Nástroj pro vlastní posouzení operací zabezpečení
Určování priorit
Vyhodnocujte výstrahy, nastavujte priority a předávejte incidenty k řešení členům týmu centra Security Operations Center.
Prověřování
Můžete rychle určit, jestli výstraha znamená skutečný útok, nebo falešný poplach.
Proaktivní vyhledávání
Zaměřte se na vyhledávání útočníků, kterým se podařilo uniknout vaší primární a automatické ochraně.
Jak určujete prioritu incidentů a upozornění na hrozby?
(Vyberte všechny platné možnosti.)
Do jaké míry používáte automatizaci pro prověřování a nápravu velkého množství incidentů nebo opakujících se incidentů?
V kolika scénářích používáte cloudové nástroje k zabezpečení místních a multicloudových prostředků?
Máte zavedený ticketingový systém pro správu incidentů zabezpečení a měření času na potvrzení a času na nápravu?
Jakým způsobem zvládáte zahlcení výstrahami?
(Vyberte všechny platné možnosti.)
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi optimalizovaných operací zabezpečení.
Získejte další informace o tom, jak optimalizovat vyspělost centra Security Operations Center.
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi pokročilých operací zabezpečení.
Získejte další informace o tom, jak přejít do optimální fáze vyspělosti centra Security Operations Center.
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi základních operací zabezpečení.
Získejte další informace o tom, jak přejít do pokročilé fáze vyspělosti centra Security Operations Center.
V této fázi pro vás mohou být užitečné následující zdroje informací a doporučení.
Stanovení priorit upozornění na hrozby
- Stanovení priorit upozornění na hrozby je pro váš úspěch zásadní. Osvědčeným postupem je hodnocení na základě míry pravdivě pozitivních výsledků zdroje. Seznamte se s klíčovými poznatky a osvědčenými postupy předních specialistů na zabezpečení, které vám pomohou zdokonalit operace zabezpečení. Další informace
Automation
- Automatizace vám a vašemu provoznímu týmu pomáhá zbavit se zdlouhavých úkolů, abyste se mohli soustředit na kritické hrozby, zvýšit produktivitu a omezit pocit vyhoření.
- Informace o tom, jak nakonfigurovat automatizaci na platformě Microsoft Defender for Endpoint
Využití cloudových nástrojů
- Cloudové nástroje vám pomohou zobrazit celé prostředí hrozeb ve vaší organizaci v cloudu. Přechod na cloudové řešení SIEM může zmírnit problémy, které představují místní řešení SIEM. Další informace
Správa incidentů zabezpečení prostřednictvím ticketingu
- Ticketingový systém pomáhá vašemu týmu pracovat efektivněji a úspěšněji bojovat proti hrozbám. Další informace
Zvládání zahlcení výstrahami
- Zvládání zahlcení výstrahami je pro hladký průběh operací zabezpečení zásadní. Bez zavedeného systému určování priorit může váš tým nakonec prošetřovat falešně pozitivní výsledky a nezachytí vážné hrozby, což může vést k vyhoření. Azure Sentinel omezuje zahlcení výstrahami pomocí strojového učení. Další informace
Kolik nástrojů pro zabezpečení analytici používají k prověřování incidentů (například produkty nebo portály dodavatelů a vlastní nástroje nebo skripty)
Používáte řešení SIEM nebo jiné nástroje ke konsolidaci a korelaci všech zdrojů dat?
Používáte k detekci a prověřování analýzu chování (například analýzu chování uživatelů a entit (behaviorální analýzu uživatelů a entit))?
Používáte nástroje pro detekci a prověřování zaměřené na identitu?
Používáte nástroje pro detekci a prověřování zaměřené na koncové body?
Používáte nástroje pro detekci a prověřování zaměřené na e-mail a data?
Používáte nástroje pro detekci a prověřování zaměřené na aplikace SaaS?
Používáte nástroje pro detekci a prověřování zaměřené na cloudovou infrastrukturu, jako jsou virtuální počítače, Internet věcí (IoT) a provozní technologie?
Používáte MITRE ATT&CK nebo jiné architektury ke sledování incidentů a k jejich analýze?
Přezkoumávají týmy zaměřené na prověřování nebo proaktivní vyhledávání hrozeb případy ve frontě pro určování priorit, aby zjistily trendy, základní příčiny a další poznatky?
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi optimalizovaných operací zabezpečení.
Nejdůležitější zdroje informací:
- Zjistěte, jak může konsolidovaný systém zabezpečení snížit rizika a náklady.
- Získejte další informace o funkcích operací zabezpečení (SecOps).
