Omówienie reagowania na zdarzenia
Reagowanie na zdarzenia to praktyka badania i korygowania aktywnych kampanii ataku w organizacji. Jest to część dziedziny operacji zabezpieczeń (SecOps) i jest przede wszystkim reaktywna w naturze.
Reagowanie na zdarzenia ma największy bezpośredni wpływ na ogólny średni czas potwierdzenia (MTTA) i średni czas korygowania (MTTR), który mierzy, jak dobrze działają operacje zabezpieczeń w celu zmniejszenia ryzyka organizacyjnego. Zespoły reagowania na zdarzenia w dużym stopniu polegają na dobrych relacjach roboczych między zespołami ds. wyszukiwania zagrożeń, analizy i zarządzania zdarzeniami (jeśli istnieją), aby rzeczywiście zmniejszyć ryzyko. Aby uzyskać więcej informacji, zobacz metryki SecOps .
Aby uzyskać więcej informacji na temat ról i obowiązków związanych z operacjami zabezpieczeń, zobacz Funkcje SOC w chmurze.
Proces reagowania na zdarzenia
Pierwszym krokiem jest posiadanie planu reagowania na zdarzenia obejmujące zarówno wewnętrzne, jak i zewnętrzne procesy reagowania na zdarzenia cyberbezpieczeństwa. Plan powinien szczegółowo określać sposób, w jaki organizacja powinna:
- Rozwiązywanie ataków, które różnią się w zależności od ryzyka biznesowego i wpływu zdarzenia, które mogą się różnić od odizolowanej witryny sieci Web, która nie jest już dostępna do naruszenia poświadczeń na poziomie administratora.
- Zdefiniuj cel odpowiedzi, na przykład powrót do usługi lub obsługę aspektów prawnych lub public relations ataku.
- Nadaj priorytet pracy, która musi zostać wykonana pod względem liczby osób, które powinny pracować nad incydentem i ich zadaniami.
Zapoznaj się z artykułem dotyczącym planowania reagowania na zdarzenia , aby zapoznać się z listą kontrolną działań, które należy wziąć pod uwagę w planie reagowania na zdarzenia. Gdy plan reagowania na zdarzenia zostanie uruchomiony, przetestuj go regularnie pod kątem najpoważniejszych rodzajów cyberataków, aby upewnić się, że twoja organizacja może szybko i skutecznie reagować.
Chociaż proces reagowania na zdarzenia w każdej organizacji może się różnić w zależności od struktury organizacyjnej i możliwości oraz doświadczenia historycznego, należy wziąć pod uwagę zestaw zaleceń i najlepszych rozwiązań w tym artykule dotyczących reagowania na zdarzenia zabezpieczeń.
Podczas zdarzenia ważne jest:
Zachowaj spokój
Incydenty są bardzo destrukcyjne i mogą stać się emocjonalnie obciążane. Zachowaj spokój i skoncentruj się na priorytetyzacji wysiłków na najbardziej wpływowych działaniach.
Nie rób żadnych szkód
Upewnij się, że odpowiedź została zaprojektowana i wykonana w sposób, który pozwala uniknąć utraty danych, utraty funkcji krytycznych dla działania firmy i utraty dowodów. Unikanie decyzji może uszkodzić możliwość tworzenia osi czasu kryminalistycznych, identyfikowania głównej przyczyny i uczenia się krytycznych lekcji.
Angażowanie działu prawnego
Ustal, czy planują one obejmować organy ścigania, aby można było odpowiednio zaplanować procedury badania i odzyskiwania.
Zachowaj ostrożność podczas udostępniania informacji o zdarzeniu publicznie
Upewnij się, że wszystko, co udostępniasz swoim klientom, a opinia publiczna jest oparta na poradach działu prawnego.
Uzyskiwanie pomocy w razie potrzeby
Zapoznaj się z głęboką wiedzą i doświadczeniem podczas badania i reagowania na ataki przed zaawansowanymi osobami atakującymi.
Podobnie jak diagnozowanie i leczenie choroby, badanie cyberbezpieczeństwa i reagowanie na poważne zdarzenie wymaga obrony systemu, który jest zarówno:
- Niezwykle ważne (nie można go zamknąć, aby nad nim pracować).
- Złożony (zazwyczaj poza zrozumieniem jednej osoby).
Podczas zdarzenia należy wykonać następujące krytyczne równowagi:
Szybkość
Zrównoważ konieczność szybkiego działania w celu zaspokojenia zainteresowanych stron z ryzykiem pośpiechu decyzji.
