Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В рамках руководства по внедрению нулевого доверия в этой статье описывается, как защитить вашу организацию от кибератак и их возможной потери репутации. Эта статья является частью бизнес-сценария предотвращения или уменьшения ущерба от нарушения и посвящена созданию инфраструктуры защиты от угроз и расширенного обнаружения и реагирования (XDR) для обнаружения и противодействия кибератакам в процессе и минимизации ущерба бизнесу от нарушения.
Для элементов руководящего принципа нулевого доверия «Предполагать нарушение»:
Используйте аналитику для получения видимости, обнаружения угроз и улучшения защиты
Описано в этой статье.
Минимизируйте радиус взрыва и сегментируйте доступ
Описано в статье о реализации защиты от нарушений безопасности и инфраструктуры восстановления .
Проверка сквозного шифрования
Описано в статье о реализации защиты от нарушений безопасности и инфраструктуры восстановления .
В этой статье предполагается, что вы уже модернизировали состояние безопасности.
Цикл внедрения для реализации защиты от угроз и XDR
В этой статье рассматривается внедрение защиты от угроз и элементов XDR в бизнес-сценарии предотвращения или уменьшения ущерба от нарушения безопасности с использованием тех же этапов жизненного цикла, что и платформа Cloud Adoption Framework для Azure— определение стратегии, планирование, подготовка, внедрение и управление, но адаптированных для концепции нулевого доверия.
В следующей таблице представлена доступна версия иллюстрации.
| Определение стратегии | Планирование | Готово | Усыновлять | Контроль и управление |
|---|---|---|---|---|
| Результаты Выравнивание организации Стратегические цели |
Команда заинтересованных лиц Технические планы Готовность к применению навыков |
Оценивать Тест Пилот |
Постепенно внедряйте по всему вашему цифровому пространству | Отслеживание и измерение Мониторинг и обнаружение Итерировать для достижения зрелости |
Дополнительные сведения о цикле внедрения "Нулевое доверие" см. в обзоре платформы внедрения "Нулевое доверие".
Дополнительные сведения о бизнес-сценарии предотвращения или уменьшения ущерба для бизнеса см. в следующих примерах:
- Обзор
- Дополнительные элементы реализации инфраструктуры предотвращения нарушений безопасности и восстановления
Определение этапа стратегии
Этап определения стратегии имеет решающее значение для определения и официального оформления наших усилий . Он формализирует "Почему?" этого сценария. На этом этапе вы понимаете сценарий с помощью бизнес-, ИТ- и операционных и стратегических перспектив. Вы определяете результаты, с помощью которых можно оценить успех в сценарии, понимая, что безопасность — это добавочное и итеративное путешествие.
В этой статье приводятся мотивации и результаты, относящиеся ко многим организациям. Используйте эти предложения, чтобы усовершенствовать стратегию вашей организации, исходя из ваших уникальных потребностей.
Мотивы реализации защиты от угроз и XDR
Мотивы реализации защиты от угроз и XDR просты, но разные части вашей организации имеют различные стимулы для выполнения этой работы. В следующей таблице приведены некоторые из этих мотивов.
| Площадь | Мотивы |
|---|---|
| Бизнес-потребности | Чтобы предотвратить влияние или нарушение способности вашей организации выполнять обычные бизнес-действия, стать жертвой вымогательства, и снизить стоимость киберстрахования, а также предотвратить нормативные штрафы. |
| Ит-потребности | Чтобы помочь команде по операциям безопасности (SecOps) создавать и поддерживать интегрированный набор средств обороны для защиты ресурсов, важных для бизнеса. Интеграция и отчетность должны выполняться в классах активов и технологиях, а также снизить усилия, необходимые для обеспечения прогнозируемых результатов безопасности. |
| Операционные потребности | Чтобы бизнес-процессы работали с помощью упреждающего обнаружения и реагирования на атаки в режиме реального времени. |
| Стратегические потребности | Свести к минимуму ущерб и затраты на атаки и сохранить репутацию вашей организации с клиентами и партнерами. |
Результаты реализации защиты от угроз и XDR
Применение общей цели нулевого доверия к "никогда не доверяйте, всегда проверяйте" добавляет значительный уровень защиты в вашей среде. Важно быть ясным в результатах, которые вы ожидаете достичь, чтобы вы могли достичь правильного баланса защиты для всех участвующих команд. В следующей таблице приведены предлагаемые цели и результаты реализации защиты от угроз и XDR.
