Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Одним из существенных изменений в перспективах, которые являются отличительной чертой платформ безопасности нулевого доверия, является переход от доверия по умолчанию к доверию по исключению. Однако требуется надежный способ установить доверие после того, как оно потребуется. Так как надежность запросов больше не предполагается, создание средств подтверждения достоверности запроса имеет решающее значение для подтверждения его достоверности на определенный момент времени. В процессе этой аттестации необходимо обеспечить видимость действий, связанных с запросом и вокруг него.
В наших руководствах по модели "Никому не доверяй" мы определи сквозной подход к реализации этой комплексной модели для удостоверений, конечных точек и устройств, данных, приложений, инфраструктуры и сети. Все эти вложения улучшают видимость, предоставляя более точные данные для принятия решений о доверии. Однако, принимая подход "Нулевого доверия" в этих шести областях, вы неизбежно увеличиваете число инцидентов, которые аналитикам центров операций по безопасности (SOC) необходимо устранять. Ваши аналитики становятся более занятыми, чем когда-либо, в то время, когда уже есть нехватка квалифицированных специалистов. Это может привести к хронической усталости от оповещений и пропуску аналитиками критических оповещений.
Каждая из этих отдельных областей генерирует свои собственные соответствующие предупреждения, поэтому нам нужна интегрированная возможность управлять поступающими данными, чтобы лучше защищаться от угроз и подтверждать доверие к транзакции.
Вы хотите иметь возможность:
- Обнаруживать угрозы и уязвимости.
- Проведите расследование.
- Ответьте.
- Охота.
- Предоставьте дополнительный контекст, используя аналитику угроз.
- Оцените уязвимости.
- Получение помощи от экспертов мирового класса
- Запретите или заблокируйте события на основе базовых принципов.
Управление угрозами включает в себя реактивное и упреждающее обнаружение и требует наличия средств, поддерживающих оба обнаружения.
Реактивное обнаружение происходит, когда инциденты инициируются по одному из шести столпов, которые подлежат расследованию. Кроме того, такой продукт управления, как SIEM, вероятно, будет поддерживать еще один уровень аналитики, который будет расширять и сопоставлять данные, что приводит к пометке инцидента как плохого. Следующим шагом будет проведение расследования для получения полной картины атаки.
Упреждающее обнаружение происходит при использовании поиска данных для подтверждения скомпрометированной гипотезы. Охота на угрозы начинается с предположения, что в вашу систему проникли — вы ищете доказательства того, что действительно произошло нарушение.
Поиск угроз начинается с гипотезы на основе текущих угроз, например фишинговых атак, связанных с КОВИД-19. Аналитики начинают с этой гипотетической угрозы, определяют ключевые индикаторы компрометации и охотятся на данные, чтобы узнать, есть ли доказательства того, что среда скомпрометирована. Если индикаторы существуют, сценарии охоты могут привести к аналитике, которая уведомит организации, если некоторые индикаторы возникают снова.
В любом случае, как только обнаруживается инцидент, его необходимо исследовать, чтобы воссоздать полную историю атаки. Что еще сделал пользователь? Какие другие системы были задействованы? Какие исполняемые файлы были запущены?
Если расследование приводит к практическим выводам, вы можете предпринять шаги по исправлению. Например, если расследование обнаруживает пробелы в развертывании нулевого доверия, можно изменить политики, чтобы устранить эти пробелы и предотвратить нежелательные инциденты в будущем. По возможности желательно автоматизировать действия по исправлению, поскольку это сокращает время, необходимое аналитику SOC для устранения угрозы и перехода к следующему инциденту.
Другой ключевой компонент в процессе оценки угроз заключается во внедрении известной аналитики угроз в полученные данные. Если IP, хэш, URL-адрес, файл, исполняемый объект и т. д. известны как неправильные, их можно определить, исследовать и исправить.
В базовом принципе инфраструктуры время было затрачено на устранение уязвимостей. Если известно, что система подвержена уязвимости, а угроза использовала эту уязвимость, то это можно обнаружить, проверить и исправить.
Чтобы использовать эти тактику для управления угрозами, необходимо иметь центральную консоль, позволяющую администраторам SOC обнаруживать, изучать, исправлять, отслеживать, использовать аналитику угроз, понимать известные уязвимости, опираться на экспертов по угрозам и блокировать угрозы по любому из шести принципов. Средства, необходимые для поддержки этих этапов, работают лучше, если они объединены в один рабочий процесс. Это обеспечивает простой интерфейс, повышающий эффективность работы аналитика SOC.
Центры операций безопасности часто развертывают сочетание технологий SIEM и SOAR для сбора, обнаружения, исследования и реагирования на угрозы. Корпорация Майкрософт предлагает Microsoft Sentinel в качестве предложения "SIEM как услуга". Microsoft Sentinel принимает как все данные Microsoft Defender для удостоверений, так и сторонние данные.
