Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Одним из существенных изменений в перспективах, которые являются отличительной чертой платформ безопасности нулевого доверия, является переход от доверия по умолчанию к доверию по исключению. Однако требуется надежный способ установить доверие после того, как оно потребуется. Так как надежность запросов больше не предполагается, создание средств подтверждения достоверности запроса имеет решающее значение для подтверждения его достоверности на определенный момент времени. В процессе этой аттестации необходимо иметь возможность получить представление о действиях, происходящих непосредственно по запросу и вокруг него.
В наших руководствах по модели "Никому не доверяй" мы определи сквозной подход к реализации этой комплексной модели для удостоверений, конечных точек и устройств, данных, приложений, инфраструктуры и сети. Все эти вложения улучшают видимость, предоставляя более точные данные для принятия решений о доверии. Однако, принимая подход "Нулевого доверия" в этих шести областях, вы неизбежно увеличиваете число инцидентов, которые аналитикам центров операций по безопасности (SOC) необходимо устранять. Ваши аналитики становятся более занятыми, чем когда-либо, в то время, когда уже есть нехватка квалифицированных специалистов. Слишком много оповещений приводят к хронической усталости от оповещений и пропуска аналитиками критически важных оповещений.
Поскольку каждая из этих отдельных областей генерирует собственные релевантные оповещения, нам нужна интегрированная возможность управления операциями безопасности (SecOps), чтобы справляться с возникающим потоком данных, лучше защищаться от угроз и подтверждать доверие к транзакции.
Вы хотите иметь возможность:
- Обнаруживать угрозы и уязвимости.
- Проведите расследование.
- Ответьте.
- Охота.
- Предоставьте дополнительный контекст, используя аналитику угроз.
- Оцените уязвимости.
- Получение помощи от экспертов мирового класса
- Запретите или заблокируйте события на основе базовых принципов.
Управление угрозами включает реактивное и упреждающее обнаружение и требует средств, поддерживающих оба.
Реактивное обнаружение происходит, когда инциденты инициируются по одному из шести столпов, которые подлежат расследованию. Кроме того, продукт управления, такой как информация о безопасности и продукт управления событиями (SIEM), скорее всего, будет поддерживать другой уровень аналитики, который будет дополнять и сопоставлять данные, что приводит к пометке инцидента как плохого. Следующим шагом будет проведение расследования для получения полной картины атаки.
Упреждающее обнаружение происходит при использовании поиска данных для подтверждения скомпрометированной гипотезы. Охота на угрозы начинается с предположения, что в вашу систему проникли — вы ищете доказательства того, что действительно произошло нарушение.
Поиск угроз начинается с гипотезы на основе текущих угроз, например фишинговых атак, связанных с КОВИД-19. Аналитики начинают с этой гипотетической угрозы, определяют ключевые индикаторы компрометации и охотятся на данные, чтобы узнать, есть ли доказательства того, что среда скомпрометирована. Если индикаторы существуют, сценарии охоты могут привести к аналитике, которая уведомит организации, если некоторые индикаторы возникают снова.
В любом случае, как только обнаруживается инцидент, его необходимо исследовать, чтобы воссоздать полную историю атаки. Что еще сделал пользователь? Какие другие системы были задействованы? Какие исполняемые файлы были запущены?
Если расследование приводит к практическим выводам, вы можете предпринять шаги по исправлению. Например, если исследование обнаруживает пробелы в развертывании нулевого доверия, политики можно изменить, чтобы устранить эти пробелы и предотвратить будущие нежелательные инциденты. Каждый раз, когда это возможно, желательно автоматизировать действия по исправлению, так как это сокращает время, необходимое для аналитика SOC для решения угрозы и перехода к следующему инциденту.
Другой ключевой компонент в процессе оценки угроз заключается во внедрении известной аналитики угроз в полученные данные. Если IP, хэш, URL-адрес, файл, исполняемый объект и т. д. известны как неправильные, их можно определить, исследовать и исправить.
В базовом принципе инфраструктуры время было затрачено на устранение уязвимостей. Если известно, что система подвержена уязвимости, а угроза использовала эту уязвимость, то это можно обнаружить, проверить и исправить.
Чтобы использовать эти тактику для управления угрозами, необходимо иметь центральную консоль, позволяющую администраторам SOC обнаруживать, изучать, исправлять, отслеживать, использовать аналитику угроз, понимать известные уязвимости, опираться на экспертов по угрозам и блокировать угрозы по любому из шести принципов. Средства, необходимые для поддержки этих этапов, работают лучше, если они объединены в один рабочий процесс. Это обеспечивает простой интерфейс, повышающий эффективность работы аналитика SOC.
Центры операций безопасности часто развертывают сочетание технологий SIEM и SOAR для сбора, обнаружения, исследования и реагирования на угрозы. Корпорация Майкрософт предлагает Microsoft Sentinel в качестве предложения "SIEM как услуга". Microsoft Sentinel принимает как все данные Microsoft Defender для удостоверений, так и сторонние данные.
