Этап 1. Планирование готовности Microsoft Defender XDR операций
Область применения:
- Microsoft Defender XDR
Независимо от текущей зрелости операций безопасности, важно, чтобы вы соответствовали своему центру управления безопасностью (SOC). Хотя не существует единой модели, подходящей для каждой организации, есть некоторые аспекты, которые являются более распространенными, чем другие.
В следующих разделах описаны основные функции SOC.
Обеспечение ситуационной осведомленности о современных угрозах
Команда SOC готовится к новым и входящим угрозам и ищет их, чтобы они могли работать с организацией для разработки контрмер и ответных мер. Ваша команда SOC должна иметь сотрудников, которые хорошо обучены современным методам и методам атак и понимают субъектов угроз. Общая аналитика угроз и платформы, такие как Cyber Kill Chain или MITRE ATT&CK framework , могут расширить возможности ваших сотрудников аналитиков угроз и охотников за угрозами.
Обеспечение реагирования первого, второго и потенциально третьего уровня на кибер-инциденты и события
SOC является передней линией защиты событий и инцидентов безопасности. Когда событие, угроза, атака, нарушение политики или поиск аудита активирует оповещение или призыв к действию, команда SOC выполняет оценку для рассмотрения и сдерживания или эскалации для исследования. Таким образом, службы реагирования первой линии SOC должны обладать широкими техническими знаниями о событиях и индикаторах безопасности.
Централизация мониторинга и ведения журнала источников безопасности вашей организации
Обычно основная функция команды SOC заключается в том, чтобы убедиться, что все устройства безопасности, такие как брандмауэры, системы защиты от вторжений, системы защиты от потери данных, системы управления уязвимостями и системы идентификации, работают правильно и отслеживаются. Команды SOC работают с более широкими сетевыми операциями, такими как идентификация, DevOps, облако, приложения, обработка и анализ данных и другие бизнес-команды, чтобы обеспечить централизованный и защищенный анализ информации о безопасности. Кроме того, команда SOC отвечает за ведение журналов данных в используемых и читаемых форматах, которые могут включать анализ и нормализацию разрозненных форматов.
Обеспечение оперативной готовности красной, синей и фиолетовых команд
Каждая команда SOC должна проверить свою готовность к реагированию на кибер-инциденты. Тестирование можно выполнять с помощью учебных упражнений, таких как таблицы и практические запуски с различными сотрудниками в области ИТ, безопасности и на уровне бизнеса. Отдельные команды упражнений создаются на основе репрезентативных ролей и либо играют роль защитника (синяя команда), нападающего (красная команда) или в качестве наблюдателей, стремящихся улучшить методы и методы как синей, так и красной команд через сильные и слабые стороны, которые выявляются во время упражнения (сиреневая команда).
Следующее действие
Этап 2. Оценка готовности интеграции SOC с помощью платформы "Никому не доверяй"
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.