Udostępnianie informacji
Poinformuj badaczy, uczestników projektu i klientów w oparciu o porady działu prawnego, aby ograniczyć odpowiedzialność i uniknąć ustalania nierealistycznych oczekiwań.
Ten artykuł ma na celu obniżenie ryzyka dla organizacji w przypadku zdarzenia cyberbezpieczeństwa, identyfikując typowe błędy, aby uniknąć i zapewnić wskazówki dotyczące działań, które można szybko podjąć, aby zmniejszyć ryzyko i spełnić potrzeby uczestników projektu.
Uwaga
Aby uzyskać dodatkowe wskazówki dotyczące przygotowywania organizacji na potrzeby oprogramowania wymuszającego okup i innych typów ataków wieloetapowych, zobacz Przygotowywanie planu odzyskiwania.
Najlepsze rozwiązania dotyczące odpowiedzi
Reagowanie na zdarzenia można skutecznie wykonywać zarówno z perspektywy technicznych, jak i operacyjnych przy użyciu tych zaleceń.
Uwaga
Aby uzyskać dodatkowe szczegółowe wskazówki branżowe, zobacz Przewodnik obsługi zdarzeń zabezpieczeń komputerów NIST.
Najlepsze rozwiązania dotyczące odpowiedzi technicznych
W przypadku technicznych aspektów reagowania na zdarzenia należy wziąć pod uwagę kilka celów:
Spróbuj zidentyfikować zakres operacji ataku.
Większość przeciwników używa wielu mechanizmów trwałości.
Zidentyfikuj cel ataku, jeśli to możliwe.
Trwałe osoby atakujące często zwracają swój cel (dane/systemy) w przyszłym ataku.
Oto kilka przydatnych wskazówek:
Nie przekazuj plików do skanerów online
Wielu przeciwników monitoruje liczbę wystąpień, takich jak VirusTotal, na potrzeby odnajdywania docelowego złośliwego oprogramowania.
Starannie rozważ modyfikacje
Jeśli nie grozi to nieuchronnym zagrożeniem utraty danych o znaczeniu krytycznym dla działania firmy— takich jak usunięcie, szyfrowanie i eksfiltracja — zrównoważ ryzyko nie wprowadzania modyfikacji z przewidywanym wpływem na działalność biznesową. Na przykład tymczasowe zamknięcie dostępu do Internetu w organizacji może być konieczne w celu ochrony zasobów krytycznych dla działania firmy podczas aktywnego ataku.
Jeśli zmiany są konieczne, gdy ryzyko nie wykonania akcji jest wyższe niż ryzyko jego wykonania, należy udokumentować akcję w dzienniku zmian. Zmiany wprowadzone podczas reagowania na zdarzenia koncentrują się na zakłócaniu działania osoby atakującej i mogą mieć negatywny wpływ na firmę. Te zmiany należy wycofać po zakończeniu procesu odzyskiwania.
Nie badaj na zawsze
Musisz bezwzględnie określić priorytety swoich wysiłków związanych z badaniem. Na przykład przeprowadzaj analizę kryminalistyczną tylko w punktach końcowych, które osoby atakujące rzeczywiście używały lub modyfikowały. Na przykład w przypadku poważnego incydentu, w którym osoba atakująca ma uprawnienia administracyjne, praktycznie nie można zbadać wszystkich potencjalnie naruszonych zasobów (które mogą obejmować wszystkie zasoby organizacji).
Udostępnianie informacji
Upewnij się, że wszystkie zespoły dochodzeniowe, w tym wszystkie zespoły wewnętrzne i zewnętrzni śledczy lub dostawcy ubezpieczeń, udostępniają sobie swoje dane na podstawie porady działu prawnego.
Uzyskiwanie dostępu do odpowiedniej wiedzy
Upewnij się, że integrujesz osoby z głęboką wiedzą na temat systemów w dochodzeniu — na przykład pracowników wewnętrznych lub podmiotów zewnętrznych, takich jak dostawcy — nie tylko generaliści zabezpieczeń.
Przewidywanie ograniczonej możliwości odpowiedzi
Zaplanuj 50% pracowników pracujących na poziomie 50% normalnej pojemności z powodu stresu sytuacyjnego.
