Självutvärderingsverktyg för säkerhetsfunktioner
Prioritering
Utvärdera varningar, ange prioriteringar och vidarekoppla incidenter som teammedlemmarna i ditt säkerhetsåtgärdscenter kan lösa.
Undersökning
Fastställ snabbt om en varning indikerar ett faktiskt angrepp eller ett falskt alarm.
Jakt
Öka fokus på sökning efter angripare som har kringgått dina primära och automatiserade skydd.
Hur prioriterar du incidenter och hotaviseringar?
(Välj alla relevanta alternativ)
Hur ofta använder du automatisering för undersökningar och åtgärder för stora mängder eller återkommande incidenter?
I hur många scenarier använder du molnbaserade verktyg för att skydda lokala resurser och resurser i flera moln?
Använder ni ett ärendesystem för att hantera säkerhetsincidenter och mäta tiden det tar att identifiera och åtgärda incidenter?
Hur hanterar du aviseringsutmattning?
(Välj alla relevanta alternativ)
Rekommendationer
Baserat på dina svar är du i stadiet Optimerade säkerhetsåtgärder.
Få mer information om hur du optimerar mognadsgraden för ditt säkerhetscenter.
Rekommendationer
Baserat på dina svar är du i stadiet Avancerade säkerhetsåtgärder.
Få mer information om hur ditt säkerhetscenter når stadiet Optimerat.
Rekommendationer
Baserat på dina svar är du i stadiet Grundläggande säkerhetsåtgärder.
Få mer information om hur ditt säkerhetscenter når stadiet Avancerat.
Följande resurser och rekommendationer kan vara användbara i det här stadiet.
Prioritering av hotaviseringar
- Det är viktigt att prioritera hotaviseringar. Vi rekommenderar att du sätter prioriteringspoäng baserat på sant positiva resultat för källan. Utforska viktiga insikter och metodtips från säkerhetsledare för att öka mognadsgraden för dina säkerhetsåtgärder. Mer information
Automatisering
- Säkerhetsteamet kan ta hjälp av automatisering för att slippa utföra tråkiga uppgifter och kan istället fokusera på farliga hot, öka produktiviteten och minska utbrändheten.
- Mer information om hur du konfigurerar automatisering i Microsoft Defender för Endpoint
Utnyttja molnbaserade verktyg
- Molnbaserade verktyg kan hjälpa dig att se hela organisationens hotlandskap i molnet. Genom att byta till en molnbaserad SIEM-lösning kan du undvika de utmaningar som finns i lokala SIEM-lösningar. Mer information
Hantera säkerhetsincidenter via ärenden
- Med ett ärendesystem kan teamet arbeta mer effektivt och bli mer framgångsrikt i kampen mot hot. Mer information
Hantera aviseringsutmattning
- Att hantera aviseringsutmattning är viktigt för att få ett smidigt säkerhetsarbete. Om det inte finns något prioriteringssystem riskerar teamet att undersöka falskt positiva identifieringar och släppa igenom allvarliga hot, vilket kan leda till utbrändhet. Azure Sentinel minskar risken för aviseringsutmattning med maskininlärning. Mer information
Hur många säkerhetsverktyg använder analytiker för att undersöka incidenter (till exempel leverantörsprodukter eller portaler och anpassade verktyg eller skript
Använder du en SIEM-lösning eller andra verktyg för att konsolidera och korrelera alla datakällor?
Använder du beteendeanalys för identifiering och undersökning (till exempel UEBA, analys av användar- och entitetsbeteende)?
Använder du identifierings- och undersökningsverktyg med fokus på identiteter?
Använder du identifierings- och undersökningsverktyg med fokus på slutpunkter?
Använder du identifierings- och undersökningsverktyg med fokus på mejl och data?
Använder du identifierings- och undersökningsverktyg med fokus på SaaS-appar?
Använder du identifierings- och undersökningsverktyg med fokus på molninfrastruktur, till exempel virtuella datorer, IoT och driftteknik (DT)?
Använder du MITRE ATT&CK eller andra ramverk för att spåra och analysera incidenter?
Går undersöknings- eller jaktteamen igenom ärenden i prioriteringskön för att identifiera trender, grundorsaker och andra insikter?
