Инструмент за самооценка на операциите по защитата
Приоритизиране
Оценявайте известията, задавайте приоритети и маршрутизирайте инциденти към членовете на екипа на центъра за операции по защитата, за да ги разрешат.
Разследване
Бързо определяйте дали дадено известие показва действителна атака, или фалшива аларма.
Проактивно търсене
Увеличете фокуса върху търсенето на противници, които са избегнели вашата основна и автоматизирана защита.
Как приоритизирате инцидентите и известията за заплахи?
(Изберете всички приложими)
До каква степен използвате автоматизация за разследване и отстраняване на проблема при големи обеми или повтарящи се инциденти?
В колко сценария използвате инструменти, базирани в облака, за да защитите локалните ресурси и ресурсите в няколко облака?
Разполагате ли със система за билети за управление на инцидентите, свързани със защитата, и измерване на времето за потвърждаване и времето за отстраняване?
Как управлявате умората от известията?
(Изберете всички приложими)
Препоръки
Въз основа на отговорите си сте на етап „Оптимизирани операции по защитата“.
Получете повече информация как да оптимизирате готовността на центъра ви за операции по защитата.
Препоръки
Въз основа на отговорите си сте на етап „Разширени операции по защитата“.
Получете повече информация как да преминете към оптималния етап на готовност на центъра за операции по защитата.
Препоръки
Въз основа на отговорите си сте на етап „Основни операции по защитата“.
Получете повече информация как да преминете към напредналия етап на готовност на центъра за операции по защитата.
Следните ресурси и препоръки могат да бъдат полезни на този етап.
Приоритизиране на известията за заплахи
- Приоритизирането на известията за заплахи е от решаващо значение за вашия успех. Най-добра практика е да оценявате въз основа на процента истински положителни резултати за източника. Изследвайте основните прозрения и най-добрите практики от ръководителите на защитата, за да увеличите готовността на вашите операции по защитата. Научете повече
Автоматизация
- Автоматизацията помага за освобождаването от досадни задачи на вас и вашия екип по операциите, така че да можете да се съсредоточите върху критичните заплахи, да увеличите продуктивността и да намалите бърнаута.
- Научете как да конфигурирате автоматизация в Microsoft Defender за крайна точка
Използване на инструменти, базирани в облака
- Инструментите, базирани в облака, ви помагат да видите пейзажа на заплахите на цялата си организация в облака. Преминаването към SIEM, базирана в облака, може да намали предизвикателствата, поставени от локалните решения за SIEM. Научете повече
Управление на инциденти със защитата чрез билети
- Наличието на система за билети помага на вашия екип да работи по-ефективно и по-успешно да се бори със заплахите. Научете повече
Управление на умората от известията
- Управлението на умората от известията е от решаващо значение за изпълнението на безпроблемни операции по защитата. Без система за приоритизиране, вашият екип може да разследва грешни положителни резултати и да пропусне сериозни заплахи, което може да доведе до бърнаут. Azure Sentinel намалява умората от известията с машинното обучение. Научете повече
Колко инструмента за защита използват анализаторите за разследване на инциденти (например продукти или портали на доставчици и инструменти или скриптове по избор
Използвате ли SIEM или други инструменти, за да консолидирате и съпоставяте всички източници на данни?
Използвате ли поведенчески анализ при откриване и разследване (например анализ на потребители и поведение, или UEBA)?
Използвате ли инструменти за откриване и разследване, фокусирани върху самоличността?
Използвате ли инструменти за откриване и разследване, фокусирани върху крайните точки?
Използвате ли инструменти за откриване и разследване, фокусирани върху имейла и данните?
Използвате ли инструменти за откриване и разследване, фокусирани върху SaaS приложенията?
Използвате ли инструменти за откриване и разследване, фокусирани върху инфраструктурата в облака, като например виртуални машини, интернет на нещата (IoT) и операционна технология (OT)?
Използвате ли MITRE ATT&CK или други рамки за проследяване и анализиране на инциденти?
Преглеждат ли екипите за разследване или проактивно търсене случаи в опашката за приоритизиране, за да идентифицират тенденциите, основната причина и други прозрения?
Препоръки
Въз основа на отговорите си сте на етап „Оптимизирани операции по защитата“.
