Công cụ tự đánh giá hoạt động bảo mật
Phân loại
Đánh giá cảnh báo, đặt mức độ ưu tiên và định tuyến sự cố đến các thành viên nhóm trung tâm hoạt động bảo mật để giải quyết.
Điều tra
Nhanh chóng xác định xem một cảnh báo báo hiệu cuộc tấn công thực sự hay chỉ là báo động giả.
Tìm kiếm
Tăng cường tập trung tìm kiếm những kẻ xấu đã lẩn tránh các biện pháp bảo vệ chính và tự động của bạn.
Bạn ưu tiên sự cố và cảnh báo mối đe dọa như thế nào?
(Chọn tất cả tùy chọn phù hợp)
Bạn sử dụng tự động hóa để điều tra và khắc phục các sự cố số lượng lớn hoặc lặp lại ở mức độ nào?
Bạn đang sử dụng các công cụ điện toán đám mây để bảo mật các tài nguyên tại chỗ và đa đám mây trong bao nhiêu kịch bản?
Bạn có triển khải hệ thống xuất phiếu để quản lý các sự cố bảo mật và đo thời gian xác nhận và thời gian khắc phục không?
Làm thế nào để bạn quản lý sự mệt mỏi vì cảnh báo?
(Chọn tất cả tùy chọn phù hợp)
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Tối ưu hóa.
Xem thêm thông tin về cách tối ưu hóa độ trưởng thành của trung tâm hoạt động bảo mật.
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Nâng cao.
Xem thêm thông tin về cách chuyển sang giai đoạn trưởng thành tối ưu của trung tâm hoạt động bảo mật.
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Cơ bản.
Xem thêm thông tin về cách chuyển sang giai đoạn trưởng thành nâng cao của trung tâm hoạt động bảo mật.
Các tài nguyên và đề xuất sau đây có thể hữu ích trong giai đoạn này.
Ưu tiên cảnh báo mối đe dọa
- Việc ưu tiên cảnh báo mối đe dọa đóng vai trò quan trọng trong sự thành công của bạn. Đây là biện pháp tốt nhất để tính điểm dựa trên tỉ lệ dương tính thật của nguồn. Khám phá thông tin chuyên sâu chính và biện pháp tốt nhất từ các nhà lãnh đạo bảo mật để hoàn thiện hoạt động bảo mật của bạn. Tìm hiểu thêm
Tự động hóa
- Tự động hóa giúp giảm bớt các tác vụ nhàm chán cho bạn và nhóm nghiệp vụ để bạn có thể tập trung vào các mối đe dọa nghiêm trọng, tăng năng suất và giảm tình trạng kiệt sức.
- Tìm hiểu cách đặt cấu hình tự động hóa với Microsoft Defender cho Điểm cuối
Tận dụng các công cụ điện toán đám mây
- Các công cụ điện toán đám mây giúp bạn thấy được bối cảnh mối đe dọa của toàn bộ tổ chức trên đám mây. Việc chuyển sang SIEM trên nền điện toán đám mây có thể giảm thiểu các thử thách xuất hiện do giải pháp SIEM tại chỗ. Tìm hiểu thêm
Quản lý sự cố bảo mật thông qua phiếu
- Việc có hệ thống phiếu giúp nhóm làm việc hiệu quả hơn và thành công chống lại các mối đe dọa hơn. Tìm hiểu thêm
Quản lý sự mệt mỏi vì cảnh báo
- Việc quản lý sự mệt mỏi vì cảnh báo là rất quan trọng để vận hành các hoạt động bảo mật một cách trơn tru. Nếu không có hệ thống ưu tiên tại chỗ, nhóm của bạn có thể sẽ điều tra ra trường hợp dương tính giả và để lọt các mối đe dọa nghiêm trọng, điều này có thể dẫn đến tình trạng kiệt sức. Azure Sentinel giảm sự mệt mỏi vì cảnh báo bằng máy học. Tìm hiểu thêm
Chuyên gia phân tích sử dụng bao nhiêu công cụ bảo mật để điều tra sự cố (ví dụ: sản phẩm hoặc cổng thông tin của nhà cung cấp và các công cụ hoặc tập lệnh tùy chỉnh
Bạn có sử dụng SIEM hoặc công cụ khác để tổng hợp và tương quan tất cả các nguồn dữ liệu không?