Rekommendationer
Baserat på dina svar är du i stadiet Optimerade säkerhetsåtgärder.
Viktiga resurser:
- Lär dig hur en konsoliderad säkerhetsstack kan minska dina risker och kostnader.
- Mer information om säkerhetsfunktioner (SecOps).
Få mer information om hur du optimerar mognadsgraden för ditt säkerhetscenter.
Rekommendationer
Baserat på dina svar är du i stadiet Avancerade säkerhetsåtgärder.
Viktiga resurser:
- Lär dig hur en konsoliderad säkerhetsstack kan minska dina risker och kostnader.
- Mer information om säkerhetsfunktioner (SecOps).
Få mer information om hur ditt säkerhetscenter når stadiet Optimerat.
Rekommendationer
Baserat på dina svar är du i stadiet Grundläggande säkerhetsåtgärder.
Viktiga resurser:
- Lär dig hur en konsoliderad säkerhetsstack kan minska dina risker och kostnader.
- Mer information om säkerhetsfunktioner (SecOps).
Få mer information om hur ditt säkerhetscenter når stadiet Avancerat.
Följande resurser och rekommendationer kan vara användbara i det här stadiet.
Integrerade säkerhetsverktyg
- Med hjälp av intelligenta, automatiserade och integrerade säkerhetslösningar över domäner kan SecOps-teamet koppla samman till synes osammanhängande aviseringar och ligga ett steg före angriparna. Se hur en kombinerad SIEM- och XDR-lösning hjälper till att stoppa avancerade attacker. Mer information
- Modernisera säkerhetscentret för att skydda distanspersonal. Mer information.
Använd SIEM för att konsolidera datakällor
- Ett SIEM, till exempel Azure Sentinel, ger en överblick över hotlandskapet och registrerar alla hotdata så att du inte missar något och kan vara mer proaktiv. Vad är Azure Sentinel?
- Mer information om Microsoft Referensarkitektur för cybersäkerhet.
Microsofts metodtips för säkerhetsåtgärder
- Maskininlärning och beteendeanalys är de bästa metoderna för att snabbt identifiera avvikande händelser med hög konfidens. Mer information
Hantering av dataåtkomst
- Det är viktigt att veta vem som har åtkomst till era data och vilken typ av åtkomst de har. Vi rekommenderar att du använder ett identitetsbaserat ramverk för att minska riskerna och förbättra produktiviteten. Mer information
Slutpunktshantering
- Det är viktigt att veta vem som kommer åt data bakom det traditionella perimeternätverket och om enheterna är felfria. Microsoft Defender för Endpoint kan hjälpa dig via den här stegvisa vägledningen. Mer information
- Mer information om hur du distribuerar Microsoft Defender för Endpoint
Mejl- och dataidentifiering
- Angripare kan komma in i din miljö via företagets mejl. Om du har en lösning som kan identifiera och stoppa hot som nätfiske, behöver inte slutanvändarna belastas med säkerhetsåtgärder. Mer information
SaaS-appidentifiering
- Det är viktigt att skydda molnbaserade lösningar som kan ge åtkomst till känsliga data.
Identifiering av molninfrastruktur
- När din miljö utökas med IoT och lagring, containrar och andra komponenter i din molninfrastruktur, är det viktigt att ställa in övervakning och identifiering av dessa.
Spåra och analysera incidenter
- MITRE ATT&CK® är en globalt tillgänglig kunskapsbas med taktiker och tekniker som angripare använder sig av. Den är baserad på verkliga observationer. Med ramverk som MITRE ATT&CK kan du utveckla specifika hotmodeller och metoder som kan hjälpa dig att utveckla ditt försvar proaktivt.
Dokumentera och granska
- För att samla insikter och vara proaktiv mot hot är det viktigt att du dokumenterar undersökningsärenden.
Ingår proaktiv hotjakt i din säkerhetsstrategi?
Använder du automatiserade jaktprocesser som Jupyter-notebook-filer?
Har du processer och verktyg för att identifiera och hantera interna hot?
Tar sig jaktteamet tid att förfina aviseringar för att förbättra antalet sant positiva resultat för prioriteringsteam (nivå 1)?
