Tietoturvatoimintojen itsearviointityökalu
Luokittelu
Arviot hälytykset, aseta prioriteetit ja reititä tapahtumat tietoturvakeskuksesi tiimin ratkaistaviksi.
Tutkinta
Määritä nopeasti, ilmaiseeko hälytys todellisen hyökkäyksen vai väärän hälytyksen.
Etsintä
Lisää keskittymistä niiden hyökkääjien etsimiseen, jotka ovat kiertäneet ensisijaiset ja automaattiset suojauksesi.
Tapausten hallinta
Koordinoi reagointi teknisten, toiminnallisten, viestinnällisten, oikeudellisten ja hallinnollisten toimintojen avulla.
Automaatio
Säästä analyytikoidesi aikaa, paranna reagointinopeutta ja pienennä kuormituksia.
Miten organisaatio priorisoi tapaukset ja uhkahälytykset?
(Valitse kaikki soveltuvat vaihtoehdot)
Missä määrin organisaatio käyttää automaatiota suurivolyymisten tai toistuvien tapausten tutkintaan ja korjaukseen?
Monessako skenaariossa organisaatio käyttää pilvipohjaisia työkaluja paikallisten resurssien ja monipilviresurssien suojaamiseen?
Onko käytössä lippujärjestelmä, jolla hallitaan tietoturvatapauksia ja mitataan kuittausaika ja korjausaika?
Miten organisaationne hallitsee varoituksiin turtumista?
(Valitse kaikki soveltuvat vaihtoehdot)
Suositukset
Vastaustesi perusteella olet optimoitujen tietoturvatoimintojen vaiheessa.
Hanki lisätietoja siitä, miten voit optimoida tietoturvatoimintokeskuksen kypsyyden.
Suositukset
Vastaustesi perusteella olet kehittyneiden tietoturvatoimintojen vaiheessa.
Hanki lisätietoja siitä, miten voit siirtyä tietoturvatoimintokeskuksen kypsyyden optimaaliseen vaiheeseen.
Suositukset
Vastaustesi perusteella olet perustietoturvatoimintojen vaiheessa.
Hanki lisätietoja siitä, miten voit siirtyä tietoturvatoimintokeskuksen kypsyyden kehittyneeseen vaiheeseen.
Seuraavat resurssit ja suositukset voivat olla hyödyllisiä tässä vaiheessa.
Uhkahälytysten priorisointi
- Uhkahälytysten priorisointi on erittäin tärkeää onnistumisen kannalta. Paras käytäntö on pisteytys lähteen todellisten positiivisten esiintymien määrän mukaan. Tutustu tärkeisiin merkityksellisiin tietoihin ja parhaisiin käytäntöihin organisaatiosi tietoturvatoimintojen kehittämistä varten. Lue lisää
Automaatio
- Automaatio voi vapauttaa organisaatiosi ja toimintatiimisi työläistä tehtävistä keskittymään kriittisiin uhkiin, tuottavuuden parantamiseen ja loppuunpalamisen vähentämiseen.
- Tutustu automaation määrittämiseen Microsoft Defender for Endpointissa
Pilvipohjaisten työkalujen hyödyntäminen
- Pilvipohjaiset työkalut auttavat sinua näkemään organisaation uhkaympäristön pilvipalvelussa. Siirtyminen pilvipohjaiseen SIEM-ratkaisuun voi vähentää paikallisten SIEM-ratkaisujen aiheuttamia haasteita. Lue lisää
Tietoturvatapausten hallinta lippujen avulla
- Lippujärjestelmän avulla tiimisi voi työskennellä tavallista tehokkaammin ja torjua uhkia tavallista menetyksellisemmin. Lue lisää
Varoituksiin turtumisen hallinta
- Varoituksiin turtumisen hallinta on erittäin tärkeää tietoturvatoimintojen sujuvalle käytölle. Jos priorisointijärjestelmää ei ole käytössä, tiimisi voi joutua tutkimaan virheellisiä esiintymiä ja päästämään vakavia uhkia läpi, mikä voi johtaa loppuunpalamiseen. Azure Sentinel vähentää varoituksiin turtumista koneoppimisen avulla. Lue lisää
Miten monia suojaustyökaluja analyytikot käyttävät tapaustutkinnassa (esimerkiksi toimittajien tuotteet tai portaalit ja mukautetut työkalut tai komentosarjat)
Käytätkö SIEM-ratkaisua tai muita työkaluja kaikkien tietolähteiden yhdistämiseen ja korreloimiseen?
