Egenvurderingsverktøy for sikkerhetsoperasjoner
Sorter
Vurder varsler, angi prioriteter og rute hendelser til teammedlemmene i sikkerhetsoperasjonssenteret for løsning.
Jakt
Øk fokuset på å søke etter motstandere som har unngått ditt primære og automatiserte forsvar.
Hvordan prioriterer du hendelser og trusselvarsler?
(Velg alle som gjelder)
I hvilken grad bruker du automatisering for etterforskning og utbedring av hendelser med store volumer eller gjentagelser?
I hvor mange scenarioer bruker du skybaserte verktøy til å sikre lokale ressurser og multisky-ressurser?
Har du et sakssystem på plass for å håndtere sikkerhetshendelser og måle tid til å bekrefte og tid til å utbedre?
Hvordan håndterer du varslingstretthet?
(Velg alle som gjelder)
Anbefalinger
Basert på svarene dine er du i fasen Optimalisert sikkerhetsoperasjon.
Få mer informasjon om hvordan du kan optimalisere modenheten til sikkerhetsoperasjonssenteret.
Anbefalinger
Basert på svarene dine, er du i fasen for Avanserte sikkerhetsoperasjoner.
Få mer informasjon om hvordan du går til det optimale stadiet av modenhet for sikkerhetsoperasjonssenteret.
Anbefalinger
Basert på svarene dine er du i fasen Grunnleggende sikkerhetsoperasjoner.
Få mer informasjon om hvordan du går videre til avansert stadium av modenhet for sikkerhetsoperasjonssenteret.
Følgende ressurser og anbefalinger kan være nyttige i dette stadiet.
Prioritering av trusselvarsler
- Prioritering av trusselvarsler er avgjørende for suksess. Det er en anbefalt fremgangsmåte å gi poeng basert på ekte positiv kildefrekvens. Utforsk sentral innsikt og anbefalt fremgangsmåte fra sikkerhetsledere for å modne sikkerhetsoperasjonene. Mer informasjon
Automatisering
- Automatisering avlaster deg og driftsteamet fra kjedelige oppgaver, slik at dere kan konsentrere dere om de viktige truslene, bli mer produktive og redusere sjansen for utbrenthet.
- Finn ut hvordan du konfigurerer automatisering i Microsoft Defender for endepunkt
Utnytt skybaserte verktøy
- Skybaserte verktøy hjelper deg med å se hele organisasjonens trussellandskap i skyen. Å bytte til en skybasert administrasjon av sikkerhetsinformasjon og -hendelser (SIEM) kan redusere utfordringene med lokale SIEM-løsninger. Mer informasjon
Administrer sikkerhetshendelser via et sakssystem
- Med et sakssystem kan teamet jobbe mer effektivt og lykkes bedre med å bekjempe trusler. Mer informasjon
Håndtere varslingstretthet
- Håndtering av varslingstretthet er avgjørende for å drive gode sikkerhetsoperasjoner. Uten et prioriteringssystem på plass kan teamet ende opp med å undersøke falske positiver og slippe gjennom alvorlige trusler, noe som kan føre til utbrenthet. Azure Sentinel reduserer varslingstretthet med maskinlæring. Mer informasjon
Hvor mange sikkerhetsverktøy bruker analytikere til å undersøke hendelser (for eksempel leverandørprodukter eller portaler og tilpassede verktøy eller skript
Bruker du et verktøy for administrasjon av sikkerhetsinformasjon og -hendelser (SIEM) eller andre verktøy for å konsolidere og korrelere alle datakilder?
Bruker du atferdsanalyse i gjenkjenning og etterforskning (for eksempel brukerenhet og atferdsanalyse eller UEBA)?
Bruker du gjenkjennings- og undersøkelsesverktøy med fokus på identitet?
Bruker du gjenkjennings- og undersøkelsesverktøy med fokus på endepunkter?
Bruker du gjenkjennings- og undersøkelsesverktøy med fokus på e-post og data?
Bruker du gjenkjennings- og undersøkelsesverktøy med fokus på SaaS-apper?
Bruker du gjenkjennings- og undersøkelsesverktøy med fokus på skyinfrastruktur, for eksempel Virtual Machines, Tingenes Internett (IoT) og driftsteknologi (OT)?
Bruker du MITRE ATT&CK eller andre rammeverk til å spore og analysere hendelser?
Gjennomgår etterforskningsteam eller jaktlag saker i sorteringskøen for å identifisere trender, årsaker og annen innsikt?
Anbefalinger
Basert på svarene dine er du i fasen Optimalisert sikkerhetsoperasjon.
Nøkkelressurser:
- Lær hvordan et konsolidert sikkerhetsoppsett kan redusere risiko og kostnader.
