Krok nr 1. Planowanie gotowości operacji Microsoft Defender XDR
Dotyczy:
- Microsoft Defender XDR
Niezależnie od bieżącej dojrzałości operacji zabezpieczeń ważne jest, aby dopasować je do centrum operacji zabezpieczeń (SOC). Chociaż nie ma jednego modelu, który pasuje do każdej organizacji, istnieją pewne aspekty, które są bardziej powszechne niż inne.
W poniższych sekcjach opisano podstawowe funkcje soc.
Zapewnianie świadomości sytuacyjnej współczesnych zagrożeń
Zespół SOC przygotowuje się i poluje na nowe i przychodzące zagrożenia, dzięki czemu może współpracować z organizacją w celu ustanowienia środków zaradczych i odpowiedzi. Twój zespół SOC powinien mieć personel, który jest wysoko wyszkolony w nowoczesnych metodach i technikach ataków oraz zrozumieć aktorów zagrożeń. Współużytkowana analiza zagrożeń i struktury, takie jak łańcuch Cyber Kill Lubstruktura MITRE ATT&CK , mogą zwiększyć możliwości personelu analityków zagrożeń i łowców zagrożeń.
Zapewnianie odpowiedzi pierwszego, drugiego i potencjalnie trzeciego poziomu na zdarzenia i zdarzenia cybernetyczne
SOC jest pierwszą linią obrony przed zdarzeniami i incydentami bezpieczeństwa. Gdy zdarzenie, zagrożenie, atak, naruszenie zasad lub wyniki inspekcji wyzwalają alert lub wezwanie do działania, zespół SOC dokonuje oceny w celu klasyfikacji i powstrzymania go lub eskalacji w celu zbadania. W związku z tym ratownicy pierwszego wiersza SOC muszą posiadać szeroką wiedzę techniczną na temat zdarzeń i wskaźników bezpieczeństwa.
Scentralizowanie monitorowania i rejestrowania źródeł zabezpieczeń organizacji
Zazwyczaj podstawową funkcją zespołu SOC jest upewnienie się, że wszystkie urządzenia zabezpieczeń, takie jak zapory, systemy zapobiegania włamaniom, systemy zapobiegania utracie danych, systemy zarządzania lukami w zabezpieczeniach i systemy tożsamości działają prawidłowo i są monitorowane. Zespoły SOC współpracują z szerszymi operacjami sieciowymi, takimi jak identity, DevOps, cloud, application, data science i inne zespoły biznesowe, aby zapewnić scentralizowanie i zabezpieczenie analizy informacji o zabezpieczeniach. Ponadto zespół SOC jest odpowiedzialny za utrzymywanie dzienników danych w formatach możliwych do użycia i czytelnych, co może obejmować analizowanie i normalizowanie różnych formatów.
Ustal gotowość operacyjną zespołu Red, Blue i Purple
Każdy zespół SOC powinien przetestować swoją gotowość do reagowania na incydent cybernetyczny. Testowanie można wykonać za pośrednictwem ćwiczeń szkoleniowych, takich jak table-topy i przebiegi treningowe z różnymi osobami w branży IT, zabezpieczeniach i na poziomie biznesowym. Poszczególne zespoły treningowe są tworzone na podstawie reprezentatywnych ról i odgrywają rolę obrońcy (Blue Team), atakującego (Red Team) lub jako obserwatorzy dążący do poprawy metod i technik zespołów Niebieski i Czerwony poprzez mocne i słabe strony, które są odkrywane podczas ćwiczenia (Purple Team).
Następny krok
Krok nr 2. Przeprowadzanie oceny gotowości do integracji soc przy użyciu Zero Trust Framework
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla