Инструмент для самостоятельной оценки процессов безопасности
Проверка
Оцените оповещения, расставьте приоритеты и настройте эскалацию инцидентов сотрудникам вашего операционного центра обеспечения безопасности.
Охота
Акцентируйте внимание на поиске злоумышленников, которым удалось обойти ваши основные и дополнительные меры безопасности.
Управление инцидентами
Координируйте меры по реагированию на техническом, операционном, информационном, юридическом и управленческом уровнях.
Автоматизация
Сэкономьте время своих аналитиков, повысьте скорость реагирования и сократите нагрузки.
Как правильно определять приоритет инцидентов и оповещений об угрозах?
(Выберите все подходящие варианты)
В каком объеме в вашей организации применяется автоматизация для исследования и устранения крупных или регулярных инцидентов?
Насколько регулярно вы используете облачные инструменты для защиты ресурсов в локальной среде и в многооблачных средах?
Применяется ли в вашей организации система управления запросами, чтобы обрабатывать инциденты безопасности и измерять время до подтверждения запросов и время до устранения инцидентов?
Как вы справляетесь с усталостью от большого количества оповещений?
(Выберите все подходящие варианты)
Рекомендации
Судя по ответам, вы находитесь на этапе реализации оптимизированных операций безопасности.
Узнайте больше о том, как оптимизировать стадию развития своего центра операционной безопасности.
Рекомендации
Судя по ответам, вы находитесь на этапе реализации расширенных операций безопасности.
Узнайте больше о том, как перевести свой центр операционной безопасности на оптимальную стадию развития.
Рекомендации
Судя по вашим ответам, вы находитесь на этапе реализации базовых операций безопасности.
Узнайте больше о том, как перевести свой центр операционной безопасности на продвинутую стадию развития.
На этой стадии вам могут оказаться полезны приведенные ниже ресурсы и рекомендации.
Определение приоритета оповещений об угрозах
- Для достижения успеха крайне важно определять приоритет оповещений об угрозах. Рекомендуется использовать фактическую точность срабатывания источника в качестве основы для оценивания. Ознакомьтесь с важными аналитическими сведениями и рекомендациями лидеров в сфере безопасности, чтобы обеспечить надежную защиту вашей среды. Подробнее
Автоматизация
- Автоматизация поможет избежать выполнения рутинных трудоемких задач, поэтому вы сможете сосредоточить усилия на борьбе с критическими угрозами. Кроме того, благодаря автоматизации повышается производительность работы и уменьшается выгорание.
- Узнайте, как настроить автоматизацию в Microsoft Defender для конечной точки
Применение облачных инструментов
- Облачные инструменты помогают оценить картину угроз во всей облачной инфраструктуре организации. Переход на облачные решения SIEM даст возможность решить проблемы, присущие решениям SIEM в локальной среде. Подробнее
Управление инцидентами безопасности путем регистрации запросов
- Система управления запросами поможет команде эффективнее работать и успешно справляться с угрозами. Подробнее
Борьба с усталостью от оповещений
- Усталость от оповещений о безопасности — важный фактор, снижающий эффективность операций по обеспечению безопасности. Если отсутствует система определения приоритета, может сложиться ситуация, в которой ваша команда будет тратить время и ресурсы на исследование ложноположительных результатов, а фактические угрозы при этом останутся незамеченными. Это может привести к выгоранию. Azure Sentinel помогает уменьшить эту усталость за счет применения машинного обучения. Подробнее
Сколько инструментов безопасности аналитики используют для исследования инцидентов (например, продукты поставщиков, порталы, настраиваемые инструменты или сценарии
Используете ли вы SIEM или другие инструменты для консолидации и сопоставления всех источников данных?
Используете ли вы аналитику поведения для обнаружения и исследования угроз (например, аналитику поведения пользователей и сущностей)?
Используете ли вы средства обнаружения и расследования на основе удостоверений?
Используете ли вы средства обнаружения и расследования для конечных точек?
Используются ли в вашей организации средства обнаружения и исследования, предназначенные для анализа электронной почты и данных?
Используются ли в вашей организации средства обнаружения и исследования, предназначенные для приложений SaaS?
Используете ли вы средства обнаружения и исследования, предназначенные для облачной инфраструктуры (например, для виртуальных машин, Интернета вещей, операционных технологий)?
Используете ли вы MITRE ATT&CK или другие платформы для отслеживания и анализа инцидентов?
Проводят ли команды по исследованию угроз или охоте на угрозы рассмотрение дел, чтобы выявлять тенденции, первопричины и другие полезные данные?
