作为零信任采用指南的一部分,本文介绍如何保护组织免受网络攻击及其可能导致的成本和声誉损失。 本文是 防止或减少违规业务场景中业务损害 的一部分,重点介绍如何创建威胁防护和 eXtended 检测和响应(XDR)基础结构,以检测和挫败正在进行的网络攻击,并最大程度地减少违规造成的业务损失。
对于 假定违规 零信任指导原则的元素:
使用分析获取可见性、推动威胁检测和改进防御
本文中描述的内容。
最小化爆炸影响范围和分段访问权限
实施 安全漏洞防护和恢复基础结构 一文中所述。
验证端到端加密
实施 安全漏洞防护和恢复基础结构 一文中所述。
本文假设你已 将安全状况现代化。
实施威胁防护和 XDR 的采用周期
本文逐步讲解如何使用与 Azure 云采用框架相同的生命周期阶段(定义策略、计划、就绪、采用和管理和管理)实施威胁防护和 XDR 元素,或者使用与 Azure 云采用框架相同的生命周期阶段来减少业务损失,但适用于零信任。
下表是插图的可访问版本。
| 定义策略 | 计划 | 准备好了 | 采用 | 治理和管理 |
|---|---|---|---|---|
| 结果 组织一致性 战略目标 |
利益干系人团队 技术计划 技能准备情况 |
评价 测试 飞行员 |
在您的数字领域中逐步实施 | 跟踪和度量 监视和检测 迭代以达到成熟 |
在 零信任采用框架概述中详细了解零信任采用周期。
有关“防止或减少违规业务损害”业务方案的详细信息,请参阅:
- 概述
- 实施安全漏洞防护和恢复基础结构的其他元素
定义策略阶段
定义策略阶段对于定义和正式化我们的工作至关重要 ,它正式化了此方案的“为什么?” 在此阶段,你将通过业务、IT、运营和战略角度了解方案。 您需要定义在特定方案中用于衡量成功的结果,并理解安全性是一个逐步和迭代的过程。
本文建议与许多组织相关的动机和结果。 根据独特的需求,使用这些建议来磨练组织的策略。
实施威胁防护和 XDR 的动机
实施威胁防护和 XDR 的动机非常简单,但组织的不同部分对执行此作有不同的激励措施。 下表总结了其中一些动机。
| 面积 | 动机 |
|---|---|
| 业务需求 | 为了防止造成对组织执行正常业务活动的影响或中断、防止因遭遇勒索而导致的问题,降低网络保险的成本,并避免监管罚款。 |
| IT 需求 | 协助安全运营(SecOps)团队创建和维护集成防御工具集,以保护对业务至关重要的资产。 集成和报告应跨资产类和技术进行,并降低提供可预测的安全结果所需的工作量。 |
| 运营需求 | 通过主动检测和实时响应攻击来保持业务流程运行。 |
| 战略需求 | 尽量减少攻击损害和成本,并维护组织的声誉与客户和合作伙伴。 |
实现威胁防护和 XDR 的结果
将零信任的总体目标应用于“永不信任,始终验证”为环境增添了重要的保护层。 必须清楚你期望取得的结果,以便你可以为参与的所有团队提供适当的保护平衡。 下表提供了实施威胁防护和 XDR 的建议目标和结果。
| 目的 | 结果 |
|---|---|
| 业务成效 | 威胁防护导致与业务中断、赎金付款或监管罚款相关的最低成本。 |
| 治理 | 部署威胁防护和 XDR 工具,并更新 SecOps 流程,了解不断变化的网络安全环境、遇到的威胁以及事件响应的自动化。 |
| 组织复原能力 | 在 安全漏洞防护和恢复和 主动威胁防护之间,组织可以快速从攻击中恢复,并防止其类型未来的攻击。 |
| 安全 | 威胁防护已集成到总体安全要求和策略中。 |
计划阶段
实施计划将零信任策略的原则转换为可执行的计划。 你的集体团队可以使用采用计划来指导他们的技术工作,并与组织的业务策略保持一致。
你与业务领袖和团队合作定义的动机和预期成果,支持你组织对‘为什么’的理解,并成为你的战略指导方针。 接下来是实现目标的技术规划。
为实施威胁防护和 XDR 的技术采用涉及:
设置由Microsoft提供的 XDR 工具套件,以便:
执行事件响应以检测和挫败攻击。
主动搜寻威胁。
自动检测和响应已知攻击。
集成 Microsoft Defender XDR 和 Microsoft Sentinel。
定义 SecOps 流程和事件响应和恢复过程。
实施威胁防护和 XDR 还涉及一些相关活动,包括:
