Instrument de autoevaluare a operațiunilor de securitate
Triaj
Evaluați avertizări, setați priorități și direcționați incidente către membrii echipei centrului de operațiuni de securitate pentru a fi rezolvate.
Căutare activă
Concentrați-vă mai mult pe căutarea adversarilor care au reușit să evite apărarea de bază și automatizată.
Cum prioritizați incidentele și avertizările de amenințare?
(Selectați toate opțiunile care se aplică)
În ce măsură utilizați automatizarea pentru investigarea și remedierea incidentelor cu volum mare sau repetitive?
În câte scenarii utilizați instrumente bazate pe cloud pentru a securiza resursele locale și multicloud?
Aveți un sistem de tichete în vigoare pentru a gestiona incidentele de securitate și a măsura timpul de confirmare și de remediere?
Cum gestionați epuizarea cu privire la avertizări?
(Selectați toate opțiunile care se aplică)
Recomandări
Pe baza răspunsurilor, vă aflați în etapa de operațiuni de securitate optimizate.
Obțineți mai multe informații despre optimizarea maturității centrului de operațiuni de securitate.
Recomandări
Pe baza răspunsurilor, vă aflați în faza de operațiuni de securitate avansată.
Obțineți mai multe informații despre cum să treceți la etapa optimă a maturității centrului de operațiuni de securitate.
Recomandări
Pe baza răspunsurilor, vă aflați în etapa operațiunilor de securitate de bază.
Obțineți mai multe informații despre trecerea la etapa avansată de maturitate a centrului de operațiuni de securitate.
Următoarele resurse și recomandări pot fi utile în această etapă.
Prioritizarea avertizărilor de amenințare
- Prioritizarea avertizărilor de amenințare este esențială pentru succesul dvs. Se recomandă să stabiliți priorități pe baza ratei pozitive reale a sursei. Explorați detaliile cheie și cele mai bune practici de la liderii din securitate pentru a vă maturiza operațiunile de securitate. Aflați mai multe
Automatizare
- Automatizarea vă scutește pe dvs. și echipa de operațiuni de activitățile plictisitoare, ca să vă puteți concentra asupra amenințărilor critice, să creșteți productivitatea și să reduceți epuizarea.
- Aflați cum să configurați automatizarea în Microsoft Defender pentru punct final
Utilizați instrumente bazate pe cloud
- Instrumentele bazate pe cloud vă ajută să vedeți peisajul amenințărilor din întreaga organizație în cloud. Trecerea la un SIEM bazat pe cloud ar putea atenua provocările prezentate de soluțiile SIEM locale. Aflați mai multe
Gestionați incidentele de securitate prin tichete
- Existența unui sistem de tichete vă ajută echipa să lucreze mai eficient și să se lupte cu succes cu amenințările. Aflați mai multe
Gestionarea epuizării privind avertizările
- Gestionarea epuizării cu privire la avertizări este esențială pentru rularea unor operațiuni de securitate fluide. Fără un sistem de prioritizare, echipa dvs. poate ajunge să investigheze rezultate fals pozitive și să permită amenințări grave, ceea ce poate duce la epuizare. Azure Sentinel reduce epuizarea privind avertizările cu ajutorul învățării programate. Aflați mai multe
Câte instrumente de securitate utilizează analiștii pentru investigarea incidentelor (de exemplu, produse sau portaluri de la distribuitori și instrumente sau scripturi personalizate)
Utilizați un SIEM sau alte instrumente pentru a consolida și a corela toate sursele de date?
Utilizați analize de comportament în detectare și investigare (de exemplu, analiza de comportament a utilizatorilor și entităților sau UEBA)?
Utilizați instrumente de detectare și investigare axate pe identitate?
Utilizați instrumentele de detectare și investigare axate pe punctele finale?
Utilizați instrumente de detectare și investigare axate pe e-mail și date?
Utilizați instrumente de detectare și investigare axate pe aplicații SaaS?
Utilizați instrumente de detectare și investigare axate pe infrastructura cloud, cum ar fi mașinile virtuale, IoT și tehnologie operațională (OT)?
Utilizați MITRE ATT&CK sau alte cadre pentru a urmări și a analiza incidentele?
Echipele de investigare sau de căutare activă examinează cazurile din coada de triaj pentru a identifica tendințele, cauzele și alte detalii?
Recomandări
Pe baza răspunsurilor, vă aflați în etapa de operațiuni de securitate optimizate.
Resurse cheie:
- Aflați modul în care o stivă de securitate consolidată poate reduce riscurile și costurile.
- Aflați mai multe despre funcțiile operațiunilor de securitate (SecOps).