Bạn có đang sử dụng phân tích hành vi trong việc phát hiện và điều tra (ví dụ: phân tích thực thể và hành vi người dùng hoặc UEBA)?
Bạn có sử dụng các công cụ phát hiện và điều tra tập trung vào danh tính không?
Bạn có sử dụng các công cụ phát hiện và điều tra tập trung vào điểm cuối không?
Bạn có sử dụng các công cụ phát hiện và điều tra tập trung vào email và dữ liệu không?
Bạn có sử dụng các công cụ phát hiện và điều tra tập trung vào ứng dụng SaaS không?
Bạn có sử dụng các công cụ phát hiện và điều tra tập trung vào cơ sở hạ tầng đám mây, chẳng hạn như Máy Ảo, Vật dụng kết nối Internet (IoT) và Công nghệ hoạt động (OT) không?
Bạn có sử dụng MITRE ATT&CK hoặc các khung công việc khác để theo dõi và phân tích sự cố không?
Nhóm điều tra hoặc tìm kiếm có đánh giá các trường hợp trong hàng đợi phân loại để xác định xu hướng, nguyên nhân căn bản và các thông tin chuyên sâu khác không?
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Tối ưu hóa.
Tài nguyên chính:
- Tìm hiểu cách ngăn xếp bảo mật hợp nhất giúp giảm rủi ro và chi phí cho bạn.
- Tìm hiểu thêm về các chức năng hoạt động bảo mật (SecOps).
Xem thêm thông tin về cách tối ưu hóa độ trưởng thành của trung tâm hoạt động bảo mật.
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Nâng cao.
Tài nguyên chính:
- Tìm hiểu cách ngăn xếp bảo mật hợp nhất giúp giảm rủi ro và chi phí cho bạn.
- Tìm hiểu thêm về các chức năng hoạt động bảo mật (SecOps).
Xem thêm thông tin về cách chuyển sang giai đoạn trưởng thành tối ưu của trung tâm hoạt động bảo mật.
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Cơ bản.
Tài nguyên chính:
- Tìm hiểu cách ngăn xếp bảo mật hợp nhất giúp giảm rủi ro và chi phí cho bạn.
- Tìm hiểu thêm về các chức năng hoạt động bảo mật (SecOps).
Xem thêm thông tin về cách chuyển sang giai đoạn trưởng thành nâng cao của trung tâm hoạt động bảo mật.
Các tài nguyên và đề xuất sau đây có thể hữu ích trong giai đoạn này.
Công cụ bảo mật tích hợp
- Việc sử dụng các giải pháp bảo mật thông minh, tự động và tích hợp trên các miền có thể giúp bộ bảo vệ SecOps kết nối các cảnh báo có vẻ khác nhau và đón đầu kẻ tấn công. Khám phá cách giải pháp hợp nhất SIEM và XDR giúp ngăn chặn các cuộc tấn công nâng cao. Tìm hiểu thêm
- Hiện đại hóa trung tâm hoạt động bảo mật để bảo mật lực lượng lao động làm việc từ xa tốt hơn. Tìm hiểu thêm.
Sử dụng SIEM để tổng hợp các nguồn dữ liệu
- SIEM, chẳng hạn như Azure Sentinel, cung cấp cái nhìn bao quát về bối cảnh mối đe dọa và thu thập tất cả dữ liệu về mối đe dọa, giúp bạn chủ động hơn không bỏ sót bất kỳ mối đe dọa nào. Azure Sentinel là gì?
- Tìm hiểu thêm về Kiến trúc tham chiếu an ninh mạng của Microsoft.
