共用方式為


步驟 5. 開發和測試使用案例

適用於:

  • Microsoft Defender XDR

在資訊安全營運中心 (SOC) 中部署 Microsoft Defender 全面偵測回應的建議方法,取決於SOC小組目前的工具、程式和技能集合。 因為大量數據來自數十個安全性來源,如果不是數百個安全性來源,跨平臺維護網路健康可能會是一項挑戰。

安全性工具相互關聯。 在安全性技術中開啟一項功能或變更程式,可能會中斷另一項功能。 基於這個理由,Microsoft 建議您的SOC小組將定義和排定使用案例優先順序的方法正式化。 使用案例有助於定義跨不同小組的SOC作業需求和測試程式。 它會建立方法來擷取計量,以判斷正確的角色和工作混合是否與正確技能集合的正確小組一致。

開發並正式化使用案例程式

SOC 應該定義開發使用案例的高階標準和程式,這會受到SOC監督小組的規範。 SOC 監督小組應該與您的企業、IT、法律、人力資源和其他群組合作,以優先處理最終會進入SOC小組 Runbook 和劇本的SOC使用案例。 使用案例的優先順序是以合規性或隱私權等目標為基礎。

與使用案例開發相關的SOC監督活動包括:

  • 需求
  • 人員或訓練需求
  • 軟體授權
  • 廠商合約
  • 管理計劃
  • 維護使用案例登錄
  • 維護/更新範本

若要加速 Runbook 和劇本建立程式,請建立使用案例判定樹。 此圖顯示範例。

使用案例決策程式

定義並核准高階使用案例標準之後,下一個步驟是建立和測試實際的使用案例。 下列各節使用反網路釣魚和威脅和弱點掃描案例作為範例。

使用案例範例 1:新的網路釣魚變體

建立使用案例的第一個步驟是使用分鏡面板來概述工作流程。 以下是新網路釣魚入侵通知給威脅情報小組的高階劇本面板範例。

反網路釣魚活動使用案例的工作流程

叫用使用案例工作流程,例如 1

一旦腳本面板獲得核准,下一個步驟就是叫用使用案例工作流程。 以下是反網路釣魚活動的範例程式。

反網路釣魚活動的詳細使用案例工作流程

使用案例範例 2:威脅和弱點掃描

另一個可能使用案例的案例是威脅和弱點掃描。 在此範例中,SOC 要求透過包含資產掃描的已核准程式來補救資產的威脅和弱點。

以下是資產 Microsoft Defender 弱點管理 的高階分鏡腳本範例。

適用於 威脅與弱點管理的使用案例工作流程

叫用使用案例工作流程,例如 2

以下是威脅和弱點掃描的範例程式。

適用於 威脅與弱點管理 的詳細使用案例工作流程

分析使用案例輸出和學習到的課程

在使用案例經過核准和測試之後,您應該找出安全性小組之間的差距,以及所涉及的人員、流程和 Microsoft Defender 全面偵測回應 技術。 Microsoft Defender 全面偵測回應 應分析技術,以判斷它們是否能夠達到所需的結果。 您可以透過檢查清單或矩陣來追蹤這些專案。

例如,在反網路釣魚案例範例中,SOC 小組可能已在此數據表中進行探索。

SOC小組 需求 符合需求的 人員 符合需求的程式 相關技術 已識別間距 使用案例變更記錄 豁免 (Y/N)
威脅情報和分析小組 數據源會正確地饋送威脅情報引擎。 威脅情報分析師/工程師 已建立數據摘要需求,來自已核准來源的威脅情報觸發程式 適用於身分識別的 Microsoft Defender、適用於端點的 Microsoft Defender 威脅情報小組未使用自動化腳本來連結 Microsoft Defender 全面偵測回應 API 與威脅 Intel 引擎 將 Microsoft Defender 全面偵測回應 作為數據源新增至威脅引擎

更新使用案例 Run book

N
監視小組 數據源會正確地饋送監視儀錶板 第 1,2 層 SOC 分析師 – 監視 & 警示 報告安全性 & 合規性中心安全分數的工作流程 調查 Microsoft Defender 全面偵測回應 中的警示

安全分數監視

沒有機制可讓SOC分析師報告成功的新網路釣魚變體偵測,以改善安全分數

在 Microsoft Defender 入口網站中檢視電子郵件安全性報告

將追蹤安全分數改進的程式新增至報告工作流程 N
Engineering and SecOps Team 變更控件更新是在SOC小組 Runbook 中進行 第 2 層 SOC 工程師 SOC 小組 Runbook 的變更控制通知程式 已核准的安全性裝置變更 對SOC安全性技術 Microsoft Defender 全面偵測回應連線的變更需要核准 將 Microsoft Defender for Cloud Apps、適用於身分識別的 Defender、適用於端點的 Defender、安全性 & 合規性中心新增至 SOC Runbook Y