Kluczowym oczekiwaniem na zarządzanie osobami biorącymi udział w projekcie jest to, że nigdy nie można zidentyfikować początkowego ataku, ponieważ dane wymagane do tego zdarzenia mogły zostać usunięte przed rozpoczęciem badania, takie jak osoba atakująca obejmująca ich ślady przez stopniowe kroczenie dzienników.
Najlepsze rozwiązania dotyczące odpowiedzi na operacje
W przypadku aspektów operacji zabezpieczeń (SecOps) reagowania na zdarzenia należy wziąć pod uwagę kilka celów:
Pozostanie skoncentrowanym
Upewnij się, że koncentrujesz się na danych krytycznych dla działania firmy, wpływie klientów i uzyskaniu gotowości do korygowania.
Zapewnianie przejrzystości koordynacji i ról
Ustanów odrębne role dla operacji w zakresie wsparcia zespołu kryzysowego i upewnij się, że zespoły techniczne, prawne i komunikacyjne utrzymują się nawzajem nawzajem.
Utrzymywanie perspektywy biznesowej
Zawsze należy wziąć pod uwagę wpływ na operacje biznesowe zarówno przez działania przeciwników, jak i własne działania odpowiedzi.
Oto kilka przydatnych wskazówek:
Rozważ system poleceń zdarzenia (ICS) na potrzeby zarządzania kryzysowego
Jeśli nie masz stałej organizacji, która zarządza zdarzeniami bezpieczeństwa, zalecamy użycie ICS jako tymczasowej struktury organizacyjnej do zarządzania kryzysem.
Zachowaj bieżące codzienne operacje bez zmian
Upewnij się, że normalne metody SecOps nie są całkowicie odsuwane w celu obsługi dochodzeń dotyczących zdarzeń. Ta praca nadal musi zostać wykonana.
Unikaj marnudnych wydatków
Wiele poważnych zdarzeń powoduje zakup drogich narzędzi zabezpieczeń pod presją, które nigdy nie są wdrażane ani używane. Jeśli nie możesz wdrożyć i użyć narzędzia podczas badania, które może obejmować zatrudnianie i szkolenie dla dodatkowych pracowników z zestawami umiejętności potrzebnymi do obsługi narzędzia, odrocz pozyskiwanie dopiero po zakończeniu badania.
Uzyskiwanie dostępu do głębokiej wiedzy
Upewnij się, że masz możliwość eskalacji pytań i problemów do głębokich ekspertów na platformach krytycznych. Może to wymagać dostępu do systemu operacyjnego i dostawcy aplikacji dla systemów o znaczeniu krytycznym dla działania firmy oraz składników dla całego przedsiębiorstwa, takich jak komputery stacjonarne i serwery.
Ustanawianie przepływów informacji
Ustaw jasne wskazówki i oczekiwania dotyczące przepływu informacji między starszymi liderami reagowania na zdarzenia i uczestnikami organizacji. Aby uzyskać więcej informacji, zobacz planowanie reagowania na zdarzenia .
Najlepsze rozwiązania dotyczące odzyskiwania
Odzyskiwanie po zdarzeniach można skutecznie wykonywać zarówno z perspektywy technicznej, jak i operacyjnej przy użyciu tych zaleceń.
Najlepsze rozwiązania dotyczące odzyskiwania technicznego
W przypadku technicznych aspektów odzyskiwania po zdarzeniu należy wziąć pod uwagę kilka celów:
Nie gotuj oceanu
Ogranicz zakres odpowiedzi, aby można było wykonać operację odzyskiwania w ciągu 24 godzin lub mniej. Zaplanuj weekend, aby uwzględnić zdarzenia i działania naprawcze.
Unikaj rozpraszania uwagi
Odroczenie długoterminowych inwestycji w zabezpieczenia, takich jak wdrażanie dużych i złożonych nowych systemów zabezpieczeń lub zastępowanie rozwiązań chroniących przed złośliwym oprogramowaniem dopiero po operacji odzyskiwania. Wszystko, co nie ma bezpośredniego i natychmiastowego wpływu na bieżącą operację odzyskiwania, jest rozproszeniem uwagi.
Oto kilka przydatnych wskazówek:
Nigdy nie resetuj wszystkich haseł jednocześnie
Resetowanie haseł powinno skupić się najpierw na znanych kontach, których bezpieczeństwo jest naruszone na podstawie badania i są potencjalnie administratorami lub kontami usług. Jeśli jest to uzasadnione, hasła użytkowników powinny być resetowane tylko w sposób przygotowany i kontrolowany.
