Microsofts metodtips för säkerhetsåtgärder

Säkerhetsåtgärder (SecOps) upprätthåller och återställer säkerhetsgranskningar av systemet som live adversaries attack it. SecOps-uppgifterna beskrivs väl av funktionerna NIST Cybersecurity Framework i Identifiera, Svara och Återställ.

  • Identifiera – SecOps måste identifiera förekomsten av adversaries i systemet, som är incentiviserade att vara dolda i de flesta fall eftersom det gör att de kan uppnå sina mål. Det kan ske i form av att reagera på en varning om misstänkt aktivitet eller proaktivt efter avvikande händelser i företagsaktivitetsloggarna.

  • Svara – Vid identifiering av potentiell adversiv åtgärd eller kampanj måste SecOps snabbt undersöka om det är en faktisk attack (sant positiv) eller ett falskt alarm (falskt positivt) och sedan räkna upp omfattningen och målet med den felaktiga åtgärden.

  • Återställning – Det ultimata målet med SecOps är att bevara eller återställa säkerhetsgranskningarna (konfidentialitet, integritet, tillgänglighet) för affärstjänster under och efter ett angrepp.

Den viktigaste säkerhetsrisken de flesta organisationer ställs inför är från mänskliga attackoperatorer (på olika kunskapsnivåer). Det beror på att risken för automatiserade/upprepade attacker har minskats betydligt för de flesta organisationer genom signaturer och maskininlärningsbaserade metoder som är inbyggda i skydd mot skadlig programvara (även om det finns märkbara undantag som Wannacrypt och NotPetya som flyttades snabbare än dessa försvar).

Även om mänskliga attackoperatorer är svåra att möta på grund av deras anpassningsbarhet (kontra automatiserad/upprepad logik) arbetar de i samma "mänskliga hastighet" som det är här, vilket hjälper till att jämna ut uppspelningsfältet.

SecOps (kallas ibland för SOC (Security Operations Center) har en viktig roll att spela när det gäller att begränsa tiden och komma åt en attackerare kan komma åt värdefulla system och data. Varje minut som en attack har i miljön gör att de kan fortsätta utföra attackåtgärder och komma åt känsliga eller värdefulla system.

Målsättning och mått

Måtten du mäter har betydande påverkan på SekOps beteende och resultat. Genom att fokusera på rätt mått kan du öka kontinuerliga förbättringar inom rätt områden som på ett meningsfullt sätt minskar risken.

För att se till att SecOps effektivt innehåller åtkomst till attacker ska målen fokusera på:

  • Minska tiden för att bekräfta en avisering för att säkerställa att upptäckta adversaries inte ignoreras medan andra lägger tid på att undersöka falska positiva resultat.

  • Minska tiden för att åtgärda en upptäckd adversary för att minska deras möjlighet att genomföra och attackerna och nå känsliga system

  • Prioritera säkerhets investeringar i system som har högt inbyggd värde (troliga mål eller hög inverkan på verksamheten) och åtkomst till många system eller känsliga system (administratörskonton och känsliga användare)

  • Öka fokus på proaktivt söker efter adversaries när programmet mognar och reaktiva incidenter får kontroll. Det fokuserar på att minska tiden som ett mer erfaren adversary kan sköta i miljön (till exempel tillräckligt bra för att undvika reaktiva aviseringar).

Mer information om hur Microsofts SOC använder dessa mått finns i https://aka.ms/ITSOC.

Hybridvy för företag

SecOps bör säkerställa deras verktyg, processer och analytikers kunskaper för att göra det möjligt att se hela spann över deras hybridområde.

Attacker begränsar inte sina åtgärder till en viss miljö när de riktar sig till en organisation, de attackerar resurser på valfri plattform med valfri metod. Företag som inför molntjänster som Azure och AWS fungerar effektivt med en hybrid av molntillgångar och lokala tillgångar.