Obțineți mai multe informații despre optimizarea maturității centrului de operațiuni de securitate.
Recomandări
Pe baza răspunsurilor, vă aflați în faza de operațiuni de securitate avansată.
Resurse cheie:
- Aflați modul în care o stivă de securitate consolidată poate reduce riscurile și costurile.
- Aflați mai multe despre funcțiile operațiunilor de securitate (SecOps).
Obțineți mai multe informații despre cum să treceți la etapa optimă a maturității centrului de operațiuni de securitate.
Recomandări
Pe baza răspunsurilor, vă aflați în etapa operațiunilor de securitate de bază.
Resurse cheie:
- Aflați modul în care o stivă de securitate consolidată poate reduce riscurile și costurile.
- Aflați mai multe despre funcțiile operațiunilor de securitate (SecOps).
Obțineți mai multe informații despre trecerea la etapa avansată de maturitate a centrului de operațiuni de securitate.
Următoarele resurse și recomandări pot fi utile în această etapă.
Instrumente de securitate integrate
- Utilizarea soluțiilor de securitate inteligente, automatizate și integrate în toate domeniile poate ajuta mecanismele de protecție pentru operațiuni de securitate să conecteze avertizări aparent disparate și să avanseze în fața atacatorilor. Explorați modul în care o soluție SIEM și XDR unificată ajută la oprirea atacurilor complexe. Aflați mai multe
- Modernizați centrul de operațiuni de securitate pentru a securiza mai bine forța de muncă de la distanță. Aflați mai multe.
Utilizați SIEM pentru a consolida sursele de date
- Un SIEM, cum ar fi Azure Sentinel, oferă o imagine generală asupra peisajului amenințărilor și capturează toate datele despre amenințări, ajutându-vă să fiți mai proactivi, astfel încât să nu pierdeți nimic. Ce este Azure Sentinel?
- Aflați mai multe despre Arhitectura de referință pentru securitate cibernetică Microsoft.
Bune practici de securitate Microsoft pentru operațiunile de securitate
- Învățarea programată și analiza comportamentului sunt bune practici care vă pot ajuta să identificați rapid evenimentele anormale cu un grad mare de încredere. Aflați mai multe
Gestionarea accesului la date
- Este important să știți cine are acces la datele dvs. și ce tip de acces are. Utilizarea unui cadru bazat pe identificare este o practică recomandată pentru a reduce riscul și a îmbunătăți productivitatea. Aflați mai multe
Gestionarea punctelor finale
- Este o practică recomandată să știți cine accesează date din afara perimetrului tradițional și dacă aceste dispozitive sunt în bună stare. Microsoft Defender pentru punct final vă poate ajuta prin intermediul acestor instrucțiuni pas cu pas. Aflați mai multe
- Aflați cum să implementați Microsoft Defender pentru punct final
E-mailul și detectarea datelor
- Utilizatorii rău-intenționați pot intra în mediul dvs. prin e-mailuri de business compromise. O soluție care poate detecta și opri amenințări precum phishingul poate reduce problemele de securitate ale utilizatorului final. Aflați mai multe
Detectarea aplicațiilor SaaS
- Este important să securizați soluțiile bazate pe cloud care vă pot accesa datele confidențiale.
Detectarea infrastructurii cloud
- Pe măsură ce perimetrul se extinde, pentru a include IoT și stocarea, containerele și alte componente ale infrastructurii cloud, este important să setați monitorizarea și detectarea pentru aceste extensii ale mediului dvs.
Urmărirea și analiza incidentelor
- MITRE ATT&CK® este o bază de cunoștințe accesibilă global care abordează tactici și tehnici ale adversarilor, pe baza observațiilor din lumea reală. Cadre precum MITRE ATT&CK® vă pot ajuta să dezvoltați modele și metodologii specifice de amenințări, care vă pot ajuta să dezvoltați proactiv apărarea.
Documentarea și revizuirea
- Pentru a obține detalii și a fi proactiv cu amenințările, este important să documentați cazurile de investigare.
Includeți căutarea proactivă a amenințărilor în strategia dvs. de securitate?
Utilizați procese de căutare activă automată, cum ar fi blocnotesurile Jupyter?
Aveți procese și instrumente pentru a detectarea și gestionarea amenințărilor din interior?
Echipa dvs. de căutare activă are timp să rafineze avertizările pentru a crește ratele de pozitive reale pentru echipele de triaj (nivelul 1)?
Recomandări
Pe baza răspunsurilor, vă aflați în etapa de operațiuni de securitate optimizate.
Resurse cheie:
- Aflați mai multe despre gestionarea riscurilor interne în Microsoft 365.
