適用於:
- Microsoft Defender XDR
建議在安全營運中心 (SO) C部署Microsoft Defender 全面偵測回應的方法,取決於SOC團隊目前的工具、流程與技能組合。 由於來自數十甚至數百個安全來源的龐大資料,跨平台維持網路衛生可能相當具有挑戰性。
安全工具是相互關聯的。 開啟一項安全技術的功能或改變流程,可能會破壞另一個功能。 因此,Microsoft 建議您的 SOC 團隊正式制定定義與優先排序使用案例的方法。 使用案例有助於定義各團隊 SOC 運作的需求與測試流程。 它建立一套方法論,用以捕捉指標,判斷合適的角色與任務組合是否與合適的團隊及技能組合相匹配。
發展並正式化使用案例流程
SOC 應定義一個高層次的標準與流程,以開發使用案例,並由 SOC 監督團隊進行規範。 SOC 監督團隊應該與你的業務、IT、法務、人資及其他團隊合作,優先排序 SOC 的使用案例,這些案例最終會納入 SOC 團隊的流程手冊和實務手冊。 使用案例的優先順序是根據目標來決定,例如合規或隱私。
SOC 監督與使用案例開發相關的活動包括:
- 需求
- 人員配置或訓練需求
- 軟體授權
- 供應商合約
- 管理計畫
- 維護使用案例登錄
- 維護/更新範本
為了促進 runbook 和 playbook 的建立流程,請建立使用案例決策樹。 此圖展示了一個範例。
一旦定義並核准高階使用案例標準,下一步就是建立並測試實際的使用案例。 以下章節將以反釣魚及威脅與漏洞掃描情境作為範例。
使用案例一:新型釣魚變體
建立使用案例的第一步是用故事板來勾勒工作流程。 這裡有一個針對威脅情報團隊的新釣魚攻擊漏洞通知的高階故事板範例。
例如,啟動使用案例工作流程 1
故事板核准後,下一步是啟動使用案例工作流程。 這裡有一個反釣魚行動的範例流程。
使用案例二:威脅與漏洞掃描
另一個可用場景是威脅與漏洞掃描。 在此範例中,SOC 要求透過核准的流程(包括資產掃描)來修復威脅與漏洞。
這裡有一個 Microsoft Defender 弱點管理資產的高階故事板範例。
例如,啟動用例工作流程 2
這裡有一個威脅與漏洞掃描的範例流程。
分析使用案例的產出與經驗教訓
在使用案例核准並測試後,應識別安全團隊間的缺口,以及相關人員、流程與 Microsoft Defender 全面偵測回應技術。 Microsoft Defender 全面偵測回應技術應被分析,以判斷其是否能達成預期結果。 這些都可以透過檢查清單或矩陣來追蹤。
例如,在反釣魚情境中,SOC 團隊可能發現了這張表中的結果。
| SOC 團隊 | 需求 | 符合需求的人員 | 符合要求的流程 | 相關技術 | 識別出缺口 | 使用案例變更日誌 | 免 (Y/N) |
|---|---|---|---|---|---|---|---|
| 威脅情報與分析團隊 | 資料來源正適當地為威脅情報引擎提供資訊。 | 威脅情報分析師/工程師 | 資料導流需求已建立,威脅情報會從核准來源觸發 | 適用於身分識別的 Microsoft Defender, 適用於端點的 Microsoft Defender | 威脅情報團隊並未使用自動化腳本將 Microsoft Defender 全面偵測回應 API 與威脅情報引擎連結 | 將 Microsoft Defender 全面偵測回應為威脅引擎的資料來源 更新使用案例跑手冊 |
N |
| 監控團隊 | 資料來源正正確地供應給監控儀表板 | Tier 1,2 SOC 分析師-監控 & 警示 | 安全 & 合規中心安全分數報告的工作流程 |
調查 Microsoft Defender 全面偵測回應中的警報 安全分數監控 |
沒有機制讓 SOC 分析師報告成功偵測到新的網路釣魚變體以提升 Secure Score。 | 在報告工作流程中加入追蹤安全分數改進的流程 | N |
| 工程與安全作戰團隊 | 變更控制更新會在 SOC 團隊執行手冊中進行 | 二級SOC工程師 | SOC 團隊執行簿的變更控制通知程序 | 核准的安全裝置變更 | Microsoft Defender 全面偵測回應 SOC 安全技術的變更需經核准 | 將 Microsoft Defender for Cloud Apps、Defender for Identity、Defender for Endpoint、Security & Compliance Center 加入 SOC 執行手冊 | Y |