Основни ресурси:
- Научете как консолидиран пакет за защита може да намали вашите рискове и разходи.
- Научете повече за функциите на операциите по защитата.
Получете повече информация как да оптимизирате готовността на центъра ви за операции по защитата.
Препоръки
Въз основа на отговорите си сте на етап „Разширени операции по защитата“.
Основни ресурси:
- Научете как консолидиран пакет за защита може да намали вашите рискове и разходи.
- Научете повече за функциите на операциите по защитата.
Получете повече информация как да преминете към оптималния етап на готовност на центъра за операции по защитата.
Препоръки
Въз основа на отговорите си сте на етап „Основни операции по защитата“.
Основни ресурси:
- Научете как консолидиран пакет за защита може да намали вашите рискове и разходи.
- Научете повече за функциите на операциите по защитата.
Получете повече информация как да преминете към напредналия етап на готовност на центъра за операции по защитата.
Следните ресурси и препоръки могат да бъдат полезни на този етап.
Интегрирани инструменти за защита
- Използването на интелигентни, автоматизирани и интегрирани решения за защита в различни домейни може да помогне на защитниците от операциите по защитата да свързват привидно различни известявания и да изпреварват атакуващите. Разгледайте как едно унифицирано SIEM и XDR решение помага за спирането на усъвършенствани атаки. Научете повече
- Модернизирайте центъра за операции по защитата, за да защитите отдалечената работна сила. Научете повече.
Използване на SIEM за консолидиране на източници на данни
- SIEM, като Azure Sentinel, предоставя изглед от птичи поглед на вашия пейзаж на заплахите и улавя всички данни за заплахи, като ви помага да бъдете по-проактивни, така че да не пропуснете нищо. Какво представлява Azure Sentinel?
- Научете повече за архитектурата за справки на Microsoft за киберсигурност.
Най-добри практики на Microsoft Security за операции по защитата
- Машинното обучение и анализът на поведението са най-добрите практики, които могат да ви помогнат бързо да идентифицирате анормални събития с висока достоверност. Научете повече
Управление на достъпа до данните
- Важно е да знаете кой има достъп до вашите данни и какъв тип достъп има. Използването на рамка, базирана на самоличността, е най-добрата практика за намаляване на риска и подобряване на продуктивността. Научете повече
Управление на крайни точки
- Най-добра практика е да знаете кой осъществява достъп до данни извън традиционния периметър и дали тези устройства са изправни. Microsoft Defender за крайна точка може да ви помогне чрез тези подробни указания. Научете повече
- Научете как да разположите Microsoft Defender за крайна точка
Откриване в имейл и данни
- Лошите действащи лица могат да влязат във вашата среда чрез компрометиран бизнес имейл. Решение, което може да открива и спира заплахи като фишинг може да помогне да се избегне поставянето на задачи на крайния потребител във връзка със защита. Научете повече
Откриване в SaaS приложения
- Важно е да защитите решенията, базирани в облака, които имат достъп до вашите поверителни данни.
Откриване в инфраструктура в облака
- Тъй като периметърът се разширява, така че да включва IoT и място за съхранение, контейнери и други компоненти на вашата инфраструктура в облака, е важно да настроите наблюдение и откриване на тези разширения във вашата среда.
Проследяване и анализиране на инциденти
- MITRE ATT&CK ® е глобално достъпна база знания за тактиките и техниките на атакуващите, базирани на наблюдения в реалния свят. Наличието на рамки като MITRE ATT&CK може да ви помогне да разработвате конкретни модели и методологии на заплахи, които могат да ви помагат проактивно да разработвате защити.
Документиране и преглед
- За да съберете прозрения и да бъдете проактивни със заплахите, е важно да документирате случаите на разследване.
Включвате ли проактивното търсене на заплахи като част от вашата стратегия за защита?
Използвате ли автоматизирани процеси за проактивно търсене, като например Jupyter Notebooks?
Имате ли процеси и инструменти, които да ви помогнат да откривате и управлявате вътрешните заплахи?
Вашият екип за проактивно търсене отделя ли време за прецизиране на известията, за да се увеличи процентът на реалните положителни резултати за екипите за приоритизиране (ниво 1)?
Препоръки
Въз основа на отговорите си сте на етап „Оптимизирани операции по защитата“.