| Цель | Результат |
|---|---|
| Бизнес-результаты | Защита от угроз приводит к минимальным затратам, связанным с нарушениями бизнеса, выплатами выкупа или нормативными штрафами. |
| Управление | Средства защиты от угроз и XDR развертываются, а процессы SecOps обновляются для изменяющегося ландшафта кибербезопасности, угроз, обнаруженных и автоматизации реагирования на инциденты. |
| Устойчивость организации | Между предотвращением нарушений безопасности и восстановлением и упреждающей защитой от угроз ваша организация может быстро восстановиться после атаки и предотвратить будущие атаки своего типа. |
| Безопасность | Защита от угроз интегрирована в общие требования и политики безопасности. |
Этап плана
Планы внедрения преобразуют принципы стратегии нулевого доверия в практический план. Ваши коллективные команды могут использовать план внедрения, чтобы руководствоваться своими техническими усилиями и выравнивать их с бизнес-стратегией вашей организации.
Мотивации и результаты, которые вы определяете вместе с вашими бизнес-лидерами и командами, поддерживают "Почему?" для вашей организации и становятся Северной звездой для вашей стратегии. Далее происходит техническое планирование для достижения целей.
Техническое внедрение для реализации защиты от угроз и XDR включает:
Настройка набора средств XDR, предоставляемых корпорацией Майкрософт:
Выполните реагирование на инциденты, чтобы обнаружить и предотвратить атаки.
Превентивная охота на угрозы.
Автоматическое обнаружение и реагирование на известные атаки.
Интеграция XDR в Microsoft Defender и Microsoft Sentinel.
Определение процессов и процедур SecOps для реагирования на инциденты и восстановления.
Реализация защиты от угроз и XDR также включает несколько связанных действий, в том числе:
- Использование средств XDR для мониторинга критически важных для бизнеса ресурсов и ресурсов-ловушек, которые вы реализовали в статье по предотвращению и восстановлению безопасности, чтобы заманить злоумышленников в проявление их присутствия, прежде чем они смогут атаковать ваши реальные ресурсы.
- Развивая свою команду SecOps, чтобы знать о последних атаках и их методах.
Многие организации могут использовать четырехэтапный подход к этим целям развертывания, приведенный в следующей таблице.
| Этап 1 | Этап 2 | Этап 3 | Этап 4 |
|---|---|---|---|
| Включите средства XDR: — Defender для конечной точки — Defender для Office 365 — Защита идентификаторов Microsoft Entra — Defender для идентичности — Defender для облачных приложений Изучение угроз и реагирование на них с помощью XDR в Microsoft Defender |
Включение Defender для облака Определение внутреннего процесса для SecOps Мониторинг критически важных для бизнеса и ловушечных ресурсов с помощью инструментов XDR |
Включение Defender для Интернета вещей Создание рабочей области Microsoft Sentinel и сбор сигналов XDR Заблаговременный поиск угроз |
Развитие SecOps в качестве дисциплины в вашей организации Использование автоматизации для снижения нагрузки на аналитиков SecOps |
Если этот поэтапный подход подходит для вашей организации, можно использовать следующее:
Эта скачиваемая презентация слайдов PowerPoint предназначена для представления и отслеживания хода выполнения этих этапов и целей для руководителей бизнеса и других заинтересованных лиц. Ниже приведен слайд для этого бизнес-сценария.
Эта книга Excel позволяет назначать владельцев и отслеживать ход выполнения этих этапов, целей и их задач. Ниже приведен лист для этого бизнес-сценария.
Общие сведения о вашей организации
Этот рекомендуемый поэтапный подход к технической реализации может помочь дать контекст для понимания вашей организации.
Базовый шаг жизненного цикла внедрения Нулевого доверия для каждого бизнес-сценария включает инвентаризацию и определение текущего состояния вашей команды SecOps. Для этого бизнес-сценария необходимо выполнить следующие действия.
- Инвентаризация текущих средств XDR, их интеграции и использования автоматизации для реагирования на инциденты.
- Просмотрите процедуры и процессы реагирования на инциденты, а также процедуры и процессы восстановления.
- Просмотрите развертывание ресурсов honeypot.
- Определите состояние готовности аналитиков безопасности и требуется ли им дополнительное обучение или разработка навыков.