- 使用 XDR 工具同时监控您的业务关键资源和在安全漏洞防护和恢复文章中设置的蜜罐资源,以吸引攻击者在攻击您实际资源之前暴露其存在。
- 不断改进 SecOps 团队,了解最新的攻击及其方法。
下表汇总了许多组织对这些部署目标采取四个阶段的方法。
| 阶段 1 | 阶段 2 | 阶段 3 | 阶段 4 |
|---|---|---|---|
| 打开 XDR 工具: - Defender for Endpoint - Defender for Office 365 - Microsoft Entra ID 保护 - Defender for Identity - 云应用防护者 (Defender for Cloud Apps) 使用 Microsoft Defender XDR 调查和响应威胁 |
打开 Defender for Cloud 定义 SecOps 的内部过程 使用 XDR 工具监视关键业务资源和蜜罐资源 |
启用 Defender for IoT 设计Microsoft Sentinel 工作区并引入 XDR 信号 主动搜寻威胁 |
在组织中发展 SecOps 作为一项规则 利用自动化来减少 SecOps 分析师的负载 |
如果这种分阶段方法适用于你的组织,你可以使用:
此 可下载的 PowerPoint 幻灯片, 用于演示和跟踪业务主管和其他利益干系人在这些阶段和目标中的进度。 下面是此业务方案的幻灯片。
此 Excel 工作簿 用于分配所有者并跟踪这些阶段、目标及其任务的进度。 下面是此业务方案的工作表。
了解组织
对于技术实施,建议采用分阶段的方法,以提供有关理解您组织的活动的上下文。
每个业务方案的零信任采用生命周期的基础步骤包括清点和确定 SecOps 团队的当前状态。 对于此业务方案,需要:
- 盘点当前的 XDR 工具、它们的集成情况,以及事件响应中自动化的应用。
- 查看事件响应和恢复过程和流程。
- 查看蜜宝资源的部署。
- 确定安全分析师的就绪状态,以及他们是否需要额外的技能培训或开发。
组织规划和一致性
实施威胁防护和 XDR 的技术工作属于负责威胁检测和响应的组织安全团队,主要由了解当前威胁状况的一线安全分析人员负责,并且可以使用 XDR 工具快速检测和响应攻击。
下表总结了构建赞助计划和项目管理层次结构时建议的角色,以确定和推动结果。
| 项目负责人和技术所有者 | 问责 |
|---|---|
| CISO、CIO 或数据安全总监 | 高层管理赞助 |
| 来自数据安全的项目负责人 | 推动取得更佳成果并促进跨团队协作 |
| 安全架构师 | 有关事件响应策略和做法、XDR 工具和基础结构以及 SecOps 团队演变的建议 |
| SecOps 负责人 | 在组织中实施事件响应过程、XDR 基础结构配置、事件响应自动化和 SecOps 规则 |
| IT 主管的安全性 | 建议、实施和管理业务关键资源及诱捕系统资源 |
此采用内容的 PowerPoint 资源幻灯片集 包含以下幻灯片,其中包含可为自己组织自定义的利益相关者视图。
技术规划和技能准备情况
在开始技术工作之前,Microsoft建议了解这些功能、协同工作原理以及处理这项工作的最佳做法。
由于零信任假定存在违规,因此你必须为违规做好准备。 采用基于 NIST、 ISO 27001、 CIS 或 MITRE 的违规响应框架,以降低违规或网络攻击对组织的影响。
下表包含多个Microsoft培训资源,可帮助安全团队获得技能。
| 资源 | DESCRIPTION |
|---|---|
| 模块: 使用 Microsoft Defender XDR 缓解事件 | 了解 Microsoft Defender XDR 门户如何提供来自 Microsoft Defender XDR 系列产品的事件和警报的统一视图。 |
| 学习路径: 使用 Microsoft Defender XDR 缓解威胁 | 利用 Microsoft Defender XDR 中内置的业务流程和自动化,分析各域中的威胁数据并快速修正威胁。 |
| 模块: 通过现代运维实践提高可靠性:事件响应 | 了解有效事件响应的基础以及可以实现它们的 Azure 工具。 |
