Selvvurderingsværktøj til sikkerhedsoperationer
Reaktion
Vurder alarmer, prioritér og send hændelser videre til medlemmerne af dit sikkerhedscenter, så de kan løse dem.
Undersøgelse
Fastlæg hurtigt, om en underretning angiver et faktisk angreb eller er falsk alarm.
Jagt
Sæt øget fokus på søgning efter modstandere, som har undgået dit primære og automatiske forsvar.
Hvordan prioriterer du hændelser og trusselsunderretninger?
(Vælg alle relevante svar)
I hvilken grad bruger du automatisering til undersøgelse og afhjælpning af omfattende eller tilbagevendende hændelser?
I hvor mange scenarier bruger du skybaserede værktøjer til at sikre ressourcer i det lokale miljø og i flere skyer?
Har du et billetsystem på plads til at administrere sikkerhedshændelser og måle tiden til erkendelse og tiden til afhjælpning?
Hvordan administrerer du underretningstræthed?
(Vælg alle relevante svar)
Anbefalinger
På baggrund af dine svar er du i fasen Optimeret for sikkerhedsoperationer.
Få flere oplysninger om, hvordan du optimerer din modenhed af center for sikkerhedsoperationer.
Anbefalinger
På baggrund af dine svar er du i fasen Avanceret for sikkerhedsoperationer.
Få flere oplysninger om, hvordan du bevæger dig til den optimale fase for modenhed af center for sikkerhedsoperationer.
Anbefalinger
På baggrund af dine svar er du i fasen Basic for sikkerhedsoperationer.
Få flere oplysninger om, hvordan du bevæger dig til den avancerede fase for modenhed af center for sikkerhedsoperationer.
Følgende ressourcer og anbefalinger kan være nyttige i denne fase.
Prioritering af trusselsunderretninger
- Prioritering af trusselsunderretninger er vigtigt for din succes. Det er en bedste praksis at bedømme på baggrund af kildens rate for sande positive. Udforsk nøgleindsigter og bedste praksisser fra sikkerhedsledere for a modne dine sikkerhedsoperationer. Få mere at vide
Automation
- Automation hjælper med at frigøre dig og dit operationsteam fra kedelige opgaver, så du kan fokusere på alvorlige trusler, øge produktiviteten og reducere graden af udbrændthed.
- Få mere at vide om, hvordan du konfigurerer automation i Microsoft Defender for Endpoint
Bruger skybaserede værktøjer
- Skybaserede værktøjer hjælper dig med at se hele dit organisations trusselslandskab på tværs af skyen. Et skift til en skybaseret SIEM kan begrænse de udfordringer, som følger med lokale SIEM-løsninger. Få mere at vide
Administrer sikkerhedshændelser via billettering
- At have et billetsystem hjælper dit team med at arbejde mere effektivt og bekæmpe trusler med større succes. Få mere at vide
Administration af underretningstræthed
- Administration af underretningstræthed er vigtigt for at kunne køre ubesværede sikkerhedsoperationer. Uden et prioriteringssystem på plads kan dit team ende med at undersøge falske positive og lade alvorlige trusler slippe igennem, hvilket kan føre til udbrændthed. Azure Sentinel reducerer underretningstræthed med maskinel indlæring. Få mere at vide
Hvor mange sikkerhedsværktøjer bruger analytikere til undersøgelse af hændelser (for eksempel leverandørprodukter eller -portaler og brugerdefinerede værktøjer eller scripts
Bruger du SIEM eller andre værktøjer til at konsolidere og korrelere alle datakilder?
Bruger du adfærdsmæssig analyse til registrering og undersøgelse (for eksempel analyse af bruger- og enhedsadfærd, eller UEBA)?
Bruger du værktøjer til registrering og undersøgelse, der fokuserer på identitet?
Bruger du værktøjer til registrering og undersøgelse, som er fokuseret på slutpunkter?
Bruger du værktøjer til registrering og undersøgelse, som er fokuseret på mails og data?
Bruger du værktøjer til registrering og undersøgelse, som er fokuseret på SaaS-app?
Bruger du værktøjer til registrering og undersøgelse, der er fokuseret på skyinfrastruktur, såsom Virtual Machines, Tingenes internet (IoT) og Operationel teknologi (OT)?
Bruger du MITRE ATT&CK eller andre strukturer til at registrere og analysere hændelser?
Vurderer dine teams til undersøgelse og jagt cases i prioriteringskøen for at identificere tendenser, finde årsager og få andre indsigter?
Anbefalinger
På baggrund af dine svar er du i fasen Optimeret for sikkerhedsoperationer.
Nøgleressourcer:
- Få mere at vide om, hvordan en konsolideret sikkerhedsstak kan reducere dine risici og omkostninger.