Рекомендации
Судя по ответам, вы находитесь на этапе реализации оптимизированных операций безопасности.
Ключевые ресурсы:
- Узнайте, как интегрированный стек решений в области безопасности способен снизить риски и затраты.
- Подробнее о функциях и процессах обеспечения безопасности (SecOps).
Узнайте больше о том, как оптимизировать стадию развития своего центра операционной безопасности.
Рекомендации
Судя по ответам, вы находитесь на этапе реализации расширенных операций безопасности.
Ключевые ресурсы:
- Узнайте, как интегрированный стек решений в области безопасности способен снизить риски и затраты.
- Подробнее о функциях и процессах обеспечения безопасности (SecOps).
Узнайте больше о том, как перевести свой центр операционной безопасности на оптимальную стадию развития.
Рекомендации
Судя по вашим ответам, вы находитесь на этапе реализации базовых операций безопасности.
Ключевые ресурсы:
- Узнайте, как интегрированный стек решений в области безопасности способен снизить риски и затраты.
- Подробнее о функциях и процессах обеспечения безопасности (SecOps).
Узнайте больше о том, как перевести свой центр операционной безопасности на продвинутую стадию развития.
На этой стадии вам могут оказаться полезны приведенные ниже ресурсы и рекомендации.
Интегрированные инструменты для обеспечения безопасности
- Применение интеллектуальных, автоматизированных и интегрированных решений безопасности в разных областях поможет специалистам по обеспечению безопасности выявить взаимосвязь между разрозненными оповещениями и заблаговременно принять меры по защите от злоумышленников. Узнайте, как объединенное решение на базе SIEM и XDR обеспечивает защиту от сложных атак. Подробнее
- Модернизируйте центр информационной безопасности для защиты удаленных работников. Подробнее.
Использование SIEM для консолидации источников данных
- Решение SIEM, например Azure Sentinel, помогает получить полное представление о картине угроз и отслеживать все данные об угрозах. Благодаря этому можно заранее принимать необходимые профилактические меры в полном объеме. Что такое Azure Sentinel?
- Подробнее об образцовой архитектуре кибербезопасности Майкрософт.
Советы и рекомендации Майкрософт в области операционной безопасности
- Машинное обучение и аналитика поведения — эффективные средства, помогающие оперативно обнаруживать аномальные события с высокой степенью достоверности. Подробнее
Управление доступом к данным
- Важно знать, кто располагает доступом к данным и на каком уровне. Платформа на основе удостоверений — наиболее удобный инструмент, помогающий снизить риски и повысить производительность. Подробнее
Управление конечными точками
- Рекомендуется знать, какие устройства получают доступ к данным извне традиционного периметра, и работоспособны ли эти устройства. Microsoft Defender для конечной точки поможет решить эту задачу с помощью этого пошагового руководства. Подробнее
- Узнайте, как развернуть Microsoft Defender для конечной точки
Обнаружение угроз в электронной почте и в данных
- Злоумышленники могут проникнуть в вашу корпоративную среду, применяя компрометацию корпоративной почты. Решение, способное обнаруживать и устранять угрозы, такие как фишинг, поможет избавить конечных пользователей от необходимости решать проблемы безопасности. Подробнее
Обнаружение угроз в приложениях SaaS
- Важно защитить облачные решения, обладающие доступом к конфиденциальным данным.
Обнаружение угроз в облачной инфраструктуре
- Периметр безопасности расширяется, охватывая Интернет вещей, хранилища, контейнеры и другие компоненты облачной инфраструктуры, поэтому крайне важно отслеживать работу этих компонентов рабочей среды и своевременно обнаруживать в них угрозы.
Отслеживание и анализ инцидентов
- MITRE ATT&CK® — доступная во всем мире база знаний о приемах и стратегиях злоумышленников, основанная на реальных наблюдениях. Платформы наподобие MITRE ATT&CK помогают вырабатывать модели и методы борьбы с определенными угрозами, чтобы укреплять профилактическую защиту.
Документирование и проверка
- Для сбора полезных сведений и упреждающего реагирования на угрозы важно документировать все действия по исследованию угроз.
Предусмотрена ли упреждающая охота на угрозы в вашей стратегии безопасности?
Используете ли вы автоматизированные процессы охоты на угрозы, например записные книжки Jupyter?
Использует ли в ваша организация процессы и инструменты для обнаружения внутренних угроз и реагирования на них?
Ваши специалисты по охоте на угрозы настраивают оповещения, чтобы увеличить количество истинноположительных результатов для команд, занимающихся рассмотрением (уровень 1)?