Verktygen och processerna i SecOps bör vara utformade för attacker på moln- och lokala tillgångar samt attacker som kan pivotera mellan molnresurser och lokala resurser med hjälp av identiteter eller på andra sätt. Den här företagsomfattande vyn gör att SecOps-team snabbt kan upptäcka, svara på och återställa efter attacker, minska organisationens risk.

Utnyttja interna identifieringar och kontroller

Du bör prioritera användningen av säkerhetsidentifieringar och kontroller som är inbyggda i molnplattformen innan du skapar anpassade identifieringar med hjälp av händelseloggar från molnet.

Molnplattformar utvecklas snabbt med nya funktioner, vilket kan göra det svårt att upptäcka nya funktioner. Ursprungliga kontroller underhålls av molnleverantören och håller vanligtvis hög kvalitet (låg falsk positiv ränta).

Eftersom många organisationer kan använda flera molnplattformar och behöver en enhetlig vy över hela företaget, bör du säkerställa att dessa interna identifieringar och kontroller feed ett centraliserat SIEM eller annat verktyg. Vi rekommenderar inte att du försöker ersätta verktyg och frågor för generaliserad logganalys i stället för interna identifieringar och kontroller. Dessa verktyg kan ge många värden för proaktiva produkter men för att få en högkvalitativ avisering med dessa verktyg krävs omfattande kunskaper och tid som kan läggas bättre på att jaga och andra aktiviteter.

För att komplettera den breda synligheten för en centraliserad SIEM (till exempel Microsoft Sentinel, Splunk eller QRadar) bör du utnyttja interna identifieringar och kontroller, till exempel:

  • Organisationer som använder Azure bör utnyttja funktioner som Microsoft Defender för molnet för aviseringsgenerering på Azure-plattformen.

  • Organisationer bör dra inbyggda loggningsfunktioner som Azure Monitor och AWS CloudTrail för att dra loggar in i en central vy.

  • Organisationer som använder Azure bör utnyttja NSG-funktioner (Network Security Group) för att kunna se nätverksaktiviteter på Azure-plattformen.

  • Undersökningsmetoder bör utnyttja interna verktyg med djupa kunskaper om tillgångstyp, till exempel en lösning för identifiering av slutpunkter och svar (Identifiering och åtgärd på slutpunkt), identitetsverktyg och Microsoft Sentinel.

Prioritera avisering och loggintegrering

Kontrollera att du integrerar viktiga säkerhetsvarningar och loggar in i SIEMs utan att introducera en stor mängd data med låga värden.

Att introducera för mycket data med låga värden kan öka SIEM-kostnaden, öka brus och falska positiva värden och ge lägre prestanda.

De data som du samlar in bör fokusera på att stödja en eller flera av dessa åtgärder:

  • Varningar (identifieringar från befintliga verktyg eller data som krävs för att generera anpassade aviseringar)

  • Undersökning av en incident (till exempel krävs för vanliga frågor)

  • Proaktiva affärsverksamheter

Genom att integrera mer data kan du utöka aviseringar med ytterligare kontext som ger snabb respons och åtgärder (filtrera falska positiva identifieringar och förhöjda sanna positiva identifieringar osv.), men samlingen kan inte upptäckas. Om du inte har en rimlig förväntan att data ger värde (till exempel hög volym av brandvägg nekade händelser) kanske du avprioriterar integrering av dessa händelser.

SecOps-resurser för Microsofts säkerhetstjänster

Om du är säkerhetsanalytiker kan du komma igång genom att titta på de här resurserna.

Ämne Resurs
SekOps-planering för incidentsvar Planering av incidentsvar för att förbereda organisationen på en incident.
Svarsprocess för SecOps-incidenter Svarsprocess för incidenter för metodtips för att svara på en incident.
Arbetsflöde för incidentsvar Exempel på arbetsflöde av incidentsvar för Microsoft 365 Defender
Periodiska säkerhetsåtgärder Exempel på periodiska säkerhetsåtgärder för Microsoft 365 Defender
Undersökning för Microsoft Sentinel Incidenter i Microsoft Sentinel
Undersökning för Microsoft 365 Defender Ärenden i Microsoft 365 Defender

Om du är en erfaren säkerhetsanalytiker kan du använda de här resurserna för att snabbt öka ditt SecOps-team för Microsofts säkerhetstjänster.