- Få mere at vide om funktioner til sikkerhedsoperationer (SecOps).
Få flere oplysninger om, hvordan du optimerer din modenhed af center for sikkerhedsoperationer.
Anbefalinger
På baggrund af dine svar er du i fasen Avanceret for sikkerhedsoperationer.
Nøgleressourcer:
- Få mere at vide om, hvordan en konsolideret sikkerhedsstak kan reducere dine risici og omkostninger.
- Få mere at videFå mere at vide om sikkerhedshandlinger (SecOps).
Få flere oplysninger om, hvordan du bevæger dig til den optimale fase for modenhed af center for sikkerhedsoperationer.
Anbefalinger
På baggrund af dine svar er du i fasen Basic for sikkerhedsoperationer.
Nøgleressourcer:
- Få mere at vide om, hvordan en konsolideret sikkerhedsstak kan reducere dine risici og omkostninger.
- Få mere at videFå mere at vide om sikkerhedshandlinger (SecOps).
Få flere oplysninger om, hvordan du bevæger dig til den avancerede fase for modenhed af center for sikkerhedsoperationer.
Følgende ressourcer og anbefalinger kan være nyttige i denne fase.
Integrerede sikkerhedsværktøjer
- Brug af intelligente, automatiserede og integrerede sikkerhedsløsninger på tværs af domæner kan hjælpe SecOps-beskyttere med at forbinde umiddelbart forskellige underretninger og komme angriberne i forkøbet. Udforsk, hvordan en forenet SIEM og XDR-løsning hjælper med at stoppe avancerede angreb. Få mere at vide
- Moderniser centeret for sikkerhedsoperationer, så du bedre kan sikre en fjernarbejdsstyrke. Få mere at vide.
Brug SIEM til at konsolidere datakilder
- En SIEM, såsom Azure Sentinel, giver et overblik over dit trusselslandskab og registrerer alle trusselsdata, hvilket hjælper dig med at være mere proaktiv, så du ikke overser noget. Hvad er Azure Sentinel?
- Få mere at vide om Microsofts referencearkitektur for cybersikkerhed.
Microsoft Security's bedste praksisser for sikkerhedsoperationer
- Maskinel indlæring og adfærdsanalyser er bedste praksisser, som kan hjælpe dig med hurtigt at identificere unormale hændelser med høj grad af tillid. Få mere at vide
Administration af dataadgang
- Det er vigtigt at vide, hvem der har adgang til dine data og hvilken type adgang, de har. Brug af en identitetsbaseret struktur er en bedste praksis for at reducere risici og forbedre produktivitet. Få mere at vide
Slutpunktsadministration
- Det er en bedste praksis at vide, hvem der har adgang til data fra andre steder end det traditionelle netværk, og hvorvidt disse enheder er sunde. Microsoft Defender for Endpoint kan hjælpe dig via denne trin-for-trin-vejledning. Få mere at vide
- Få mere at vide om at udrulle Microsoft Defender for Endpoint
Registrering af mails og data
- Uretmæssige aktører kan komme ind i dit miljø via kompromitterede virksomhedsmails. En løsning, der kan registrere og stoppe trusler som for eksempel phishing, kan hjælpe dig med at undgå at bebyrde slutbrugeren med sikkerhed. Få mere at vide
Registrering af SaaS-app
- Det er vigtigt at sikre skybaserede løsninger, der kan få adgang til dine følsomme data.
Registrering af skyinfrastruktur
- Når perimeteren udvides til at inkludere IoT og lager, beholdere og andre komponenter i din skyinfrastruktur, er det vigtigt at overvåge og registrere disse udvidelser af dit miljø.
Registrering og analysering af hændelser
- MITRE ATT&CK® er en globalt tilgængelig vidensbase af angrebstaktikker og -teknikker baseret på observationer fra det virkelige liv. At have en struktur som MITRE ATT&CK kan hjælpe dig med at udvikle specifikke trusselsmodeller, der kan hjælpe dig med proaktivt at udvikle forsvar.
Dokumentation og vurdering
- For at få indsigter og være proaktiv i forhold til trusler er det vigtigt at dokumentere undersøgelsescases.
Inkluderer du proaktiv trusselsjagt som en del af din sikkerhedsstrategi?
Bruger du automatiserede jagtprocesser såsom Jupyter-notesbøger?
Har du processer og værktøjer til at hjælpe med at registrere og administrere insidertrusler?
Tager dit jagtteam sig tid til at forbedre underretninger for at øge raten for sande positive for prioriteringsteams (niveau 1)?
Anbefalinger
På baggrund af dine svar er du i fasen Optimeret for sikkerhedsoperationer.