Планирование и выравнивание организации
Техническая работа по реализации защиты от угроз и XDR попадает в группу безопасности вашей организации, ответственной за обнаружение угроз и реагирование, которая в основном персоналируется аналитиками системы безопасности передней линии, которые понимают текущий ландшафт угроз и могут использовать средства XDR для обнаружения и реагирования на атаки.
В этой таблице перечислены роли, которые рекомендуется использовать при создании спонсорской программы и иерархии управления проектами для определения и обеспечения результатов.
| Руководители программ и технические владельцы | Подотчетность |
|---|---|
| CISO, CIO или директор по безопасности данных | Спонсорство исполнительной власти |
| Руководитель программы из отдела защиты данных | Достижение результатов и совместная работа между командами |
| Архитектор безопасности | Рекомендации по стратегиям реагирования на инциденты, средствам XDR и инфраструктуре и эволюции команды SecOps |
| Руководитель SecOps | Реализация процедур реагирования на инциденты, конфигурация инфраструктуры XDR, автоматизация реагирования на инциденты и дисциплина SecOps в организации |
| Безопасность для ИТ-руководителя | Консультации по, реализация и управление критически важными для бизнеса ресурсами и ловушечными ресурсами |
Комплект слайдов PowerPoint для принятия этого содержимого включает следующий слайд с представлением заинтересованных лиц, которое можно настроить для вашей организации.
Техническое планирование и готовность навыков
Прежде чем приступить к технической работе, корпорация Майкрософт рекомендует узнать о возможностях, способах совместной работы и рекомендациях по подходу к этой работе.
Так как нулевое доверие предполагает нарушение, необходимо подготовиться к нарушению. Внедрение платформы реагирования на нарушения на основе NIST, ISO 27001, CIS или MITRE , чтобы снизить влияние нарушения или кибератаки на вашу организацию.
В следующей таблице содержится несколько учебных ресурсов Майкрософт, которые помогут вашим командам безопасности получить навыки.
| Ресурс | Описание |
|---|---|
| Модуль. Устранение инцидентов с помощью XDR в Microsoft Defender | Узнайте, как портал XDR в Microsoft Defender предоставляет единое представление инцидентов и оповещений из семейства продуктов XDR в Microsoft Defender. |
| Схема обучения. Устранение угроз с помощью XDR в Microsoft Defender | Анализ данных об угрозах в различных доменах и быстрое устранение угроз с использованием встроенной оркестрации и автоматизации в Microsoft Defender XDR. |
| Модуль. Повышение надежности с помощью современных методик операций: реагирование на инциденты | Изучите основы эффективного реагирования на инциденты и инструменты Azure, которые делают возможным такое реагирование. |
| Модуль: обучение: управление инцидентами безопасности в Microsoft Sentinel | Узнайте о событиях и сущностях Microsoft Sentinel и о способах устранения инцидентов. |
Этап 1
Цели развертывания этапа 1 включают активацию ваших основных средств Microsoft XDR и использование Microsoft Defender XDR, который интегрирует сигналы из средств в единый портал для реагирования на инциденты.
Включите средства XDR
Начните с основного набора средств XDR для защиты организации от атак на устройства, удостоверения и облачные приложения.
| Ресурс | Описание |
|---|---|
| Microsoft Defender для конечных устройств | Платформа безопасности корпоративной конечной точки помогает вашей корпоративной сети предотвращать, обнаруживать, исследовать и реагировать на расширенные угрозы на устройствах, которые могут включать ноутбуки, телефоны, планшеты, компьютеры, точки доступа, маршрутизаторы и брандмауэры. |
| Defender для Office 365 | Простая интеграция с подпиской Microsoft 365 или Office 365, которая защищает от угроз по электронной почте, ссылок (URLS), вложений и средств совместной работы. |
| Защита идентификаторов Microsoft Entra | Помогает организациям обнаруживать, исследовать и устранять риски, связанные с идентификационными данными. Эти риски, связанные с удостоверением личности, можно использовать в инструментах, таких как Entra Условный доступ, для принятия решений о доступе или передать его обратно в систему управления информацией и событиями безопасности (SIEM) для дальнейшего изучения и корреляции. |
| Microsoft Defender for Identity | Использует сигналы от локальной Active Directory и облачных идентификаторов, помогая лучше выявлять, обнаруживать и исследовать передовые угрозы, направленные на вашу организацию. |
| Defender для облачных приложений | Обеспечивает полную защиту приложений SaaS, помогая отслеживать и защищать данные облачных приложений. |
Изучение угроз и реагирование на них с помощью XDR в Microsoft Defender
Теперь, когда вы включили основные средства XDR, вы можете начать использовать XDR в Microsoft Defender и его портале для анализа оповещений и инцидентов и выполнения реагирования на инциденты при подозрительных кибератаках.
