Omówienie reagowania na zdarzenia
Reagowanie na zdarzenia to praktyka badania i korygowania aktywnych kampanii ataku w organizacji. Reagowanie na zdarzenia jest częścią dziedziny Operacje zabezpieczeń (SecOps) i jest przede wszystkim reaktywne.
Reagowanie na zdarzenia ma największy bezpośredni wpływ na ogólny średni czas potwierdzenia (MTTA) i średni czas korygowania (MTTR), który mierzy, jak dobrze działają operacje zabezpieczeń w celu zmniejszenia ryzyka organizacyjnego. Zespoły reagowania na zdarzenia w dużym stopniu polegają na dobrych relacjach roboczych między zespołami zarządzania zagrożeniami, analizą i zdarzeniami (jeśli istnieją), aby rzeczywiście zmniejszyć ryzyko. Aby uzyskać więcej informacji, zobacz Metryki SecOps.
Aby uzyskać więcej informacji na temat ról i obowiązków operacji zabezpieczeń, zobacz Funkcje SOC w chmurze.
Proces reagowania na zdarzenia
Pierwszym krokiem jest posiadanie planu reagowania na zdarzenia obejmujące zarówno wewnętrzne, jak i zewnętrzne procesy reagowania na zdarzenia cyberbezpieczeństwa. Plan powinien szczegółowo określać sposób działania organizacji:
- Rozwiązywanie ataków, które różnią się w zależności od ryzyka biznesowego i wpływu zdarzenia, które mogą się różnić od odizolowanej witryny internetowej, która nie jest już dostępna dla naruszenia poświadczeń na poziomie administratora.
- Zdefiniuj cel odpowiedzi, na przykład powrót do usługi lub obsługę aspektów prawnych lub public relations ataku.
- Określ priorytety pracy, która musi zostać wykonana pod względem liczby osób, które powinny pracować nad incydentem i ich zadaniami.
Zapoznaj się z artykułem dotyczącym planowania reagowania na zdarzenia, aby zapoznać się z listą kontrolną działań, które należy wziąć pod uwagę w planie reagowania na zdarzenia. Gdy plan reagowania na zdarzenia zostanie uruchomiony, przetestuj go regularnie pod kątem najpoważniejszych ataków cybernetycznych, aby upewnić się, że twoja organizacja może szybko i wydajnie reagować.
Mimo że proces reagowania na zdarzenia w każdej organizacji może się różnić w zależności od struktury organizacyjnej i możliwości oraz doświadczenia historycznego, należy wziąć pod uwagę zestaw zaleceń i najlepszych rozwiązań w tym artykule na potrzeby reagowania na zdarzenia zabezpieczeń.
W trakcie zdarzenia kluczowe znaczenie ma:
Zachowaj spokój
Incydenty są bardzo destrukcyjne i mogą stać się emocjonalnie naładowane. Zachowaj spokój i skoncentruj się na priorytetyzacji wysiłków na najbardziej wpływowych działaniach.
Nie szkody
Upewnij się, że odpowiedź została zaprojektowana i wykonana w sposób, który pozwala uniknąć utraty danych, utraty funkcji krytycznych dla działania firmy i utraty dowodów. Unikanie decyzji może spowodować uszkodzenie możliwości tworzenia osi czasu kryminalistycznego, identyfikowania głównej przyczyny i uczenia się krytycznych lekcji.
Zaangażuj dział prawny
Określ, czy planują one obejmować organy ścigania, aby móc odpowiednio zaplanować swoje procedury dochodzenia i odzyskiwania.
Zachowaj ostrożność podczas udostępniania informacji o zdarzeniu publicznie
Upewnij się, że wszystko, co udostępniasz swoim klientom i opinii publicznej, jest oparte na poradach działu prawnego.
Uzyskaj pomoc w razie potrzeby
Korzystaj z głębokiej wiedzy i doświadczenia podczas badania i reagowania na ataki ze strony zaawansowanych napastników.
Podobnie jak diagnozowanie i leczenie choroby medycznej, badanie cyberbezpieczeństwa i reagowanie na poważne zdarzenie wymaga obrony systemu, który jest zarówno:
- Krytycznie ważne (nie można go zamknąć, aby pracować nad nim).
- Złożone (zazwyczaj poza zrozumieniem jednej osoby).
