Aracılığıyla paylaş


Olay yanıtı planlaması

Güvenlik operasyonları merkezinizi (SOC) siber güvenlik olaylarına yanıt vermeye hazırlamak için bu tabloyu denetim listesi olarak kullanın.

Bitti Aktivite Açıklama Avantaj
Tablo üst alıştırmaları Kuruluşunuzun yönetimini zor risk temelli kararlar üzerinde çalışmaya zorlayan, öngörülebilir iş etkileyen siber olaylara ilişkin düzenli tablo üst alıştırmaları gerçekleştirin. Siber güvenliği bir iş sorunu olarak sağlam bir şekilde oluşturur ve gösterir. Kas hafızası geliştirir ve kuruluş genelinde zor kararlar ve karar hakları sorunlarını ortaya çıkar.
Saldırı öncesi kararları ve karar alıcıları belirleme Tablo üst alıştırmalarının tamamlayıcısı olarak risk tabanlı kararları, karar alma ölçütlerini ve bu kararları kimin vermesi ve yürütmesi gerektiğini belirleyin. Örneğin:

Kolluk kuvvetlerinden yardım isteyen kim/ne zaman/eğer?

Olay yanıtlayıcılarını kim/ne zaman/if listelemeli?

Kim/ne zaman/fidye ödemeli?

Dış denetçilere kim/ne zaman/eğer bildirilmesi gerekiyor?

Gizlilik düzenleme yetkililerine kim/ne zaman/eğer bildirilmesi gerekir?

Menkul kıymet düzenleyicilerini kim/ne zaman/ne zaman bilgilendirir?

Yönetim kuruluna veya denetim komitesine kim/ne zaman/durum bildirecek?

Görev açısından kritik iş yüklerini kapatma yetkisi kimde?
Bir olaya yanıtı kolaylaştıracak ilk yanıt parametrelerini ve kişileri tanımlar.
Ayrıcalığı koruma Genellikle tavsiyeler ayrıcalıklı olabilir, ancak gerçekler bulunabilir. Ayrıcalıkların korunması ve riskin azaltılması için önemli olay liderlerini ayrıcalık altında tavsiyeleri, olguları ve görüşleri iletme konusunda eğitin. E-posta, işbirliği platformları, sohbetler, belgeler, yapıtlar gibi çok sayıda iletişim kanalı göz önünde bulundurulduğunda ayrıcalığı korumak karmaşık bir süreç olabilir. Örneğin, Microsoft Teams Odaları kullanabilirsiniz. Olay personeli ve dış kuruluşlar arasında tutarlı bir yaklaşım, olası yasal açıkların azaltılmasına yardımcı olabilir.
Insider ticaretiyle ilgili dikkat edilmesi gerekenler Menkul kıymet ihlal riskini azaltmak için yönetime yapılması gereken bildirimleri dikkate alın. Kurullar ve dış denetçiler, türbülans dönemlerinde sorgulanabilir menkul kıymet alım satımı riskini azaltacak risk azaltma işlemlerine sahip olduğunuzu takdir etme eğilimindedir.
Olay rolleri ve sorumlulukları playbook'u Çeşitli süreçlerin odaklanmayı ve ilerlemeyi sürdürmesini sağlayan temel roller ve sorumluluklar oluşturun.

Yanıt ekibiniz uzak olduğunda, saat dilimleri ve araştırmacılara doğru iletim için başka noktalar gerekebilir.

Satıcı ekipleri gibi ilgili olabilecek diğer ekipler arasında iletişim kurmanız gerekebilir.
Teknik Olay Lideri – Her zaman olayda yer alır, girişleri ve bulguları sentezler ve sonraki eylemleri planlar.

İletişim İletişimi – Teknik Olay Lideri'nden yönetimle iletişim kurma yükünü ortadan kaldırır, böylece odaklanma kaybı olmadan olaya dahil olmaya devam edebilir.

Bu etkinlik, yönetici mesajlaşmasını ve düzenleyiciler gibi diğer üçüncü taraflarla etkileşimleri yönetmeyi içermelidir.

Olay Kaydedicisi – Olay yanıtlayıcısının bulguları, kararları ve eylemleri kaydetme yükünü ortadan kaldırır ve olayın başından sonuna doğru bir hesap oluşturmasını sağlar.

Forward Planner – Görev açısından kritik iş süreci sahipleriyle çalışmak, 24, 48, 72, 96 saat veya daha uzun süren bilgi sistemi bozukluğuna yönelik iş sürekliliği etkinliklerini ve hazırlıklarını formüle eder.

