Synlighet, automatisering och orkestrering med Nolltillit

  • Artikel

En av de betydande förändringarna i perspektiv som är ett kännetecken för ett Nolltillit säkerhetsramverk rör sig bort från förtroende som standard mot förtroende som undantag. Du behöver dock ett tillförlitligt sätt att upprätta förtroende när förtroende behövs. Eftersom du inte längre förutsätter att begäranden är tillförlitliga är det viktigt att upprätta ett sätt att intyga att begäran är tillförlitlig för att bevisa dess tillförlitlighet vid tidpunkt. Den här attesteringen kräver möjligheten att få insyn i aktiviteterna på och runt begäran.

I våra andra Nolltillit guider definierade vi metoden för att implementera en Nolltillit metod från slutpunkt till slutpunkt för identiteter, slutpunkter och enheter, data, appar, infrastruktur och nätverk. Alla dessa investeringar ökar din synlighet, vilket ger dig bättre data för att fatta förtroendebeslut. Men genom att använda en Nolltillit metod inom dessa sex områden ökar du nödvändigtvis antalet incidenter som SOC-analytiker (Security Operation Centers) behöver minimera. Dina analytiker blir mer upptagna än någonsin, i en tid då det redan finns en talangbrist. Detta kan leda till kronisk varningströtthet och att analytiker saknar kritiska aviseringar.

Diagram över integrerade funktioner för att hantera hot.

När vart och ett av dessa enskilda områden genererar sina egna relevanta aviseringar behöver vi en integrerad kapacitet för att hantera den resulterande tillströmningen av data för att bättre skydda mot hot och validera förtroendet för en transaktion.

Du vill att du ska kunna:

  • Identifiera hot och sårbarheter.
  • Undersöka.
  • Svara.
  • Jaga.
  • Ge ytterligare kontext via hotanalys.
  • Utvärdera sårbarheter.
  • Få hjälp av experter i världsklass
  • Förhindra eller blockera händelser från att inträffa över pelarna.

Att hantera hot omfattar reaktiva och proaktiva identifieringar och kräver verktyg som stöder båda.

Reaktiv identifiering är när incidenter utlöses från någon av de sex grundpelarna som kan undersökas. Dessutom stöder en hanteringsprodukt som en SIEM sannolikt ett annat lager av analys som berikar och korrelerar data, vilket resulterar i att en incident flaggas som felaktig. Nästa steg skulle då vara att undersöka för att få hela berättelsen om attacken.

Proaktiv identifiering är när du använder jakt på data för att bevisa en komprometterad hypotes. Hotjakt börjar med antagandet att du har brutits - du jagar bevis för att det verkligen finns ett brott.

Hotjakt börjar med en hypotes som baseras på aktuella hot, till exempel COVID-19-nätfiskeattacker. Analytiker börjar med detta hypotetiska hot, identifierar de viktigaste indikatorerna för kompromisser och jagar igenom data för att se om det finns bevis för att miljön har komprometterats. Om det finns indikatorer kan jaktscenarier resultera i analyser som meddelar organisationerna om vissa indikatorer inträffar igen.

Hur som helst, när en incident har identifierats måste du undersöka den för att bygga ut hela historien om attacken. Vad gjorde användaren mer? Vilka andra system var inblandade? Vilka körbara filer kördes?

Om en undersökning resulterar i användbara lärdomar kan du vidta åtgärder. Om en undersökning till exempel upptäcker luckor i en distribution utan förtroende kan principer ändras för att åtgärda dessa luckor och förhindra framtida oönskade incidenter. När det är möjligt är det önskvärt att automatisera reparationssteg, eftersom det minskar den tid det tar för en SOC-analytiker att åtgärda hotet och gå vidare till nästa incident.

En annan viktig komponent i utvärderingen av hot är att använda känd hotinformation mot inmatade data. Om en IP-adress, hash, URL, fil, körbar fil osv. är kända för att vara felaktig kan de identifieras, undersökas och åtgärdas.

I infrastrukturpelare ägnades tid åt att åtgärda sårbarheter. Om ett system är känt för att vara sårbart och ett hot utnyttjade den sårbarheten är detta något som kan identifieras, undersökas och åtgärdas.

För att kunna använda den här taktiken för att hantera hot bör du ha en central konsol som gör det möjligt för SOC-administratörer att identifiera, undersöka, åtgärda, jaga, använda hotinformation, förstå kända sårbarheter, luta sig mot hotexperter och blockera hot över någon av de sex pelarna. De verktyg som behövs för att stödja dessa faser fungerar bäst om de konvergeras till ett enda arbetsflöde, vilket ger en sömlös upplevelse som ökar SOC-analytikerns effektivitet.

Security Operation Centers distribuerar ofta en kombination av SIEM- och SOAR-tekniker för att samla in, identifiera, undersöka och svara på hot. Microsoft erbjuder Microsoft Sentinel som siem-as-a-service-erbjudande. Microsoft Sentinel matar in alla Microsoft Defender for Identity- och tredjepartsdata.

