步驟 5. 開發和測試使用案例
適用於:
- Microsoft Defender XDR
在資訊安全營運中心 (SOC) 中部署 Microsoft Defender 全面偵測回應的建議方法,取決於SOC小組目前的工具、程式和技能集合。 因為大量數據來自數十個安全性來源,如果不是數百個安全性來源,跨平臺維護網路健康可能會是一項挑戰。
安全性工具相互關聯。 在安全性技術中開啟一項功能或變更程式,可能會中斷另一項功能。 基於這個理由,Microsoft 建議您的SOC小組將定義和排定使用案例優先順序的方法正式化。 使用案例有助於定義跨不同小組的SOC作業需求和測試程式。 它會建立方法來擷取計量,以判斷正確的角色和工作混合是否與正確技能集合的正確小組一致。
開發並正式化使用案例程式
SOC 應該定義開發使用案例的高階標準和程式,這會受到SOC監督小組的規範。 SOC 監督小組應該與您的企業、IT、法律、人力資源和其他群組合作,以優先處理最終會進入SOC小組 Runbook 和劇本的SOC使用案例。 使用案例的優先順序是以合規性或隱私權等目標為基礎。
與使用案例開發相關的SOC監督活動包括:
- 需求
- 人員或訓練需求
- 軟體授權
- 廠商合約
- 管理計劃
- 維護使用案例登錄
- 維護/更新範本
若要加速 Runbook 和劇本建立程式,請建立使用案例判定樹。 此圖顯示範例。
定義並核准高階使用案例標準之後,下一個步驟是建立和測試實際的使用案例。 下列各節使用反網路釣魚和威脅和弱點掃描案例作為範例。
使用案例範例 1:新的網路釣魚變體
建立使用案例的第一個步驟是使用分鏡面板來概述工作流程。 以下是新網路釣魚入侵通知給威脅情報小組的高階劇本面板範例。
叫用使用案例工作流程,例如 1
一旦腳本面板獲得核准,下一個步驟就是叫用使用案例工作流程。 以下是反網路釣魚活動的範例程式。
使用案例範例 2:威脅和弱點掃描
另一個可能使用案例的案例是威脅和弱點掃描。 在此範例中,SOC 要求透過包含資產掃描的已核准程式來補救資產的威脅和弱點。
以下是資產 Microsoft Defender 弱點管理 的高階分鏡腳本範例。
叫用使用案例工作流程,例如 2
以下是威脅和弱點掃描的範例程式。
分析使用案例輸出和學習到的課程
在使用案例經過核准和測試之後,您應該找出安全性小組之間的差距,以及所涉及的人員、流程和 Microsoft Defender 全面偵測回應 技術。 Microsoft Defender 全面偵測回應 應分析技術,以判斷它們是否能夠達到所需的結果。 您可以透過檢查清單或矩陣來追蹤這些專案。
例如,在反網路釣魚案例範例中,SOC 小組可能已在此數據表中進行探索。
| SOC小組 | 需求 | 符合需求的 人員 | 符合需求的程式 | 相關技術 | 已識別間距 | 使用案例變更記錄 | 豁免 (Y/N) |
|---|---|---|---|---|---|---|---|
| 威脅情報和分析小組 | 數據源會正確地饋送威脅情報引擎。 | 威脅情報分析師/工程師 | 已建立數據摘要需求,來自已核准來源的威脅情報觸發程式 | 適用於身分識別的 Microsoft Defender、適用於端點的 Microsoft Defender | 威脅情報小組未使用自動化腳本來連結 Microsoft Defender 全面偵測回應 API 與威脅 Intel 引擎 | 將 Microsoft Defender 全面偵測回應 作為數據源新增至威脅引擎 更新使用案例 Run book |
N |
| 監視小組 | 數據源會正確地饋送監視儀錶板 | 第 1,2 層 SOC 分析師 – 監視 & 警示 | 報告安全性 & 合規性中心安全分數的工作流程 | 調查 Microsoft Defender 全面偵測回應 中的警示 安全分數監視 |
沒有機制可讓SOC分析師報告成功的新網路釣魚變體偵測,以改善安全分數 | 將追蹤安全分數改進的程式新增至報告工作流程 | N |
| Engineering and SecOps Team | 變更控件更新是在SOC小組 Runbook 中進行 | 第 2 層 SOC 工程師 | SOC 小組 Runbook 的變更控制通知程式 | 已核准的安全性裝置變更 | 對SOC安全性技術 Microsoft Defender 全面偵測回應連線的變更需要核准 | 將 Microsoft Defender for Cloud Apps、適用於身分識別的 Defender、適用於端點的 Defender、安全性 & 合規性中心新增至 SOC Runbook | Y |