Основни ресурси:
- Научете повече за управлението на вътрешния риск в Microsoft 365.
Получете повече информация как да оптимизирате готовността на центъра ви за операции по защитата.
Препоръки
Въз основа на отговорите си сте на етап „Разширени операции по защитата“.
Основни ресурси:
- Научете повече за управлението на вътрешния риск в Microsoft 365.
Получете повече информация как да преминете към оптималния етап на готовност на центъра за операции по защитата.
Препоръки
Въз основа на отговорите си сте на етап „Основни операции по защитата“.
Основни ресурси:
- Научете повече за управлението на вътрешния риск в Microsoft 365.
Получете повече информация как да преминете към напредналия етап на готовност на центъра за операции по защитата.
Следните ресурси и препоръки могат да бъдат полезни на този етап.
Проактивно търсене на заплахи
- Идентифицирайте заплахите, преди да се случат. Решителните противници могат да намерят начини за заобикаляне на автоматизираните ви откривания, така че е важно да имате проактивна стратегия. Намаляване на въздействието на вътрешните рискове чрез ускоряване на времето за действие. Научете повече
- Вижте как SOC на Microsoft подхожда към проактивното търсене на заплахи
Автоматизирано проактивно търсене
- Използването на автоматизирани процеси за проактивно търсене може да помогне за увеличаване на производителността и намаляване на обема.
Вътрешни заплахи
- Със служители, доставчици и изпълнители, които имат достъп до корпоративната мрежа от многото крайни точки, е по-важно от всякога професионалистите по рисковете да могат бързо да идентифицират рисковете, които се случват в рамките на организацията, и да предприемат действия за отстраняване на проблема.
- Научете за наблюдението на вътрешните заплахи
- Направете първите стъпки в управлението на вътрешния риск
Прецизиране на процесите за проактивно търсене
- Прозренията, събрани от екипите за проактивно търсене на заплахи, могат да ви помогнат да прецизирате и подобрите точността на системите за приоритизиране на известията. Научете повече
Вашият екип има ли процес за управление на кризи за справяне с основни инциденти, свързани със защитата?
Включва ли този процес разпоредби за включване на екипи от доставчици със задълбочена реакция при инциденти, разузнаване за заплахи или опит в технологична платформа?
Включва ли този процес ръководството, включително юридическите екипи и регулаторните органи?
Този процес включва ли екипи за комуникация и връзки с обществеността?
Вашият екип провежда ли редовни упражнения, за да практикува и прецизира този процес?
Препоръки
Въз основа на отговорите си сте на етап „Оптимизирани операции по защитата“.
Основни ресурси:
- Научете повече за управлението на вътрешния риск в Microsoft 365.
Получете повече информация как да оптимизирате готовността на центъра ви за операции по защитата.
Препоръки
Въз основа на отговорите си сте на етап „Разширени операции по защитата“.
Основни ресурси:
- Научете повече за управлението на вътрешния риск в Microsoft 365.
Получете повече информация как да преминете към оптималния етап на готовност на центъра за операции по защитата.
Препоръки
Въз основа на отговорите си сте на етап „Основни операции по защитата“.
Основни ресурси:
- Научете повече за управлението на вътрешния риск в Microsoft 365.
Получете повече информация как да преминете към напредналия етап на готовност на центъра за операции по защитата.
Следните ресурси и препоръки могат да бъдат полезни на този етап.
Отговор на инциденти
- Всяка минута е важна при реагирането при криза. Дори наличието на временен процес е важно, за да се гарантира бързо отстраняване на проблемите и управление на инцидентите.
- Получете справочника за реакция при инциденти
- Научете как да предотвратявате атаки срещу киберсигурността – от рансъмуер до изнудване.
Отстраняване на инциденти
- Гъвкавостта е важна за отстраняването на проблеми и управлението на инциденти. Разбирането и оценяването на уменията и опита на вашия екип ви помагат да определите екипите от доставчици и технологиите, от които се нуждаете. Научете повече
Смекчаване на въздействието
- Защитата е дело на всеки в организацията. Прозрението от други заинтересовани лица в бизнеса може да предостави конкретни указания за смекчаване на въздействието при пробив.