| 模块 :培训:Microsoft Sentinel 中的安全事件管理 | 了解 Microsoft Sentinel 事件和实体,并发现解决事件的方法。 |
阶段 1
阶段 1 部署目标包括启用主要Microsoft XDR 工具和使用 Microsoft Defender XDR,它将工具中的信号集成到单个门户中,以便进行事件响应。
打开 XDR 工具
从 XDR 工具的核心套件开始,以保护组织免受设备、标识和基于云的应用程序的攻击。
| 资源 | DESCRIPTION |
|---|---|
| Microsoft Defender for Endpoint | 企业终结点安全平台,可帮助企业网络防范、检测、调查和响应针对设备的高级威胁,这些威胁可能包括笔记本电脑、手机、平板电脑、电脑、接入点、路由器和防火墙。 |
| Defender for Office 365 | 与 Microsoft 365 或 Office 365 订阅无缝集成,可防范电子邮件、链接(URLS)、附件和协作工具中的威胁。 |
| Microsoft Entra ID 保护系统 | 帮助组织检测、调查和修正基于标识的风险。 这些基于标识的风险可以进一步馈送到 Entra 条件访问等工具中,以做出访问决策或反馈给安全信息和事件管理(SIEM)工具,以便进一步调查和关联。 |
| Defender for Identity | 利用来自本地 Active Directory 和云标识的信号,帮助你更好地识别、检测和调查针对组织的高级威胁。 |
| Defender for Cloud Apps | 为 SaaS 应用程序提供完全保护,帮助你监视和保护云应用数据。 |
使用 Microsoft Defender XDR 调查和响应威胁
启用主要 XDR 工具后,即可开始使用 Microsoft Defender XDR 及其门户分析警报和事件,并针对可疑网络攻击执行事件响应。
| 资源 | DESCRIPTION |
|---|---|
| 将 Microsoft 365 XDR 集成到安全作中 | 仔细规划与 SecOps 团队的集成,以优化 Microsoft Defender XDR 中工具的日常作和生命周期管理。 |
| 使用 Microsoft Defender XDR 进行事件响应 | 如何使用 Microsoft Defender XDR 分析警报和事件,并将最佳做法纳入 SecOps 过程和流程。 |
| 使用 Microsoft Defender XDR 调查事件 | 如何分析影响网络的警报,了解它们的含义,并整理证据,以便设计有效的修正计划。 |
| 模块: 使用 Microsoft Defender XDR 缓解事件 | 了解 Microsoft Defender XDR 门户如何提供来自 Microsoft Defender XDR 系列产品的事件和警报的统一视图。 |
| 学习路径: 使用 Microsoft Defender XDR 缓解威胁 | 利用 Microsoft Defender XDR 中内置的业务流程和自动化,分析各域中的威胁数据并快速修正威胁。 |
阶段 2
在此阶段,你将为 Azure 和本地资源启用其他 XDR 工具,创建或更新适用于Microsoft威胁防护和 XDR 服务的 SecOps 流程和过程,并监视业务关键和蜜宝资源,以在漏洞早期检测网络攻击者。
打开 Microsoft Defender for Cloud
Microsoft Defender for Cloud 是一个云原生应用程序保护平台(CNAPP),旨在保护基于云的应用程序免受各种网络威胁和漏洞的影响。 使用 Microsoft Defender for Cloud 保护和确保 Azure、混合云和本地环境的工作负荷安全。
| 资源 | DESCRIPTION |
|---|---|
| Microsoft Defender for Cloud | 从文档集开始。 |
| Microsoft Defender for Cloud 的安全警报和事件 | 使用 Microsoft Defender for Cloud Security 为 Azure、混合云和本地工作负荷执行事件响应。 |