Halkla İlişkiler – İleri Planlayıcı ile halkın dikkatini çekebilecek bir olay olması durumunda, olası sonuçları ele alan genel iletişim yaklaşımlarını düşünür ve taslaklar.
Gizlilik olayı yanıtı playbook'u Giderek katı hale gelen gizlilik düzenlemelerini karşılamak için SecOps ile gizlilik ofisi arasında ortak bir playbook geliştirin. Bu playbook, güvenlik olaylarından kaynaklanan olası gizlilik sorunlarının hızlı bir şekilde değerlendirilmesine olanak tanır. Güvenlik olaylarının çoğu son derece teknik bir SOC'de ortaya çıktığından, güvenlik olaylarının gizliliği etkileme potansiyelini değerlendirmek zordur. Olayların, mevzuat riskinin belirlendiği bir gizlilik ofisine (genellikle 72 saatlik bildirim beklentisiyle) hızla ortaya çıkarması gerekir.
Sızma testi Güvenlik duruşundaki zayıflıkları belirlemek için iş açısından kritik sistemlere, kritik altyapıya ve yedeklemelere karşı belirli bir noktaya simülasyon saldırıları gerçekleştirin. Bu etkinlik genellikle, önleyici denetimleri atlayıp önemli güvenlik açıklarını gidermeye odaklanan bir dış uzman ekibi tarafından yürütülür. İnsan tarafından çalıştırılan son fidye yazılımı olaylarının ışığında, özellikle görev açısından kritik sistemlerin ve verilerin yedeklemelerine saldırma ve denetleme yeteneği olmak üzere, artırılmış bir altyapı kapsamına karşı sızma testi yapılmalıdır.
Kırmızı Takım / Mavi Takım / Mor Takım / Yeşil Takım güvenlik duruşundaki zayıflıkları belirlemek için iş açısından kritik sistemlere, kritik altyapıya, yedeklemelere karşı sürekli veya düzenli simülasyon saldırıları gerçekleştirin. Bu etkinlik genellikle dedektif denetimlerinin ve takımlarının (Mavi takımlar) etkinliğini test etme odaklı iç saldırı ekipleri (Kırmızı takımlar) tarafından gerçekleştirilen bir etkinliktir.

Örneğin, Office 365 için Microsoft Defender XDR'de Saldırı simülasyonu eğitimi kullanabilir ve Uç Nokta için Microsoft Defender XDR için Saldırı öğreticileri ve benzetimi yapabilirsiniz.
Kırmızı, Mavi ve Mor takım saldırı simülasyonları, iyi yapıldığında çok sayıda amaca hizmet eder:
  • BT kuruluşundan mühendislerin kendi altyapı disiplinlerine yönelik saldırıların simülasyonunu yapmasına olanak tanır.
  • Görünürlük ve algılamadaki boşlukları ortaya çıkar.
  • Yönetim kurulunda güvenlik mühendisliği becerilerini geliştirir.
  • Daha sürekli ve daha geniş bir süreç işlevi görür.


Yeşil Takım, BT veya güvenlik yapılandırmasında değişiklikler uygular.
İş sürekliliği planlaması Görev açısından kritik iş süreçleri için, minimum uygulanabilir işletmenin bilgi sistemlerinin bozulması sırasında çalışmasına olanak sağlayan süreklilik süreçlerini tasarlar ve test eder.

Örneğin, iş operasyonlarınızın hızlı bir şekilde kurtarılmasını sağlamak amacıyla bir saldırı sırasında kritik iş sistemlerinizi korumak için bir Azure yedekleme ve geri yükleme planı kullanın.
  • BT sistemlerinin bozulması veya yokluğu için süreklilik geçici çözümü olmadığı gerçeğini vurgular.
  • Daha basit yedekleme ve kurtarma işlemlerine göre gelişmiş dijital dayanıklılık gereksinimini ve fonlarını vurgulayabilir.
Olağanüstü durum kurtarma Görev açısından kritik iş süreçlerini destekleyen bilgi sistemleri için hazırlama süreleri de dahil olmak üzere sık/soğuk ve sıcak/sıcak yedekleme ve kurtarma senaryolarını tasarlamalı ve test etmelisiniz. Çıplak derlemeler yürüten kuruluşlar genellikle çoğaltması mümkün olmayan veya hizmet düzeyi hedeflerine uymayan etkinlikler bulur.

Desteklenmeyen donanımlarda birçok kez çalışan görev açısından kritik sistemler modern donanıma geri yüklenemez.