- Гледайте поредицата CISO маркиране за акцентиране
- Научете повече за защитата в облака
Комуникации и връзки с обществеността
- Вашият процес трябва да включва планове за връзки с обществеността и комуникации, в случай че възникне пробив, така че да сте готови да поддържате клиентите и да намалите въздействието на пробива. Научете как да изпълните високоефективна операция за защита.
Практиката ви прави перфектни
- Практиката гарантира, че можете да откривате пропуски и области за подобрение, преди да възникне пробив. Тествайте упражнения за различни случаи, за да сте сигурни, че сте подготвени за пробив.
- Имате ли предоставена от доставчик или поддържана от доставчик автоматизация, която да намалява работното натоварване при разследване и отстраняване на проблемите от анализаторите?
Можете ли да организирате автоматизирани действия в различни инструменти?
Ако организирате автоматизирани действия в различни инструменти, свързвате ли се естествено с всички или повечето от инструментите си или използвате скриптове по избор?
Използвате ли автоматизация, предоставена от общността?
Препоръки
Въз основа на отговорите си сте на етап „Оптимизирани операции по защитата“.
Основни ресурси:
- Azure Sentinel - SOC Process Framework Workbook. Получете го сега.
- Организация, автоматизация и реакция, свързани със защитата (SOAR), в Azure Sentinel. Научете повече.
- Ръководство за безпроблемен защитен достъп: подобрена среда за работа на потребителите с подсилена защита. Научете повече.
- Приветствайте проактивната защита със Zero Trust. Научете повече.
- Ръководство за разполагане на Zero Trust за Microsoft Azure Active Directory. Получете го сега.
Получете повече информация как да оптимизирате готовността на центъра ви за операции по защитата.
Препоръки
Въз основа на отговорите си сте на етап „Разширени операции по защитата“.
Основни ресурси:
- Azure Sentinel - SOC Process Framework Workbook. Получете го сега.
- Организация, автоматизация и реакция, свързани със защитата (SOAR), в Azure Sentinel. Научете повече.
- Ръководство за безпроблемен защитен достъп: подобрена среда за работа на потребителите с подсилена защита. Научете повече.
- Приветствайте проактивната защита със Zero Trust. Научете повече.
- Ръководство за разполагане на Zero Trust за Microsoft Azure Active Directory. Получете го сега.
Получете повече информация как да преминете към оптималния етап на готовност на центъра за операции по защитата.
Препоръки
Въз основа на отговорите си сте на етап „Основни операции по защитата“.
Основни ресурси:
- Azure Sentinel - SOC Process Framework Workbook. Получете го сега.
- Организация, автоматизация и реакция, свързани със защитата (SOAR), в Azure Sentinel. Научете повече.
- Ръководство за безпроблемен защитен достъп: подобрена среда за работа на потребителите с подсилена защита. Научете повече.
- Приветствайте проактивната защита със Zero Trust. Научете повече.
- Ръководство за разполагане на Zero Trust за Microsoft Azure Active Directory. Получете го сега.
Получете повече информация как да преминете към напредналия етап на готовност на центъра за операции по защитата.
Следните ресурси и препоръки могат да бъдат полезни на този етап.
Управление на работното натоварване на анализаторите
- Поддръжката за автоматизация от доставчик може да помогне на вашия екип да управлява работното си натоварване. Добре е да защитите цифровото си имущество с интегриран подход за повишена ефективност на SOC. Научете повече
- Разгледайте как екипите за операции по защитата се приспособяват към променящия се пейзаж на заплахите
Организиране на автоматизирани действия
- Интегрирането на автоматизирани действия във всички ваши инструменти може да подобри продуктивността и да увеличи вероятността да не пропуснете никакви заплахи. Вижте как консолидиран пакет за защита може да намали вашите рискове и разходи. Научете повече
Свързване на автоматизирани действия
- Свързаните и интегрирани инструменти и процеси могат да ви помогнат да намалите пропуските във вашата програма за наблюдение на заплахите и да ви помогнат да бъдете в крак с непрекъснато променящия се пейзаж на заплахите за киберсигурността.
Автоматизация, предоставена от общността
- Обмислете използването на автоматизация, предоставена от общността, която увеличава разпознаването на моделите на заплахите и може да ви спести време, като премахне нуждата от персонализирани автоматизирани инструменти.
Следвайте Microsoft Security