Obțineți mai multe informații despre optimizarea maturității centrului de operațiuni de securitate.
Recomandări
Pe baza răspunsurilor, vă aflați în faza de operațiuni de securitate avansată.
Resurse cheie:
- Aflați mai multe despre gestionarea riscurilor interne în Microsoft 365.
Obțineți mai multe informații despre cum să treceți la etapa optimă a maturității centrului de operațiuni de securitate.
Recomandări
Pe baza răspunsurilor, vă aflați în etapa operațiunilor de securitate de bază.
Resurse cheie:
- Aflați mai multe despre gestionarea riscurilor interne în Microsoft 365.
Obțineți mai multe informații despre trecerea la etapa avansată de maturitate a centrului de operațiuni de securitate.
Următoarele resurse și recomandări pot fi utile în această etapă.
Căutarea proactivă a amenințărilor
- Identificați amenințările înainte să se întâmple. Adversarii hotărâți pot găsi modalități de a evita detectarea automată, astfel că este important să aveți o strategie proactivă. Reduceți impactul riscurilor interne, accelerând timpul de acțiune. Aflați mai multe
- Vedeți cum Microsoft SOC abordează căutarea activă a amenințărilor
Căutarea activă automată
- Utilizarea proceselor automatizate de căutare activă poate contribui la creșterea productivității și la reducerea volumului.
Amenințări din interior
- Cu angajații, distribuitorii și contractorii care accesează rețeaua corporativă din puncte finale diverse, este mai important ca oricând ca specialiștii în domeniul riscurilor să poată identifica rapid riscurile din cadrul organizației și să ia măsuri de remediere.
- Aflați mai multe despre monitorizarea amenințărilor din interior
- Noțiuni de bază despre gestionarea riscurilor interne
Rafinarea proceselor de căutare activă
- Detaliile colectate de la echipele de căutare activă a amenințărilor vă pot ajuta să rafinați și să îmbunătățiți acuratețea sistemelor de avertizare de triaj. Aflați mai multe
Echipa dvs. are un proces de gestionare a crizelor pentru gestionarea incidentelor de securitate majore?
Acest proces include prevederi pentru a aduce echipe de furnizori cu expertiză profundă de răspuns la incidente, investigarea amenințărilor sau platformă tehnologică?
Acest proces implică conducerea executivă, inclusiv echipele juridice și autoritățile de reglementare?
Acest proces include echipele de comunicare și relații publice?
Echipa dvs. efectuează exerciții regulate pentru a exersa și a rafina acest proces?
Recomandări
Pe baza răspunsurilor, vă aflați în etapa de operațiuni de securitate optimizate.
Resurse cheie:
- Aflați mai multe despre gestionarea riscurilor interne în Microsoft 365.
Obțineți mai multe informații despre optimizarea maturității centrului de operațiuni de securitate.
Recomandări
Pe baza răspunsurilor, vă aflați în faza de operațiuni de securitate avansată.
Resurse cheie:
- Aflați mai multe despre gestionarea riscurilor interne în Microsoft 365.
Obțineți mai multe informații despre cum să treceți la etapa optimă a maturității centrului de operațiuni de securitate.
Recomandări
Pe baza răspunsurilor, vă aflați în etapa operațiunilor de securitate de bază.
Resurse cheie:
- Aflați mai multe despre gestionarea riscurilor interne în Microsoft 365.
Obțineți mai multe informații despre trecerea la etapa avansată de maturitate a centrului de operațiuni de securitate.
Următoarele resurse și recomandări pot fi utile în această etapă.
Răspuns la incidente
- Minutele contează când este vorba de răspunsul la crize. Chiar și un proces temporar este important pentru a asigura remedierea rapidă și gestionarea incidentelor.
- Obțineți ghidul de referință pentru răspunsul la incidente
- Aflați cum să preveniți atacurile de securitate cibernetică, de la ransomware la extorcare.
Remedierea incidentelor
- Agilitatea și flexibilitatea sunt importante pentru remedierea și gestionarea incidentelor. Înțelegerea și evaluarea aptitudinilor și a experiențelor echipei dvs. vă ajută să determinați echipele de furnizori și tehnologia de care aveți nevoie. Aflați mai multe
Atenuarea impactului
- Securitatea este problema tuturor persoanelor din organizație. Detaliile de la alți participanți direct interesați pot oferi îndrumări specifice pentru a atenua impactul unei breșe.