Podczas zdarzenia należy wykonać następujące krytyczne salda:
Szybkość
Zrównoważ konieczność szybkiego działania w celu zaspokojenia zainteresowanych stron ryzykiem pośpiesznych decyzji.
Udostępnianie informacji
Poinformuj badaczy, uczestników projektu i klientów na podstawie porad działu prawnego, aby ograniczyć odpowiedzialność i uniknąć ustalania nierealnych oczekiwań.
Ten artykuł ma na celu zmniejszenie ryzyka dla organizacji w przypadku zdarzenia cyberbezpieczeństwa przez zidentyfikowanie typowych błędów w celu uniknięcia i udostępnienia wskazówek dotyczących działań, które można szybko podjąć, aby zmniejszyć ryzyko i zaspokoić potrzeby uczestników projektu.
Uwaga
Aby uzyskać więcej wskazówek dotyczących przygotowywania organizacji do ataków wymuszającego okup i innych typów ataków wieloetapowych, zobacz Przygotowywanie planu odzyskiwania.
Najlepsze rozwiązania dotyczące odpowiedzi
Reagowanie na zdarzenia można skutecznie wykonywać zarówno z perspektywy technicznej, jak i operacyjnej przy użyciu tych zaleceń.
Uwaga
Aby uzyskać bardziej szczegółowe wskazówki branżowe, zobacz Przewodnik obsługi zdarzeń zabezpieczeń komputerów NIST.
Najlepsze rozwiązania dotyczące odpowiedzi technicznych
W przypadku technicznych aspektów reagowania na zdarzenia poniżej przedstawiono kilka celów, które należy wziąć pod uwagę:
Spróbuj zidentyfikować zakres operacji ataku.
Większość przeciwników używa wielu mechanizmów trwałości.
Zidentyfikuj cel ataku, jeśli to możliwe.
Osoby atakujące będą często zwracać cel (dane/systemy) w przyszłości.
Oto kilka przydatnych wskazówek:
Nie przekazuj plików do skanerów online
Wielu przeciwników monitoruje liczbę wystąpień, takich jak VirusTotal w celu wykrycia docelowego złośliwego oprogramowania.
Starannie rozważ modyfikacje
Jeśli nie napotkasz bezpośredniego zagrożenia utraty danych krytycznych dla działania firmy, takich jak usunięcie, szyfrowanie i eksfiltracja, zrównoważ ryzyko nie wprowadzania modyfikacji z przewidywanym wpływem na działalność biznesową. Na przykład tymczasowe zamknięcie dostępu do Internetu w organizacji może być konieczne do ochrony zasobów krytycznych dla działania firmy podczas aktywnego ataku.
Jeśli zmiany są konieczne, gdy ryzyko nie wykonania akcji jest wyższe niż ryzyko jego wykonania, należy udokumentować akcję w dzienniku zmian. Zmiany wprowadzone podczas reagowania na zdarzenia koncentrują się na zakłócaniu działania atakującego i mogą mieć negatywny wpływ na firmę. Po zakończeniu procesu odzyskiwania należy wycofać te zmiany.
Nie badaj na zawsze
Należy bezwzględnie określić priorytety wysiłków związanych z badaniem. Na przykład przeprowadzaj analizę kryminalistyczną tylko w punktach końcowych, których osoby atakujące używały lub modyfikowały. Na przykład w przypadku poważnego zdarzenia, w którym osoba atakująca ma uprawnienia administracyjne, praktycznie nie można zbadać wszystkich potencjalnie naruszonych zasobów (które mogą obejmować wszystkie zasoby organizacji).
Udostępnianie informacji
Upewnij się, że wszystkie zespoły dochodzeniowe, w tym wszystkie wewnętrzne zespoły i zewnętrzni śledczy lub dostawcy ubezpieczeń, udostępniają sobie swoje dane na podstawie porady działu prawnego.
Uzyskiwanie dostępu do odpowiedniej wiedzy fachowej
Upewnij się, że integrujesz osoby z głęboką wiedzą na temat systemów w dochodzeniu — na przykład pracowników wewnętrznych lub podmiotów zewnętrznych, takich jak dostawcy — nie tylko generalistów zabezpieczeń.
Przewidywanie ograniczonej możliwości odpowiedzi
Zaplanuj 50% pracowników pracujących na poziomie 50% normalnej zdolności z powodu stresu sytuacyjnego.
