Обеспечение видимости, автоматизация и оркестрация с помощью модели "Никому не доверяй"

Одно из значительных изменений в перспективах, которое является отличительной чертой структур безопасности с моделью "Никому не доверяй", — это переход от доверия по умолчанию к доверию по исключениям. Однако требуется надежный способ установить доверие после того, как оно потребуется. Так как надежность запросов больше не предполагается, создание средств подтверждения достоверности запроса имеет решающее значение для подтверждения его достоверности на определенный момент времени. В процессе этой аттестации необходимо видеть действия, происходящие по запросу и в связи с запросом.

В наших руководствах по модели "Никому не доверяй" мы определи сквозной подход к реализации этой комплексной модели для удостоверений, конечных точек и устройств, данных, приложений, инфраструктуры и сети. Все эти вложения улучшают видимость, предоставляя более точные данные для принятия решений о доверии. Однако, принимая в этих шести областях подход "Никому не доверяй", необходимо увеличить число аналитиков центров операций по безопасности (SOC) устраняемых инцидентов. Ваши аналитики становятся более оживленными, чем когда-либо, в то время, когда уже есть нехватка талантов. Это может привести к хронической усталости от оповещений и пропуску аналитиками критических оповещений.

Каждая из этих отдельных областей генерирует свои собственные соответствующие предупреждения, поэтому нам нужна интегрированная возможность управлять поступающими данными, чтобы лучше защищаться от угроз и подтверждать доверие к транзакции.

Вам необходимо:

• Обнаруживать угрозы и уязвимости.
• Проведите расследование.
• Устранение.
• Технология.
• Предоставьте дополнительный контекст, используя аналитику угроз.
• Уязвимости оценки.
• Получение помощи от экспертов мирового класса
• Запретите или заблокируйте события на основе базовых принципов.

Управление угрозами включает в себя реактивное и упреждающее обнаружение и требует наличия средств, поддерживающих оба обнаружения.

Реактивное обнаружение происходит при активации инцидентов по одному из шести базовых принципов, которые можно исследовать. Кроме того, такой продукт управления, как SIEM, вероятно, будет поддерживать еще один уровень аналитики, который будет расширять и сопоставлять данные, что приводит к пометке инцидента как плохого. Далее следует получить все инструкции по атакам.

Упреждающее обнаружение происходит при использовании поиска данных для подтверждения скомпрометированной гипотезы. Охота на угрозы начинается с предположения, что вы были нарушены- вы охотитесь на доказательство того, что действительно нарушение.

Поиск угроз начинается с гипотезы на основе текущих угроз, например фишинговых атак, связанных с КОВИД-19. Аналитики начинают с этой гипотетической угрозы, определяют ключевые индикаторы компрометации и охотятся на данные, чтобы узнать, есть ли доказательства того, что среда скомпрометирована. Если индикаторы существуют, сценарии охоты могут привести к аналитике, которая уведомит организации, если определенные индикаторы возникают снова.

В любом случае, как только обнаруживается инцидент, его необходимо исследовать, чтобы воссоздать полную историю атаки. Что еще сделал пользователь? Какие другие системы были задействованы? Какие исполняемые файлы были запущены?

Если исследование приводит к пошаговому изучению, вы можете предпринять действия по исправлению. Например, если исследование обнаруживает пробелы в развертывании без доверия, можно изменить политики, чтобы устранить эти нарушения и предотвратить нежелательные инциденты в будущем. По возможности желательно автоматизировать действия по исправлению, поскольку это сокращает время, необходимое аналитику SOC для устранения угрозы и перехода к следующему инциденту.

Другой ключевой компонент в процессе оценки угроз заключается во внедрении известной аналитики угроз в полученные данные. Если IP, хэш, URL-адрес, файл, исполняемый объект и т. д. известны как неправильные, их можно определить, исследовать и исправить.

В базовом принципе инфраструктуры время было затрачено на устранение уязвимостей. Если известно, что система подвержена уязвимости, а угроза использовала эту уязвимость, то это можно обнаружить, проверить и исправить.

Чтобы использовать эти тактику для управления угрозами, необходимо иметь центральную консоль, позволяющую администраторам SOC обнаруживать, изучать, исправлять, отслеживать, использовать аналитику угроз, понимать известные уязвимости, опираться на экспертов по угрозам и блокировать угрозы по любому из шести принципов. Средства, необходимые для поддержки этих этапов, работают лучше, если они объединены в один рабочий процесс. Это обеспечивает простой интерфейс, повышающий эффективность работы аналитика SOC.

Центры операций безопасности часто развертывают сочетание технологий SIEM и SOAR для сбора, обнаружения, исследования и реагирования на угрозы. Корпорация Майкрософт предлагает Microsoft Sentinel в качестве предложения "SIEM как услуга". Microsfot Sentinel принимает все данные Microsoft Defender для удостоверений и сторонние данные.