此外,SOC 團隊也可能發現了下表中所述的 Defender 弱點管理情境:
| SOC 團隊 | 需求 | 符合需求的人員 | 符合要求的流程 | 相關技術 | 識別出缺口 | 使用案例變更日誌 | 免 (Y/N) |
|---|---|---|---|---|---|---|---|
| SOC 監督 | 所有連結到核准網路的資產都會被識別並分類 | SOC 監督、業務主管、應用程式負責人、IT 資產擁有者等等。 | 集中式資產管理系統,根據風險發現並列出資產類別與屬性。 | ServiceNow 或其他資產。 Microsoft 365 裝置清單 |
目前僅發現了70%的資產。 Microsoft Defender 全面偵測回應追蹤修復,僅對已知資產有效 | 成熟的資產生命週期管理服務,確保 Microsoft Defender 全面偵測回應 100% 覆蓋 | N |
| 工程 & 安全行動團隊 | 高影響且關鍵的資產脆弱性會依政策進行修復 | 安全運營工程師、SOC分析師:漏洞 & 合規、安全工程 | 高風險與關鍵漏洞分類的定義流程 | Microsoft Defender 弱點管理儀表板 | Defender for Endpoint 已識別出高影響、高警示的裝置,卻沒有修復計畫或 Microsoft 推薦的活動實施 | 新增工作流程,通知資產所有人需在每份保單30天內進行修復活動;實施工單系統,通知資產所有人修復步驟。 | N |
| 監控團隊 | 威脅與漏洞狀態會透過公司內聯網入口網站回報 | 二級SOC分析師 | Microsoft Defender 全面偵測回應資產修復進度的自動產生報告 |
調查 Microsoft Defender 全面偵測回應中的警報 安全分數監控 |
沒有檢視或儀表板報告傳達給資產擁有者,說明資產的威脅與脆弱性狀態。 | 建立自動化腳本,將高風險及關鍵資產脆弱性修復狀態顯示給組織。 | N |
在這些範例使用案例中,測試揭示了 SOC 團隊需求中存在若干缺口,這些缺口被確立為各團隊責任的基準。 使用案例檢查清單可盡可能全面,確保 SOC 團隊能為 Microsoft Defender 全面偵測回應與新舊 SOC 需求整合做好準備。 由於這是一個反覆的過程,使用案例開發過程與輸出內容自然有助於更新並成熟 SOC 的運行手本,從中學到的經驗教訓。
更新製作流程簿與劇本
一旦所有使用案例測試補救完成所有缺口,從中獲得的經驗教訓與指標即可納入 SOC 團隊的生產執行手冊 (營運流程) 與事件回應與升級程序 (手冊) 。
SOC 團隊的運作手冊與戰術手冊的維護可以用多種方式組織。 每個 SOC 團隊可能負責自己的,或是所有團隊共用一個集中版本,存放於中央儲存庫中。 個別組織的跑手冊與操作手冊管理基於規模、技能組合、角色及職責分工。 一旦 runbook 更新完成,playbook 更新流程就會跟著進行。
使用標準的升級框架
當真實事件發生時,SOC 團隊根據成功整合與測試使用案例,應遵循的步驟。 因此,SOC必須遵循正式化的事件應變方法,例如已成為業界領先標準之一的NIST事件應變Standard。
NIST 四步驟事件應變流程包含四個階段:
- 準備
- 偵測和分析
- 抑制、根除和復原
- 事件後活動
範例:追蹤準備階段活動
升級手冊的核心基礎之一,就是確保每個SOC團隊在事件發生前、中、後應該做什麼,幾乎沒有模糊不清。 因此,列出逐步的指示是很好的做法。
例如,準備階段可以包含一個 if/then 或 XoR 任務矩陣。 以新的釣魚變體範例為例,這樣的矩陣可能如下:
| 為什麼需要升級處理? | 下一步 |
|---|---|
| SOC 監控警報被評為 危急 ,觸發 >500 分鐘/小時 | 前往戰術手冊A,第2節,活動5 (,並附上劇本章節的連結) |
| 電子商務報告可能遭遇DDoS攻擊 | 啟動劇本B節C,活動19 (,並附上劇本章節連結) |
| 高層報告一封可疑郵件,稱其為魚叉式網路釣魚嘗試 | 前往Playbook 5,第2節,活動5 (,並附上Playbook章節的連結) |
執行準備階段後,組織應依 NIST 規定啟動剩餘階段:
- 偵測和分析
- 抑制、根除和復原
- 事件後活動
下一步
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。