了解安全运营中心 (SOC) 中的 Microsoft Defender XDR

  • 3 分钟

下图概述了如何将 Microsoft Defender XDR 和 Microsoft Sentinel 集成到新式安全运营中心 (SOC) 中。

Diagram that shows the layers and technologies of Security Operations.

安全运营模型 - 职能和工具

虽然对个人和团队的职责分配会根据组织规模和其他因素而有所不同,但安全运营由多个不同的职能组成。 每个职能/团队都有一个主要重点领域,还必须与其他职能和外部团队密切合作,才能有效。 此图描绘了具有人员配备齐全的团队的完整模型。 在较小的组织中,这些职能通常组合成一个角色或团队,由 IT 运营部门执行(对于技术角色),或者由领导/代表作为临时职能执行(对于事件管理)

注意

我们主要通过团队名称(而不是层级编号)来指代分析师,因为这些团队每个都有独特的专业技能,它们不是字面上的排名/价值分层。

Diagram that shows the Security Operations Model with functions and tools.

会审和自动化

我们将从处理反应式警报开始 -- 开始于:

  • 自动化 - 使用自动化准实时解决已知事件类型。 这些是组织多次看到的明确定义的攻击。

  • 会审(也称为第 1 层)- 会审分析师专注于快速修正大量仍需要(快速)人工判断的已知事件类型。 任务通常是批准自动修正工作流并识别需要升级或咨询调查(第 2 层)团队的任何异常或有趣内容。

    会审和自动化的关键学习:

    • 90% 真正 - 我们建议为任何需要分析师做出响应的警报源设置 90% 真正的质量标准,让分析师无需响应大量误报。
    • 警报比率 - 根据 Microsoft 网络防御运营中心的经验,XDR 警报会生成大多数高质量的警报,其余警报来自用户报告的问题、基于经典日志查询的警报和其他源
    • 自动化是会审团队的关键推动因素,因为它有助于增强这些分析师的能力并减轻人工工作的负担(例如,提供自动化调查,然后在批准为此事件自动生成的修正序列之前提示他们进行人工审核)。
    • 工具集成 - 在 Microsoft 的 CDOC 中缩短修正时间的最强大省时技术之一是将 XDR 工具集成到 Microsoft Defender XDR 中,因此分析师可以拥有用于终结点、电子邮件、标识等的单个控制台。 此集成使分析师能够在攻击者造成重大损害之前快速发现和清理攻击者钓鱼电子邮件、恶意软件和遭到入侵的帐户。
    • 专注助手 - 这些团队无法保持对所有类型的技术和场景的高速解决,因此他们将注意力集中在少数技术领域和/或场景上。 大多数情况下,这与用户工作效率有关,例如电子邮件、终结点 AV 警报(与用于调查的 EDR 相比)以及对用户报告的第一响应。

调查和事件管理(第 2 层)

此团队充当会审问题的升级点(第 1 层),并直接监视关于更复杂的攻击者的警报。 具体来说,就是触发行为警报、与业务关键资产相关的特殊案例警报,并监视正在进行的攻击活动的警报。 此团队还会定期主动查看会审团队警报队列,并在空闲时间使用 XDR 工具主动搜寻。

此团队更深入地调查少量更复杂的攻击,通常是人为攻击操作员进行的多阶段攻击。 此团队试验新的/不熟悉的警报类型,以记录会审团队和自动化的过程,通常包括 Microsoft Defender for Cloud 在云托管应用、VM、容器和 Kubernetes、SQL 数据库等上生成的警报。

事件管理 - 此团队承担管理事件的非技术方面,包括与其他团队(如通信、法律、领导和其他业务利益干系人)的协调。

搜寻和事件管理(第 3 层)

这是一个多学科团队,专注于识别可能已逃脱被动检测的攻击者并处理重大业务影响事件。

  • 搜寻 – 此团队主动搜寻未检测到的威胁,协助升级和高级取证进行反应式调查,并优化警报/自动化。 这些团队在假设驱动的模型(而不是反应式警报模型)中操作,并且是与安全操作相连接的红色/紫色团队。

如何综合利用信息

为了让你了解其工作原理,让我们遵循常见的事件生命周期

  1. “会审(第 1 层)”分析师声明队列中存在恶意软件警报并进行调查(例如,使用 Microsoft Defender XDR 控制台)
  2. 虽然大多数会审案例都得到了快速修正和关闭,但这次分析师发现恶意软件可能需要更多参与/高级的修正(例如,设备隔离和清理)。 会审会将此案例上报给负责调查的“调查分析员(第 2 层)”。 会审团队可以选择继续参与,并了解更多信息(调查团队可以使用 Microsoft Sentinel 或其他 SIEM 获得更广泛的上下文)
  3. 调查验证调查结论(或进一步深入调查它),并继续修正,关闭案例。
  4. 稍后,搜寻(第 3 层)可能会在回顾已关闭事件以了解值得深入研究的共性或异常时注意到此案例:
    • 可能有资格进行自动修正的检测结果
    • 可能具有常见根本原因的多个类似事件
    • 其他潜在的流程/工具/警报改进。在一个案例中,第 3 层审查了该案例,发现用户陷入了技术骗局。 然后,此检测被标记为可能更高的优先级警报,因为骗子设法在终结点上获取管理员级访问权限。 较高的风险危险性。

威胁情报

威胁情报团队提供上下文和见解以支持所有其他功能(在大型组织中使用威胁情报平台 (TIP))。 这可能包括许多不同的方面,其中包括

  • 针对活动事件的反应性技术研究
  • 针对攻击者群体、攻击趋势、高调攻击、新兴技术等进行积极的技术研究。
  • 用于了解业务和技术流程和优先级的战略分析、研究和见解。
  • 及其他信息