| 模块: 使用 Microsoft Defender for Cloud 修正安全警报 | 了解如何搜寻威胁,并修正 Azure、混合云和本地工作负载的风险。 |
| 学习路径: 使用 Microsoft Defender for Cloud 缓解威胁 | 了解如何检测、调查和响应 Azure、混合云和本地工作负载上的高级威胁。 |
定义 SecOps 的内部过程
有了Microsoft XDR 工具,请确保其使用已集成到 SecOps 流程和过程中。
| 资源 | DESCRIPTION |
|---|---|
| 事件回复概述 | 主动调查并修正针对组织的当前攻击活动。 |
| 事件响应规划 | 使用本文作为清单来准备 SecOps 团队以响应网络安全事件。 |
| 常见攻击事件响应操作手册 | 使用这些文章获取有关恶意用户每天使用的常见攻击方法的详细指南。 |
| 将 Microsoft 365 XDR 集成到安全作中 | 仔细规划与 SecOps 团队的集成,以优化 Microsoft Defender XDR 中的日常作和生命周期管理工具。 |
| 六个桌面演练,帮助提升网络安全团队的准备能力 | 使用这些由 Internet 安全中心(CIS)提供的练习来准备 SecOps 团队。 |
使用 XDR 工具监视关键业务资源和蜜罐资源
您的部署蜜罐资源作为网络攻击者的目标,可用于早期检测其活动,以防他们在攻击真正目标并导致业务损失之前。 专注于威胁检测和搜寻的一部分,以监视业务关键资源和蜜宝资源。
| 资源 | DESCRIPTION |
|---|---|
| 使用 Microsoft Defender XDR 进行事件响应 | 使用 Microsoft Defender XDR 发现事件,其中包含影响业务关键和蜜宝资源的警报。 |
| Microsoft Defender for Cloud 的安全警报和事件 | 使用 Microsoft Defender for Cloud 搜索高级检测触发的警报,这些警报适用于业务关键型和蜜点资源,例如 Azure、混合云和本地工作负载。 |
阶段 3
在此阶段,你将启用 Defender for IoT,将 Microsoft Defender XDR 与 Microsoft Sentinel 集成,然后使用组合的威胁防护和 XDR 基础结构主动搜寻威胁。
打开 Defender for IoT
物联网(IoT)支持数十亿个使用运营技术(OT)和 IoT 网络的连接设备。 IoT/OT 设备和网络通常是使用专用协议构建的,可能会优先处理安全性方面的作挑战。 Microsoft Defender for IoT 是一种统一的安全解决方案,专为识别 IoT 和 OT 设备、漏洞和威胁而构建。
| 资源 | DESCRIPTION |
|---|---|
| Microsoft Defender for IoT | 从文档集开始。 |
| 模块:Microsoft Defender for IoT 简介 | 了解 Defender for IoT 组件和功能,以及它们如何支持 OT 和 IoT 设备安全监视。 |
| 学习路径:使用 Microsoft Defender for IoT 增强 IoT 解决方案安全性 | 了解可在 IoT 解决方案的每个级别应用的安全注意事项,以及可以配置为从头开始解决安全问题的 Azure 服务和工具。 |
设计Microsoft Sentinel 工作区并引入 XDR 信号
Microsoft Sentinel 是一种云原生解决方案,提供安全信息和事件管理(SIEM)和安全业务流程、自动化和安全响应(SOAR)功能。 Microsoft Sentinel 和 Microsoft Defender XDR 共同提供了一个全面的解决方案,可帮助组织抵御现代网络攻击。
| 资源 | DESCRIPTION |
|---|---|
| 实现 Microsoft Sentinel 和 Microsoft Defender XDR 以实现零信任 | 请从本解决方案文档入手,该文档还结合了零信任原则。 |