Käytätkö toiminnan analysointia tunnistuksessa ja tutkinnassa (esimerkiksi käyttäjäentiteetin ja toiminnan analysointi tai UEBA)?
Onko käytössä käyttäjätietoihin keskittyviä tunnistus- ja tutkintatyökaluja?
Onko käytössä päätepisteisiin keskittyviä tunnistus- ja tutkintatyökaluja?
Onko käytössä sähköpostiin ja tietoihin keskittyviä tunnistus- ja tutkintatyökaluja?
Onko käytössä SaaS-sovelluksiin keskittyviä tunnistus- ja tutkintatyökaluja?
Käytetäänkö pilvi-infrastruktuuriin keskittyviä tunnistus- ja tutkintatyökaluja, kuten näennäiskoneita, esineiden Internetiä (IoT) ja operatiivista tekniikkaa (OT)?
Käytetäänkö MITRE ATT&CK -tietokantaa tai muita kehyksiä tapahtumien seurantaan ja analysointiin?
Tarkastelevatko tutkinta- tai etsintätiimit luokittelujonossa olevia tapauksia trendien, pääsyiden ja muiden merkityksellisten tietojen tunnistamiseksi?
Suositukset
Vastaustesi perusteella olet optimoitujen tietoturvatoimintojen vaiheessa.
Tärkeimmät resurssit:
- Lue, miten konsolidoitu suojauspino voi vähentää riskejä ja kustannuksia.
- Lue lisää tietoturvatoiminnoista (SecOps).
Hanki lisätietoja siitä, miten voit optimoida tietoturvatoimintokeskuksen kypsyyden.
Suositukset
Vastaustesi perusteella olet kehittyneiden tietoturvatoimintojen vaiheessa.
Tärkeimmät resurssit:
- Lue, miten konsolidoitu suojauspino voi vähentää riskejä ja kustannuksia.
- Lue lisää tietoturvatoiminnoista (SecOps).
Hanki lisätietoja siitä, miten voit siirtyä tietoturvatoimintokeskuksen kypsyyden optimaaliseen vaiheeseen.
Suositukset
Vastaustesi perusteella olet perustietoturvatoimintojen vaiheessa.
Tärkeimmät resurssit:
- Lue, miten konsolidoitu suojauspino voi vähentää riskejä ja kustannuksia.
- Lue lisää tietoturvatoiminnoista (SecOps).
Hanki lisätietoja siitä, miten voit siirtyä tietoturvatoimintokeskuksen kypsyyden kehittyneeseen vaiheeseen.
Seuraavat resurssit ja suositukset voivat olla hyödyllisiä tässä vaiheessa.
Integroidut suojaustyökalut
- Älykkäiden, automatisoitujen ja integroitujen suojausratkaisujen käyttäminen kaikilla toimialueilla voi auttaa tietoturvahenkilöstöä yhdistämään näennäisesti erilaiset hälytykset ja pääsemään hyökkääjien edelle. Tutustu siihen, miten yhdistetty SIEM- ja XDR-ratkaisu auttaa pysäyttämään kehittyneet hyökkäykset. Lue lisää
- Modernisoi tietoturvakeskus etätyötä tekevän työvoiman entistä parempaa suojaamista varten. Lue lisää.
Yhdistä tietolähteistä SIEM-ratkaisun avulla
- SIEM-ratkaisu, kuten Azure Sentinel, tarjoaa lintuperspektiivin uhkaympäristöön, tallentaa kaikki uhkatiedot ja auttaa sinua ennakoimaan tilanteita niin, että mikään ei jää huomaamatta. Mikä Azure Sentinel on?
- Lue lisää Microsoftin kybersuojauksen viitearkkitehtuurista.