Získejte další informace o tom, jak optimalizovat vyspělost centra Security Operations Center.
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi pokročilých operací zabezpečení.
Nejdůležitější zdroje informací:
- Zjistěte, jak může konsolidovaný systém zabezpečení snížit rizika a náklady.
- Získejte další informace o funkcích operací zabezpečení (SecOps).
Získejte další informace o tom, jak přejít do optimální fáze vyspělosti centra Security Operations Center.
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi základních operací zabezpečení.
Nejdůležitější zdroje informací:
- Zjistěte, jak může konsolidovaný systém zabezpečení snížit rizika a náklady.
- Získejte další informace o funkcích operací zabezpečení (SecOps).
Získejte další informace o tom, jak přejít do pokročilé fáze vyspělosti centra Security Operations Center.
V této fázi pro vás mohou být užitečné následující zdroje informací a doporučení.
Integrované nástroje pro zabezpečení
- Pokud používáte inteligentní, automatizovaná a integrovaná řešení zabezpečení napříč doménami, může to pomáhat pracovníkům zajišťujícím operace zabezpečení propojit zdánlivě nesourodé výstrahy a získat náskok před útočníky. Prozkoumejte, jak jednotné řešení SIEM a XDR pomáhá zastavit pokročilé útoky. Další informace
- Modernizujte centrum Security Operations Center, abyste lépe zabezpečili vzdálené pracovníky. Přečtěte si další informace.
Použití řešení SIEM ke konsolidaci zdrojů dat
- Řešení SIEM, jako je služba Azure Sentinel, poskytuje pohled na prostředí hrozeb z ptačí perspektivy a zachycuje všechna data o hrozbách, čímž vám pomáhá být proaktivnější, aby vám nic neuniklo. Co je Azure Sentinel?
- Další informace o diagramu Microsoft Cybersecurity Reference Architecture
Osvědčené postupy zabezpečení Microsoftu pro operace zabezpečení
- Strojové učení a analýza chování jsou osvědčené postupy, které vám pomohou rychle a s vysokou jistotou identifikovat neobvyklé události. Další informace
Správa přístupu k datům
- Je důležité vědět, kdo má přístup k vašim datům a jaký typ přístupu má. Využití architektury založené na identifikaci je osvědčeným postupem pro snížení rizika a zvýšení produktivity. Další informace
Správa koncových bodů
- Zjišťování toho, kdo přistupuje k datům mimo tradiční perimetr a zda jsou tato zařízení v pořádku, je osvědčeným postupem. Microsoft Defender for Endpoint vám s tím prostřednictvím těchto podrobných pokynů může pomoct. Další informace
- Informace o tom, jak nasadit platformu Microsoft Defender for Endpoint
Detekce e-mailů a dat
- Nežádoucí osoby mohou do vašeho prostředí proniknout prostřednictvím napadeného firemního e-mailu. Řešení, které dokáže detekovat a zastavovat hrozby, jako jsou útoky phishing, může zajistit, aby se zabezpečením nemusel zabývat koncový uživatel. Další informace
Detekce aplikací SaaS
- Je důležité zabezpečit cloudová řešení, která mají přístup k citlivým datům.
Detekce cloudové infrastruktury
- S tím, jak se perimetr rozšiřuje tak, aby zahrnoval IoT a úložiště, kontejnery a další součásti vaší cloudové infrastruktury, je důležité nastavit monitorování a detekci těchto rozšíření vašeho prostředí.
Sledování a analýza incidentů
- MITRE ATT&CK® je globálně přístupná znalostní báze taktik a technik útočníků založená na pozorování z reálného světa. Architektury, jako je MITRE ATT&CK, vám můžou pomoct vyvíjet specifické modely hrozeb a metodologie, které vám umožní proaktivně rozvíjet ochranu.
Dokumentace a kontrola
- Pokud chcete získat přehledy a zajistit proaktivní přístup k hrozbám, je důležité vytvářet dokumentaci k případům prověřování.
Je proaktivní vyhledávání hrozeb součástí vaší strategie zabezpečení?
Používáte automatizované procesy proaktivního vyhledávání, jako jsou nástroje Jupyter Notebook?
Máte procesy a nástroje, které pomáhají odhalovat a spravovat insiderské hrozby?
Má váš tým zaměřený na proaktivní vyhledávání čas na zdokonalování výstrah, aby se zvýšila míra pravdivě pozitivních výsledků pro týmy určující priority (úroveň 1)?
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi optimalizovaných operací zabezpečení.
Nejdůležitější zdroje informací:
- Získejte další informace o správě insiderských rizik v Microsoftu 365.