| Ресурс | Описание |
|---|---|
| Интеграция Microsoft 365 XDR в операции безопасности | Тщательно спланируйте интеграцию с командой SecOps, чтобы оптимизировать повседневные операции и управление жизненным циклом инструментов в Microsoft Defender XDR. |
| реагирование на инциденты с Microsoft Defender XDR | Использование XDR в Microsoft Defender для анализа оповещений и инцидентов и внедрения рекомендаций в процедуры и процессы SecOps. |
| Расследование инцидентов с помощью Microsoft Defender XDR | Как проанализировать оповещения, влияющие на вашу сеть, понять, что они означают, и собрать доказательства, чтобы вы могли разработать эффективный план устранения. |
| Модуль. Устранение инцидентов с помощью XDR в Microsoft Defender | Узнайте, как портал XDR в Microsoft Defender предоставляет единое представление инцидентов и оповещений из семейства продуктов XDR в Microsoft Defender. |
| Схема обучения. Устранение угроз с помощью XDR в Microsoft Defender | Анализ данных об угрозах в различных доменах и быстрое устранение угроз с использованием встроенной оркестрации и автоматизации в Microsoft Defender XDR. |
Этап 2
На этом этапе вы включите дополнительные средства XDR для Azure и локальных ресурсов, создайте или обновите процессы и процедуры SecOps для служб защиты от угроз Майкрософт и XDR, а также отслеживайте критически важные для бизнеса ресурсы и ресурсы honeypot для обнаружения кибер-злоумышленников в начале нарушения.
Включение Microsoft Defender для облака
Microsoft Defender для Облака — это платформа защиты приложений на основе облака (CNAPP), предназначенная для защиты облачных приложений от различных кибератак и уязвимостей. Используйте Microsoft Defender для Облака для Azure, гибридное облако и локальную защиту рабочих нагрузок и безопасность.
| Ресурс | Описание |
|---|---|
| Microsoft Defender для облака | Начало работы с набором документации. |
| Оповещения системы безопасности и инциденты для Microsoft Defender для облака | Используйте Microsoft Defender для Cloud Security для реагирования на инциденты для azure, гибридного облака и локальных рабочих нагрузок. |
| Модуль: исправление оповещений системы безопасности с помощью Microsoft Defender для облака | Узнайте, как искать угрозы и устранять риски для azure, гибридного облака и локальных рабочих нагрузок. |
| Схема обучения. Устранение угроз с помощью Microsoft Defender для облака | Узнайте, как обнаруживать, исследовать и реагировать на сложные угрозы в Azure, гибридном облаке и локальных рабочих нагрузках. |
Определение внутреннего процесса для SecOps
Используя средства Microsoft XDR, убедитесь, что их использование интегрировано в процессы и процедуры SecOps.
| Ресурс | Описание |
|---|---|
| Обзор инцидента ответ | Активно расследуйте и устраняйте активные кампании атак на вашу организацию. |
| Планирование реагирования на инциденты | Используйте эту статью в качестве контрольного списка, чтобы подготовить команду SecOps для реагирования на инциденты кибербезопасности. |
| Распространенные сборники схем реагирования на инциденты атак | Используйте эти статьи для получения подробных рекомендаций по общим методам атаки, которые злоумышленники используют каждый день. |
| Интеграция Microsoft 365 XDR в операции безопасности | Тщательно спланируйте интеграцию с командой безопасности (SecOps), чтобы оптимизировать ежедневные операции и средства управления жизненным циклом в Microsoft Defender XDR. |
| Шесть упражнений на столе для подготовки команды кибербезопасности | Используйте эти упражнения, предоставляемые Центром интернет-безопасности (CIS), чтобы подготовить команду SecOps. |
Мониторинг критически важных для бизнеса и ловушечных ресурсов с помощью инструментов XDR
Развернутые ресурсы honeypot выступают в роли приманки для кибер-злоумышленников и могут использоваться для раннего обнаружения их активности, прежде чем они перейдут к реальным целям и причинят ущерб бизнесу. Сосредоточьте часть деятельности по обнаружению угроз и охоте на мониторинг как критически важных бизнес-ресурсов, так и ресурсов-приманок.