Kluczowym oczekiwaniem na zarządzanie osobami biorącymi udział w projekcie jest to, że nigdy nie można zidentyfikować początkowego ataku, ponieważ dane wymagane do identyfikacji zostały usunięte przed rozpoczęciem badania, takie jak osoba atakująca obejmująca ich ślady przez stopniowe wprowadzanie dzienników.
Najlepsze rozwiązania dotyczące odpowiedzi na operacje
W przypadku aspektów operacji zabezpieczeń (SecOps) reagowania na zdarzenia poniżej przedstawiono kilka celów, które należy wziąć pod uwagę:
Skupianie się na
Upewnij się, że koncentrujesz się na danych krytycznych dla działania firmy, wpływie na klientów i przygotuj się do korygowania.
Zapewnianie przejrzystości koordynacji i roli
Ustal odrębne role dla operacji na rzecz zespołu kryzysowego i upewnij się, że zespoły techniczne, prawne i komunikacyjne zapewniają sobie nawzajem informacje.
Utrzymanie perspektywy biznesowej
Zawsze należy wziąć pod uwagę wpływ na operacje biznesowe zarówno przez działania niepożądane, jak i własne akcje odpowiedzi.
Oto kilka przydatnych wskazówek:
Rozważ system poleceń incydentów (ICS) na potrzeby zarządzania kryzysem
Jeśli nie masz stałej organizacji, która zarządza zdarzeniami bezpieczeństwa, zalecamy użycie ICS jako tymczasowej struktury organizacyjnej do zarządzania kryzysem.
Utrzymywanie bieżących codziennych operacji bez zmian
Upewnij się, że normalne metodyki SecOps nie są całkowicie odsuwane pod kątem obsługi dochodzeń dotyczących zdarzeń. Nadal należy wykonać tę pracę.
Unikanie marnowych wydatków
Wiele poważnych zdarzeń powoduje zakup drogich narzędzi zabezpieczeń pod presją, które nigdy nie są wdrażane lub używane. Jeśli nie możesz wdrożyć i użyć narzędzia podczas badania, które może obejmować zatrudnianie i szkolenie większej liczby pracowników z zestawami umiejętności potrzebnymi do obsługi narzędzia, odrocz nabycie do momentu zakończenia badania.
Uzyskiwanie dostępu do głębokiej wiedzy
Upewnij się, że masz możliwość eskalacji pytań i problemów do głębokich ekspertów na platformach krytycznych. Ta możliwość może wymagać dostępu do systemu operacyjnego i dostawcy aplikacji dla systemów krytycznych dla działania firmy oraz składników dla całego przedsiębiorstwa, takich jak komputery stacjonarne i serwery.
Ustanawianie przepływów informacji
Ustaw jasne wskazówki i oczekiwania dotyczące przepływu informacji między starszymi liderami reagowania na zdarzenia i uczestnikami projektu organizacji. Aby uzyskać więcej informacji, zobacz planowanie reagowania na zdarzenia.
Najlepsze rozwiązania dotyczące odzyskiwania
Odzyskiwanie po zdarzeniach można skutecznie wykonać zarówno z perspektywy technicznej, jak i operacyjnej przy użyciu tych zaleceń.
Najlepsze rozwiązania dotyczące odzyskiwania technicznego
Aby uzyskać techniczne aspekty odzyskiwania po zdarzeniu, poniżej przedstawiono kilka celów, które należy wziąć pod uwagę:
Nie gotuj oceanu
Ogranicz zakres odpowiedzi, aby można było wykonać operację odzyskiwania w ciągu 24 godzin lub mniej. Zaplanuj weekend, aby uwzględnić działania awaryjne i naprawcze.
Unikaj rozpraszania uwagi
Odroczenie długoterminowych inwestycji w zabezpieczenia, takich jak implementowanie dużych i złożonych nowych systemów zabezpieczeń lub zastępowanie rozwiązań chroniących przed złośliwym oprogramowaniem do momentu wykonania operacji odzyskiwania. Wszystko, co nie ma bezpośredniego i natychmiastowego wpływu na bieżącą operację odzyskiwania, jest rozproszeniem uwagi.
Oto kilka przydatnych wskazówek:
Nigdy nie resetuj wszystkich haseł jednocześnie
Resetowanie haseł powinno najpierw skupić się na znanych kontach z naruszonymi naruszeniami na podstawie badania i potencjalnie administratorów lub kont usług. Jeśli jest to uzasadnione, hasła użytkowników powinny być resetowane tylko w sposób przygotowany i kontrolowany.