Microsoft Threat Protection (MTP), en nyckelfeed till Microsoft Sentinel, tillhandahåller en enhetlig skyddssvit för företag som ger sammanhangsmedveten skydd, identifiering och svar för alla Microsoft 365-komponenter. Genom att vara sammanhangsmedvetna och samordnade kan kunder som använder Microsoft 365 få synlighet och skydd över slutpunkter, samarbetsverktyg, identiteter och program.

Det är genom den här hierarkin som vi gör det möjligt för våra kunder att maximera sitt fokus. Trots kontextmedvetenhet och automatiserad reparation kan MTP identifiera och stoppa många hot utan att lägga till ytterligare varningströtthet till redan överbelastad SOC-personal. Avancerad jakt i MTP ger den kontexten till jakten för att fokusera på många viktiga attackpunkter. Och jakt och orkestrering i hela ekosystemet via Microsoft Sentinel ger möjlighet att få rätt insyn i alla aspekter av en heterogen miljö, samtidigt som operatorns kognitiva överbelastning minimeras.

Synlighet, automatisering och orkestrering Nolltillit distributionsmål

När du implementerar ett Nolltillit ramverk från slutpunkt till slutpunkt för synlighet, automatisering och orkestrering rekommenderar vi att du först fokuserar på dessa inledande distributionsmål:

Listikon med en bockmarkering.

I.Upprätta synlighet.

II.Aktivera automatisering.

När dessa har slutförts fokuserar du på dessa ytterligare distributionsmål:

Listikon med två bockmarkeringar.

III.Aktivera ytterligare skydds- och identifieringskontroller.

Distributionsguide för synlighet, automatisering och orkestrering Nolltillit

Den här guiden beskriver de steg som krävs för att hantera synlighet, automatisering och orkestrering enligt principerna i ett Nolltillit säkerhetsramverk.




Checklistikon med en bockmarkering.

Initiala distributionsmål

I. Upprätta synlighet

Det första steget är att upprätta synlighet genom att aktivera Microsoft Threat Protection (MTP).

Följ de här stegen:

  1. Registrera dig för en av Microsoft Threat Protection-arbetsbelastningarna.
  2. Aktivera arbetsbelastningarna och upprätta anslutningen.
  3. Konfigurera identifiering på dina enheter och infrastruktur för att ge omedelbar insyn i aktiviteter som pågår i miljön. Detta ger dig den viktiga "uppringningstonen" för att starta flödet av kritiska data.
  4. Aktivera Microsoft Threat Protection för att få synlighet mellan arbetsbelastningar och incidentidentifiering.

II. Aktivera automatisering

Nästa viktiga steg, när du har etablerat synlighet, är att aktivera automatisering.

Automatiserade undersökningar och åtgärder

Med Microsoft Threat Protection har vi automatiserat både undersökningar och reparation, vilket i huvudsak ger en extra SOC-analys på nivå 1.

Automatisk undersökning och reparation (AIR) kan aktiveras gradvis, så att du kan utveckla en komfortnivå med de åtgärder som vidtas.

Följ de här stegen:

  1. Aktivera AIR för en testgrupp.
  2. Analysera undersökningsstegen och svarsåtgärderna.
  3. Gradvis övergång till automatiskt godkännande för alla enheter för att minska tiden till identifiering och svar.

För att få insyn i de incidenter som uppstår vid distribution av en Nolltillit modell är det viktigt att ansluta MTP, andra Microsoft-dataanslutningsprogram och relevanta produkter från tredje part till Microsoft Sentinel för att tillhandahålla en centraliserad plattform för incidentundersökning och incidenthantering.

Som en del av dataanslutningsprocessen kan relevant analys aktiveras för att utlösa incidenter och arbetsböcker kan skapas för en grafisk representation av data över tid.

Även om maskininlärning och fusionsanalys tillhandahålls direkt är det också fördelaktigt att mata in hotinformationsdata i Microsoft Sentinel för att identifiera händelser som är relaterade till kända dåliga entiteter.




Checklistikon med två bockmarkeringar.

Ytterligare distributionsmål

III. Aktivera ytterligare skydds- och identifieringskontroller

Om du aktiverar ytterligare kontroller förbättras signalen som kommer in till MTP och Sentinel för att förbättra din synlighet och förmåga att orkestrera svar.

Kontroller för minskning av attackytan representerar en sådan möjlighet. Dessa skyddskontroller blockerar inte bara vissa aktiviteter som är mest associerade med skadlig kod, utan ger också till försök att använda specifika metoder, vilket kan hjälpa till att identifiera angripare som använder dessa tekniker tidigare i processen.

Produkter som beskrivs i den här guiden

Microsoft Azure

Microsoft Defender för identitet

Microsoft Sentinel

Microsoft 365

Microsoft Threat Protection



Distributionsguideserien för Nolltillit

Ikon för introduktionen

Ikon för identitet

Ikon för slutpunkter

Ikon för program

Ikon för data

Ikon för infrastruktur

Ikon för nätverk

Ikon för synlighet, automatisering, orkestrering