Získejte další informace o tom, jak optimalizovat vyspělost centra Security Operations Center.
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi pokročilých operací zabezpečení.
Nejdůležitější zdroje informací:
- Získejte další informace o správě insiderských rizik v Microsoftu 365.
Získejte další informace o tom, jak přejít do optimální fáze vyspělosti centra Security Operations Center.
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi základních operací zabezpečení.
Nejdůležitější zdroje informací:
- Získejte další informace o správě insiderských rizik v Microsoftu 365.
Získejte další informace o tom, jak přejít do pokročilé fáze vyspělosti centra Security Operations Center.
V této fázi pro vás mohou být užitečné následující zdroje informací a doporučení.
Proaktivní vyhledávání hrozeb
- Identifikujte hrozby dříve, než nastanou. Odhodlaní útočníci mohou najít způsoby, jak obejít vaše automatické detekce, proto je důležité mít proaktivní strategii. Snižte dopad insiderských rizik zkrácením času potřebného k akci. Další informace
- Zjistěte, jak Microsoft SOC přistupuje k proaktivnímu vyhledávání hrozeb.
Automatizované proaktivní vyhledávání
- Použití automatizovaných procesů proaktivního vyhledávání může pomoct zvýšit produktivitu a snížit objem.
Insiderské hrozby
- Vzhledem k tomu, že zaměstnanci, dodavatelé a smluvní partneři přistupují k podnikové síti z mnoha koncových bodů, je více než kdy jindy důležité, aby odborníci na rizika byli schopni rychle identifikovat rizika, která se v organizaci vyskytují, a provádět nápravné akce.
- Informace o monitorování insiderských hrozeb
- Začínáme se správou insiderských rizik
Zdokonalení procesů proaktivního vyhledávání
- Přehledy získané od týmů zaměřených na proaktivní vyhledávání hrozeb mohou pomoct zdokonalit procesy a vylepšit přesnost systémů pro určování priorit výstrah. Další informace
Má váš tým proces krizového řízení pro řešení závažných incidentů zabezpečení?
Zahrnuje tento proces ustanovení o zapojení dodavatelských týmů s rozsáhlými odbornými znalostmi v oblasti reakce na incidenty, analýzy hrozeb nebo technologických platforem?
Je součástí tohoto procesu výkonné vedení, včetně právních týmů a regulačních orgánů?
Zahrnuje tento proces týmy pro komunikaci a vztahy s veřejností?
Provádí váš tým pravidelná cvičení k procvičení a zdokonalení tohoto procesu?
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi optimalizovaných operací zabezpečení.
Nejdůležitější zdroje informací:
- Získejte další informace o správě insiderských rizik v Microsoftu 365.
Získejte další informace o tom, jak optimalizovat vyspělost centra Security Operations Center.
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi pokročilých operací zabezpečení.
Nejdůležitější zdroje informací:
- Získejte další informace o správě insiderských rizik v Microsoftu 365.
Získejte další informace o tom, jak přejít do optimální fáze vyspělosti centra Security Operations Center.
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi základních operací zabezpečení.
Nejdůležitější zdroje informací:
- Získejte další informace o správě insiderských rizik v Microsoftu 365.
Získejte další informace o tom, jak přejít do pokročilé fáze vyspělosti centra Security Operations Center.
V této fázi pro vás mohou být užitečné následující zdroje informací a doporučení.
Reakce na incidenty
- Při řešení krizových situací záleží na minutách. Pro zajištění rychlé nápravy a zvládání incidentů je důležité mít i dočasný proces.
- Získejte referenční příručku pro reakci na incidenty
- Informace o tom, jak předcházet kybernetickým útokům – od ransomwaru po vydírání
Náprava incidentů
- Pro nápravu a správu incidentů je důležitá agilita a flexibilita. Pochopení a posouzení toho, jaké má váš tým dovednosti a zkušenosti, vám také pomůže určit dodavatelské týmy a technologie, které potřebujete. Další informace
Zmírňování dopadů
- Zabezpečení je záležitostí všech členů organizace. Poznatky ostatních zainteresovaných stran mohou poskytnout konkrétní rady vedoucí ke zmírnění dopadu porušení zabezpečení.
- Podívejte se na videa ze seriálu CISO Spotlight.
- Další informace o zabezpečení cloudu
Komunikace a vztahy s veřejností
- Váš proces by měl zahrnovat plán pro vztahy s veřejností a komunikační plán pro případ porušení zabezpečení, abyste byli připraveni poskytnout zákazníkům podporu a zmírnit dopad porušení zabezpečení. Zjistěte, jak řídit vysoce efektivní operace zabezpečení.