| Ресурс | Описание |
|---|---|
| реагирование на инциденты с Microsoft Defender XDR | Используйте Microsoft Defender XDR, чтобы обнаружить инциденты с оповещениями, которые влияют на критически важные для бизнеса и на ловушки для кибератак ресурсы. |
| Оповещения системы безопасности и инциденты для Microsoft Defender для облака | Используйте Microsoft Defender для Cloud, чтобы искать оповещения, сформированные в результате расширенных методов обнаружения, применяемых к критически важным для бизнеса и ловушечным ресурсам, таким как процессы Azure, гибридного облака и локальные. |
Этап 3
На этом этапе вы включите Defender для Интернета вещей, интегрируете XDR Microsoft Defender с Microsoft Sentinel, а затем используете объединенную инфраструктуру защиты от угроз и XDR для упреждающего поиска угроз.
Включите Defender для интернета вещей
Интернет вещей (IoT) поддерживает миллиарды подключенных устройств, использующих операционные технологии (OT) и сети Интернета вещей. Устройства и сети IoT/OT часто создаются с помощью специализированных протоколов и могут определять приоритеты операционных проблем по обеспечению безопасности. Microsoft Defender для Интернета вещей — это единое решение для обеспечения безопасности, созданное специально для выявления устройств Интернета вещей и OT, уязвимостей и угроз.
| Ресурс | Описание |
|---|---|
| Microsoft Defender для Интернета вещей | Начало работы с набором документации. |
| Модуль. Введение в Microsoft Defender для Интернета вещей | Узнайте о компонентах и функциях Defender для Интернета вещей и о том, как они поддерживают мониторинг безопасности устройств OT и IoT. |
| Схема обучения. Повышение безопасности решения Интернета вещей с помощью Microsoft Defender для Интернета вещей | Узнайте о проблемах безопасности, которые применяются на каждом уровне решения Интернета вещей и служб Azure и средств, которые можно настроить для решения проблем безопасности с нуля. |
Проектирование рабочей области Microsoft Sentinel и прием сигналов XDR
Microsoft Sentinel — это облачное решение, которое предоставляет возможности управления сведениями о безопасности и событиями (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR). Microsoft Sentinel и Microsoft Defender XDR вместе предоставляют комплексное решение, чтобы помочь вашей организации защититься от современных кибератак.
| Ресурс | Описание |
|---|---|
| Реализация Microsoft Sentinel и Microsoft Defender XDR для Нулевого Доверия | Начните работать с этой документацией по реализации решения, которая также включает принципы нулевого доверия. |
| Модуль: Соединить Microsoft Defender XDR с Microsoft Sentinel | Сведения о параметрах конфигурации и данных, предоставляемых соединителями Microsoft Sentinel для XDR в Microsoft Defender. |
| Разработайте рабочую область Microsoft Sentinel | Узнайте, как разрабатывать и реализовывать рабочие области Microsoft Sentinel. |
| Прием источников данных и настройка обнаружения инцидентов в Microsoft Sentinel | Узнайте, как настроить соединители данных для приема данных в вашу рабочую область Microsoft Sentinel. |
| Модуль. Подключение данных к Microsoft Sentinel с помощью соединителей данных | Ознакомьтесь с общими сведениями о доступных соединителях данных для Microsoft Sentinel. |
Заблаговременный поиск угроз
Теперь, когда инфраструктура XDR и SIEM запущена, ваша команда SecOps может проявить инициативу и упреждающе охотиться на угрозы, разворачивающиеся в вашей среде, а не действовать реактивно на атаки, которые уже нанесли ущерб.
| Ресурс | Описание |
|---|---|
| Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR | Начало работы с набором документации по поиску угроз в Microsoft Defender XDR. |
| Поиск угроз с помощью Microsoft Sentinel | Начало работы с набором документации по поиску угроз с помощью Microsoft Sentinel. |
| Модуль: поиск угроз с помощью Microsoft Sentinel | Узнайте, как заранее определить поведение угроз с помощью запросов Microsoft Sentinel. |
Этап 4
На этом этапе вы развиваете SecOps как дисциплину в вашей организации и используете возможности Microsoft Defender XDR и Microsoft Sentinel для автоматизации реагирования на инциденты для известных или предыдущих атак.