Yedeklemelerin geri yüklenmesi genellikle test edilmediğinden sorunlarla karşılaşır. Yedeklemeler, hazırlama sürelerinin kurtarma hedeflerine dahil edilmemesi için daha çevrimdışı olabilir.
Bant dışı iletişimler Aşağıdaki senaryolarda nasıl iletişim kurabileceğinize hazırlanın:
  • E-posta ve işbirliği hizmeti bozukluğu
  • Belge depolarının fidyesi
  • Personel telefon numaralarının kullanılamadığı.
Zor bir alıştırma olsa da, önemli bilgilerin uygun ölçekte dağıtım için uygun olmayan cihazlarda ve konumlarda nasıl değişmez bir şekilde depoleneceğini belirleyin. Örneğin:
  • Telefon numaraları
  • Topolojiler
  • Belge oluşturma
  • BT geri yükleme yordamları
Sağlamlaştırma, hijyen ve yaşam döngüsü yönetimi İnternet Güvenliği Merkezi (CIS) İlk 20 güvenlik denetimine uygun olarak altyapınızı güçlendirin ve kapsamlı hijyen etkinlikleri gerçekleştirin. Microsoft , son insan tarafından çalıştırılan fidye yazılımı olaylarına yanıt olarak siber saldırı sonlandırma zincirinin her aşamasını korumaya yönelik özel yönergeler yayınladı. Bu kılavuz Microsoft özellikleri veya diğer sağlayıcıların özellikleri için geçerlidir. Belirli bir not şunlardır:
  • Fidye sistemleri durumunda sabit yedek kopyaların oluşturulması ve bakımı. Ayrıca, saldırganın izlerini kapatma becerisini karmaşık hale getiren sabit günlük dosyalarını nasıl tutabileceğinizi de düşünebilirsiniz.
  • Olağanüstü durum kurtarma için desteklenmeyen donanımla ilgili riskler.
Olay yanıtı planlaması Olayın başlangıcında şu karara varın:
  • Önemli kuruluş parametreleri.
  • Kişilerin rollere ve sorumluluklara atanma.
  • Aciliyet hissi (7/24 ve iş saatleri gibi).
  • Süre boyunca sürdürülebilirlik için personel.
Hızlı bir çözüm umuduyla tüm kullanılabilir kaynakları başlangıçtaki bir olaya atma eğilimi vardır. Bir olayın uzun bir süre süreceğini fark ettikten veya tahmin ettikten sonra, personelinizle ve tedarikçilerinizle birlikte daha uzun bir süre için yerleşebilecekleri farklı bir duruşa geçin.
Olay yanıtlayıcıları Birbirleriyle net beklentiler oluşturun. Devam eden etkinlikleri raporlamanın popüler bir biçimi şunlardır:
  • Ne yaptık (ve sonuçlar nelerdi)?
  • Ne yapıyoruz (ve hangi sonuçlar ve ne zaman üretilecek)?
  • Bundan sonra ne yapmayı planlıyoruz (ve sonuçları beklemek ne zaman gerçekçi olacak?)
Olay yanıtlayıcıları, ölü kutu analizi, büyük veri analizi ve artımlı sonuçlar üretme gibi farklı teknikler ve yaklaşımlarla gelir. Net beklentilerle başlamak, net iletişimleri kolaylaştıracaktır.

Olay yanıtı kaynakları

Önemli Microsoft güvenlik kaynakları

Kaynak Açıklama
2021 Microsoft Dijital Savunma Raporu Microsoft'taki güvenlik uzmanlarından, uygulayıcılardan ve savunuculardan gelen öğrenmeleri kapsayan ve her yerdeki insanları siber tehditlere karşı savunmaya teşvik eden bir rapor.
Microsoft Siber Güvenlik Başvuru Mimarileri Microsoft'un siber güvenlik özelliklerini ve Bunların Microsoft 365 ve Microsoft Azure ve üçüncü taraf bulut platformları ve uygulamaları gibi Microsoft bulut platformlarıyla tümleştirmesini gösteren görsel mimari diyagramları kümesi.
Dakikalar önemli bilgi grafiği indirme Microsoft'un SecOps ekibinin devam eden saldırıları azaltmak için olay yanıtını nasıl yaptığına genel bakış.
Azure Bulut Benimseme Çerçevesi güvenlik işlemleri Bir güvenlik işlemi işlevi oluşturan veya modernize eden liderler için stratejik rehberlik.
Güvenlik işlemleri için Microsoft'un en iyi güvenlik uygulamaları Kuruluşunuzu hedefleyen saldırganlardan daha hızlı ilerlemek için SecOps merkezinizi en iyi şekilde kullanma.
BT mimarları için Microsoft bulut güvenliği modeli Kimlik ve cihaz erişimi, tehdit koruması ve bilgi koruması için Microsoft bulut hizmetleri ve platformları genelinde güvenlik.
Microsoft güvenlik belgeleri Microsoft'tan ek güvenlik kılavuzu.