Microsoftin tietoturvan parhaat käytännöt tietoturvatoiminnoille
- Koneoppiminen ja toiminnan analysointi ovat parhaita käytäntöjä, jotka voivat auttaa sinua tunnistamaan poikkeavat tapahtumat nopeasti ja erittäin luotettavasti. Lue lisää
Tietojen käyttöoikeuksien hallinta
- On tärkeää tietää, keillä on tietojesi käyttöoikeus ja minkä tyyppinen se on. Käyttäjätietopohjaisen kehyksen hyödyntäminen on paras käytäntö riskin vähentämiseen ja tuottavuuden parantamiseen. Lue lisää
Päätepisteiden hallinta
Sähköposti ja tietojen tunnistaminen
- Haitalliset toimijat voivat päästä ympäristöösi vaarantuneen yrityssähköpostin kautta. Ratkaisu, joka voi tunnistaa ja pysäyttää uhat, kuten tietojenkalastelun, ja vapauttaa käyttäjän huolehtimasta tietoturvasta. Lue lisää
SaaS-sovellusten tunnistus
- On tärkeää suojata pilvipohjaiset ratkaisut, jotka voivat käyttää luottamuksellisia tietojasi.
Pilvi-infrastruktuurin tunnistus
- Kun raja siirtyy IoT:hen, tallennustilaan, säilöihin ja muihin pilvi-infrastruktuurin osiin, on tärkeää määrittää näiden ympäristön jatkeiden valvonta ja tunnistaminen.
Tapausten seuranta ja analysointi
- MITRE ATT&CK® on maailmanlaajuisesti käytettävä tietokanta, joka sisältää todellisiin havaintoihin perustuvia hyökkäystaktiikoita ja -tekniikoita. Kun käytössä on MITRE ATT&CK -tietokannan kaltainen kehys, voit kehittää tiettyjä uhkamalleja ja menetelmiä ja niiden avulla kehittää suojauksia ennakoivasti.
Dokumentointi ja tarkastelu
- Merkityksellisten tietojen kerääminen ja uhkien ennakoiminen edellyttää tutkintatapausten dokumentointia.
Sisällytätkö ennakoivan uhkien etsinnän tietoturvastrategiasi osaksi?
Käytättekö automatisoituja etsintäprosesseja, kuten Jupyter-muistikirjoja?
Onko käytössä prosesseja ja työkaluja, jotka helpottavat sisäisten uhkien tunnistamista ja hallitsemista?
Varaako etsintätiimi aikaa luokittelutiimien (taso 1) hälytysten tarkentamiseen todellisten positiivisten esiintymien määrän lisäämiseksi?
Suositukset
Vastaustesi perusteella olet optimoitujen tietoturvatoimintojen vaiheessa.
Tärkeimmät resurssit:
- Lue lisää sisäisten käyttäjien riskien hallinnasta Microsoft 365:ssä.
Hanki lisätietoja siitä, miten voit optimoida tietoturvatoimintokeskuksen kypsyyden.
Suositukset
Vastaustesi perusteella olet kehittyneiden tietoturvatoimintojen vaiheessa.
Tärkeimmät resurssit:
- Lue lisää sisäisten käyttäjien riskien hallinnasta Microsoft 365:ssä.
Hanki lisätietoja siitä, miten voit siirtyä tietoturvatoimintokeskuksen kypsyyden optimaaliseen vaiheeseen.
Suositukset
Vastaustesi perusteella olet perustietoturvatoimintojen vaiheessa.
Tärkeimmät resurssit:
- Lue lisää sisäisten käyttäjien riskien hallinnasta Microsoft 365:ssä.
Hanki lisätietoja siitä, miten voit siirtyä tietoturvatoimintokeskuksen kypsyyden kehittyneeseen vaiheeseen.
Seuraavat resurssit ja suositukset voivat olla hyödyllisiä tässä vaiheessa.
Ennakoiva uhkien etsintä
- Tunnista uhkat ennen niiden tapahtumista. Päättäväiset hyökkääjät voivat löytää tapoja kiertää automatisoidut tunnistukset, joten on tärkeää käyttää ennakoivaa strategiaa. Vähennä sisäisten käyttäjien riskien vaikutusta nopeuttamalla toimintaan kuluvaa aikaa. Lue lisää
- Katso, miten Microsoftin SOC käsittelee uhkien etsintää
Automatisoitu etsintä
- Automatisoidut etsintäprosessit voivat auttaa tuottavuuden parantamisessa ja työmäärän vähentämisessä.