Развитие SecOps в качестве дисциплины в вашей организации
Несколько сложных вредоносных событий, атрибутов и контекстной информации включают в себя расширенные атаки кибербезопасности. Определение и определение того, какое из этих действий квалифицируется как подозрительное, может быть сложной задачей. Знание известных атрибутов и ненормальных действий, относящихся к вашей отрасли, является основным в том, чтобы знать, когда определить, что наблюдаемое поведение подозрительно.
Чтобы развивать свою команду SecOps и дисциплину за рамки повседневных задач реагирования на инциденты и восстановления, специалисты или старшие члены должны понимать более широкий ландшафт угроз и распространять эти знания по всей команде.
| Ресурс | Описание |
|---|---|
| Аналитика угроз в Microsoft Defender XDR | Используйте панель мониторинга аналитики угроз на портале XDR в Microsoft Defender (требуется вход) для отчетов, наиболее важных для вашей организации. |
| Microsoft Defender Threat Intelligence (Defender TI) | Используйте эту встроенную платформу для оптимизации процессов сортировки, реагирования на инциденты, поиска угроз, управления уязвимостями и рабочих процессов аналитиков кибер-угроз в ходе анализа инфраструктуры угроз и сбора разведывательной информации о кибер-угрозах. |
| Блог о безопасности Майкрософт | Получите последние сведения об угрозах безопасности, а также новых функциях и обновлениях для Microsoft Defender XDR и Microsoft Sentinel. |
Использование автоматизации для снижения нагрузки на аналитиков SecOps
Используйте возможности XDR в Microsoft Defender и Microsoft Sentinel для автоматизации реагирования на инциденты для обнаружения и восстановления от известных и ожидаемых инцидентов, а также для более эффективного фокуса команды SecOps на непреднамеренных атаках и новых методах атаки.
| Ресурс | Описание |
|---|---|
| Автоматическое исследование и реагирование в Microsoft Defender XDR | Приступите к работе с набором документации в Microsoft Defender XDR. |
| Настройка возможностей автоматического исследования и исправления | Для защиты от атак на устройства начните с изучения документации Microsoft Defender для конечных устройств. |
| Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel | Начало работы с набором документации по использованию плейбуков в Microsoft Sentinel. |
План внедрения облака
План внедрения является важным требованием для успешного внедрения облака. Ключевыми атрибутами успешного плана внедрения для реализации защиты от угроз и XDR являются следующие:
- Стратегия и планирование согласованы: При разработке планов тестирования, пилотирования и развертывания возможностей защиты от угроз и восстановления атак в локальной и облачной инфраструктуре обязательно следует пересмотреть стратегию и цели, чтобы обеспечить соответствие планов. Это включает в себя приоритет и целевые вехи целей для обнаружения атак и реагирования и использования автоматизации.
- План является итеративным: При развертывании плана вы узнаете о среде XDR и средствах, которые вы используете. На каждом этапе развертывания просмотрите результаты по сравнению с целями и точно настройте планы. Например, это может включать пересмотр более ранних работ для точной настройки процедур и политик.
- Обучение сотрудников SecOps хорошо запланировано: От ваших архитекторов безопасности до ваших аналитиков безопасности первого рубежа все обучены успешно выполнять свои обязанности по защите от угроз, обнаружению, смягчению последствий и восстановлению.
Дополнительные сведения из Cloud Adoption Framework для Azure см. в разделе "Планирование внедрения облака".
Этап готовности
Используйте ресурсы, перечисленные в этой статье, чтобы определить приоритет плана. Работа по реализации защиты от угроз и XDR является частью многослойной стратегии развертывания нулевого доверия.
Поэтапный подход, рекомендуемый в этой статье, включает каскадную работу защиты от угроз в методичном режиме по всему цифровому активу. На этом этапе вернитесь к этим элементам плана, чтобы убедиться, что все готово к работе:
- Ваша команда SecOps уведомлена, что изменения в процессах реагирования на инциденты Microsoft Defender XDR и Microsoft Sentinel неизбежны.
- Ваша команда SecOps проинформирована о документации и учебных ресурсах
- Процедуры и рекомендации по поиску угроз и методы автоматизации готовы к использованию аналитиками
- Ваши ресурсы "honeypot" находятся в наличии.