Konsolidowanie wykonywania zadań odzyskiwania
Jeśli nie napotkasz bezpośredniego zagrożenia utraty danych krytycznych dla działania firmy, należy zaplanować operację skonsolidowaną, aby szybko skorygować wszystkie naruszone zasoby (takie jak hosty i konta) w porównaniu z korygowaniem naruszonych zasobów w miarę ich znajdowania. Kompresowanie tego przedziału czasu utrudnia operatorom ataków dostosowanie i utrzymanie trwałości.
Korzystanie z istniejących narzędzi
Zbadaj możliwości wdrożonych narzędzi i skorzystaj z nich przed podjęciem próby wdrożenia i zapoznania się z nowym narzędziem podczas odzyskiwania.
Unikaj przechylania się od przeciwnika
W praktyce należy podjąć kroki, aby ograniczyć informacje dostępne dla przeciwników dotyczących operacji odzyskiwania. Przeciwnicy zazwyczaj mają dostęp do wszystkich danych produkcyjnych i poczty e-mail w przypadku poważnego incydentu cyberbezpieczeństwa. Jednak w rzeczywistości większość atakujących nie ma czasu na monitorowanie całej komunikacji.
Usługa Security Operations Center (SOC) firmy Microsoft korzysta z nieprodukcyjnej dzierżawy platformy Microsoft 365 do bezpiecznej komunikacji i współpracy dla członków zespołu reagowania na zdarzenia.
Najlepsze rozwiązania dotyczące odzyskiwania operacji
W przypadku aspektów operacji odzyskiwania po zdarzeniu poniżej przedstawiono kilka celów, które należy wziąć pod uwagę:
Jasny plan i ograniczony zakres
Ściśle współpracuj z zespołami technicznymi, aby utworzyć jasny plan z ograniczonym zakresem. Chociaż plany mogą ulec zmianie na podstawie działań niepożądanych lub nowych informacji, należy pilnie pracować, aby ograniczyć rozszerzanie zakresu i wykonywać więcej zadań.
Posiadanie jasnego własności planu
Operacje odzyskiwania obejmują wiele osób wykonujących wiele różnych zadań jednocześnie, dlatego wyznaczyć kierownika projektu dla operacji w celu jasnego podejmowania decyzji i ostatecznych informacji do przepływu między zespołem kryzysowym.
Obsługa komunikacji uczestników projektu
Współpracuj z zespołami komunikacyjnymi, aby zapewnić terminowe aktualizacje i aktywne zarządzanie oczekiwaniami dla uczestników projektu organizacyjnego.
Oto kilka przydatnych wskazówek:
Znajomość możliwości i limitów
Zarządzanie poważnymi zdarzeniami bezpieczeństwa jest bardzo trudne, bardzo złożone i nowe dla wielu specjalistów w branży. Jeśli twoje zespoły są przytłoczone lub nie są pewni, co zrobić dalej, należy rozważyć wprowadzenie wiedzy z organizacji zewnętrznych lub profesjonalnych usług.
Przechwytywanie wyciągniętych lekcji
Twórz i stale ulepszaj podręczniki specyficzne dla ról dla metodyki SecOps, nawet jeśli jest to pierwsze zdarzenie bez żadnych pisemnych procedur.
Komunikacja kadry kierowniczej i zarządu na potrzeby reagowania na zdarzenia może być trudna, jeśli nie jest praktykowana lub przewidywana. Upewnij się, że masz plan komunikacji umożliwiający zarządzanie raportowaniem postępu i oczekiwaniami dotyczącymi odzyskiwania.
Proces reagowania na zdarzenia dla metodyki SecOps
Zapoznaj się z ogólnymi wskazówkami dotyczącymi procesu reagowania na zdarzenia dla personelu i secOps.
1. Podejmowanie decyzji i działania
Gdy narzędzie do wykrywania zagrożeń, takie jak Microsoft Sentinel lub Microsoft 365 Defender, wykryje prawdopodobny atak, tworzy zdarzenie. Średni czas potwierdzenia (MTTA) reakcji SOC zaczyna się od czasu, w jakim pracownicy ochrony zauważy atak.
Analityk na zmianę jest delegowany lub przejmuje własność zdarzenia i wykonuje początkową analizę. Znacznik czasu dla tego jest końcem pomiaru czasu odpowiedzi MTTA i rozpoczyna pomiar średni czas korygowania (MTTR).