| 模块: 将 Microsoft Defender XDR 连接到 Microsoft Sentinel | 了解用于 Microsoft Defender XDR 的 Microsoft Sentinel 连接器提供的配置选项和数据。 |
| 构建 Microsoft Sentinel 工作区 | 了解如何设计和实现Microsoft Sentinel 工作区。 |
| 引入数据源并在 Microsoft Sentinel 中配置事件检测 | 了解如何配置数据连接器以将数据引入到 Microsoft Sentinel 工作区。 |
| 模块: 使用数据连接器将数据连接到 Microsoft Sentinel | 获取 Microsoft Sentinel 的可用数据连接器的概述。 |
主动搜寻威胁
现在,你的 XDR 和 SIEM 基础结构已准备就绪,你的 SecOps 团队可以主动寻找环境中正在进行的威胁,而不是被动应对已造成损害的攻击。
| 资源 | DESCRIPTION |
|---|---|
| 使用 Microsoft Defender XDR 中的高级搜寻功能主动搜寻威胁 | 开始使用 Microsoft Defender XDR 的威胁搜寻指南。 |
| 使用 Microsoft Sentinel 搜寻威胁 | 开始查阅 Microsoft Sentinel 的威胁搜寻文档集。 |
| 模块: 使用 Microsoft Sentinel 进行威胁搜寻 | 了解如何使用 Microsoft Sentinel 查询主动识别威胁行为。 |
阶段 4
在此阶段,你将 SecOps 发展为组织中的一项规则,并使用 Microsoft Defender XDR 和 Microsoft Sentinel 的功能自动执行已知或以前的攻击的事件响应。
在组织中发展 SecOps 作为一项规则
多个复杂的恶意事件、属性和上下文信息构成高级网络安全攻击。 识别和决定哪些活动符合可疑条件可能是一项具有挑战性的任务。 了解特定于行业的已知属性和异常活动是了解何时确定观察到的行为可疑的基础。
为了在事件响应和恢复的日常任务之外改进 SecOps 团队和纪律,专家或高级成员应了解更大的威胁环境,并在整个团队中传播该知识。
| 资源 | DESCRIPTION |
|---|---|
| Microsoft Defender XDR 中的威胁分析 | 对于与组织最相关的报表,请使用 Microsoft Defender XDR 门户中 的威胁分析仪表板(需要登录)。 |
| Microsoft Defender 威胁情报(Defender TI) | 使用此内置平台可在执行威胁基础结构分析和收集威胁情报时简化会审、事件响应、威胁搜寻、漏洞管理和网络威胁情报分析员工作流。 |
| Microsoft安全性博客 | 获取有关 Microsoft Defender XDR 和 Microsoft Sentinel 的安全威胁和新功能和更新的最新信息。 |
利用自动化来减少 SecOps 分析师的负载
使用 Microsoft Defender XDR 和 Microsoft Sentinel 的功能自动执行事件响应,以检测和恢复已知和预期事件,并更好地将 SecOps 团队集中在意外的攻击和新攻击方法上。
| 资源 | DESCRIPTION |
|---|---|
| Microsoft Defender XDR 中的自动调查和响应 | Microsoft Defender XDR 文档集入门。 |
| 配置自动调查和修正功能 | 对于设备上的攻击,请开始使用 Microsoft Defender for Endpoint 文档集。 |
| 在 Microsoft Sentinel 中使用 playbook 自动响应威胁 | 开始使用 Microsoft Sentinel 中用于操作手册的文档集。 |
云采用计划
采用计划是成功采用云的一项基本要求。 成功实施威胁防护和 XDR 的采用计划的关键属性包括:
- 策略和规划是一致的: 在制定用于跨本地和云基础结构的测试、试点和推出威胁防护和攻击恢复功能的计划时,请务必重新访问策略和目标,以确保计划保持一致。 这包括攻击检测和响应和使用自动化目标的优先级和目标里程碑。