Microsoft 365 Defender, ключевой поток в Azure Sentinel, предоставляет единый набор корпоративной защиты, который обеспечивает контекстно-ориентированную защиту, обнаружение и реагирование во всех компонентах Microsoft 365. Благодаря учёту контекста и координации пользователи, использующие Microsoft 365, могут получить видимость и защиту в конечных точках, средствах совместной работы, удостоверениях и приложениях.
Эта иерархия позволяет нашим клиентам максимально увеличить свое внимание. Учитывая контекст и автоматическое исправление, Microsoft 365 Defender может обнаруживать и предотвращать многие угрозы, не увеличивая нагрузку от оповещений для уже перегруженного персонала Центра обработки инцидентов безопасности (SOC). Расширенный поиск внутри Microsoft 365 Defender привносит этот контекст в поиск, чтобы сосредоточиться на многих ключевых точках атаки. И слежение, и координация во всей экосистеме с помощью Azure Sentinel предоставляют возможность получить необходимую прозрачность во всех аспектах гетерогенной среды, минимизируя когнитивную нагрузку на оператора.
Цели развертывания Zero Trust: обеспечение видимости, автоматизация и оркестрация
|
При реализации сквозной модели нулевого доверия для обеспечения видимости, автоматизации и оркестровки, рекомендуется в первую очередь сосредоточиться на следующих начальных целях развертывания: |
|
|
|
|
|
После того, как они будут выполнены, сосредоточьтесь на следующих дополнительных целях развертывания: |
|
|
|
III.Включите дополнительные элементы управления защитой и обнаружением. |
Руководство по развертыванию Zero Trust: видимость, автоматизация и оркестрация
Это руководство поможет вам выполнить инструкции, необходимые для управления видимостью, автоматизацией и оркестрацией, соблюдая принципы платформы безопасности по модели "Никому не доверяй".
|
|
Основные цели развертывания |
I. Обеспечение видимости
Первый шаг — установить видимость, включив Защиту от угроз (Майкрософт) (MTP).
Выполните следующие действия:
- Зарегистрируйтесь для одной из рабочих нагрузок Microsoft 365 Defender.
- Включите рабочие нагрузки и установите подключение.
- Настройте обнаружение на своих устройствах и в инфраструктуре, чтобы сразу увидеть действия, происходящие в среде. Это дает вам очень важный "гудок", чтобы начать передачу критически важных данных.
- Включите Microsoft 365 Defender для повышения видимости и обнаружения инцидентов в нескольких рабочих нагрузках.
II. Обеспечение автоматизации
Следующим ключевым шагом после установления видимости является включение службы автоматизации.
Автоматическое исследование и исправление
Благодаря Microsoft 365 Defender мы автоматизируем расследования и исправления, которые, по сути, предоставляют дополнительный анализ SOC уровня 1.
Автоматическое исследование и исправление (AIR) можно включать постепенно, чтобы можно было достичь комфортного уровня с действиями, которые предпринимаются.
Выполните следующие действия:
- Включите AIR для тестовой группы.
- Анализ этапов расследования и действий в ответ.
- Постепенно переходите к автоматическому одобрению для всех устройств, чтобы сократить время обнаружения и реагирования.
Связывание соединителей данных Microsoft Purview и соответствующих продуктов сторонних производителей с Microsoft Sentinel
Чтобы получить представление об инцидентах, которые приводят к развертыванию модели нулевого доверия, важно подключить Microsoft 365 Defender, Соединители данных Microsoft Purview и соответствующие сторонние продукты в Azure Sentinel, чтобы обеспечить централизованную платформу для расследования инцидентов и реагирования.
В рамках процесса подключения к данным можно включить аналитику для инициирования инцидентов и рабочие тетради, которые можно создавать для графического представления данных за определенный период времени.
Связывание данных аналитики угроз с Microsoft Sentinel
Хотя машинное обучение и аналитика слияния предоставляются по умолчанию, также полезно принимать данные аналитики угроз в Microsoft Sentinel, чтобы упростить идентификацию событий, которые связаны с известными действиями злоумышленников.
|
|
Дополнительные цели развертывания |
III. Включите дополнительные элементы управления для защиты и обнаружения
Включение дополнительных элементов управления улучшает сигнал, поступающий в Microsoft 365 Defender и Sentinel, что увеличивает эффективность видимости и способствует координации ответов.
Элементы управления для сокращения направлений атак представляют одну такую возможность. Эти защитные элементы управления не только блокируют некоторые действия, связанные с вредоносной программой, но и пытаются использовать определенные подходы, которые могут помочь выявить злоумышленников, использующих эти методы прежде в процессе.
Продукты, описанные в данном руководстве
Microsoft Azure
Microsoft Defender для идентификации
Microsoft 365
Серия руководств по развертыванию с использованием модели "Никому не доверяй"