Rekommendationer
Baserat på dina svar är du i stadiet Optimerade säkerhetsåtgärder.
Viktiga resurser:
- Mer information om hantering av interna risker i Microsoft 365.
Få mer information om hur du optimerar mognadsgraden för ditt säkerhetscenter.
Rekommendationer
Baserat på dina svar är du i stadiet Avancerade säkerhetsåtgärder.
Viktiga resurser:
- Mer information om hantering av interna risker i Microsoft 365.
Få mer information om hur ditt säkerhetscenter når stadiet Optimerat.
Rekommendationer
Baserat på dina svar är du i stadiet Grundläggande säkerhetsåtgärder.
Viktiga resurser:
- Mer information om hantering av interna risker i Microsoft 365.
Få mer information om hur ditt säkerhetscenter når stadiet Avancerat.
Följande resurser och rekommendationer kan vara användbara i det här stadiet.
Proaktiv hotjakt
- Identifiera hot innan de inträffar. Beslutsamma angripare kan hitta sätt att kringgå automatiserad identifiering, så det är viktigt att ha en proaktiv strategi. Minska effekten av interna risker genom kortare tid till handling. Mer information
- Se hur Microsofts säkerhetscenter jagar cyberhot
Automatiserad jakt
- Med automatiserade jaktprocesser kan du öka produktiviteten och minska volymen.
Interna hot
- När personal, leverantörer och underleverantörer har åtkomst till företagets nätverk från en mängd olika slutpunkter är det viktigt att riskkonsulter snabbt kan identifiera risker i organisationen och vidta lämpliga åtgärder.
- Mer information om övervakning av interna hot
- Kom igång med hantering av interna risker
Förfina jaktprocesser
- De insikter som samlas in av hotjaktteamen kan hjälpa till att förfina och förbättra precisionen i prioriteringssystem för aviseringar. Mer information
Har ert team en krishanteringsprocess för att hantera stora säkerhetsincidenter?
Ingår det i processen att anlita leverantörsteam med djupgående expertis inom incidenthantering, hotinformation eller teknikplattformar?
Deltar ledningen, inklusive juridiska team och tillsynsorgan, i processen?
Ingår kommunikations- och PR-team i processen?
Utför ditt team regelbundna övningar för att träna på och förfina den här processen?
Rekommendationer
Baserat på dina svar är du i stadiet Optimerade säkerhetsåtgärder.
Viktiga resurser:
- Mer information om hantering av interna risker i Microsoft 365.
Få mer information om hur du optimerar mognadsgraden för ditt säkerhetscenter.
Rekommendationer
Baserat på dina svar är du i stadiet Avancerade säkerhetsåtgärder.
Viktiga resurser:
- Mer information om hantering av interna risker i Microsoft 365.
Få mer information om hur ditt säkerhetscenter når stadiet Optimerat.
Rekommendationer
Baserat på dina svar är du i stadiet Grundläggande säkerhetsåtgärder.
Viktiga resurser:
- Mer information om hantering av interna risker i Microsoft 365.
Få mer information om hur ditt säkerhetscenter når stadiet Avancerat.
Följande resurser och rekommendationer kan vara användbara i det här stadiet.
Svar på incident
- Minuter spelar roll vid krishantering. Det är viktigt att upprätta processer, även tillfälliga, för att säkerställa snabba åtgärder och en snabb incidenthantering.
- Hämta referensguiden till incidenthantering
- Mer information om hur du kan förhindra cybersäkerhetsattacker, till exempel utpressningstrojaner.
Incidentåtgärder
- Flexibilitet är viktigt för åtgärder och incidenthantering. Att förstå och utvärdera teamets kunskaper och erfarenheter underlättar val av leverantörsteam och vilken teknik du behöver. Mer information
Minska effekterna
- Alla i organisationen ansvarar för säkerheten. Insikter från andra intressenter kan ge specifik vägledning för att minska effekterna av en säkerhetsöverträdelse.