Sisäiset uhat
- Jos työntekijät, toimittajat ja urakoitsijat käyttävät yrityksen verkkoa lukuisista päätepisteistä, on tavallistakin tärkeämpää, että riskienvalvojat voivat nopeasti tunnistaa organisaatiossa olevat riskit ja ryhtyä korjaustoimiin.
- Lue lisää sisäisten uhkien valvonnasta
- Aloita sisäisten käyttäjien riskin hallinta
Etsintäprosessien tarkentaminen
- Uhkienetsintätiimien keräämät merkitykselliset tiedot voivat auttaa tarkentamaan ja parantamaan luokitteluhälytysjärjestelmiä. Lue lisää
Onko tiimillä kriisinhallintaprosessi vakavien tietoturvatapausten käsittelyyn?
Sisältääkö tämä prosessi valmiuden käyttää toimittajien tiimejä tapausten syväkäsittelyä, uhkatietämystä ja teknologiaympäristön asiantuntemusta varten?
Sisältääkö tämä prosessi johtajia, lakitiimejä ja säädösviranomaisia?
Sisältääkö tämä prosessi viestintä- ja suhdetoimintatiimin?
Harjoitteleeko ja muuttaako tiimi säännöllisesti tätä prosessia?
Suositukset
Vastaustesi perusteella olet optimoitujen tietoturvatoimintojen vaiheessa.
Tärkeimmät resurssit:
- Lue lisää sisäisten käyttäjien riskien hallinnasta Microsoft 365:ssä.
Hanki lisätietoja siitä, miten voit optimoida tietoturvatoimintokeskuksen kypsyyden.
Suositukset
Vastaustesi perusteella olet kehittyneiden tietoturvatoimintojen vaiheessa.
Tärkeimmät resurssit:
- Lue lisää sisäisten käyttäjien riskien hallinnasta Microsoft 365:ssä.
Hanki lisätietoja siitä, miten voit siirtyä tietoturvatoimintokeskuksen kypsyyden optimaaliseen vaiheeseen.
Suositukset
Vastaustesi perusteella olet perustietoturvatoimintojen vaiheessa.
Tärkeimmät resurssit:
- Lue lisää sisäisten käyttäjien riskien hallinnasta Microsoft 365:ssä.
Hanki lisätietoja siitä, miten voit siirtyä tietoturvatoimintokeskuksen kypsyyden kehittyneeseen vaiheeseen.
Seuraavat resurssit ja suositukset voivat olla hyödyllisiä tässä vaiheessa.
Tapausten käsittely
- Minuuteilla on merkitystä kriiseihin vastaamisessa. Tilapäisenkin prosessin käyttäminen on tärkeää nopean korjaamisen ja tapahtumien hallinnan varmistamiseksi.
- Hanki tapausten käsittelyn viiteopas
- Tutustu siihen, miten voit estää kyberturvallisuushyökkäykset, kuten kiristysohjelmat.
Tapausten korjaus
- Ketteryys ja joustavuus ovat tärkeitä korjaamista ja tapausten hallintaa varten. Tiimin osaamisen ja kokemuksen ymmärtäminen ja arvioiminen auttaa myös määrittämään, mitä toimittajatiimejä ja teknologiaa tarvitaan. Lue lisää
Vaikutusten vähentäminen
Viestintä ja suhdetoiminta
- Prosessin tulisi sisältää suhdetoiminta- ja viestintäsuunnitelmat rikkomusten ilmenemisen varalta, jotta organisaatiosi on valmis tukemaan asiakkaita ja vähentämään rikkomuksen vaikutusta. Tutustu erittäin tehokkaiden tietoturvatoimintojen suorittamiseen.
Harjoitus tekee mestarin
- Harjoittelu varmistaa, että löydät aukot ja parannusta vaativat alueet ennen rikkomuksen ilmenemistä. Testitapausharjoitukset varmistavat, että olet valmis rikkomusta varten.
- Onko käytössä toimittajan toimittama tai toimittajan ylläpitämä automaatio, joka vähentää analyytikoiden tutkinta- ja korjaustyömäärää?
Voitko järjestellä automatisoituja toimintoja eri työkaluissa?