- Finn ut mer om funksjoner for sikkerhetsoperasjoner (SecOps).
Få mer informasjon om hvordan du kan optimalisere modenheten til sikkerhetsoperasjonssenteret.
Anbefalinger
Basert på svarene dine, er du i fasen for Avanserte sikkerhetsoperasjoner.
Nøkkelressurser:
- Lær hvordan et konsolidert sikkerhetsoppsett kan redusere risiko og kostnader.
- Finn ut mer om funksjoner for sikkerhetsoperasjoner (SecOps).
Få mer informasjon om hvordan du går til det optimale stadiet av modenhet for sikkerhetsoperasjonssenteret.
Anbefalinger
Basert på svarene dine er du i fasen Grunnleggende sikkerhetsoperasjoner.
Nøkkelressurser:
- Lær hvordan et konsolidert sikkerhetsoppsett kan redusere risiko og kostnader.
- Finn ut mer om funksjoner for sikkerhetsoperasjoner (SecOps).
Få mer informasjon om hvordan du går videre til avansert stadium av modenhet for sikkerhetsoperasjonssenteret.
Følgende ressurser og anbefalinger kan være nyttige i dette stadiet.
Integrerte sikkerhetsverktøy
- Bruk av intelligente, automatiserte og integrerte sikkerhetsløsninger på tvers av domener kan hjelpe sikkerhetsforsvarere med å koble tilsynelatende ulike varsler og komme angriperne i forkjøpet. Utforsk hvordan en enhetlig løsning for administrasjon av sikkerhetsinformasjon og -hendelser (SIEM) og utvidet oppdagelse og svar (XDR) bidrar til å stoppe avanserte angrep. Mer informasjon
- Moderniser sikkerhetsoperasjonssenteret for bedre sikring av den eksterne arbeidsstyrken. Mer informasjon.
Bruk administrasjon av sikkerhetsinformasjon og -hendelser (SIEM) til å konsolidere datakilder
- En SIEM, for eksempel Azure Sentinel, gir et fugleperspektiv på trussellandskapet, fanger opp alle trusseldata og hjelper deg med å være mer proaktiv, slik at du ikke går glipp av noe. Hva er Azure Sentinel?
- Få mer informasjon om Microsofts referansearkitektur for cybersikkerhet.
Microsoft Sikkerhets anbefalte fremgangsmåter for sikkerhetsoperasjoner
- Maskinlæring og atferdsanalyse er anbefalte fremgangsmåter som kan hjelpe deg med raskt å identifisere uvanlige hendelser med stor sikkerhet. Mer informasjon
Styring av datatilgang
- Det er viktig å vite hvem som har tilgang til dataene dine, og hvilken type tilgang de har. Å utnytte et identifiseringsbasert rammeverk er en anbefalt fremgangsmåte for å redusere risiko og forbedre produktiviteten. Mer informasjon
Endepunktsadministrasjon
- Det er en anbefalt fremgangsmåte å vite hvem som får tilgang til data utenfor den tradisjonelle perimeteren, og om disse enhetene er i god stand. Microsoft Defender for endepunkt kan hjelpe deg via denne trinnvise veiledningen. Mer informasjon
- Finn ut hvordan du ruller ut Microsoft Defender for endepunkt
E-post- og datagjenkjenning
- Dårlige aktører kan komme inn i miljøet ditt gjennom kompromittert bedrifts-e-post. Med en løsning som kan oppdage og stoppe trusler, for eksempel phishing, kan du unngå å måtte pålegge sluttbrukeren sikkerhetsoppgaver. Mer informasjon
SaaS-appgjenkjenning
- Det er viktig å sikre skybaserte løsninger som har tilgang til sensitive data.
Gjenkjenning av skyinfrastruktur
- Etterhvert som perimeteren utvides til å omfatte IoT og lagring, beholdere og andre komponenter i skyinfrastrukturen, er det viktig å bruke overvåking og gjenkjennelse på disse utvidelsene av miljøet.
Sporing og analyse av hendelser
- MITRE ATT&CK® er et globalt tilgjengelig kunnskapsgrunnlag for motstandstaktikk og -teknikk basert på virkelige observasjoner. Du kan bruke rammeverk som MITRE ATT&CK til å utvikle bestemte trusselmodeller og -metoder, slik at du kan utvikle forsvar på en proaktiv måte.
Dokumentering og gjennomgang
- For å få innsikt og være proaktiv med trusler er det viktig å dokumentere saker som etterforskes.
Inkluderer du proaktiv trusseljakt i sikkerhetsstrategien?
Bruker du automatiserte jaktprosesser, for eksempel Jupyter Notebook?
Har du prosesser og verktøy for å oppdage og håndtere interne trusler?