Nøgleressourcer:
- Få mere at vide om styring af insider-risiko i Microsoft 365.
Få flere oplysninger om, hvordan du optimerer din modenhed af center for sikkerhedsoperationer.
Anbefalinger
På baggrund af dine svar er du i fasen Avanceret for sikkerhedsoperationer.
Nøgleressourcer:
- Få mere at vide om styring af insider-risiko i Microsoft 365.
Få flere oplysninger om, hvordan du bevæger dig til den optimale fase for modenhed af center for sikkerhedsoperationer.
Anbefalinger
På baggrund af dine svar er du i fasen Basic for sikkerhedsoperationer.
Nøgleressourcer:
- Få mere at vide om styring af insider-risiko i Microsoft 365.
Få flere oplysninger om, hvordan du bevæger dig til den avancerede fase for modenhed af center for sikkerhedsoperationer.
Følgende ressourcer og anbefalinger kan være nyttige i denne fase.
Proaktiv trusselsjagt
- Identificer trusler, før de sker. Beslutsomme fjender kan finde veje rundt om dine automatiserede registreringer, så det er vigtigt at have en proaktiv strategi. Reducer virkningen af insider-risici ved at fremskynde tidspunktet for handling. Få mere at vide
- Se hvordan Microsoft SOC håndterer trusselsjagt
Automatiseret jagt
- Brug af automatiserede jagtprocesser kan hjælpe dig med at øge din produktivitet og reducere mængden.
Insidertrusler
- Når medarbejdere, leverandører og kontrahenter tilgår virksomhedens netværk fra mange forskellige slutpunkter, er det vigtigere end nogensinde før, at risikoudøvere hurtigt kan identificere risici, der opstår inden for organisationen, og afhjælpe dem.
- Få mere at vide om overvågning af insidertrusler
- Kom i gang med styring af insider-risiko
Forbedring af jagtprocesser
- Indsigter, der er indhentet fra teams til trusselsjagt, kan hjælpe med at forfine og forbedre nøjagtigheden af systemer til prioritetsunderretninger. Få mere at vide
Har dit team en proces til krisestyring til at håndtere større sikkerhedshændelser?
Inkluderer denne proces bestemmelser om at indhente leverandørteams med platformsekspertise i dybdegående hændelsesrespons, trusselsefterretning eller teknologi?
Involverer denne proces den øverste ledelse, herunder juridiske teams og tilsynsorganer?
Indeholder denne proces teams til kommunikation og offentlige relationer?
Gennemfører teamet jævnlige øvelser for at øve og forbedre denne proces?
Anbefalinger
På baggrund af dine svar er du i fasen Optimeret for sikkerhedsoperationer.
Nøgleressourcer:
- Få mere at vide om styring af insider-risiko i Microsoft 365.
Få flere oplysninger om, hvordan du optimerer din modenhed af center for sikkerhedsoperationer.
Anbefalinger
På baggrund af dine svar er du i fasen Avanceret for sikkerhedsoperationer.
Nøgleressourcer:
- Få mere at vide om styring af insider-risiko i Microsoft 365.
Få flere oplysninger om, hvordan du bevæger dig til den optimale fase for modenhed af center for sikkerhedsoperationer.
Anbefalinger
På baggrund af dine svar er du i fasen Basic for sikkerhedsoperationer.
Nøgleressourcer:
- Få mere at vide om styring af insider-risiko i Microsoft 365.
Få flere oplysninger om, hvordan du bevæger dig til den avancerede fase for modenhed af center for sikkerhedsoperationer.
Følgende ressourcer og anbefalinger kan være nyttige i denne fase.
Svar på hændelse
- Få minutter kan gøre en forskel i en kriserespons. Selvom du har en midlertidig proces på plads, er det vigtigt at sikre en hurtig afhjælpning og hændelsesstyring.
- Hent vejledningen til svar på hændelser
- Få mere at vide om at forebygge cybersikkerhedsangreb fra ransomware til afpresning.
Afhjælpning af hændelse
- Agilitet og fleksibilitet er vigtigt i forhold til afhjælpning og hændelsesstyring. At kunne forstå og vurdere, hvor dit teams færdigheder og erfaringer er, hjælper dig også med at bestemme, hvilke leverandørteams og hvilken leverandørteknologi, du har brug for. Få mere at vide
Begrænsning af effekter
- Sikkerhed er alles ansvar i en organisation. Indsigter fra andre virksomhedsinteressenter kan give specifik vejledning til at begrænse effekten af et sikkerhedsbrud.
