnej, które pokazują możliwości firmy Microsoft w zakresie bezpieczeństwa i integracji z platformami chmurowymi firmy Microsoft, takimi jak Microsoft 365 i Microsoft Azure, oraz platformami i aplikacjami w chmurze innych firm.
Pobieranie infografiki na temat minut bez znaczenia Przegląd reakcji zespołu usługi SecOps firmy Microsoft na zdarzenia w celu zminimalizowania trwających ataków.
Operacje Cloud Adoption Framework Azure Wskazówki strategiczne dla liderów ustanawiania lub unowocześninia funkcji operacji zabezpieczeń.
Model zabezpieczeń chmury firmy Microsoft dla architektów it Zabezpieczenia w usługach i platformach w chmurze firmy Microsoft w zakresie tożsamości, dostępu do urządzeń, ochrony przed zagrożeniami i ochrony informacji.
Dokumentacja zabezpieczeń firmy Microsoft Dodatkowe wskazówki dotyczące zabezpieczeń od firmy Microsoft.

Następny krok

Zapoznaj się z możliwościami operacji zabezpieczeń.