Tar jaktlaget seg tid til å finjustere varsler for å øke forekomsten av ekte positive vurderinger for sorteringsteamene (nivå 1)?
Anbefalinger
Basert på svarene dine er du i fasen Optimalisert sikkerhetsoperasjon.
Nøkkelressurser:
- Finn ut mer om administrasjon av intern risiko i Microsoft 365.
Få mer informasjon om hvordan du kan optimalisere modenheten til sikkerhetsoperasjonssenteret.
Anbefalinger
Basert på svarene dine, er du i fasen for Avanserte sikkerhetsoperasjoner.
Nøkkelressurser:
- Mer informasjon om administrasjon av intern risiko i Microsoft 365.
Få mer informasjon om hvordan du går til det optimale stadiet av modenhet for sikkerhetsoperasjonssenteret.
Anbefalinger
Basert på svarene dine er du i fasen Grunnleggende sikkerhetsoperasjoner.
Nøkkelressurser:
- Mer informasjon om administrasjon av intern risiko i Microsoft 365.
Få mer informasjon om hvordan du går videre til avansert stadium av modenhet for sikkerhetsoperasjonssenteret.
Følgende ressurser og anbefalinger kan være nyttige i dette stadiet.
Proaktiv trusseljakt
- Identifiser trusler før de skjer. Målbevisste motstandere kan finne veier rundt de automatiserte oppdagelsene, så det er viktig å ha en proaktiv strategi. Reduser effekten av intern risiko ved å sørge for raskere handling. Mer informasjon
- Se hvordan Microsoft SOC tilnærmer seg trusseljakten
Automatisert jakt
- Å bruke automatiserte jaktprosesser kan bidra til å øke produktiviteten og redusere mengden.
Interne trusler
- Så lenge ansatte, leverandører og kontraktører får tilgang til bedriftsnettverket fra utallige endepunkter, er det viktigere enn noensinne at personer som håndterer risiko, raskt identifiserer risiko som oppstår i organisasjonen, og iverksetter tiltak.
- Mer informasjon om overvåking av interne trusler
- Kom i gang med administrasjon av intern risiko
Finjustering av jaktprosesser
- Innsikt hentet fra trusseljaktlag kan bidra til å finjustere og forbedre nøyaktigheten til systemer for sortering av varsler. Mer informasjon
Har teamet en krisehåndteringsprosess for store sikkerhetshendelser?
Omfatter denne prosessen tiltak for å hente inn leverandørteam med inngående ekspertise på svar på hendelser, trusseletterretning eller teknologiplattformer?
Omfatter denne prosessen øverste ledelse inkludert juridiske team og reguleringsorganer?
Omfatter denne prosessen kommunikasjons- og PR-team?
Utfører teamet regelmessige øvelser for å øve på og finjustere denne prosessen?
Anbefalinger
Basert på svarene dine er du i fasen Optimalisert sikkerhetsoperasjon.
Nøkkelressurser:
- Mer informasjon om administrasjon av intern risiko i Microsoft 365.
Få mer informasjon om hvordan du kan optimalisere modenheten til sikkerhetsoperasjonssenteret.
Anbefalinger
Basert på svarene dine, er du i fasen for Avanserte sikkerhetsoperasjoner.
Nøkkelressurser:
- Mer informasjon om administrasjon av intern risiko i Microsoft 365.
Få mer informasjon om hvordan du går til det optimale stadiet av modenhet for sikkerhetsoperasjonssenteret.
Anbefalinger
Basert på svarene dine er du i fasen Grunnleggende sikkerhetsoperasjoner.
Nøkkelressurser:
- Mer informasjon om administrasjon av intern risiko i Microsoft 365.
Få mer informasjon om hvordan du går videre til avansert stadium av modenhet for sikkerhetsoperasjonssenteret.
Følgende ressurser og anbefalinger kan være nyttige i dette stadiet.
Svar på hendelser
- Tiden er avgjørende når det gjelder svar i en krise. Selv å ha en midlertidig prosess på plass er viktig for å sikre rask utbedring og håndtering av hendelser.
- Skaff deg referanseguiden for svar på hendelser
- Finn ut hvordan du forhindrer cybersikkerhetsangrep, alt fra løsepengevirus til utpressing.
Utbedring av hendelser
- Smidighet og fleksibilitet er viktig for utbedring og håndtering av hendelser. Hvis du forstår og vurderer teamets ferdigheter og erfaringer, kan du også avgjøre hva du trenger av leverandørteam og teknologi. Mer informasjon
Redusere innvirkningene
- Sikkerhet er ansvaret til alle i organisasjonen. Innsikt fra andre interessenter i virksomheten kan gi spesifikk veiledning for å redusere innvirkningen av et brudd.
