Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Инициатива "Безопасное будущее" (SFI) — это многопользовательская инициатива кросс-Майкрософт для повышения безопасности того, как корпорация Майкрософт разрабатывает, создает, тестирует и управляет своими продуктами и службами. SFI основан на:
- Набор принципов безопасности, которые управляют тем, как мы внедряем инновации в проектировании безопасности, реализуем эти инновации в продуктах Майкрософт в качестве безопасных по умолчанию и стандартам, а также предоставляют внутренние и внешние рекомендации по безопасности. Подробнее.
- Набор приоритетных принципов безопасности и целей. Подробнее.
В этой статье приведены основные сведения о мониторинге и обнаружении угроз SFI.
Перед началом работы
- Узнайте о принципах SFI.
- Просмотрите и отслеживайте последние достижения в целях обеспечения основных показателей в статье "Новые возможности SFI".
- Основные цели соответствуют принципам нулевого доверия и функциям и категориям NIST CSF.
- Получите список категорий и акронимов NIST , чтобы помочь при просмотре таблицы в этой статье.
Основные принципы и цели
Цель этого компонента заключается в непрерывном мониторинге и быстром обнаружении угроз безопасности. Основное внимание уделяется упреждающему обнаружению, управляемому аналитикой, для раннего реагирования злоумышленников и быстрому скоординированному расследованию во всех бизнес-областях.
Цели Майкрософт и сопоставление нулевого доверия и NIST для этого компонента приведены в следующей таблице.
| Цель | "Никому не доверяй" | Сопоставление NIST |
|---|---|---|
|
1. Централизованное отслеживание телеметрии и инфраструктуры Поддержание актуального списка ресурсов в производственной инфраструктуре и сервисах Майкрософт. |
Проверьте эксплицитно: инвентаризация активов и соответствующие журналы предоставляют фактическую основу, необходимую для постоянной проверки того, что существует и что следует отслеживать. Точный учет предотвращает невидимость ресурсов и гарантирует, что решения принимаются на основе правильных и актуальных данных. Принцип предполагаемого нарушения: активы с высоким уровнем важности имеют приоритет для мониторинга, так как считается, что компрометация возможна и значима. |
ID-AM-01 (Инвентарные списки оборудования, управляемого организацией, ведутся). Обеспечение полной инвентаризации физической инфраструктуры гарантирует защитникам, какие производственные ресурсы должны отслеживаться и защищаться. ID-AM-02 (запасы программного обеспечения, служб и систем, управляемых организацией, поддерживаются). Инвентаризации программного обеспечения и служб обеспечивают комплексную сбор данных телеметрии в рабочих средах. ID-AM-05 (Активы приоритизируются на основе классификации, критичности, ресурсов и воздействия на миссию). Приоритет активов гарантирует, что мониторинг и защита сосредоточены на наиболее важных производственных компонентах. PR.PS-04 (записи журналов создаются и предоставляются для непрерывного мониторинга). Ведение журнала активов позволяет рабочим системам создавать данные телеметрии, необходимые для обнаружения угроз. |
|
2. Стандарты хранения журналов безопасности Сохраняйте журналы безопасности по крайней мере два года и делайте шесть месяцев соответствующих журналов доступными. |
Проверьте явно: сохраненные логи предоставляют возможность проверить исторические действия и точность расследования. Вы можете проверить, кто сделал что и когда, и проверить аномальное поведение или вредоносное поведение. Предположим, что произошло нарушение. Длительное хранение поддерживает исследование смешанных или постоянных сценариев атак, даже если злоумышленники обходят начальные средства защиты. Внешние зависимости отслеживаются с ожиданием того, что они могут привести к риску. |
PR.PS-04 (записи журналов создаются и предоставляются для непрерывного мониторинга). Согласованное создание журнала гарантирует, что данные сохраняются и анализируются с течением времени. ДЕ. CM-01 (сети и сетевые службы отслеживаются, чтобы найти потенциально неблагоприятные события). Сетевые журналы, сохраненные с течением времени, поддерживают обнаружение шаблонов и отложенное обнаружение угроз. ДЕ. CM-02 (физическая среда отслеживается для поиска потенциально неблагоприятных событий). Журналы физического доступа способствуют долгосрочной корреляции кибер-угроз и физических угроз. ДЕ. CM-03 (деятельность персонала и использование технологий отслеживаются, чтобы найти потенциально неблагоприятные события). Журналы действий пользователей и системы предоставляют доказательства для обнаружения угроз на основе внутренних и учетных данных. ДЕ. CM-06 (внешние действия и службы поставщика услуг отслеживаются, чтобы найти потенциально неблагоприятные события). Сохраненные сторонние журналы действий поддерживают обнаружение угроз в цепочке поставок и подотчетность. ДЕ. CM-09 (вычислительное оборудование и программное обеспечение, среды выполнения и их данные отслеживаются для поиска потенциально неблагоприятных событий). Хранение телеметрии конечных точек и исполняющей среды позволяет проводить судебное расследование и поиск угроз. |
|
3. Централизованный доступ к журналам безопасности Сохраняйте журналы безопасности по крайней мере два года и делайте шесть месяцев соответствующих журналов доступными. |
Проверяйте явно: централизованная видимость обеспечивает проверку во всей системе. Предположим нарушение: корреляция с множеством источников необходима, когда злоумышленники действуют в разных системах. |
PR.PS-04 (записи журналов создаются и становятся доступными для непрерывного мониторинга) Централизация требует, чтобы журналы постоянно создавались и доступны из рабочих систем. ДЕ. AE-03 (информация сопоставляется из нескольких источников) Централизованный доступ обеспечивает корреляцию между сетью, удостоверением, конечной точкой и облачной телеметрией. |
|
4. Быстрое обнаружение аномалий и реагирование Быстро обнаруживайте атаки и свести к минимуму время, в течение которого злоумышленники имеют доступ к внутренним ресурсам. |
Проверка осуществляется: решения об обнаружении принимаются на основе анализа, проанализированных и проверенных доказательств. Классификация событий гарантирует, что решения повторяются. Предположим нарушение: корреляция с множеством источников необходима, когда злоумышленники действуют в разных системах. |
ДЕ. AE-02 (потенциально неблагоприятные события анализируются, чтобы лучше понять связанные действия). Анализ преобразует необработанные сигналы в практические индикаторы компрометации. ДЕ. AE-03 (информация сопоставляется из нескольких источников). Корреляция ускоряет обнаружение сложных междоменных атак. ДЕ. AE-04 (Понимание предполагаемого воздействия и масштаба неблагоприятных событий). Понимание области и влияния означает более быструю приоритетность действий реагирования. ДЕ. AE-06 (Неблагоприятные события классифицируются на основе установленных классификаций). Классификация поддерживает последовательную сортировку и эскалацию во время активных угроз. ДЕ. AE-07 (события анализируются для поддержки определения первопричин инцидентов кибербезопасности). Анализ первопричин обеспечивает устойчивое исправление и предотвращение. RS. CO-02 (внутренние и внешние заинтересованные лица уведомляются об инцидентах). Уведомления обеспечивают быструю координацию после подтверждения аномалий. RS. MI-01 (инциденты сдерживаются, устраняются и смягчаются в соответствии с планами реагирования). Обнаруженные аномалии приводят непосредственно к устранению рисков и действиям сдерживания. RS. MI-02 (действия реагирования на инциденты отслеживаются и передаются). Отслеживание гарантирует, что действия реагирования координируются, проверяются и эффективны. |
Дальнейшие шаги
- Просмотрите последние достижения в отношении основных целей в "Что нового".
- Узнайте об использовании рекомендаций Microsoft SFI.