Защита от угроз Майкрософт (MTP) — это основной канал в Azure Sentinel. Он предоставляет единый пакет корпоративной защиты, который обеспечивает защиту с учетом контекста, обнаружение и реагирование для всех компонентов Microsoft 365. С учетом контекста и координирования пользователи, использующие Microsoft 365, могут получить видимость и защиту в конечных точках, средств совместной работы, удостоверений и приложений.

Эта иерархия позволяет нашим клиентам максимально увеличить свое внимание. Несмотря на контекстную информацию и автоматическое исправление, MTP может обнаруживать и предотвращать многие угрозы, не добавляя дополнительной усталости от оповещений для уже перегруженного персонала SOC. Расширенный поиск внутри MTP привносит этот контекст в поиск, чтобы сосредоточиться на многих ключевых точках атаки. А охота и оркестрация во всей экосистеме с помощью Azure Sentinel позволяют реализовать видимость для всех аспектов гетерогенной среды, при этом отличаясь минимальной когнитивной нагрузкой на оператора.

Обеспечение видимости, автоматизация и оркестрация с помощью модели "Никому не доверяй"

При реализации сквозной платформы с моделью "Никому не доверяй" для обеспечения видимости, автоматизации и оркестровки рекомендуется в первую очередь сосредоточиться на следующих начальных целях развертывания:
	I.Установить видимость. II.Включите автоматизацию.
После того, как они будут выполнены, сосредоточьтесь на следующих дополнительных целях развертывания:
	III.Включите дополнительные элементы управления защитой и обнаружением.

Руководство по развертыванию: обеспечение видимости, автоматизация и оркестрация с помощью модели "Никому не доверяй"

Это руководство поможет вам выполнить инструкции, необходимые для управления видимостью, автоматизацией и оркестрацией, соблюдая принципы платформы безопасности по модели "Никому не доверяй".

Основные цели развертывания

I. Обеспечение видимости

Первый шаг — установить видимость, включив Защиту от угроз (Майкрософт) (MTP).

Выполните следующие действия:

1. Зарегистрируйтесь для одной из рабочих нагрузок Защиты от угроз (Майкрософт).
2. Включите рабочие нагрузки и установите подключение.
3. Настройте обнаружение на своих устройствах и в инфраструктуре, чтобы немедленно перейти к действиям, выполняемым в среде. Это дает вам все важные "сигналы", чтобы начать передачу потока важных данных.
4. Включите Защиту от угроз (Майкрософт) для повышения видимости и обнаружения инцидентов в нескольких рабочих нагрузках.

II. Обеспечение автоматизации

Следующим ключевым шагом после установления видимости является включение службы автоматизации.

Автоматическое исследование и исправление

Благодаря Защите от угроз (Майкрософт) мы автоматизируем расследования и исправления, которые, по сути, предоставляют дополнительный анализ SOC уровня 1.

Автоматическое исследование и исправление (AIR) можно включать постепенно, чтобы можно было разработать комфортный уровень.

Выполните следующие действия:

1. Включите AIR для тестовой группы.
2. Анализ этапов исследования и устранения.
3. Постепенно переходите к автоматическому утверждению для всех устройств, чтобы сократить время на обнаружение и устранение.

Связывание соединителей данных Майкрософт и соответствующих продуктов сторонних производителей с Microsoft Sentinel

Чтобы получить сведения об инцидентах, возникающих в результате развертывания модели "Никому не доверяй", важно подключить к Microsoft Sentinel MTP, другие соединители данных Майкрософт и соответствующие продукты сторонних производителей, чтобы предоставить централизованную платформу для исследования инцидентов и реагирования на них.

В рамках процесса подключения к данным можно включить соответствующую аналитику для активации инцидентов и книг, которые с течением времени могут быть созданы для графического представления данных.

Связывание данных аналитики угроз с Microsoft Sentinel

Хотя машинное обучение и аналитика слияния предоставляются по умолчанию, также полезно принимать данные аналитики угроз в Microsoft Sentinel, чтобы упростить идентификацию событий, которые связаны с известными действиями злоумышленников.

Дополнительные цели развертывания

III. Включите дополнительные элементы управления для защиты и обнаружения

Включение дополнительных элементов управления улучшает сигнал, поступающий в MTP и Sentinel, что увеличивает эффективность видимости и способствует координации ответов.

Элементы управления для сокращения направлений атак представляют одну такую возможность. Эти защитные элементы управления не только блокируют некоторые действия, связанные с вредоносной программой, но и пытаются использовать определенные подходы, которые могут помочь выявить злоумышленников, использующих эти методы прежде в процессе.

Продукты, описанные в данном руководстве

Microsoft Azure

Microsoft Defender для удостоверений

Microsoft Sentinel

Microsoft 365

защита от угроз (Microsoft);

Серия руководств по развертыванию с использованием модели "Никому не доверяй"