Рекомендации
Судя по ответам, вы находитесь на этапе реализации оптимизированных операций безопасности.
Ключевые ресурсы:
- Подробнее об управлении внутренними рисками в Microsoft 365.
Узнайте больше о том, как оптимизировать стадию развития своего центра операционной безопасности.
Рекомендации
Судя по ответам, вы находитесь на этапе реализации расширенных операций безопасности.
Ключевые ресурсы:
- Подробнее об управлении внутренними рисками в Microsoft 365.
Узнайте больше о том, как перевести свой центр операционной безопасности на оптимальную стадию развития.
Рекомендации
Судя по вашим ответам, вы находитесь на этапе реализации базовых операций безопасности.
Ключевые ресурсы:
- Подробнее об управлении внутренними рисками в Microsoft 365.
Узнайте больше о том, как перевести свой центр операционной безопасности на продвинутую стадию развития.
На этой стадии вам могут оказаться полезны приведенные ниже ресурсы и рекомендации.
Профилактическая охота на угрозы
- Обнаруживайте угрозы до их возникновения. Мотивированные злоумышленники умеют обходить автоматизированные средства обнаружения, поэтому важно иметь стратегию профилактических действий. Ускоренное внедрение защитных мер поможет снизить влияние внутренних рисков. Подробнее
- Подход центра информационной безопасности Майкрософт к охоте на угрозы
Автоматизированная охота на угрозы
- Автоматизированные процессы охоты помогают повысить производительность работы и снизить трудозатраты.
Внутренние угрозы
- Сотрудники, поставщики и подрядчики подключаются к корпоративной сети из множества конечных точек, поэтому крайне важно, чтобы специалисты по рискам имели возможность быстро выявлять риски внутри организации и принимать меры по устранению таких рисков.
- Подробнее об отслеживании внутренних угроз
- Начало работы с инструментами для борьбы с внутренними рисками
Совершенствование процессов охоты на угрозы
- Аналитические данные, полученные у специалистов по охоте на угрозы, помогут повысить точность работы систем рассмотрения оповещений. Подробнее
Предусмотрен ли в вашей команде порядок действий в кризисной ситуации для серьезных инцидентов безопасности?
Предусматривает ли этот процесс привлечение специалистов поставщиков с расширенными навыками реагирования на инциденты и аналитики угроз, а также с высокой квалификацией в области работы с технологической платформой?
Участвуют ли в этом процессе представители руководства, включая юридические отделы, а также нормативные органы?
Участвуют ли в этом процессе специалисты по обмену информацией и информированию общественности?
Проводит ли ваша команда регулярные тренировки, чтобы развивать свои навыки?
Рекомендации
Судя по ответам, вы находитесь на этапе реализации оптимизированных операций безопасности.
Ключевые ресурсы:
- Подробнее об управлении внутренними рисками в Microsoft 365.
Узнайте больше о том, как оптимизировать стадию развития своего центра операционной безопасности.
Рекомендации
Судя по ответам, вы находитесь на этапе реализации расширенных операций безопасности.
Ключевые ресурсы:
- Подробнее об управлении внутренними рисками в Microsoft 365.
Узнайте больше о том, как перевести свой центр операционной безопасности на оптимальную стадию развития.
Рекомендации
Судя по вашим ответам, вы находитесь на этапе реализации базовых операций безопасности.
Ключевые ресурсы:
- Подробнее об управлении внутренними рисками в Microsoft 365.
Узнайте больше о том, как перевести свой центр операционной безопасности на продвинутую стадию развития.
На этой стадии вам могут оказаться полезны приведенные ниже ресурсы и рекомендации.
Реагирование на инциденты
- В кризисной ситуации счет идет на минуты. Даже временный процесс поможет оперативно устранять уязвимости и реагировать на инциденты.
- Скачайте руководство по реагированию на инциденты
- Узнайте, как предотвращать атаки в сфере безопасности, включая вымогательство и атаки программ-шантажистов.
Устранение последствий инцидентов
- Динамичность и гибкость — важные факторы для реагирования на инциденты и устранения их последствий. Оцените навыки и квалификацию своей команды. Это поможет определить, за какими решениями и технологиями следует обращаться к поставщикам. Подробнее
Устранение последствий
- Безопасность — ответственность всех и каждого в организации. Полезные сведения, полученные от других участников бизнеса, часто помогают принять конкретные меры по устранению последствий уязвимостей.
- Посмотрите видеоролики серии CISO Spotlight
- Подробнее о безопасности облака
Обмен информацией и информирование общественности
- В вашей организации должны быть приняты планы распространения информации и информирования общественности: вы должны быть готовы поддерживать клиентов и устранять последствия инцидентов. Узнайте, как сделать процессы обеспечения безопасности максимально эффективными.