- Urmăriți seria CISO Spotlight
- Aflați mai multe despre securitatea în cloud
Comunicații și relații publice
- Procesul dvs. ar trebui să includă planuri de relații publice și comunicații în cazul în care apare o breșă, astfel încât să fiți gata să susțineți clienții și să reduceți impactul breșelor. Aflați cum să rulați o operațiune de securitate extrem de eficientă.
Repetiția este mama învățăturii
- Practica vă asigură că puteți identifica golurile și zonele de îmbunătățit înainte să apară o breșă. Testați exercițiile de caz pentru a vă asigura că sunteți pregătit pentru o breșă.
- Aveți automatizare furnizată sau întreținută de furnizor, care reduce volumul sarcinilor de lucru pentru investigare și remediere al analiștilor?
Puteți orchestra acțiunile automatizate în diferite instrumente?
Dacă orchestrați acțiuni automatizate în diferite instrumente, vă conectați nativ cu toate sau cu majoritatea instrumentelor sau acestea se bazează pe scripturi personalizate?
Utilizați automatizarea furnizată de comunitate?
Recomandări
Pe baza răspunsurilor, vă aflați în etapa de operațiuni de securitate optimizate.
Resurse cheie:
- Azure Sentinel - Registru de lucru de cadru de proces SOC. Obțineți acum.
- Orchestrarea, automatizarea și răspunsul de securitate (SOAR) în Azure Sentinel. Aflați mai multe.
- Ghid pentru acces securizat fără sincope: O experiență de utilizator îmbunătățită cu securitate consolidată. Aflați mai multe.
- Adoptați securitatea proactivă cu Zero Trust. Aflați mai multe.
- Ghid de implementare Zero Trust pentru Microsoft Azure Active Directory. Obțineți acum.
Obțineți mai multe informații despre optimizarea maturității centrului de operațiuni de securitate.
Recomandări
Pe baza răspunsurilor, vă aflați în faza de operațiuni de securitate avansată.
Resurse cheie:
- Azure Sentinel - Registru de lucru de cadru de proces SOC. Obțineți acum.
- Orchestrarea, automatizarea și răspunsul de securitate (SOAR) în Azure Sentinel. Aflați mai multe.
- Ghid pentru acces securizat fără sincope: O experiență de utilizator îmbunătățită cu securitate consolidată. Aflați mai multe.
- Adoptați securitatea proactivă cu Zero Trust. Aflați mai multe.
- Ghid de implementare Zero Trust pentru Microsoft Azure Active Directory. Obțineți acum.
Obțineți mai multe informații despre cum să treceți la etapa optimă a maturității centrului de operațiuni de securitate.
Recomandări
Pe baza răspunsurilor, vă aflați în etapa operațiunilor de securitate de bază.
Resurse cheie:
- Azure Sentinel - Registru de lucru de cadru de proces SOC. Obțineți acum.
- Orchestrarea, automatizarea și răspunsul de securitate (SOAR) în Azure Sentinel. Aflați mai multe.
- Ghid pentru acces securizat fără sincope: O experiență de utilizator îmbunătățită cu securitate consolidată. Aflați mai multe.
- Adoptați securitatea proactivă cu Zero Trust. Aflați mai multe.
- Ghid de implementare Zero Trust pentru Microsoft Azure Active Directory. Obțineți acum.
Obțineți mai multe informații despre trecerea la etapa avansată de maturitate a centrului de operațiuni de securitate.
Următoarele resurse și recomandări pot fi utile în această etapă.
Gestionarea sarcinilor de lucru ale analiștilor
- Asistența pentru automatizare de la furnizori v-ar putea ajuta echipa să-și gestioneze sarcinile de lucru. Luați în considerare protejarea domeniului digital cu o abordare integrată pentru o eficiență SOC sporită. Aflați mai multe
- Explorați modul în care echipele de operațiuni de securitate se adaptează la peisajul în schimbare al amenințărilor
Orchestrarea acțiunilor automatizate
- Integrarea acțiunilor automatizate în toate instrumentele dvs. ar putea îmbunătăți productivitatea și ar putea crește probabilitatea de a nu rata vreo amenințare. Vedeți cum o stivă de securitate consolidată vă poate ajuta să reduceți riscurile și costurile. Aflați mai multe
Conectarea acțiunilor automatizate
- Instrumentele și procesele conectate și integrate pot contribui la reducerea golurilor din programul de monitorizare a amenințărilor și vă pot ajuta să țineți pasul cu un peisaj de amenințări de securitate cibernetică în continuă schimbare.
Automatizare furnizată de comunitate
- Luați în considerare utilizarea automatizării furnizate de comunitate, care mărește recunoașterea modelului de amenințări și vă poate economisi timp, eliminând nevoia de instrumente automatizate personalizate.
Urmăriți Microsoft Security