Konsoliduj wykonywanie zadań odzyskiwania
Jeśli nie napotkasz bezpośredniego zagrożenia utraty danych krytycznych dla działania firmy, należy zaplanować operację skonsolidowaną, aby szybko skorygować wszystkie naruszone zasoby (takie jak hosty i konta) w porównaniu z korygowaniem naruszonych zasobów w miarę ich znajdowania. Kompresowanie tego przedziału czasu utrudni operatorom ataków dostosowanie i utrzymanie trwałości.
Korzystanie z istniejących narzędzi
Zapoznaj się z możliwościami narzędzi, które zostały już wdrożone, i skorzystaj z nich przed podjęciem próby wdrożenia i zapoznania się z nowym narzędziem podczas odzyskiwania.
Unikaj przechylania przeciwnika
W praktyce należy podjąć kroki w celu ograniczenia informacji dostępnych dla przeciwników dotyczących operacji odzyskiwania. Przeciwnicy zwykle mają dostęp do wszystkich danych produkcyjnych i poczty e-mail w przypadku poważnego incydentu cyberbezpieczeństwa. Jednak w rzeczywistości większość atakujących nie ma czasu na monitorowanie całej komunikacji.
Centrum operacji zabezpieczeń firmy Microsoft (SOC) korzysta z nieprodukcyjnej dzierżawy platformy Microsoft 365 na potrzeby bezpiecznej komunikacji i współpracy dla członków zespołu reagowania na zdarzenia.
Najlepsze rozwiązania dotyczące odzyskiwania operacji
W przypadku aspektów operacji odzyskiwania po zdarzeniu poniżej przedstawiono kilka celów, które należy wziąć pod uwagę:
Posiadanie jasnego planu i ograniczonego zakresu
Ściśle współpracuj z zespołami technicznymi, aby utworzyć jasny plan o ograniczonym zakresie. Chociaż plany mogą ulec zmianie na podstawie działań przeciwników lub nowych informacji, należy pilnie pracować, aby ograniczyć rozszerzanie zakresu i wykonywać dodatkowe zadania.
Posiadanie jasnego własności planu
Operacje odzyskiwania obejmują wiele osób wykonujących wiele różnych zadań jednocześnie, dlatego wyznaczyć lidera projektu dla operacji jasnego podejmowania decyzji i ostatecznych informacji do przepływu wśród zespołu kryzysowego.
Obsługa komunikacji uczestników projektu
Współpracuj z zespołami komunikacyjnymi, aby zapewnić terminowe aktualizacje i aktywne zarządzanie oczekiwaniami dla uczestników projektu organizacji.
Oto kilka przydatnych wskazówek:
Znajomość możliwości i limitów
Zarządzanie poważnymi zdarzeniami bezpieczeństwa jest bardzo trudne, bardzo złożone i nowe dla wielu specjalistów w branży. Należy rozważyć wprowadzenie wiedzy z zewnętrznych organizacji lub profesjonalnych usług, jeśli twoje zespoły są przeciążone lub nie są pewni, co zrobić dalej.
Przechwytywanie wyciągniętych lekcji
Twórz i stale ulepszaj podręczniki specyficzne dla ról dla metody SecOps, nawet jeśli jest to pierwsze zdarzenie bez żadnych pisemnych procedur.
Komunikacja kadry kierowniczej i zarządu w zakresie reagowania na zdarzenia może być trudna, jeśli nie jest praktykowana lub przewidywana. Upewnij się, że masz plan komunikacji umożliwiający zarządzanie raportowaniem postępu i oczekiwaniami dotyczącymi odzyskiwania.
Proces reagowania na zdarzenia dla metodyki SecOps
Zapoznaj się z ogólnymi wskazówkami dotyczącymi procesu reagowania na zdarzenia dla personelu i secops.
1. Podejmowanie decyzji i podejmowanie działań
Gdy narzędzie do wykrywania zagrożeń, takie jak Usługa Microsoft Sentinel lub Microsoft 365 Defender wykryje prawdopodobny atak, tworzy zdarzenie. Średni czas potwierdzenia (MTTA) reakcji SOC zaczyna się od czasu, gdy ten atak zostanie zauważony przez pracowników ochrony.
Analityk zmiany jest delegowany lub przejmuje własność zdarzenia i wykonuje wstępną analizę. Sygnatura czasowa dla tego jest końcem pomiaru odpowiedzi MTTA i rozpoczyna pomiar średniego czasu korygowania (MTTR).
