Planowanie reagowania na zdarzenia

Użyj tej tabeli jako listy kontrolnej, aby przygotować usługę Security Operations Center (SOC) do reagowania na zdarzenia cyberbezpieczeństwa.

Gotowe Aktywność opis Korzyści
Ćwiczenia na szczycie tabeli Przeprowadzaj okresowe ćwiczenia dotyczące przewidywalnych zdarzeń cybernetycznych wpływających na działalność biznesową, które zmuszają kierownictwo organizacji do kontemplowania trudnych decyzji opartych na ryzyku. Zdecydowanie ustanawia i ilustruje cyberbezpieczeństwo jako problem biznesowy. Rozwija pamięć mięśni i powierzchnie trudne decyzje i decyzje problemy z prawami w całej organizacji.
Określanie decyzji przed atakiem i osób podejmujących decyzje Jako uzupełnienie najlepszych ćwiczeń w tabeli określ decyzje oparte na ryzyku, kryteria podejmowania decyzji i kto musi podejmować i wykonywać te decyzje. Na przykład: .

KtoTo/kiedy/jeśli chcesz uzyskać pomoc od organów ścigania?

KtoTo/kiedy/jeśli zarejestrować osoby reagujące na zdarzenia?

KtoTo/kiedy/jeśli zapłacić okup?

KtoTo/kiedy/jeśli powiadomić audytorów zewnętrznych?

KtoTo/kiedy/jeśli powiadomić organy regulacyjne dotyczące prywatności?

KtoTo/kiedy/jeśli powiadomić organy regulacyjne dotyczące papierów wartościowych?

KtoTo/kiedy/czy powiadomić radę dyrektorów lub komitetu audytu?

KtoTo ma uprawnienia do zamykania obciążeń o znaczeniu krytycznym?
Definiuje początkowe parametry odpowiedzi i kontakty, które ułatwiają reagowanie na zdarzenie.
Utrzymywanie uprawnień Zazwyczaj porady mogą być uprzywilejowane, ale fakty są odnajdywalne. Trenowanie kluczowych liderów incydentów w informowaniu o poradach, faktach i opiniach w ramach przywileju, aby zachować przywilej i zmniejszyć ryzyko. Utrzymywanie uprawnień może być niechlujnym procesem podczas rozważania wielu kanałów komunikacyjnych, w tym poczty e-mail, platform współpracy, czatów, dokumentów, artefaktów. Można na przykład użyć usługi Microsoft Teams Rooms. Spójne podejście między personelem incydentów i wspieraniem organizacji zewnętrznych może pomóc zmniejszyć potencjalne ryzyko prawne.
Zagadnienia dotyczące handlu niejawnego Rozważa powiadomienia dotyczące zarządzania, które należy podjąć w celu zmniejszenia ryzyka naruszenia zabezpieczeń. Zarządy i audytorzy zewnętrzni mają tendencję do doceniania, że masz środki zaradcze, które zmniejszy ryzyko wątpliwych transakcji papierów wartościowych w okresach turbulencji.
Podręcznik ról i obowiązków dotyczących zdarzeń Ustanów podstawowe role i obowiązki, które umożliwiają różnym procesom utrzymanie koncentracji uwagi i postępu.

Gdy zespół reagowania jest zdalny, może wymagać innych zagadnień dotyczących stref czasowych i odpowiedniego przekazywania śledczym.

Być może trzeba będzie komunikować się między innymi zespołami, które mogą być zaangażowane, takie jak zespoły dostawców.
Lider zdarzeń technicznych — zawsze w incydencie, synchronizowanie danych wejściowych i ustaleń oraz planowanie następnych akcji.

Łącznik komunikacji — usuwa ciężar komunikowania się z kierownictwem z kierownika ds. zdarzeń technicznych, dzięki czemu mogą pozostać zaangażowani w incydent bez utraty uwagi.

To działanie powinno obejmować zarządzanie wiadomościami wykonawczymi i interakcjami z innymi firmami trzecimi, takimi jak organy regulacyjne.

Incident Recorder — usuwa ciężar rejestrowania ustaleń, decyzji i akcji od reagowania na zdarzenia i tworzy dokładną księgowość zdarzenia od początku do końca.

Forward Planner — praca z właścicielami procesów biznesowych o krytycznym znaczeniu, formułuje działania i przygotowania do ciągłości działalności biznesowej, które rozważają utratę systemu informacji, która trwa przez 24, 48, 72, 96 godzin lub więcej.