Cvičení dělá mistra
- Když si danou věc procvičíte, můžete odhalit nedostatky a oblasti, které je třeba zlepšit – dříve než dojde k porušení zabezpečení. Procvičujte si testovací případy, abyste zajistili, že budete připravení na porušení zabezpečení.
- Máte dodavatelem poskytovanou nebo udržovanou automatizaci, která snižuje pracovní vytížení analytiků při prověřování a nápravě?
Můžete orchestrovat automatizované akce napříč různými nástroji?
Pokud orchestrujete automatizované akce napříč různými nástroji, propojujete se nativně se všemi nebo s většinou svých nástrojů, nebo je to založeno na vlastním skriptování?
Používáte automatizaci poskytovanou komunitou?
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi optimalizovaných operací zabezpečení.
Nejdůležitější zdroje informací:
- Azure Sentinel – SOC Process Framework Workbook. Stáhnout
- Orchestrace, automatizace a reakce zabezpečení (SOAR) ve službě Azure Sentinel. Přečtěte si další informace.
- Příručka pro bezproblémový zabezpečený přístup: Vylepšené uživatelské prostředí s lepším zabezpečením Přečtěte si další informace.
- Osvojte si proaktivní zabezpečení s modelem nulové důvěry (Zero Trust). Přečtěte si další informace.
- Průvodce nasazením s nulovou důvěrou (Zero Trust) pro Azure Active Directory. Stáhnout
Získejte další informace o tom, jak optimalizovat vyspělost centra Security Operations Center.
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi pokročilých operací zabezpečení.
Nejdůležitější zdroje informací:
- Azure Sentinel – SOC Process Framework Workbook. Stáhnout
- Orchestrace, automatizace a reakce zabezpečení (SOAR) ve službě Azure Sentinel. Přečtěte si další informace.
- Příručka pro bezproblémový zabezpečený přístup: Vylepšené uživatelské prostředí s lepším zabezpečením Přečtěte si další informace.
- Osvojte si proaktivní zabezpečení s modelem nulové důvěry (Zero Trust). Přečtěte si další informace.
- Průvodce nasazením s nulovou důvěrou (Zero Trust) pro Azure Active Directory. Stáhnout
Získejte další informace o tom, jak přejít do optimální fáze vyspělosti centra Security Operations Center.
Doporučení
Na základě vašich odpovědí se nacházíte ve fázi základních operací zabezpečení.
Nejdůležitější zdroje informací:
- Azure Sentinel – SOC Process Framework Workbook. Stáhnout
- Orchestrace, automatizace a reakce zabezpečení (SOAR) ve službě Azure Sentinel. Přečtěte si další informace.
- Příručka pro bezproblémový zabezpečený přístup: Vylepšené uživatelské prostředí s lepším zabezpečením Přečtěte si další informace.
- Osvojte si proaktivní zabezpečení s modelem nulové důvěry (Zero Trust). Přečtěte si další informace.
- Průvodce nasazením s nulovou důvěrou (Zero Trust) pro Azure Active Directory. Stáhnout
Získejte další informace o tom, jak přejít do pokročilé fáze vyspělosti centra Security Operations Center.
V této fázi pro vás mohou být užitečné následující zdroje informací a doporučení.
Správa pracovního vytížení analytiků
- Podpora automatizace od dodavatelů může vašemu týmu pomoct zvládat pracovní vytížení. Zvažte ochranu digitálních prostředků pomocí integrovaného přístupu pro zvýšení efektivity SOC. Další informace
- Prozkoumejte, jak se bezpečnostní týmy přizpůsobují měnícímu se prostředí hrozeb.
Orchestrace automatizovaných akcí
- Integrace automatizovaných akcí napříč všemi vašimi nástroji může zlepšit produktivitu a pomoct zvýšit pravděpodobnost, že vám neunikne žádná hrozba. Podívejte se, jak konsolidovaný systém zabezpečení může pomoct snížit rizika a náklady. Další informace
Propojení automatizovaných akcí
- Propojené a integrované nástroje a procesy mohou pomáhat omezovat nedostatky v programu monitorování hrozeb a držet krok s neustále se měnícím prostředím kybernetických hrozeb.
Automatizace poskytovaná komunitou
- Zvažte použití automatizace poskytované komunitou, která zlepšuje rozpoznávání vzorců hrozeb a může vám ušetřit čas tím, že eliminuje potřebu vlastních automatizovaných nástrojů.
Sledujte zabezpečení od Microsoftu