- Se CISO Spotlight-serien
- Få mere at vide om sikkerhed i skyen
Kommunikation og offentlige relationer
- Din proces bør indeholde planer for offentlige relationer og kommunikation i tilfælde af et sikkerhedsbrud, så du er klar til at hjælpe kunder og begrænse effekten af sikkerhedsbruddet. Få mere at vide om at drive en meget effektiv sikkerhedsoperation.
Øvelse gør mester
- Øvelse sikrer, at du kan finde huller og områder, der skal forbedres, før et sikkerhedsbrud opstår. Afprøv case-øvelser for at sikre, at du er forberedt på et sikkerhedsbrud.
- Har du automation, der leveres eller vedligeholdes af leverandører, som reducerer arbejdsmængden af undersøgelse og afhjælpning for analytikere?
Kan du orkestrere automatiserede handlinger på tværs af forskellige værktøjer?
Hvis du orkestrerer automatiserede handlinger på tværs af forskellige værktøjer, opretter du så oprindeligt forbindelse til de fleste eller alle dine værktøjer, eller er det baseret på brugerdefinerede scripts?
Bruger du community-leveret automation?
Anbefalinger
På baggrund af dine svar er du i fasen Optimeret for sikkerhedsoperationer.
Nøgleressourcer:
- Azure Sentinel – SOC Process Framework-projektmappe. Hent den nu.
- Sikkerhedsorkestrering, automation og respons (SOAR) i Azure Sentinel. Få mere at vide.
- Vejledning til ubesværet sikkerhedsadgang: En forbedret brugeroplevelse med styrket sikkerhed. Få mere at vide.
- Udnyt proaktiv sikkerhed med Nul tillid. Få mere at vide.
- Vejledning til udrulning af Nul tillid til Microsoft Azure Active Directory. Hent den nu.
Få flere oplysninger om, hvordan du optimerer din modenhed af center for sikkerhedsoperationer.
Anbefalinger
På baggrund af dine svar er du i fasen Avanceret for sikkerhedsoperationer.
Nøgleressourcer:
- Azure Sentinel – SOC Process Framework-projektmappe. Hent den nu.
- Sikkerhedsorkestrering, automation og respons (SOAR) i Azure Sentinel. Få mere at vide.
- Vejledning til ubesværet sikkerhedsadgang: En forbedret brugeroplevelse med styrket sikkerhed. Få mere at vide.
- Udnyt proaktiv sikkerhed med Nul tillid. Få mere at vide.
- Vejledning til udrulning af Nul tillid til Microsoft Azure Active Directory. Hent den nu.
Få flere oplysninger om, hvordan du bevæger dig til den optimale fase for modenhed af center for sikkerhedsoperationer.
Anbefalinger
På baggrund af dine svar er du i fasen Basic for sikkerhedsoperationer.
Nøgleressourcer:
- Azure Sentinel – SOC Process Framework-projektmappe. Hent den nu.
- Sikkerhedsorkestrering, automation og respons (SOAR) i Azure Sentinel. Få mere at vide.
- Vejledning til ubesværet sikkerhedsadgang: En forbedret brugeroplevelse med styrket sikkerhed. Få mere at vide.
- Udnyt proaktiv sikkerhed med Nul tillid. Få mere at vide.
- Vejledning til udrulning af Nul tillid til Microsoft Azure Active Directory. Hent den nu.
Få flere oplysninger om, hvordan du bevæger dig til den avancerede fase for modenhed af center for sikkerhedsoperationer.
Følgende ressourcer og anbefalinger kan være nyttige i denne fase.
Administration af analytikers arbejdsmængde
- Understøttelse af automation af leverandører kan hjælpe dit team med at administrere deres arbejdsmængde. Overvej at beskytte din digitale ejendom med en integreret tilgang til øget SOC-effektivitet. Få mere at vide
- Udforsk, hvordan teamet for sikkerhedsoperationer tilpasser sig et skiftende trusselslandskab
Orkestrering af automatiserede handlinger
- Integrering af automatiserede handlinger på tværs af alle dine værktøjer kan øge din produktivitet og hjælpe med at øge sandsynligheden for, at du ikke overser nogen trusler. Se, hvordan en konsolideret sikkerhedsstak kan hjælpe med at reducere dine risici og omkostninger. Få mere at vide
Forbindelse mellem automatiserede handlinger
- Forbundne og integrerede værktøjer og processer kan hjælpe med at reducere huller i dit program til trusselsovervågning og hjælpe dig med at følge med et trusselslandskab inden for cybersikkerhed i evig forandring.
Community-leveret automation
- Overvej at bruge community-leveret automatisering, som giver bedre genkendelse af trusselsmønstre og kan spare dig tid ved at fjerne behovet for specialbyggede automatiseringsværktøjer.
Følg Microsoft Security