Ponieważ analityk, który jest właścicielem zdarzenia, rozwija wystarczająco wysoki poziom pewności, że rozumie historię i zakres ataku, może szybko przejść do planowania i wykonywania akcji oczyszczania.
W zależności od charakteru i zakresu ataku analitycy mogą czyścić artefakty ataków w miarę ich działania (takie jak wiadomości e-mail, punkty końcowe i tożsamości) lub mogą utworzyć listę zagrożonych zasobów w celu wyczyszczenia wszystkich zasobów jednocześnie (znanych jako Big Bang)
Czyszczenie podczas pracy
W przypadku większości typowych zdarzeń, które są wykrywane na wczesnym etapie operacji ataku, analitycy mogą szybko wyczyścić artefakty w miarę ich znajdowania. To stawia przeciwnika w niekorzystnej sytuacji i uniemożliwia im przejście do przodu z następnym etapem ataku.
Przygotowanie do wielkiego wybuchu
Takie podejście jest odpowiednie w przypadku scenariusza, w którym przeciwnik już osiedlił się i ustanowił nadmiarowe mechanizmy dostępu do twojego środowiska. Jest to często spotykane w przypadku zdarzeń klientów zbadanych przez zespół ds. wykrywania i reagowania firmy Microsoft (DART). W tym podejściu analitycy powinni unikać przechylania przeciwnika do momentu pełnego odkrycia obecności osoby atakującej, ponieważ zaskoczenie może pomóc w pełnym zakłócaniu działania.
Firma Microsoft dowiedziała się, że częściowe korygowanie często radzi sobie z przeciwnikiem, co daje im szansę zareagować i szybko pogorszyć incydent. Na przykład osoba atakująca może dalej rozpowszechniać atak, zmieniać swoje metody dostępu, aby uniknąć wykrywania, zakrywać ślady i zadawać dane oraz uszkodzenia systemu i zniszczenia w celu zemsty.
Czyszczenie wyłudzania informacji i złośliwych wiadomości e-mail często można wykonać bez przechylania osoby atakującej, ale czyszczenie złośliwego oprogramowania hosta i odzyskiwanie kontroli nad kontami ma duże szanse na odnajdywanie.
Nie są to łatwe decyzje do podjęcia i nie ma substytutu doświadczenia w podejmowaniu tych wezwań osądu. Wspólne środowisko pracy i kultura w SOC pomaga zapewnić, że analitycy mogą wykorzystać swoje doświadczenie.
Konkretne kroki odpowiedzi zależą od charakteru ataku, ale najbardziej typowe procedury stosowane przez analityków mogą obejmować:
Punkty końcowe klienta (urządzenia)
Wyizoluj punkt końcowy i skontaktuj się z użytkownikiem lub operacjami IT/pomocą techniczną, aby zainicjować procedurę ponownej instalacji.
Serwer lub aplikacje
Współpracuj z właścicielami operacji IT i aplikacji w celu szybkiego korygowania tych zasobów.
Konta użytkowników
Odzyskaj kontrolę, wyłączając konto i resetując hasło dla kont z naruszonymi naruszeniami. Te procedury mogą ewoluować w miarę przechodzenia użytkowników do uwierzytelniania bez hasła przy użyciu Windows Hello lub innej formy uwierzytelniania wieloskładnikowego (MFA). Osobnym krokiem jest wygaśnięcie wszystkich tokenów uwierzytelniania dla konta przy użyciu Microsoft Defender for Cloud Apps.
Analitycy mogą również przejrzeć numer telefonu metody MFA i rejestrację urządzenia, aby upewnić się, że nie został on porwany, kontaktując się z użytkownikiem i resetując te informacje zgodnie z potrzebami.
Konta usług
Ze względu na wysokie ryzyko związane z usługą lub wpływem na działalność biznesową analitycy powinni współpracować z właścicielem rekordu konta usługi, wracając do operacji IT zgodnie z potrzebami, aby zorganizować szybkie korygowanie tych zasobów.
Wiadomości e-mail
Usuń atak lub wiadomość e-mail wyłudzającą informacje, a czasami usuwaj je, aby uniemożliwić użytkownikom odzyskiwanie usuniętych wiadomości e-mail. Zawsze zapisuj kopię oryginalnej wiadomości e-mail, aby później wyszukiwać analizę po ataku, taką jak nagłówki, zawartość i skrypty lub załączniki.