Public Relations — w przypadku incydentu, który może zebrać uwagę opinii publicznej, z Forward Planner, rozważa i projektuje podejścia do komunikacji publicznej, które odnoszą się do prawdopodobnych wyników.
Podręcznik reagowania na zdarzenia dotyczące prywatności Aby spełnić coraz bardziej rygorystyczne przepisy dotyczące prywatności, opracuj wspólny podręcznik między secOps i biurem ochrony prywatności. Ten podręcznik umożliwi szybką ocenę potencjalnych problemów z prywatnością, które mogą wynikać z zdarzeń związanych z bezpieczeństwem. Trudno jest ocenić zdarzenia zabezpieczeń pod kątem ich potencjalnego wpływu na prywatność, ponieważ większość zdarzeń zabezpieczeń występuje w wysoce technicznej soc. Incydenty muszą szybko zostać ujawnione w biurze ochrony prywatności (często z 72-godzinnym oczekiwaniem na powiadomienie), w którym jest określane ryzyko regulacyjne.
Testy penetracyjne Przeprowadzanie symulowanych ataków typu punkt w czasie na systemy krytyczne dla działania firmy, infrastruktury krytycznej i kopii zapasowych w celu zidentyfikowania słabych punktów w stanie zabezpieczeń. Zazwyczaj to działanie jest przeprowadzane przez zespół zewnętrznych ekspertów, który koncentruje się na pomijaniu mechanizmów kontroli prewencyjnych i przeglądaniu kluczowych luk w zabezpieczeniach. W świetle ostatnich zdarzeń związanych z oprogramowaniem wymuszającym okup przez człowieka testy penetracyjne powinny być przeprowadzane przeciwko zwiększonemu zakresowi infrastruktury, szczególnie możliwości atakowania i kontrolowania kopii zapasowych systemów i danych o znaczeniu krytycznym.
Czerwony zespół / Niebieski zespół / Purpurowy zespół / Zielony zespół Przeprowadzaj ciągłe lub okresowe symulowane ataki na systemy krytyczne dla działania firmy, infrastrukturę krytyczną, kopie zapasowe w celu identyfikowania słabych stron w stanie zabezpieczeń. Zazwyczaj ta aktywność jest prowadzona przez wewnętrzne zespoły ataków (Zespoły czerwone), które koncentrują się na testowaniu skuteczności mechanizmów kontroli detektywów i zespołów (zespoły Blue).

Na przykład możesz użyć Szkolenie z symulacji ataków w usłudze Microsoft Defender XDR dla usługi Office 365 i samouczków dotyczących ataków i symulacji usługi Microsoft Defender XDR dla punktu końcowego.
Symulacje ataków zespołu Red, Blue i Purple, gdy są dobrze wykonane, służą wielu celom:
  • Umożliwia inżynierom z całej organizacji IT symulowanie ataków na własne dyscypliny infrastruktury.
  • Powierzchnie luki w widoczności i wykrywaniu.
  • Podnosi umiejętności inżynieryjne ds. zabezpieczeń we wszystkich dziedzinach.
  • Służy jako bardziej ciągły i ekspansywny proces.


Zespół Zielony implementuje zmiany w konfiguracji IT lub konfiguracji zabezpieczeń.
Planowanie ciągłości działania W przypadku procesów biznesowych o krytycznym znaczeniu należy projektować i testować procesy ciągłości działania, które umożliwiają działanie minimalnej opłacalności w czasie upośledzenia systemów informacyjnych.

Na przykład użyj planu tworzenia i przywracania kopii zapasowych platformy Azure, aby chronić krytyczne systemy biznesowe podczas ataku, aby zapewnić szybkie odzyskiwanie operacji biznesowych.
  • Podkreśla fakt, że nie ma obejścia ciągłości dla upośledzonych lub braku systemów IT.
  • Może podkreślić potrzebę i finansowanie zaawansowanej odporności cyfrowej nad prostszą kopią zapasową i odzyskiwaniem.
Odzyskiwanie po awarii W przypadku systemów informacyjnych, które obsługują procesy biznesowe o krytycznym znaczeniu, należy zaprojektować i przetestować scenariusze tworzenia kopii zapasowych i odzyskiwania gorąca/gorąca/gorąca, w tym czas przejściowy. Organizacje, które przeprowadzają kompilacje bez systemu operacyjnego, często znajdują działania, które są niemożliwe do replikacji lub nie pasują do celów poziomu usług.

Systemy o krytycznym znaczeniu działające na nieobsługiwanym sprzęcie wiele razy nie mogą zostać przywrócone do nowoczesnego sprzętu.