此外,SOC 小組可能已針對上述 Defender 弱點管理案例,進行下表中所述的探索:

SOC小組 需求 符合需求的 人員 符合需求的程式 相關技術 已識別間距 使用案例變更記錄 豁免 (Y/N)
SOC 監督 所有連線到已核准網路的資產都會識別並分類 SOC 監督、BU 擁有者、應用程式擁有者、IT 資產擁有者等。 集中式資產管理系統,可根據風險探索和列出資產類別和屬性。 ServiceNow 或其他資產。

Microsoft 365 裝置清查
只探索到 70% 的資產。 Microsoft Defender 全面偵測回應 補救追蹤只對已知資產有效 成熟的資產生命週期管理服務,以確保 Microsoft Defender 全面偵測回應 具有100%的涵蓋範圍 N
Engineering & SecOps Teams 資產的高影響力和重大弱點會根據原則進行補救 SecOps 工程師、SOC 分析師:弱點 & 合規性、安全性工程 分類高風險和重大弱點的定義程式 Microsoft Defender 弱點管理 儀錶板 適用於端點的 Defender 已識別出高影響力、高警示裝置,但沒有補救計劃或 Microsoft 建議活動的實作 新增工作流程,以在每個原則需要 30 天內進行補救活動時通知資產擁有者;實作票證系統,以通知資產擁有者補救步驟。 N
監視Teams 威脅和弱點狀態會透過公司內部網路入口網站回報 第 2 層 SOC 分析師 從顯示資產補救進度的 Microsoft Defender 全面偵測回應 自動產生報告 調查 Microsoft Defender 全面偵測回應 中的警示

安全分數監視

對於資產的威脅和弱點狀態,不會向資產擁有者傳達任何檢視或儀錶板報告。 Create 自動化腳本,為組織填入高風險和重大資產弱點補救的狀態。 N

在這些範例使用案例中,測試會顯示SOC小組需求中的數個差距,而這些需求已建立為每個小組職責的基準。 使用案例檢查清單可以視需要完整,以確保SOC小組已準備好 Microsoft Defender 全面偵測回應與新的或現有的SOC需求整合。 因為這是反覆的程式,所以使用案例開發程式和使用案例輸出內容自然會提供更新和成熟 SOC 的 Runbook,並提供所學到的經驗。

更新生產 Runbook 和劇本

一旦針對所有落差修復使用案例測試之後,所學到的經驗和在其中收集的計量就可以併入SOC小組的生產 Runbook, (作業程式) 和劇本, (事件回應和呈報程式) 。

SOC 小組 Runbook 和劇本的維護可以透過許多方式進行組織。 每個SOC小組可能自行負責,或是有單一集中式版本可供所有小組在中央存放庫中共用。 個別組織的 Runbook 和劇本管理是以大小、技能集、角色和職責隔離為基礎。 更新 Runbook 之後,劇本更新程式應該會跟著進行。

使用標準架構進行呈報

劇本是SOC小組在實際事件發生時必須遵循的步驟,其依據是使用案例的成功整合和測試。 因此,SOC 必須遵循正式化的事件回應方法,例如 NIST 事件回應標準 ,該標準已成為事件回應的領先業界標準之一。

NIST 四步驟事件回應程式包含四個階段:

  1. 準備
  2. 偵測和分析
  3. 抑制、根除和復原
  4. 事件後活動

範例:追蹤準備階段活動

呈報劇本的核心基礎之一,是確保每個SOC小組在事件或事件之前、期間和之後應該執行的動作幾乎不明確。 因此,最好列出逐步指示。

例如,準備階段可能包含工作的 if/then 或 XoR 矩陣。 如果是新的網路釣魚變體範例使用案例,這類矩陣可能如下所示:

為何要保證呈報? 下一步
SOC監視中將警示評等為 重大 觸發 >的 500/小時 移至劇本 A、第 2 節、活動 5 (,其中包含劇本區段的連結)
eCommerce 回報潛在的 DDoS 攻擊 使用劇本區段的連結來叫用劇本 B 區段 C、活動 19 ()
主管回報可疑的電子郵件為魚叉式網路釣魚嘗試 移至劇本 5、第 2 節、活動 5 (,其中包含劇本區段的連結)

執行準備階段之後,組織應該叫用 NIST 所述的其餘階段:

  • 偵測和分析
  • 抑制、根除和復原
  • 事件後活動

下一步

步驟 6. 識別SOC維護工作

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。