- Titta på serien om aktuella IT-säkerhetschefer
- Mer information om molnsäkerhet
Kommunikation och PR
- Din process bör innehålla PR- och kommunikationsplaner om en säkerhetsöverträdelse inträffar så att du är redo att hjälpa kunderna och minska effekterna av överträdelsen. Mer information om hur du får en mycket effektiv säkerhetsprocess.
Övning ger färdighet
- Genom övning kan du hitta luckor och områden som kan förbättras innan en säkerhetsöverträdelse inträffar. Utför olika testövningar för att försäkra dig om att ni är förberedda för en säkerhetsöverträdelse.
- Använder du automatisering som tillhandahålls eller underhålls av leverantörer för att minska analytikernas undersöknings- och reparationsarbete?
Kan du samordna automatiska åtgärder i olika verktyg?
Om du samordnar automatiska åtgärder i flera verktyg, fungerar det direkt med alla eller de flesta av dina verktyg, eller krävs anpassad skriptning?
Använder du automatisering som tillhandahålls av en community?
Rekommendationer
Baserat på dina svar är du i stadiet Optimerade säkerhetsåtgärder.
Viktiga resurser:
- Azure Sentinel – SOC Process Framework Workbook. Skaffa det nu.
- Säkerhetsorkestrering, automatisering och hantering (SOAR) i Azure Sentinel. Mer information.
- Guide till smidig och säker åtkomst: En förbättrad användarupplevelse med stärkt säkerhet. Mer information.
- Gör din säkerhet proaktiv med Nolltillit. Mer information.
- Nolltillit-distributionsguiden för Microsoft Azure Active Directory. Skaffa det nu.
Få mer information om hur du optimerar mognadsgraden för ditt säkerhetscenter.
Rekommendationer
Baserat på dina svar är du i stadiet Avancerade säkerhetsåtgärder.
Viktiga resurser:
- Azure Sentinel – SOC Process Framework Workbook. Skaffa det nu.
- Säkerhetsorkestrering, automatisering och hantering (SOAR) i Azure Sentinel. Mer information.
- Guide till smidig och säker åtkomst: En förbättrad användarupplevelse med stärkt säkerhet. Mer information.
- Gör din säkerhet proaktiv med Nolltillit. Mer information.
- Nolltillit-distributionsguiden för Microsoft Azure Active Directory. Skaffa det nu.
Få mer information om hur ditt säkerhetscenter når stadiet Optimerat.
Rekommendationer
Baserat på dina svar är du i stadiet Grundläggande säkerhetsåtgärder.
Viktiga resurser:
- Azure Sentinel – SOC Process Framework Workbook. Skaffa det nu.
- Säkerhetsorkestrering, automatisering och hantering (SOAR) i Azure Sentinel. Mer information.
- Guide till smidig och säker åtkomst: En förbättrad användarupplevelse med stärkt säkerhet. Mer information.
- Gör din säkerhet proaktiv med Nolltillit. Mer information.
- Nolltillit-distributionsguiden för Microsoft Azure Active Directory. Skaffa det nu.
Få mer information om hur ditt säkerhetscenter når stadiet Avancerat.
Följande resurser och rekommendationer kan vara användbara i det här stadiet.
Hantera arbetsbelastning för analytiker
- Stöd för leverantörsautomatisering kan hjälpa ditt team att hantera arbetsbelastningen. Du kan skydda din digitala egendom med en integrerad lösning för att öka säkerhetscentrets effektivitet. Mer information
- Se hur säkerhetsteam anpassar sig efter ett ständigt föränderligt hotlandskap
Samordna automatiska åtgärder
- Genom att integrera automatiska åtgärder i alla verktyg kan du öka produktiviteten och minska risken för att missa hot. Se hur en konsoliderad säkerhetsstack kan minska riskerna och kostnaderna. Mer information
Ansluta automatiska åtgärder
- Anslutna och integrerade verktyg och processer kan hjälpa till att täppa till luckorna i dina hotövervakningsprogram och hjälpa dig att hålla jämna steg med hoten i ett ständigt föränderligt cybersäkerhetslandskap.
Communitybaserad automatisering
- Du kan också använda communitybaserad automatisering. Då får du bättre igenkänning av hotmönster och kan spara tid eftersom inga specialbyggda automatiserade verktyg behövs.
Följ Microsoft Security