Ponieważ analityk, który jest właścicielem zdarzenia, rozwija wystarczająco wysoki poziom pewności, że rozumie historię i zakres ataku, może szybko przejść do planowania i wykonywania akcji oczyszczania.
W zależności od charakteru i zakresu ataku analitycy mogą czyścić artefakty ataków w miarę ich działania (takie jak wiadomości e-mail, punkty końcowe i tożsamości) lub mogą utworzyć listę zagrożonych zasobów do oczyszczenia wszystkich naraz (nazywanych wielkim wybuchem)
Czyszczenie podczas pracy
W przypadku większości typowych zdarzeń, które są wykrywane na wczesnym etapie operacji ataku, analitycy mogą szybko wyczyścić artefakty w miarę ich znajdowania. Ta praktyka stawia przeciwnika w niekorzystnej sytuacji i uniemożliwia im przejście do przodu z następnym etapem ataku.
Przygotowanie do wielkiego wybuchu
Takie podejście jest odpowiednie w przypadku scenariusza, w którym przeciwnik już osiadł i ustanowił nadmiarowe mechanizmy dostępu do środowiska. Ta praktyka jest często spotykana w przypadku zdarzeń klientów zbadanych przez zespół ds. wykrywania i reagowania (DART) firmy Microsoft. W tym podejściu analitycy powinni unikać przechylania przeciwnika do momentu pełnego odkrycia obecności osoby atakującej, ponieważ niespodzianka może pomóc w pełni zakłócającym działanie.
Firma Microsoft dowiedziała się, że częściowe korygowanie często radzi sobie z przeciwnikiem, co daje im szansę zareagować i szybko pogorszyć incydent. Na przykład osoba atakująca może dalej rozpowszechniać atak, zmieniać swoje metody dostępu, aby uniknąć wykrywania, ukrywać ślady i powodować uszkodzenia danych i systemu oraz niszczenie zemsty.
Czyszczenie wyłudzania informacji i złośliwych wiadomości e-mail może być często wykonywane bez przechylania osoby atakującej, ale czyszczenie złośliwego oprogramowania hosta i odzyskiwanie kontroli kont ma duże prawdopodobieństwo wykrycia.
Nie są to łatwe decyzje do podjęcia i nie ma podstaw doświadczenia w podejmowaniu tych wezwań do oceny. Wspólne środowisko pracy i kultura w soc pomaga zapewnić, że analitycy mogą wykorzystać swoje doświadczenie.
Konkretne kroki odpowiedzi zależą od charakteru ataku, ale najbardziej typowe procedury stosowane przez analityków mogą obejmować:
Punkty końcowe klienta (urządzenia)
Wyizoluj punkt końcowy i skontaktuj się z użytkownikiem lub operacjami IT/pomocą techniczną, aby zainicjować procedurę ponownej instalacji.
Serwer lub aplikacje
Współpracuj z właścicielami operacji IT i aplikacji w celu szybkiego korygowania tych zasobów.
Konta użytkowników
Odzyskaj kontrolę, wyłączając konto i resetując hasło dla kont z naruszonymi naruszeniami. Te procedury mogą ewoluować, gdy użytkownicy przechodzą do uwierzytelniania bez hasła przy użyciu usługi Windows Hello lub innej formy uwierzytelniania wieloskładnikowego (MFA). Osobnym krokiem jest wygaśnięcie wszystkich tokenów uwierzytelniania dla konta przy użyciu usługi Microsoft Defender dla Chmury Apps.
Analitycy mogą również przejrzeć numer telefonu metody MFA i rejestrację urządzenia, aby upewnić się, że nie jest on porwany, kontaktując się z użytkownikiem i resetując te informacje zgodnie z potrzebami.
Konta usług
Ze względu na wysokie ryzyko związane z usługą lub wpływem na działalność biznesową analitycy powinni współpracować z właścicielem rekordu konta usługi, wracając do operacji IT zgodnie z potrzebami, aby zorganizować szybkie korygowanie tych zasobów.
Wiadomości e-mail
Usuń wiadomość e-mail z atakami lub wyłudzającymi informacje, a czasami usuwaj je, aby uniemożliwić użytkownikom odzyskiwanie usuniętych wiadomości e-mail. Zawsze zapisuj kopię oryginalnej wiadomości e-mail w celu późniejszego wyszukiwania analizy po ataku, takiej jak nagłówki, zawartość i skrypty lub załączniki.
