使用零信任的可見度、自動化和協調流程

檢視方塊中的其中一項重大變更是 零信任 安全性架構的標誌，是從預設信任轉向信任例外狀況。 不過，您需要一些可靠的方法來建立信任，一旦需要信任。 因為您不再假設要求為可信任，所以建立證明要求值得信任的方式，對於證明其時間點值得信任非常重要。 此證明需要能夠查看要求前後的活動。

在我們的其他 零信任 指南中，我們定義了在身分識別、端點和裝置、數據、應用程式、基礎結構和網路之間實作端對端 零信任 方法的方法。 所有這些投資都能提高可見度，讓您更妥善地做出信任決策。 不過，透過在這六個領域採用 零信任 方法，您一定會增加安全性作業中心 （SOC） 分析師需要減輕的事件數目。 您的分析師在人才短缺的時候變得比以往更加忙碌。 這可能會導致慢性警示疲勞，分析師遺漏重大警示。

透過這些個別區域產生自己的相關警示，我們需要整合功能來管理產生的數據湧入，以更好地防範威脅並驗證交易的信任。

您要能夠：

• 偵測威脅和弱點。
• 調查。
• 回應。
• 狩獵。
• 透過威脅分析提供其他內容。
• 評估弱點。
• 向世界級專家取得協助
• 防止或封鎖跨支柱發生的事件。

管理威脅包括被動式和主動式偵測，而且需要支援這兩者的工具。

反應式偵測 是從可調查的六個支柱之一觸發事件時。 此外，SIEM 等管理產品可能會支援另一層分析，以擴充資料並與其相互關聯，導致將事件標記為惡意。 下一個步驟就是調查以取得攻擊的完整記述。

主動式偵測 是在您將搜捕套用至數據以證明遭入侵的假設時。 威脅搜捕從您遭到入侵的假設開始，即您尋找確實有缺口的證據。

威脅搜捕從根據目前威脅的假設開始，例如COVID-19網路釣魚攻擊。 分析師從這種假設威脅開始，找出入侵的關鍵指標，並搜尋數據，看看是否有證據表明環境遭到入侵。 如果指標存在，搜捕案例可能會導致分析在特定指標再次發生時通知組織。

無論哪種方式，一旦偵測到事件，您需要調查它，以建置攻擊的完整故事。 用戶還有什麼做？ 涉及哪些其他系統？ 執行了哪些可執行檔？

如果從調查中發現可採取行動的結果，則可以採取補救步驟。 例如，假設調查發現零信任部署中的缺口，則可以修改原則來解決這些缺口，避免未來發生不必要的事件。 盡可能將補救步驟自動化，如此便能減少 SOC 分析師解決威脅並移至下一個事件所需的時間。

評估威脅的另一個重要元件是針對內嵌的數據納入已知的威脅情報。 如果已知IP、哈希、URL、檔案、可執行檔等不正確，則可以加以識別、調查和補救。

在基礎結構支柱中，花費時間來解決弱點。 如果已知系統易受攻擊，且威脅利用該弱點，則這是可以偵測、調查和補救的。

為了使用這些策略來管理威脅，您應該擁有中央控制台，讓SOC系統管理員能夠偵測、調查、補救、搜捕、利用威脅情報、瞭解已知弱點、依賴威脅專家，並封鎖跨六大要素的威脅。 支援這些階段所需的工具在匯集為單一工作流程時的效果最好，這會提供順暢的體驗，以提高 SOC 分析師的成效。

安全性作業中心通常會部署 SIEM 和 SOAR 技術的組合，以收集、偵測、調查及回應威脅。 Microsoft 提供 Microsoft Sentinel 作為其 SIEM 即服務供應項目。 Microsoft Sentinel 內嵌有所有適用於身分識別的 Microsoft Defender 和協力廠商資料。

Microsoft 威脅防護 (MTP) 是 Microsoft Sentinel 的主要供應來源，提供統一的企業防禦套件，可為所有 Microsoft 365 元件提供內容感知保護、偵測和回應。 藉由內容感知和協調，使用 Microsoft 365 的客戶可以跨端點、共同作業工具、身分識別和應用程式取得可見度和保護。

透過此階層，我們可讓客戶最大化其焦點。 雖然內容感知和自動化補救，但 MTP 可以偵測和停止許多威脅，而不會為已超載的 SOC 人員新增額外的警示疲勞。 MTP 內部的進階搜捕將搜捕內容著重於許多關鍵攻擊點。 透過 Microsoft Sentinel 在整個生態系統中進行搜捕和協調流程，可讓您適當查看異質環境的所有層面，同時將操作員的認知多載降至最低。

可見度、自動化和協調流程零信任部署目標

實作端對端零信任架構以取得可見度、自動化和協調流程時，建議您先專注於下列初始部署目標：
	I.建立可見度。 第二。啟用自動化。
達成以上目標之後，專注於下列額外的部署目標：
	第三。啟用其他保護和偵測控件。

可見度、自動化和協調流程 零信任 部署指南

本指南將逐步引導您遵循 零信任 安全性架構的原則來管理可見度、自動化和協調流程所需的步驟。

初始部署目標

I. 建立可見度

第一個步驟是透過啟用 Microsoft 威脅防護 (MTP) 來建立可見度。

執行下列步驟:

1. 註冊其中一個 Microsoft 威脅防護工作負載。
2. 啟用工作負載並建立連線。
3. 在您的裝置和基礎結構上設定偵測，以立即查看環境中進行的活動。 這可為您提供至關重要的「起點」來開始重要資料流程。
4. 啟用 Microsoft 威脅防護，以取得跨工作負載可見度和事件偵測。

II. 啟用自動化

建立可見度之後，下一個重要步驟是啟用自動化。

自動化調查和補救

使用 Microsoft 威脅防護，我們已自動化調查和補救，基本上會提供額外的第 1 層 SOC 分析。

您可以逐步啟用自動化調查和補救 (AIR)，以便制定方便採取動作的層級。

執行下列步驟:

1. 為測試群組啟用 AIR。
2. 分析調查步驟和回應動作。
3. 逐步將所有裝置轉換為自動核准，以減少偵測和回應的時間。

將 Microsoft 資料連接器和相關協力廠商產品連結至 Microsoft Sentinel

為了查看因部署零信任模型而導致的事件，請務必將 MTP、其他 Microsoft 資料連接器和相關協力廠商產品連線到 Microsoft Sentinel，以提供一個集中式事件調查和回應平台。

在資料連線過程中，可以啟用相關分析來觸發事件，也可以建立活頁簿作為一段時間內資料的圖形表示。

將威脅情報資料連結至 Microsoft Sentinel

雖然現成提供機器學習和融合分析，但將威脅情報資料內嵌到 Microsoft Sentinel，以協助識別與已知不良實體相關的事件，也很有幫助。

其他部署目標

III. 啟用其他保護和偵測控制

啟用其他控制可改善傳入至 MTP 和 Sentinel 的訊號，藉以提高可見度及協調回應的能力。

受攻擊面縮小控制即為其中一項機會。 這些保護控制不僅會封鎖與惡意程式碼最相關的特定活動，還會嘗試使用特定方法，以協助偵測在過程早期利用這些技術的敵人。

本指南涵蓋的產品

Microsoft Azure

適用於身分識別的 Microsoft Defender

Microsoft Sentinel

Microsoft 365

Microsoft 威脅防護

零信任 部署指南系列