Jos järjestät automatisoidut toiminnot eri työkaluissa, muodostatko yhteyden useimpiin tai kaikkiin työkaluihin natiivisti vai mukautettujen komentosarjojen perusteella?
Käytätkö yhteisön toimittamaa automaatiota?
Suositukset
Vastaustesi perusteella olet optimoitujen tietoturvatoimintojen vaiheessa.
Tärkeimmät resurssit:
- Azure Sentinel – SOC-prosessikehyksen työkirja. Hanki se nyt.
- tietoturvan järjestämisestä, automaatiosta ja vastaamisesta (SOAR) Azure Sentinelissä. Lue lisää.
- Saumattoman suojatun käytön opas: Parannettu käyttökokemus vahvistetun suojauksen avulla. Lue lisää.
- Ota käyttöön ennakoiva suojaus Zero Trust -suojausmallin avulla. Lue lisää.
- Microsoft Azure Active Directoryn Zero Trust -suojausmallin käyttöönoton opas. Hanki se nyt.
Hanki lisätietoja siitä, miten voit optimoida tietoturvatoimintokeskuksen kypsyyden.
Suositukset
Vastaustesi perusteella olet kehittyneiden tietoturvatoimintojen vaiheessa.
Tärkeimmät resurssit:
- Azure Sentinel – SOC-prosessikehyksen työkirja. Hanki se nyt.
- tietoturvan järjestämisestä, automaatiosta ja vastaamisesta (SOAR) Azure Sentinelissä. Lue lisää.
- Saumattoman suojatun käytön opas: Parannettu käyttökokemus vahvistetun suojauksen avulla. Lue lisää.
- Ota käyttöön ennakoiva suojaus Zero Trust -suojausmallin avulla. Lue lisää.
- Microsoft Azure Active Directoryn Zero Trust -suojausmallin käyttöönoton opas. Hanki se nyt.
Hanki lisätietoja siitä, miten voit siirtyä tietoturvatoimintokeskuksen kypsyyden optimaaliseen vaiheeseen.
Suositukset
Vastaustesi perusteella olet perustietoturvatoimintojen vaiheessa.
Tärkeimmät resurssit:
- Azure Sentinel – SOC-prosessikehyksen työkirja. Hanki se nyt.
- tietoturvan järjestämisestä, automaatiosta ja vastaamisesta (SOAR) Azure Sentinelissä. Lue lisää.
- Saumattoman suojatun käytön opas: Parannettu käyttökokemus vahvistetun suojauksen avulla. Lue lisää.
- Ota käyttöön ennakoiva suojaus Zero Trust -suojausmallin avulla. Lue lisää.
- Microsoft Azure Active Directoryn Zero Trust -suojausmallin käyttöönoton opas. Hanki se nyt.
Hanki lisätietoja siitä, miten voit siirtyä tietoturvatoimintokeskuksen kypsyyden kehittyneeseen vaiheeseen.
Seuraavat resurssit ja suositukset voivat olla hyödyllisiä tässä vaiheessa.
Analyytikoiden työmäärän hallinta
- Toimittajien automaation tuki voi auttaa tiimiäsi sen työmäärän hallinnassa. Harkitse digitaalisen tilasi suojaamista integroidulla ratkaisulla, joka parantaa SOC-tehokkuutta. Lue lisää
- Tutustu siihen, miten tietoturvatoimintotiimit mukautuvat muuttuvaan uhkaympäristöön
Automatisoitujen toimintojen järjestely
- Automatisoitujen toimintojen integrointi kaikkiin työkaluihin voi parantaa tuottavuutta ja auttaa parantamaan kaikkien uhkien löytymisen todennäköisyyttä. Katso, miten konsolidoitu suojauspino voi auttaa vähentämään riskejä ja kustannuksia. Lue lisää
Automatisoitujen toimintojen yhdistäminen
- Yhdistetyt ja integroidut työkalut voivat auttaa vähentämään organisaation uhkienvalvontaohjelman aukkoja ja seuraamaan alati muuttuvaa kyberuhkaympäristöä.
Yhteisön toimittama automaatio
- Harkitse yhteisön toimittaman automaation käyttämistä. Se parantaa uhkamallien tunnistusta ja voi säästää aikaa poistamalla mukautettujen automatisoitujen työkalujen tarvetta.
Seuraa Microsoft Securitya