Inne
Akcje niestandardowe można wykonywać na podstawie charakteru ataku, takiego jak odwołowanie tokenów aplikacji i ponowne konfigurowanie serwerów i usług.
2. Oczyszczanie po zdarzeniu
Ponieważ nie korzystasz z wyciągniętych lekcji, dopóki nie zmienisz przyszłych akcji, zawsze integruj wszelkie przydatne informacje zdobyte z badania z powrotem do metody SecOps.
Określ połączenia między przeszłymi i przyszłymi zdarzeniami przez tych samych aktorów lub metod zagrożeń i przechwyć te informacje, aby uniknąć powtarzania ręcznej pracy i opóźnień analizy w przyszłości.
Te wnioski mogą przyjmować wiele form, ale typowe rozwiązania obejmują analizę:
Wskaźniki naruszenia (IoCs).
Rejestruj wszelkie odpowiednie identyfikatory IoC, takie jak skróty plików, złośliwe adresy IP i atrybuty poczty e-mail w systemach analizy zagrożeń SOC.
Nieznane lub niezaznaczone luki w zabezpieczeniach.
Analitycy mogą inicjować procesy, aby upewnić się, że brakujące poprawki zabezpieczeń są stosowane, błędy konfiguracji są poprawiane, a dostawcy (w tym firma Microsoft) otrzymują informacje o lukach w zabezpieczeniach "zero dni", dzięki czemu mogą tworzyć i dystrybuować poprawki zabezpieczeń.
Akcje wewnętrzne, takie jak włączanie rejestrowania zasobów obejmujących zasoby oparte na chmurze i lokalne.
Przejrzyj istniejące punkty odniesienia zabezpieczeń i rozważ dodanie lub zmianę mechanizmów kontroli zabezpieczeń. Aby uzyskać informacje na temat włączania odpowiedniego poziomu inspekcji w katalogu przed następnym zdarzeniem, zobacz na przykład przewodnik po operacjach zabezpieczeń firmy Microsoft Entra.
Przejrzyj procesy reagowania, aby zidentyfikować i rozwiązać wszelkie luki występujące podczas zdarzenia.
Zasoby reagowania na zdarzenia
- Planowanie soc
- Podręczniki zawierające szczegółowe wskazówki dotyczące reagowania na typowe metody ataku
- Reagowanie na zdarzenia w usłudze Microsoft 365 Defender
- Microsoft Defender dla Chmury (Azure)
- Reagowanie na zdarzenia w usłudze Microsoft Sentinel
Kluczowe zasoby zabezpieczeń firmy Microsoft
| Zasób | opis |
|---|---|
| Raport firmy Microsoft na temat ochrony zasobów cyfrowych 2023 r. | Raport, który obejmuje wnioski ekspertów w dziedzinie zabezpieczeń, praktyków i obrońców firmy Microsoft, aby umożliwić ludziom na całym świecie obronę przed cyberatakami. |
| Architektury referencyjne cyberbezpieczeństwa firmy Microsoft | Zestaw diagramów architektury wizualnej, które pokazują możliwości cyberbezpieczeństwa firmy Microsoft i ich integrację z platformami w chmurze firmy Microsoft, takimi jak Microsoft 365 i Microsoft Azure oraz platformy i aplikacje w chmurze innych firm. |
| Pobieranie infografiki w minutach | Omówienie sposobu reagowania zespołu SecOps firmy Microsoft na zdarzenia w celu wyeliminowania bieżących ataków. |
| Operacje zabezpieczeń platformy Azure Cloud Adoption Framework | Strategiczne wskazówki dla liderów ustanawiających lub modernizujących funkcję operacji zabezpieczeń. |
| Najlepsze rozwiązania dotyczące zabezpieczeń firmy Microsoft dotyczące operacji zabezpieczeń | Jak najlepiej używać centrum SecOps, aby przejść szybciej niż osoby atakujące skierowane do organizacji. |
| Zabezpieczenia w chmurze firmy Microsoft dla modelu architektów IT | Zabezpieczenia usług i platform w chmurze firmy Microsoft na potrzeby tożsamości i dostępu do urządzeń, ochrony przed zagrożeniami i ochrony informacji. |
| Dokumentacja zabezpieczeń firmy Microsoft | Dodatkowe wskazówki dotyczące zabezpieczeń firmy Microsoft. |