Microsoft Defender XDR, один из ключевых источников данных для Microsoft Sentinel, предоставляет единый комплекс средств корпоративной защиты, обеспечивающий контекстно-ориентированные защиту, обнаружение и реагирование во всех компонентах Microsoft 365. Благодаря учёту контекста и координации пользователи, использующие Microsoft 365, могут получить видимость и защиту в конечных точках, средствах совместной работы, удостоверениях и приложениях.
Это благодаря этой иерархии, которая позволяет нашим клиентам максимально сосредоточиться. Благодаря пониманию контекста и автоматическому устранению угроз Microsoft Defender XDR может обнаруживать и останавливать многие угрозы, не создавая дополнительной усталости от оповещений для и без того перегруженных сотрудников SOC. Расширенный поиск в Microsoft Defender XDR предоставляет этот контекст для поиска угроз, что позволяет сосредоточиться на множестве ключевых точек атаки. И охота и оркестрация по всей экосистеме через Microsoft Sentinel обеспечивает возможность получить правильную видимость всех аспектов разнородной среды, все это при минимизации когнитивной перегрузки оператора.
Цели развертывания "Никому не доверяй": обеспечение видимости, автоматизация и оркестрация
|
При реализации сквозной модели нулевого доверия для обеспечения видимости, автоматизации и оркестровки, рекомендуется в первую очередь сосредоточиться на следующих начальных целях развертывания: |
|
|
|
|
|
После того, как они будут выполнены, сосредоточьтесь на следующих дополнительных целях развертывания: |
|
|
|
III.Включите дополнительные элементы управления защитой и обнаружением. |
Руководство по развертыванию "Никому не доверяй": видимость, автоматизация и оркестрация
Это руководство поможет вам выполнить инструкции, необходимые для управления видимостью, автоматизацией и оркестрацией, соблюдая принципы платформы безопасности по модели "Никому не доверяй".
|
|
Основные цели развертывания |
I. Обеспечение видимости
Первый шаг — установить видимость, включив Защиту от угроз (Майкрософт) (MTP).
Выполните следующие действия:
- Зарегистрируйтесь для одной из рабочих нагрузок Microsoft Defender XDR.
- Включите рабочие нагрузки и установите подключение.
- Настройте обнаружение на своих устройствах и в инфраструктуре, чтобы сразу увидеть действия, происходящие в среде. Это дает вам очень важный "гудок", чтобы начать передачу критически важных данных.
- Включите Microsoft Defender XDR для получения видимости и обнаружения инцидентов между рабочими нагрузками.
II. Обеспечение автоматизации
Следующим ключевым шагом после установления видимости является включение службы автоматизации.
Автоматическое исследование и исправление
С помощью Microsoft Defender XDR мы автоматизировали как расследования, так и устранение угроз, что, по сути, дает нам дополнительный анализ на уровне SOC Tier 1.
Автоматическое исследование и исправление (AIR) можно включать постепенно, чтобы можно было достичь комфортного уровня с действиями, которые предпринимаются.
Выполните следующие действия:
- Включите AIR для тестовой группы.
- Анализ этапов расследования и действий в ответ.
- Постепенно переходите к автоматическому одобрению для всех устройств, чтобы сократить время обнаружения и реагирования.
Связывание соединителей данных Microsoft Purview и соответствующих продуктов сторонних производителей с Microsoft Sentinel
Чтобы получить представление об инцидентах, которые приводят к развертыванию модели "Никому не доверяй", важно подключить Microsoft Defender XDR, Microsoft Purview соединители данных и соответствующие сторонние продукты для Microsoft Sentinel для предоставления централизованной платформы для расследования инцидентов и реагирования.
В рамках процесса подключения к данным можно включить аналитику для инициирования инцидентов и рабочие тетради, которые можно создавать для графического представления данных за определенный период времени.
Связывание данных аналитики угроз с Microsoft Sentinel
Хотя машинное обучение и системная аналитика предоставляются по умолчанию, полезно также интегрировать данные об угрозах в Microsoft Sentinel для выявления событий, связанных с известными вредоносными сущностями.
|
|
Дополнительные цели развертывания |
III. Включите дополнительные элементы управления для защиты и обнаружения
Включение дополнительных средств контроля повышает качество сигналов, поступающих в Microsoft Defender XDR и Microsoft Sentinel, улучшая видимость и возможности оркестрации реагирования.
Элементы управления для сокращения направлений атак представляют одну такую возможность. Эти защитные элементы управления не только блокируют некоторые действия, связанные с вредоносной программой, но и пытаются использовать определенные подходы, которые могут помочь выявить злоумышленников, использующих эти методы прежде в процессе.
Продукты, описанные в данном руководстве
Microsoft Azure
Microsoft Defender для идентификации
Microsoft 365
Серия руководств по развертыванию с использованием модели "Никому не доверяй"