- Se CISO Spotlight-serien
- Mer informasjon om skysikkerhet
Kommunikasjon og PR
- Prosessen din bør omfatte PR- og kommunikasjonsplaner hvis det skulle oppstå et brudd, slik at du er klar til å støtte kunder og redusere virkningen av bruddet. Finn ut hvordan du driver en svært effektiv sikkerhetsoperasjon.
Øvelse gjør mester
- Øvelse sikrer at du kan oppdage hull og områder du kan forbedre før det skjer et brudd. Utfør situasjonsøvelser for å sikre at du er forberedt på et brudd.
- Bruker du automatisering som er levert eller vedlikeholdt av leverandør, som reduserer arbeidsmengden knyttet til etterforskning og utbedring for analytikere?
Kan du organisere automatiserte handlinger på tvers av forskjellige verktøy?
Hvis du organiserer automatiserte handlinger på tvers av forskjellige verktøy, bruker du standardkoblinger til alle eller de fleste verktøyene, eller baserer du det på tilpasset skript?
Bruker du automatisering levert av fellesskapet?
Anbefalinger
Basert på svarene dine er du i fasen Optimalisert sikkerhetsoperasjon.
Nøkkelressurser:
- Azure Sentinel - SOC Process Framework Workbook. Få det nå.
- Sikkerhetsiverksetting, automatisering og respons (SOAR) i Azure Sentinel. Mer informasjon.
- Guide til sømløs sikker tilgang: En forbedret brukeropplevelse med styrket sikkerhet. Mer informasjon.
- Omfavn proaktiv sikkerhet med nulltillit. Mer informasjon.
- Veiledning til utrulling av nulltillit for Microsoft Azure Active Directory. Få det nå.
Få mer informasjon om hvordan du kan optimalisere modenheten til sikkerhetsoperasjonssenteret.
Anbefalinger
Basert på svarene dine, er du i fasen for Avanserte sikkerhetsoperasjoner.
Nøkkelressurser:
- Azure Sentinel - SOC Process Framework Workbook. Få det nå.
- Sikkerhetsiverksetting, automatisering og respons (SOAR) i Azure Sentinel. Mer informasjon.
- Guide til sømløs sikker tilgang: En forbedret brukeropplevelse med styrket sikkerhet. Mer informasjon.
- Omfavn proaktiv sikkerhet med nulltillit. Mer informasjon.
- Veiledning til utrulling av nulltillit for Microsoft Azure Active Directory. Få det nå.
Få mer informasjon om hvordan du går til det optimale stadiet av modenhet for sikkerhetsoperasjonssenteret.
Anbefalinger
Basert på svarene dine er du i fasen Grunnleggende sikkerhetsoperasjoner.
Nøkkelressurser:
- Azure Sentinel - SOC Process Framework Workbook. Få det nå.
- Sikkerhetsiverksetting, automatisering og respons (SOAR) i Azure Sentinel. Mer informasjon.
- Guide til sømløs sikker tilgang: En forbedret brukeropplevelse med styrket sikkerhet. Mer informasjon.
- Omfavn proaktiv sikkerhet med nulltillit. Mer informasjon.
- Veiledning til utrulling av nulltillit for Microsoft Azure Active Directory. Få det nå.
Få mer informasjon om hvordan du går videre til avansert stadium av modenhet for sikkerhetsoperasjonssenteret.
Følgende ressurser og anbefalinger kan være nyttige i dette stadiet.
Administrere arbeidsmengde for analytikere
- Støtte for leverandørautomatisering kan gi teamet ditt hjelp med å håndtere arbeidsmengden. Vurder å beskytte din digitale eiendom med en integrert tilnærming for økt SOC-effektivitet. Mer informasjon
- Utforsk hvordan sikkerhetsteamene tilpasser seg et skiftende trussellandskap
Organisering av automatiserte handlinger
- Integrering av automatiserte handlinger på tvers av alle verktøy kan gjøre deg mer produktiv og bidra til at du ikke overser trusler. Se hvordan et konsolidert sikkerhetsoppsett kan bidra til å redusere risiko og kostnader. Mer informasjon
Kobling av automatiserte handlinger
- Tilkoblede og integrerte verktøy og prosesser kan bidra til å redusere hull i trusselovervåkingsprogrammet og hjelpe deg med å holde tritt med et stadig skiftende landskap av cybersikkerhetstrusler.
Automatisering levert av fellesskapet
- Vurder å bruke automatisering levert av fellesskapet. Det øker trusselmønstergjenkjenning og kan spare tid ved å eliminere behovet for spesialbygde automatiserte verktøy.
Følg Microsoft Sikkerhet