Ämne Resurs
Azure Active Directory (Azure AD) Guide till säkerhetsåtgärder
Microsoft 365 Defender Guide till säkerhetsåtgärder
Microsoft Sentinel Så här undersöker du incidenter
Microsoft 365 Defender Så här undersöker du incidenter
Säkerhetsåtgärder som utförs eller moderniseras Azure Cloud Adoption Framework-artiklar för SekOps- och SecOps-funktioner
Spelböcker för incidentsvar Översikt på https://aka.ms/IRplaybooks
- Nätfiske
- Lösenord lösenord
- Bevilja appmedgivande
SOC Process Framework Microsoft Sentinel
MSTICPy- och Jupyter-anteckningsböcker Microsoft Sentinel

Bloggserie om SecOps i Microsoft

Se den här bloggserien om hur SecOps-teamet på Microsoft fungerar.

Så här ser det ut

Samtidigt är ett initiativ för öppen källkod för att distribuera labmiljöer och end-to-end-simuleringar som:

  • Återskapa välkända tekniker som används i verkliga attackscenarier.
  • Testa och kontrollera att relaterade identifieringar, Microsoft 365 Defender, Microsoft Defender för molnet och Microsoft Sentinel-identifieringar är effektiva.
  • Utöka hotforskning med hjälp av telemetri och artefakter från en undersökning som skapats efter varje simuleringsövning.

Samtidiga labbmiljöer tillhandahåller användningsfall från en mängd olika datakällor, bland annat telemetri från Microsoft 365 Defender-säkerhetsprodukter, Microsoft Defender för molnet och andra integrerade datakällor via Microsoft Sentinel-dataanslutningar.

När det gäller säkerheten för en utvärderingsversion eller betald sandbox-prenumeration kan du:

  • Förstå det underliggande beteendet och funktionaliteten hos adversära flygplan.
  • Identifiera åtgärder och attackervägar genom att dokumentera säkerhetsproblem för varje attackåtgärd.
  • Underlätta utformningen och distributionen av hotlabbmiljöer.
  • Håll dig uppdaterad med de senaste teknikerna och verktygen som används av verkliga hotare.
  • Identifiera, dokumentera och dela relevanta datakällor för att skapa modeller och upptäcka adversa åtgärder.
  • Validera och finjustera identifieringsfunktioner.

Därefter kan utbildningarna från Simulerings- och labmiljöscenarier implementeras i produktionen.

När du har läst en översikt över Samtidigt kan du gå till GitHub och lagringsplatsen.

Viktiga Säkerhetsresurser från Microsoft

Resurs Beskrivning
2021 Microsoft Digital Defense Report En rapport som omfattar inlärning från säkerhetsexperter, lärare och expertutbildning på Microsoft för att göra det möjligt för människor överallt att försvara sig mot cyberhot.
Microsoft Cybersecurity Reference-arkitekturer En uppsättning visuella arkitekturdiagram som visar Microsofts cybersäkerhetsfunktioner och deras integrering med Microsoft-molnplattformar, till exempel Microsoft 365 och Microsoft Azure och molnplattformar och appar från tredje part.
Infografik för minuter En översikt över hur Microsofts SecOps-team gör incidentsvar för att minimera pågående attacker.
Azure Cloud Adoption Framework säkerhetsåtgärder Strategiska riktlinjer för ledare vid etablering eller modernisering av en säkerhetsåtgärdsfunktion.
Microsoft Cloud-säkerhet för MODELL för IT-arkitekter Säkerhet i Microsofts molntjänster och plattformar för identitet och enhetsåtkomst, skydd mot hot och informationsskydd.
Microsofts säkerhetsdokumentation Ytterligare säkerhetsvägledning från Microsoft.

Nästa steg

Granska funktioner för säkerhetsåtgärder.