Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Операция безопасности (SecOps) является основой для "Никому не доверяй", так как она гарантирует не только предотвращение угроз, но и непрерывное обнаружение, исследование и реагирование на них. В модели "Никому не доверяй" организации предполагают нарушение, что делает надежные возможности SecOps необходимыми для сдерживания атак, снижения влияния и поддержания устойчивости.
Руководство по обеспечению безопасности SecOps сосредоточено на сборе и корреляции сигналов безопасности в среде, обнаружении и анализе угроз, оркестрации и автоматизации действий реагирования, упреждающего поиска угроз и непрерывного улучшения операций безопасности.
Реализация семинаров
Семинар SecOps охватывает области реализации, приведенные в таблице.
| Area | Сведения |
|---|---|
| Централизация данных безопасности и телеметрии | Интегрируйте журналы и сигналы из систем идентификации, устройств, сети, данных и инфраструктуры в централизованные платформы для единого обзора. Обеспечение комплексного охвата событий, связанных с безопасностью в среде. |
| Определение уязвимости и определение приоритета исправления рисков | Анализ путей атаки, неправильной настройки и уязвимостей безопасности в среде. Используйте возможности управления экспозицией для определения приоритетов исправления и снижения вероятности и влияния потенциальных атак. |
| Обнаружение угроз и создание высококачественных оповещений | Используйте правила обнаружения, аналитику поведения и аналитику угроз для выявления потенциальных компромиссов. Создание оповещений с высоким уровнем достоверности и непрерывное уточнение логики обнаружения для повышения качества сигнала и снижения ложных срабатываний. |
| Корреляция оповещений с инцидентами и приоритет ответа | Сопоставляйте связанные оповещения с инцидентами, как правило, с помощью автоматической корреляции и применяйте приоритет на основе риска, серьезности и потенциального влияния. Обеспечьте структурированный подход к триажу и управлению инцидентами. |
| Исследование и реагирование на инциденты | Выполните структурированные рабочие процессы исследования, чтобы понять область и влияние инцидентов. Локализуйте угрозы с помощью таких действий, как изоляция устройств или блокировка учетных записей, и обеспечьте единообразный процесс устранения. |
| Автоматизация ответа и оркестрации | Используйте средства автоматизации и рабочие процессы для оркестрации, стандартизации и ускорения действий реагирования в среде. Включите автоматическое сдерживание и исправление, если это необходимо для уменьшения времени отклика и ограничения перемещения злоумышленников. |
| Упреждающая охота за угрозами | Анализ собранных данных телеметрии для выявления аномальных действий, методов злоумышленника и индикаторов компрометации, которые могут избежать автоматического обнаружения. Непрерывно уточняйте гипотезы охоты и стратегии обнаружения на основе результатов исследования, аналитики угроз и развития поведения злоумышленников. |
| Использование аналитики угроз | Включите внутреннюю и внешнюю аналитику угроз для обогащения обнаружения и расследований. Используйте индикаторы и контекстные данные для улучшения понимания поведения злоумышленников и повышения охвата обнаружения. |
| Непрерывная настройка и оптимизация обнаружения | Просмотр и уточнение оповещений, правил подавления и логики обнаружения для снижения шума и повышения эффективности работы. Убедитесь, что SecOps фокусируется на высокоценных, действенных сигналах. |
| Сопоставление сигналов между доменами для полной видимости атаки | Объединение сигналов идентификации, устройств, сети, данных и инфраструктуры для обнаружения сложных, многоэтапных цепочек атак. Используйте видимость между доменами для повышения глубины исследования и эффективности реагирования. |
| Непрерывное улучшение процессов SecOps | Непрерывно улучшать стратегии обнаружения и процессы реагирования на основе обучения инцидентов и развития угроз. Включите отзывы об инцидентах, поиске угроз и анализе воздействия, чтобы добиться текущих улучшений в работе. |
Дальнейшие действия
Начните семинар SecOps.