Steg 1. Planera för beredskap för Microsoft Defender XDR åtgärder
Gäller för:
- Microsoft Defender XDR
Oavsett den aktuella mognaden för dina säkerhetsåtgärder är det viktigt att du anpassar dig till ditt Security Operations Center (SOC). Det finns ingen enskild modell som passar alla organisationer, men det finns vissa aspekter som är vanligare än andra.
I följande avsnitt beskrivs soc-kärnfunktionerna.
Ge situationsmedvetenhet om moderna hot
Ett SOC-team förbereder sig för och jagar nya och inkommande hot så att de kan samarbeta med organisationen för att upprätta motåtgärder och svar. Ditt SOC-team bör ha personal som är välutbildad i moderna attackmetoder och tekniker och förstå hotaktörer. Delad hotinformation och ramverk som Cyber Kill Chain eller MITRE ATT&CK-ramverket kan ge din personal tillgång till hotanalytiker och hotjägare.
Ange första, andra och potentiellt tredje nivåns svar på cyberincidenter och händelser
SOC är frontlinjen för försvar mot säkerhetshändelser och incidenter. När en händelse, hot, attack, principöverträdelse eller granskningssökning utlöser en avisering eller ett anrop till en åtgärd, gör SOC-teamet en utvärdering för att sortera och begränsa den eller eskalera den för undersökning. Därför måste SOC:s första linjesvarare ha breda tekniska kunskaper om säkerhetshändelser och indikatorer.
Centralisera övervakning och loggning av organisationens säkerhetskällor
Vanligtvis är SOC-teamets kärnfunktion att se till att alla säkerhetsenheter som brandväggar, intrångsskyddssystem, dataförlustskyddssystem, sårbarhetshanteringssystem och identitetssystem fungerar korrekt och övervakas. SOC-teamen arbetar med bredare nätverksåtgärder som identitet, DevOps, moln, program, datavetenskap och andra affärsteam för att säkerställa att analysen av säkerhetsinformation centraliseras och skyddas. SOC-teamet ansvarar dessutom för att underhålla loggar av data i användbara och läsbara format, vilket kan innefatta parsning och normalisering av olika format.
Upprätta driftsberedskap för red-, blå- och lila-teamet
Varje SOC-team bör testa sin beredskap för att svara på en cyberincident. Testning kan göras via träningsövningar, till exempel tabelltoppar och övningskörningar med olika personer inom IT, säkerhet och på affärsnivå. Individuella träningsteam skapas baserat på representativa roller och spelar antingen rollen som försvarare (blått lag), en angripare (rött lag) eller som observatörer som försöker förbättra metoder och tekniker för både de blå och röda lagen genom styrkor och svaghet som upptäcks under övningen (Purple Team).
Nästa steg
Steg 2. Utföra en utvärdering av SOC-integreringsberedskap med hjälp av Nolltillit Framework
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för