Các biện pháp bảo mật tốt nhất của Microsoft dành cho hoạt động bảo mật
- Máy học và phân tích hành vi là các biện pháp tốt nhất có thể giúp bạn nhanh chóng xác định các sự kiện bất thường với độ tin cậy cao. Tìm hiểu thêm
Quản lý quyền truy nhập dữ liệu
- Bạn cần phải biết ai có quyền truy nhập vào dữ liệu của bạn và họ có loại quyền truy nhập nào. Việc tận dụng khung công việc dựa trên xác định là biện pháp tốt nhất để giảm rủi ro và cải thiện năng suất. Tìm hiểu thêm
Quản lý điểm cuối
- Đây là biện pháp tốt nhất để biết đối tượng đang truy nhập dữ liệu từ ngoài vành đai truyền thống và các thiết bị này có ở trạng thái tốt không. Microsoft Defender cho Điểm cuối có thể giúp bạn thông qua hướng dẫn từng bước này. Tìm hiểu thêm
- Tìm hiểu cách triển khai Microsoft Defender cho Điểm cuối
Phát hiện email và dữ liệu
- Tác nhân xấu có thể thâm nhập vào môi trường của bạn thông qua email doanh nghiệp bị xâm phạm. Giải pháp có thể phát hiện và chặn đứng các mối đe dọa như lừa đảo qua mạng có thể giúp tránh giao công việc bảo mật cho người dùng cuối. Tìm hiểu thêm
Phát hiện ứng dụng SaaS
- Điều quan trọng là phải bảo mật các giải pháp điện toán đám mây có thể truy nhập dữ liệu nhạy cảm của bạn.
Phát hiện cơ sở hạ tầng đám mây
- Khi vành đai mở rộng để bao gồm IoT và dung lượng lưu trữ, bộ chứa cùng các cấu phần khác của hạ tầng đám mây, bạn cần phải đặt giám sát và phát hiện trên các phần mở rộng này trong môi trường của bạn.
Theo dõi và phân tích sự cố
- MITRE ATT&CK® là cơ sở tri thức có thể truy nhập trên toàn cầu về chiến thuật và kỹ thuật của kẻ xấu dựa trên các quan sát trong thế giới thực. Việc có các khung công việc như MITRE ATT&CK có thể giúp bạn phát triển các mô hình và phương pháp cho mối đe dọa cụ thể, để giúp bạn chủ động phát triển các cách phòng thủ.
Lập tài liệu và đánh giá
- Để thu thập thông tin chuyên sâu và chủ động trước các mối đe dọa, bạn cần lập tài liệu cho các trường hợp điều tra.
Bạn có đưa việc chủ động tìm kiếm mối đe dọa vào chiến lược bảo mật của mình không?
Bạn có sử dụng các quy trình tìm kiếm tự động như sổ tay Jupyter không?
Bạn có các quy trình và công cụ để giúp phát hiện và quản lý các mối đe dọa từ nội bộ không?
Nhóm tìm kiếm của bạn có dành thời gian để tinh chỉnh cảnh báo nhằm tăng tỉ lệ dương tính Thật cho các nhóm phân loại (bậc 1) không?
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Tối ưu hóa.
Tài nguyên chính:
- Tìm hiểu thêm về giải pháp quản lý rủi ro từ nội bộ trong Microsoft 365.
Xem thêm thông tin về cách tối ưu hóa độ trưởng thành của trung tâm hoạt động bảo mật.
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Nâng cao.
Tài nguyên chính:
- Tìm hiểu thêm về giải pháp quản lý rủi ro từ nội bộ trong Microsoft 365.
Xem thêm thông tin về cách chuyển sang giai đoạn trưởng thành tối ưu của trung tâm hoạt động bảo mật.
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Cơ bản.
Tài nguyên chính:
- Tìm hiểu thêm về giải pháp quản lý rủi ro từ nội bộ trong Microsoft 365.
Xem thêm thông tin về cách chuyển sang giai đoạn trưởng thành nâng cao của trung tâm hoạt động bảo mật.
Các tài nguyên và đề xuất sau đây có thể hữu ích trong giai đoạn này.