Практика — залог успеха
- Практический опыт помогает обнаруживать пробелы и устранять недостатки до возникновения инцидентов безопасности. Упражнения на основе тестовых случаев помогут подготовиться к атакам.
- Применяется ли система автоматизации, предоставленная или обслуживаемая поставщиком, чтобы снижать трудоемкость исследования инцидентов и устранения их последствий?
Можно ли координировать взаимодействие автоматизированных процессов в разных системах?
Если осуществляется координация автоматических действий между разными инструментами, каким образом осуществляется координация всех инструментов или их большинства: с помощью встроенных средств или с помощью настраиваемых сценариев?
Используете ли вы решения для автоматизации, разработанные силами сообщества?
Рекомендации
Судя по ответам, вы находитесь на этапе реализации оптимизированных операций безопасности.
Ключевые ресурсы:
- Azure Sentinel: книга по инфраструктуре процессов центра операционной безопасности. Начните прямо сейчас.
- Оркестрация, автоматизация и реагирование на инциденты безопасности (SOAR) в Azure Sentinel. Подробнее.
- Пособие по организации безопасного удобного доступа к ресурсам: лучшие впечатления от использования с повышенной безопасностью. Подробнее.
- Профилактический подход к безопасности на основе модели "Никому не доверяй". Подробнее.
- Руководство по развертыванию модели "Никому не доверяй" для Azure Active Directory. Начните прямо сейчас.
Узнайте больше о том, как оптимизировать стадию развития своего центра операционной безопасности.
Рекомендации
Судя по ответам, вы находитесь на этапе реализации расширенных операций безопасности.
Ключевые ресурсы:
- Azure Sentinel: книга по инфраструктуре процессов центра операционной безопасности. Начните прямо сейчас.
- Оркестрация, автоматизация и реагирование на инциденты безопасности (SOAR) в Azure Sentinel. Подробнее.
- Пособие по организации безопасного удобного доступа к ресурсам: лучшие впечатления от использования с повышенной безопасностью. Подробнее.
- Профилактический подход к безопасности на основе модели "Никому не доверяй". Подробнее.
- Руководство по развертыванию модели "Никому не доверяй" для Azure Active Directory. Начните прямо сейчас.
Узнайте больше о том, как перевести свой центр операционной безопасности на оптимальную стадию развития.
Рекомендации
Судя по вашим ответам, вы находитесь на этапе реализации базовых операций безопасности.
Ключевые ресурсы:
- Azure Sentinel: книга по инфраструктуре процессов центра операционной безопасности. Начните прямо сейчас.
- Оркестрация, автоматизация и реагирование на инциденты безопасности (SOAR) в Azure Sentinel. Подробнее.
- Пособие по организации безопасного удобного доступа к ресурсам: лучшие впечатления от использования с повышенной безопасностью. Подробнее.
- Профилактический подход к безопасности на основе модели "Никому не доверяй". Подробнее.
- Руководство по развертыванию модели "Никому не доверяй" для Azure Active Directory. Начните прямо сейчас.
Узнайте больше о том, как перевести свой центр операционной безопасности на продвинутую стадию развития.
На этой стадии вам могут оказаться полезны приведенные ниже ресурсы и рекомендации.
Управление рабочей нагрузкой аналитиков
- Системы автоматизации, предлагаемые поставщиками, могли бы помочь вашей команде управлять рабочей нагрузкой. Для повышения эффективности центров информационной безопасности целесообразно применять интегрированный подход к защите цифрового имущества. Подробнее
- Узнайте , как группы операционной безопасности адаптируются к изменениям картины угроз
Оркестрация автоматизированных действий
- Интеграция автоматизированных действий во всех применяемых инструментах поможет повысить производительность работы и обеспечить обнаружение всех без исключения угроз. Узнайте, как объединенный стек решений в области безопасности поможет снизить риски и сократить затраты. Подробнее
Взаимосвязь автоматизированных действий
- Взаимосвязанные и интегрированные инструменты и процессы обеспечат всесторонний мониторинг угроз и помогут отслеживать новые киберугрозы.
Решения для автоматизации, создаваемые сообществом
- Рассмотрите возможность внедрения средств автоматизации, разработанных сообществом. С помощью таких средств можно будет проще распознавать шаблоны. Кроме того, можно будет сэкономить время, поскольку не потребуется внедрять автоматические инструменты собственной разработки.
Следите за новостями Microsoft Security