分享方式:


步驟 1. 規劃 Microsoft Defender 全面偵測回應 作業整備

適用於:

  • Microsoft Defender XDR

無論安全性作業目前的成熟度為何,請務必與資訊安全作業中心 (SOC) 一致。 雖然沒有符合每個組織的單一模型,但某些層面比其他層面更常見。

下列各節說明SOC的核心功能。

提供新式威脅的情境感知

SOC 小組會準備並搜捕新的和傳入的威脅,以便與組織合作來建立因應措施和回應。 您的SOC小組應該有經過新式攻擊方法和技術高度訓練的人員,並瞭解威脅執行者。 網路 終止鏈 結或 MITRE ATT&CK 架構 等共用威脅情報和架構,可以讓威脅分析師和威脅搜捕人員的人員能夠。

為網路事件和事件提供第一級、第二層和可能的第三層回應

SOC 是安全性事件和事件的防禦第一線。 當事件、威脅、攻擊、原則違規或稽核尋找觸發警示或行動呼叫時,SOC 小組會進行評量以進行分級並包含它,或呈報以進行調查。 因此,SOC 第一線回應者必須具備安全性事件和指標的廣泛技術知識。

集中監視和記錄組織的安全性來源

通常,SOC 小組的核心功能是確保防火牆、入侵預防系統、數據外洩防護系統、弱點管理系統和身分識別系統等所有安全性裝置都正常運作並受到監視。 SOC 小組會使用更廣泛的網路作業,例如身分識別、DevOps、雲端、應用程式、數據科學和其他商務小組,以確保安全性資訊的分析是集中式且安全的。 此外,SOC 小組負責維護可使用且可讀取格式的數據記錄,其中可能包括剖析和正規化不同的格式。

建立 Red、Blue 和 Purple 小組的作業整備程度

每個 SOC 小組都應該測試其響應網路事件的準備。 測試可以透過訓練練習來完成,例如數據表頂端和練習會與IT、安全性和商務層級的各種人員一起執行。 個別訓練練習小組是根據代表性角色所建立,而且扮演的是 (Blue Team) 的 defender 角色、攻擊者 (Red Team) ,或是尋求透過紫色小組) (練習期間所發現的優勢和弱點來改善藍隊和紅隊方法和技術的觀察者。

下一步

步驟 2. 使用 零信任 Framework 執行 SOC 整合整備評估

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。