Chủ động tìm kiếm mối đe dọa
- Xác định các mối đe dọa trước khi xảy ra. Kẻ tấn công gan lì có thể tìm ra cách thức né tránh phát hiện tự động của bạn, vì vậy bạn phải có chiến lược chủ động. Giảm tác động của các rủi ro từ nội bộ bằng cách đẩy nhanh thời gian để hành động. Tìm hiểu thêm
- Xem cách Microsoft SOC tiếp cận việc tìm kiếm mối đe dọa
Tìm kiếm tự động
- Sử dụng quy trình tìm kiếm tự động có thể giúp tăng năng suất và giảm khối lượng.
Mối đe dọa từ nội bộ
- Với nhân viên, nhà cung cấp và nhà thầu truy nhập vào mạng công ty từ nhiều điểm cuối, điều quan trọng hơn bao giờ hết là người quản lý rủi ro có thể nhanh chóng xác định rủi ro xảy ra trong tổ chức và thực hiện các hành động khắc phục.
- Tìm hiểu về giám sát mối đe dọa từ nội bộ
- Bắt đầu với việc quản lý rủi ro từ nội bộ
Tinh chỉnh các quy trình tìm kiếm
- Thông tin chuyên sâu được thu thập từ các nhóm tìm kiếm mối đe dọa có thể giúp tinh chỉnh và cải thiện độ chính xác của hệ thống cảnh báo phân loại. Tìm hiểu thêm
Nhóm của bạn có quy trình quản lý khủng hoảng để xử lý các sự cố bảo mật nghiêm trọng không?
Quy trình này có bao gồm các điều khoản yêu cầu nhóm nhà cung cấp có chuyên môn sâu về phản hồi sự cố, thông tin về mối đe dọa hoặc nền tảng công nghệ không?
Quy trình này có đòi hỏi sự tham gia của lãnh đạo điều hành bao gồm các nhóm pháp lý và cơ quan quản lý không?
Quy trình này có bao gồm các nhóm truyền thông và quan hệ công chúng không?
Nhóm của bạn có tiến hành các luyện tập thường xuyên để thực hành và tinh chỉnh quy trình này không?
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Tối ưu hóa.
Tài nguyên chính:
- Tìm hiểu thêm về giải pháp quản lý rủi ro từ nội bộ trong Microsoft 365.
Xem thêm thông tin về cách tối ưu hóa độ trưởng thành của trung tâm hoạt động bảo mật.
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Nâng cao.
Tài nguyên chính:
- Tìm hiểu thêm về giải pháp quản lý rủi ro từ nội bộ trong Microsoft 365.
Xem thêm thông tin về cách chuyển sang giai đoạn trưởng thành tối ưu của trung tâm hoạt động bảo mật.
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Cơ bản.
Tài nguyên chính:
- Tìm hiểu thêm về giải pháp quản lý rủi ro từ nội bộ trong Microsoft 365.
Xem thêm thông tin về cách chuyển sang giai đoạn trưởng thành nâng cao của trung tâm hoạt động bảo mật.
Các tài nguyên và đề xuất sau đây có thể hữu ích trong giai đoạn này.
Ứng phó sự cố
- Thời gian ngắn có vai trò quan trọng trong việc ứng phó khủng hoảng. Kể cả việc có sẵn quy trình tạm thời cũng quan trọng để đảm bảo quản lý sự cố và khắc phục nhanh.
- Tải xuống Hướng dẫn tham khảo ứng phó sự cố
- Tìm hiểu cách ngăn chặn các cuộc tấn công an ninh mạng từ mã độc tống tiền đến hành động tống tiền.
Biện pháp khắc phục sự cố
- Tính nhanh nhạy và linh hoạt có vai trò quan trọng đối với việc khắc phục và quản lý sự cố. Việc hiểu và đánh giá các kỹ năng và trải nghiệm của nhóm cũng sẽ giúp bạn xác định nhóm nhà cung cấp và công nghệ mà bạn cần. Tìm hiểu thêm
Giảm thiểu các tác động
- Bảo mật là việc của tất cả mọi người trong tổ chức. Thông tin chuyên sâu từ những bên liên quan khác của doanh nghiệp có thể cung cấp hướng dẫn cụ thể để giảm thiểu tác động từ sự vi phạm.