Этап планирования показал разрыв между тем, что у вас есть и где вы хотите быть. Используйте этот этап для реализации и тестирования средств XDR и их использования. Например, руководитель команды SecOps может:
- Включите и используйте средства XDR в Microsoft Defender для реагирования на инциденты в текущих атаках.
- Настройте интеграцию Microsoft Defender XDR и Microsoft Sentinel с помощью коннекторов данных и рабочих областей.
- Определение или уточнение процедур и процессов команды SecOps
- Исследование и тестирование охоты на угрозы для упреждающего выявления угроз и автоматизации процессов обнаружения и восстановления от известных атак
Этап внедрения
Корпорация Майкрософт рекомендует каскадный итеративный подход к реализации защиты от угроз и XDR. Это позволяет уточнять стратегию и политику в процессе, чтобы повысить точность результатов. Нет необходимости ждать, пока один этап завершится до начала следующего. Ваши результаты более эффективны, если вы реализуете элементы каждого этапа, выполняя итерации по пути.
Основными элементами этапа принятия должны быть следующие элементы:
- Включение Microsoft Defender XDR в ваш текущий ежедневный рабочий процесс реагирования на инциденты в команде SecOps.
- Использование функций Microsoft Sentinel с интеграцией XDR в Microsoft Defender.
- Реализация автоматизации для противодействия известным атакам, освобождая команду SecOps для проведения охоты за угрозами и развития дисциплины вашей команды, чтобы быть на шаг впереди и быть готовыми к новым тенденциям в кибератаках.
Управление и руководство этапами
Управление способностью вашей организации обнаруживать атаки с помощью защиты от угроз и инфраструктура XDR — это итеративный процесс. Создавая план реализации и развертывая его в вашей команде SecOps, вы создали основу. Используйте следующие задачи, чтобы приступить к разработке плана управления на первичном этапе для этой организации.
| Цель | Задачи |
|---|---|
| Отслеживание и измерение | Назначьте владельцам критически важные действия и обязанности, такие как процедуры реагирования на инциденты, сбор и распространение информации об угрозах, а также поддержка автоматизации. Создайте планы, доступные для действий, с датами и расписаниями для каждого действия. |
| Мониторинг и обнаружение | Управляйте угрозами безопасности с помощью Microsoft Defender XDR и Microsoft Sentinel, используя автоматизацию для распространенных или предыдущих атак. |
| Итерировать для достижения зрелости | Постоянно переоценивает риски и ландшафт кибертреата и вносит изменения в процедуры SecOps, обязанности, политики и приоритеты. |
Дальнейшие шаги
Для этого бизнес-сценария:
- предотвратить или уменьшить ущерб для бизнеса от бреши
- Реализация инфраструктуры защиты от нарушений безопасности и восстановления
Дополнительные статьи в платформе внедрения нулевого доверия:
- Обзор платформы внедрения нулевого доверия
- Быстро модернизировать вашу безопасность
- Безопасная удаленная и гибридная работа
- Идентификация и защита конфиденциальных бизнес-данных
- соответствие нормативным и соблюдение требований
Ресурсы отслеживания хода выполнения
Для любого из бизнес-сценариев нулевого доверия можно использовать следующие ресурсы отслеживания хода выполнения.
| Ресурс отслеживания хода выполнения | Это помогает вам... | Предназначен для... |
|---|---|---|
Сетка плана сценария внедрения, доступная для скачивания в виде файла Visio или PDF-файла 
|
Легко понять улучшения безопасности для каждого бизнес-сценария и объем усилий для различных стадий и целей фазы планирования. | Руководитель проекта бизнес-сценария, руководители бизнеса и другие заинтересованные лица. |
Средство отслеживания внедрения нулевого доверия скачиваемой презентации PowerPoint 
|
Отслеживайте ход выполнения этапов и целей этапа плана. | Руководитель проекта бизнес-сценария, руководители бизнеса и другие заинтересованные лица. |
Цели и задачи бизнес-сценария скачиваемого файла Excel 
|
Назначьте ответственного и отслеживайте ход выполнения этапов, целей и задач фазы планирования. | Руководители бизнес-проектов, ИТ-руководители и ИТ-специалисты по внедрению. |
Дополнительные ресурсы см. в оценке и отслеживании хода выполнения.