Passo 1. Planear a preparação para operações de Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Seja qual for a maturidade atual das suas operações de segurança, é importante que se alinhe com o Centro de Operações de Segurança (SOC). Embora não exista um único modelo que se adeque a todas as organizações, existem certos aspetos mais comuns do que outros.
As secções seguintes descrevem as funções principais do SOC.
Uma equipa do SOC prepara e procura ameaças novas e recebidas para que possa trabalhar com a organização para estabelecer contramedidas e respostas. A sua equipa do SOC deve ter pessoal altamente treinado em técnicas e métodos de ataque modernos e compreender os atores de ameaças. Informações e arquiteturas de ameaças partilhadas, como a Cyber Kill Chain ou a MITRE ATT&arquitetura CK podem capacitar a sua equipa de analistas de ameaças e caçadores de ameaças.
Fornecer respostas de primeiro, segundo e potencialmente terceiro nível a incidentes e eventos cibernéticos
O SOC é a linha da frente da defesa para eventos e incidentes de segurança. Quando um evento, ameaça, ataque, violação de política ou localização de auditoria aciona um alerta ou chamada à ação, a equipa do SOC faz uma avaliação da triagem e contém-na ou escala-a para investigação. Por conseguinte, os socorristas de primeira linha do SOC têm de ter um amplo conhecimento técnico dos eventos e indicadores de segurança.
Normalmente, a função principal da equipa do SOC é garantir que todos os dispositivos de segurança, como firewalls, sistemas de prevenção de intrusões, sistemas de prevenção de perda de dados, sistemas de gestão de vulnerabilidades e sistemas de identidade estão a funcionar corretamente e a ser monitorizados. As equipas do SOC trabalham com as operações de rede mais amplas, como identidade, DevOps, cloud, aplicação, ciência de dados e outras equipas empresariais para garantir que a análise das informações de segurança é centralizada e protegida. Além disso, a equipa do SOC é responsável por manter os registos dos dados em formatos utilizáveis e legíveis, o que pode incluir a análise e a normalização de formatos diferentes.
Todas as equipas do SOC devem testar a sua preparação para responder a um incidente cibernético. Os testes podem ser efetuados através de exercícios de preparação, como tabelas e execuções práticas com várias pessoas em TI, segurança e a nível empresarial. As equipas de exercícios de formação individuais são criadas com base em funções representativas e estão a desempenhar o papel de um defensor (Equipa Azul), um atacante (Equipa Vermelha) ou como observadores que procuram melhorar métodos e técnicas das equipas Azul e Vermelho através de pontos fortes e fracos que são descobertos durante o exercício (Equipa Púrpura).
Passo 2. Realizar uma avaliação de preparação da integração do SOC com o Confiança Zero Framework
Gorjeta
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.