Przywracanie kopii zapasowych często nie jest testowane i występują problemy. Kopie zapasowe mogą być dalej w trybie offline, tak aby czas przejściowy nie został uwzględniony w celach odzyskiwania.
Komunikacja poza pasmem Przygotuj się do komunikowania się w następujących scenariuszach:
  • Upośledzenie usługi poczty e-mail i współpracy
  • Okup repozytoriów dokumentacji
  • Niedostępność numerów telefonów personelu.
Chociaż jest to trudne ćwiczenie, określ sposób przechowywania ważnych informacji niezmiennie w urządzeniach i lokalizacjach pozawierszowych na potrzeby dystrybucji na dużą skalę. Na przykład: .
  • Numery telefonów
  • Topologie
  • Kompilowanie dokumentów
  • Procedury przywracania IT
Wzmacnianie zabezpieczeń, higiena i zarządzanie cyklem życia Zgodnie z Centrum zabezpieczeń Internetowych (CIS) Top 20 Security, wzmacnianie infrastruktury i wykonywanie dokładnych działań higienicznych. W odpowiedzi na ostatnie zdarzenia wymuszające okup obsługiwane przez człowieka firma Microsoft wydała konkretne wskazówki dotyczące ochrony każdego etapu łańcucha zagrożeń cybernetycznych. Te wskazówki dotyczą możliwości firmy Microsoft lub możliwości innych dostawców. Należy zwrócić szczególną uwagę na następujące kwestie:
  • Tworzenie i konserwacja niezmiennych kopii zapasowych w przypadku okupowanych systemów. Możesz również rozważyć, jak zachować niezmienne pliki dziennika, które komplikują zdolność osoby atakującej do zakrywania ich śladów.
  • Zagrożenia związane z nieobsługiwanym sprzętem na potrzeby odzyskiwania po awarii.
Planowanie reagowania na zdarzenia Na początku zdarzenia zdecyduj się na:
  • Ważne parametry organizacyjne.
  • Przypisywanie osób do ról i obowiązków.
  • Poczucie pilności (na przykład 24x7 i godziny pracy).
  • Pracownicy zrównoważonego rozwoju na czas trwania.
Istnieje tendencja do zgłaszania wszystkich dostępnych zasobów na początku, w nadziei na szybkie rozwiązanie. Po rozpoznaniu lub przewidywaniu, że incydent przejdzie przez dłuższy czas, weź pod uwagę inną postawę, która z personelem i dostawcami, która pozwala im osiedlić się na dłuższy czas.
Osoby reagujące na zdarzenia Ustal jasne oczekiwania ze sobą. Popularny format raportowania bieżących działań obejmuje:
  • Co zrobiliśmy (i jakie były wyniki)?
  • Co robimy (i jakie wyniki zostaną wygenerowane i kiedy)?
  • Co planujemy zrobić dalej (i kiedy jest realistyczne oczekiwać wyników)?
Osoby reagujące na zdarzenia mają różne techniki i podejścia, w tym analizę utraconych pól, analizę danych big data i możliwość generowania wyników przyrostowych. Począwszy od jasnych oczekiwań, ułatwi jasne komunikacje.

Zasoby reagowania na zdarzenia

Kluczowe zasoby zabezpieczeń firmy Microsoft

Zasób opis
Raport firmy Microsoft na temat ochrony zasobów cyfrowych 2021 r. Raport, który obejmuje wnioski ekspertów w dziedzinie zabezpieczeń, praktyków i obrońców firmy Microsoft, aby umożliwić ludziom na całym świecie obronę przed cyberatakami.
Architektury referencyjne cyberbezpieczeństwa firmy Microsoft Zestaw diagramów architektury wizualnej, które pokazują możliwości cyberbezpieczeństwa firmy Microsoft i ich integrację z platformami w chmurze firmy Microsoft, takimi jak Microsoft 365 i Microsoft Azure oraz platformy i aplikacje w chmurze innych firm.
Pobieranie infografiki w minutach Omówienie sposobu reagowania zespołu SecOps firmy Microsoft na zdarzenia w celu wyeliminowania bieżących ataków.
Operacje zabezpieczeń platformy Azure Cloud Adoption Framework Strategiczne wskazówki dla liderów ustanawiających lub modernizujących funkcję operacji zabezpieczeń.
Najlepsze rozwiązania dotyczące zabezpieczeń firmy Microsoft dotyczące operacji zabezpieczeń Jak najlepiej używać centrum SecOps, aby przejść szybciej niż osoby atakujące skierowane do organizacji.
Zabezpieczenia w chmurze firmy Microsoft dla modelu architektów IT Zabezpieczenia usług i platform w chmurze firmy Microsoft na potrzeby tożsamości i dostępu do urządzeń, ochrony przed zagrożeniami i ochrony informacji.
Dokumentacja zabezpieczeń firmy Microsoft Dodatkowe wskazówki dotyczące zabezpieczeń firmy Microsoft.