Inne
Akcje niestandardowe można wykonywać na podstawie charakteru ataku, takiego jak odwołowanie tokenów aplikacji i ponowne konfigurowanie serwerów i usług.
2. Oczyszczanie po zdarzeniu
Ponieważ nie korzystasz z wyciągniętych lekcji, dopóki nie zmienisz przyszłych akcji, zawsze integruj wszelkie przydatne informacje zdobyte z badania z powrotem do metody SecOps.
Ustal połączenia między przeszłymi i przyszłymi zdarzeniami przez tych samych aktorów lub metod zagrożeń i przechwyć te informacje, aby uniknąć powtarzania ręcznych opóźnień pracy i analizy w przyszłości.
Te wnioski mogą mieć wiele form, ale typowe rozwiązania obejmują analizę:
Wskaźniki naruszenia (IoCs).
Zarejestruj wszystkie odpowiednie identyfikatory IoC, takie jak skróty plików, złośliwe adresy IP i atrybuty wiadomości e-mail w systemach analizy zagrożeń SOC.
Nieznane lub niezałaczone luki w zabezpieczeniach.
Analitycy mogą inicjować procesy, aby zapewnić stosowanie brakujących poprawek zabezpieczeń, poprawianie błędów konfiguracji, a dostawcy (w tym firma Microsoft) otrzymują informacje o lukach w zabezpieczeniach typu "zero day", dzięki czemu mogą tworzyć i rozpowszechniać poprawki zabezpieczeń.
Akcje wewnętrzne, takie jak włączanie rejestrowania zasobów obejmujących zasoby oparte na chmurze i lokalne.
Przejrzyj istniejące punkty odniesienia zabezpieczeń i rozważ dodanie lub zmianę mechanizmów kontroli zabezpieczeń. Aby uzyskać informacje na temat włączania odpowiedniego poziomu inspekcji w katalogu przed następnym zdarzeniem, zobacz na przykład przewodnik dotyczący operacji zabezpieczeń usługi Azure Active Directory .
Przejrzyj procesy reagowania, aby zidentyfikować i rozwiązać wszelkie luki znalezione podczas zdarzenia.
Zasoby reagowania na zdarzenia
- Omówienie produktów i zasobów zabezpieczeń firmy Microsoft dla nowych i doświadczonych analityków
- Planowanie soc
- Podręczniki zawierające szczegółowe wskazówki dotyczące reagowania na typowe metody ataku
- Microsoft 365 Defender reagowanie na zdarzenia
- Microsoft Defender for Cloud (Azure)
- Reagowanie na zdarzenia w usłudze Microsoft Sentinel
Kluczowe zasoby zabezpieczeń firmy Microsoft
| Zasób | Opis |
|---|---|
| Raport firmy Microsoft na temat ochrony zasobów cyfrowych 2021 r. | Raport, który obejmuje wnioski ekspertów w dziedzinie zabezpieczeń, praktyków i obrońców w firmie Microsoft, aby umożliwić ludziom na całym świecie obronę przed cyberzagrożeniami. |
| Architektury referencyjne cyberbezpieczeństwa firmy Microsoft | Zestaw diagramów architektury wizualnej przedstawiający możliwości cyberbezpieczeństwa i integrację firmy Microsoft z platformami w chmurze firmy Microsoft, takimi jak Microsoft 365 i Microsoft Azure oraz platformy i aplikacje w chmurze innych firm. |
| Pobieranie infografiki w minutach | Omówienie sposobu reagowania zespołu SecOps firmy Microsoft na zdarzenia w celu ograniczenia bieżących ataków. |
| Operacje zabezpieczeń usługi Azure Cloud Adoption Framework | Strategiczne wskazówki dla liderów ustanawiających lub modernizujących funkcję operacji zabezpieczeń. |
| Najlepsze rozwiązania dotyczące zabezpieczeń firmy Microsoft dotyczące operacji zabezpieczeń | Jak najlepiej używać centrum secOps, aby przejść szybciej niż osoby atakujące skierowane do organizacji. |
| Zabezpieczenia w chmurze firmy Microsoft dla modelu architektów IT | Zabezpieczenia usług i platform w chmurze firmy Microsoft na potrzeby tożsamości i dostępu do urządzeń, ochrony przed zagrożeniami i ochrony informacji. |
| Dokumentacja zabezpieczeń firmy Microsoft | Dodatkowe wskazówki dotyczące zabezpieczeń firmy Microsoft. |