- 计划是迭代的: 开始推出计划时,你将了解有关 XDR 环境和正在使用的工具的许多内容。 在推出的每个阶段,重新审视结果与目标的比较,并微调计划。 例如,这包括重新访问早期工作以微调过程和策略。
- 培训 SecOps 员工是精心策划的: 从安全架构师到一线安全分析师,每个人都接受过威胁防护、检测、缓解和恢复责任的训练。
有关适用于 Azure 的云采用框架的详细信息,请参阅 云采用计划。
就绪阶段
使用本文中列出的资源确定计划的优先级。 实施威胁防护和 XDR 的过程是多层零信任部署策略中的一个层面。
本文中建议的分阶段方法包括以有条不紊的方式在您的数字领域逐步实施威胁防护工作。 在此阶段,重新访问计划的这些元素,以确保一切准备就绪:
- SecOps 团队被告知,Microsoft Defender XDR 和 Microsoft Sentinel 的事件响应流程的更改即将发生
- SecOps 团队被通知有关文档和培训资源
- 分析人员已准备好使用威胁搜寻过程和指南和自动化技术
- 你的蜜宝资源已到位
规划阶段演示了你拥有的内容与所需位置之间的差距。 使用此阶段实现和测试 XDR 工具及其使用。 例如,SecOps 团队主管可以:
- 为 Microsoft Defender XDR 启用并使用 XDR 工具对当前攻击执行事件响应
- 使用数据连接器和工作区配置 Microsoft Defender XDR 和 Microsoft Sentinel 的集成
- 定义或优化 SecOps 团队过程和流程
- 探索并测试威胁搜寻,主动识别威胁和自动化,以检测和从已知攻击中恢复
采纳阶段
Microsoft建议采用级联迭代方法来实施威胁防护和 XDR。 这样,就可以优化策略和政策,以提高结果的准确性。 在开始下一阶段之前,无需等到一个阶段完成。 如果在每个阶段都实施相应的元素,并在此过程中进行迭代,那么结果会更有效。
采用阶段的主要元素应包括:
- 将 Microsoft Defender XDR 融入到你们 SecOps 团队的日常事件响应工作流中。
- 将 Microsoft Sentinel 的功能与 Microsoft Defender XDR 集成配合使用。
- 实现自动化以解决已知攻击,释放 SecOps 团队以执行威胁搜寻,并改进团队的纪律,以前瞻性思维,并为网络攻击的新趋势做好准备
治理和管理阶段
管理组织利用威胁防护和 XDR 基础设施检测攻击的能力是一个迭代的过程。 通过深思熟虑地创建实施计划并将其推广到 SecOps 团队中,你创建了一个基础。 使用以下任务帮助你开始为此基础构建初始治理计划。
| 目的 | 任务 |
|---|---|
| 跟踪和度量 | 为关键行动和责任分配负责人,例如事件响应程序、威胁情报收集和传达以及自动化维护。 为每项行动创建包含日期和进度表的可执行计划。 |
| 监视和检测 | 使用 Microsoft Defender XDR 和 Microsoft Sentinel 管理安全威胁,并通过自动化处理常见或之前的攻击。 |
| 迭代以达到成熟 | 不断重新评估风险和网络威胁,并对 SecOps 过程、职责、策略和优先级进行更改。 |
后续步骤
对于此业务方案:
零信任采用框架中的其他文章:
进度跟踪资源
对于任何零信任业务方案,可以使用以下进度跟踪资源。
| 进度跟踪资源 | 这有助于你... | 设计为... |
|---|---|---|
采用情境计划阶段表格可下载Visio 文件或PDF 
|
轻松了解每个业务场景的安全增强功能,以及计划阶段的步骤和目标的努力程度。 | 业务方案项目主管、业务主管和其他利益干系人。 |
零信任采用跟踪器 可下载 PowerPoint 幻灯片集 
|
通过计划阶段中的各个步骤和目标来跟踪进度。 | 业务方案项目主管、业务主管和其他利益干系人。 |
业务方案目标和任务 可下载的 Excel 工作簿 
|
分配所有权,并通过计划阶段的各个步骤、目标和任务来跟踪进度。 | 业务方案项目主管、IT 主管和 IT 实施者。 |
有关其他资源,请参阅 零信任评估和进度跟踪资源。