SecOps в семинаре Microsoft "Никому не доверяй"

Операция безопасности (SecOps) является основой для "Никому не доверяй", так как она гарантирует не только предотвращение угроз, но и непрерывное обнаружение, исследование и реагирование на них. В модели "Никому не доверяй" организации предполагают нарушение, что делает надежные возможности SecOps необходимыми для сдерживания атак, снижения влияния и поддержания устойчивости.

Руководство по обеспечению безопасности SecOps сосредоточено на сборе и корреляции сигналов безопасности в среде, обнаружении и анализе угроз, оркестрации и автоматизации действий реагирования, упреждающего поиска угроз и непрерывного улучшения операций безопасности.

Реализация семинаров

Семинар SecOps охватывает области реализации, приведенные в таблице.

Area Сведения
Централизация данных безопасности и телеметрии Интегрируйте журналы и сигналы из систем идентификации, устройств, сети, данных и инфраструктуры в централизованные платформы для единого обзора.

Обеспечение комплексного охвата событий, связанных с безопасностью в среде.
Определение уязвимости и определение приоритета исправления рисков Анализ путей атаки, неправильной настройки и уязвимостей безопасности в среде.

Используйте возможности управления экспозицией для определения приоритетов исправления и снижения вероятности и влияния потенциальных атак.
Обнаружение угроз и создание высококачественных оповещений Используйте правила обнаружения, аналитику поведения и аналитику угроз для выявления потенциальных компромиссов.

Создание оповещений с высоким уровнем достоверности и непрерывное уточнение логики обнаружения для повышения качества сигнала и снижения ложных срабатываний.
Корреляция оповещений с инцидентами и приоритет ответа Сопоставляйте связанные оповещения с инцидентами, как правило, с помощью автоматической корреляции и применяйте приоритет на основе риска, серьезности и потенциального влияния.

Обеспечьте структурированный подход к триажу и управлению инцидентами.
Исследование и реагирование на инциденты Выполните структурированные рабочие процессы исследования, чтобы понять область и влияние инцидентов.

Локализуйте угрозы с помощью таких действий, как изоляция устройств или блокировка учетных записей, и обеспечьте единообразный процесс устранения.
Автоматизация ответа и оркестрации Используйте средства автоматизации и рабочие процессы для оркестрации, стандартизации и ускорения действий реагирования в среде.

Включите автоматическое сдерживание и исправление, если это необходимо для уменьшения времени отклика и ограничения перемещения злоумышленников.
Упреждающая охота за угрозами Анализ собранных данных телеметрии для выявления аномальных действий, методов злоумышленника и индикаторов компрометации, которые могут избежать автоматического обнаружения.

Непрерывно уточняйте гипотезы охоты и стратегии обнаружения на основе результатов исследования, аналитики угроз и развития поведения злоумышленников.
Использование аналитики угроз Включите внутреннюю и внешнюю аналитику угроз для обогащения обнаружения и расследований.

Используйте индикаторы и контекстные данные для улучшения понимания поведения злоумышленников и повышения охвата обнаружения.
Непрерывная настройка и оптимизация обнаружения Просмотр и уточнение оповещений, правил подавления и логики обнаружения для снижения шума и повышения эффективности работы.

Убедитесь, что SecOps фокусируется на высокоценных, действенных сигналах.
Сопоставление сигналов между доменами для полной видимости атаки Объединение сигналов идентификации, устройств, сети, данных и инфраструктуры для обнаружения сложных, многоэтапных цепочек атак.

Используйте видимость между доменами для повышения глубины исследования и эффективности реагирования.
Непрерывное улучшение процессов SecOps Непрерывно улучшать стратегии обнаружения и процессы реагирования на основе обучения инцидентов и развития угроз.

Включите отзывы об инцидентах, поиске угроз и анализе воздействия, чтобы добиться текущих улучшений в работе.

Дальнейшие действия

Начните семинар SecOps.