此外,SOC 小組可能已針對上述 Defender 弱點管理案例,進行下表中所述的探索:
| SOC小組 | 需求 | 符合需求的 人員 | 符合需求的程式 | 相關技術 | 已識別間距 | 使用案例變更記錄 | 豁免 (Y/N) |
|---|---|---|---|---|---|---|---|
| SOC 監督 | 所有連線到已核准網路的資產都會識別並分類 | SOC 監督、BU 擁有者、應用程式擁有者、IT 資產擁有者等。 | 集中式資產管理系統,可根據風險探索和列出資產類別和屬性。 | ServiceNow 或其他資產。 Microsoft 365 裝置清查 |
只探索到 70% 的資產。 Microsoft Defender 全面偵測回應 補救追蹤只對已知資產有效 | 成熟的資產生命週期管理服務,以確保 Microsoft Defender 全面偵測回應 具有100%的涵蓋範圍 | N |
| Engineering & SecOps Teams | 資產的高影響力和重大弱點會根據原則進行補救 | SecOps 工程師、SOC 分析師:弱點 & 合規性、安全性工程 | 分類高風險和重大弱點的定義程式 | Microsoft Defender 弱點管理 儀錶板 | 適用於端點的 Defender 已識別出高影響力、高警示裝置,但沒有補救計劃或 Microsoft 建議活動的實作 | 新增工作流程,以在每個原則需要 30 天內進行補救活動時通知資產擁有者;實作票證系統,以通知資產擁有者補救步驟。 | N |
| 監視Teams | 威脅和弱點狀態會透過公司內部網路入口網站回報 | 第 2 層 SOC 分析師 | 從顯示資產補救進度的 Microsoft Defender 全面偵測回應 自動產生報告 | 調查 Microsoft Defender 全面偵測回應 中的警示 安全分數監視 |
對於資產的威脅和弱點狀態,不會向資產擁有者傳達任何檢視或儀錶板報告。 | Create 自動化腳本,為組織填入高風險和重大資產弱點補救的狀態。 | N |
在這些範例使用案例中,測試會顯示SOC小組需求中的數個差距,而這些需求已建立為每個小組職責的基準。 使用案例檢查清單可以視需要完整,以確保SOC小組已準備好 Microsoft Defender 全面偵測回應與新的或現有的SOC需求整合。 因為這是反覆的程式,所以使用案例開發程式和使用案例輸出內容自然會提供更新和成熟 SOC 的 Runbook,並提供所學到的經驗。
更新生產 Runbook 和劇本
一旦針對所有落差修復使用案例測試之後,所學到的經驗和在其中收集的計量就可以併入SOC小組的生產 Runbook, (作業程式) 和劇本, (事件回應和呈報程式) 。
SOC 小組 Runbook 和劇本的維護可以透過許多方式進行組織。 每個SOC小組可能自行負責,或是有單一集中式版本可供所有小組在中央存放庫中共用。 個別組織的 Runbook 和劇本管理是以大小、技能集、角色和職責隔離為基礎。 更新 Runbook 之後,劇本更新程式應該會跟著進行。
使用標準架構進行呈報
劇本是SOC小組在實際事件發生時必須遵循的步驟,其依據是使用案例的成功整合和測試。 因此,SOC 必須遵循正式化的事件回應方法,例如 NIST 事件回應標準 ,該標準已成為事件回應的領先業界標準之一。
NIST 四步驟事件回應程式包含四個階段:
- 準備
- 偵測和分析
- 抑制、根除和復原
- 事件後活動
範例:追蹤準備階段活動
呈報劇本的核心基礎之一,是確保每個SOC小組在事件或事件之前、期間和之後應該執行的動作幾乎不明確。 因此,最好列出逐步指示。
例如,準備階段可能包含工作的 if/then 或 XoR 矩陣。 如果是新的網路釣魚變體範例使用案例,這類矩陣可能如下所示:
| 為何要保證呈報? | 下一步 |
|---|---|
| SOC監視中將警示評等為 重大 觸發 >的 500/小時 | 移至劇本 A、第 2 節、活動 5 (,其中包含劇本區段的連結) |
| eCommerce 回報潛在的 DDoS 攻擊 | 使用劇本區段的連結來叫用劇本 B 區段 C、活動 19 () |
| 主管回報可疑的電子郵件為魚叉式網路釣魚嘗試 | 移至劇本 5、第 2 節、活動 5 (,其中包含劇本區段的連結) |
執行準備階段之後,組織應該叫用 NIST 所述的其餘階段:
- 偵測和分析
- 抑制、根除和復原
- 事件後活動
下一步
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應