- Xem Chuỗi Tiêu điểm CISO
- Tìm hiểu thêm về bảo mật đám mây
Truyền thông và quan hệ công chúng
- Quy trình của bạn cần bao gồm các kế hoạch quan hệ công chúng và truyền thông trong trường hợp xảy ra vi phạm để bạn sẵn sàng hỗ trợ khách hàng và giảm thiểu tác động từ sự vi phạm. Tìm hiểu cách vận hành hoạt động bảo mật hiệu quả cao.
Luyện tập không ngừng để đạt hiệu quả tốt
- Luyện tập sẽ đảm bảo bạn có thể phát hiện các lỗ hổng và lĩnh vực cần cải thiện trước khi xảy ra sự vi phạm. Kiểm thử bài tập trường hợp để đảm bảo bạn đã chuẩn bị đối phó với vi phạm.
- Bạn có tự động hóa do nhà cung cấp cung cấp hoặc do nhà cung cấp duy trì giúp giảm khối lượng công việc điều tra và khắc phục cho chuyên gia phân tích không?
Bạn có thể điều phối các hành động tự động trên các công cụ khác nhau không?
Nếu bạn điều phối các hành động tự động trên các công cụ khác nhau, bạn kết nối riêng với tất cả hoặc hầu hết các công cụ, hay dựa trên việc tạo tập lệnh tùy chỉnh?
Bạn có sử dụng tự động hóa do cộng đồng cung cấp không?
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Tối ưu hóa.
Tài nguyên chính:
- Azure Sentinel – Sổ làm việc khung công việc quy trình SOC. Tải ngay.
- Điều phối bảo mật, tự động hóa và ứng phó (SOAR) trong Azure Sentinel. Tìm hiểu thêm.
- Hướng dẫn truy nhập an toàn liền mạch: Trải nghiệm người dùng được cải thiện với bảo mật tăng cường. Tìm hiểu thêm.
- Tăng cường bảo mật chủ động với Zero Trust. Tìm hiểu thêm.
- Hướng dẫn triển khai Zero Trust dành cho Microsoft Azure Active Directory. Tải ngay.
Xem thêm thông tin về cách tối ưu hóa độ trưởng thành của trung tâm hoạt động bảo mật.
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Nâng cao.
Tài nguyên chính:
- Azure Sentinel – Sổ làm việc khung công việc quy trình SOC. Tải ngay.
- Điều phối bảo mật, tự động hóa và ứng phó (SOAR) trong Azure Sentinel. Tìm hiểu thêm.
- Hướng dẫn truy nhập an toàn liền mạch: Trải nghiệm người dùng được cải thiện với bảo mật tăng cường. Tìm hiểu thêm.
- Tăng cường bảo mật chủ động với Zero Trust. Tìm hiểu thêm.
- Hướng dẫn triển khai Zero Trust dành cho Microsoft Azure Active Directory. Tải ngay.
Xem thêm thông tin về cách chuyển sang giai đoạn trưởng thành tối ưu của trung tâm hoạt động bảo mật.
Đề xuất
Dựa trên phản hồi của bạn, bạn đang nằm trong giai đoạn hoạt động bảo mật Cơ bản.
Tài nguyên chính:
- Azure Sentinel – Sổ làm việc khung công việc quy trình SOC. Tải ngay.
- Điều phối bảo mật, tự động hóa và ứng phó (SOAR) trong Azure Sentinel. Tìm hiểu thêm.
- Hướng dẫn truy nhập an toàn liền mạch: Trải nghiệm người dùng được cải thiện với bảo mật tăng cường. Tìm hiểu thêm.
- Tăng cường bảo mật chủ động với Zero Trust. Tìm hiểu thêm.
- Hướng dẫn triển khai Zero Trust dành cho Microsoft Azure Active Directory. Tải ngay.
Xem thêm thông tin về cách chuyển sang giai đoạn trưởng thành nâng cao của trung tâm hoạt động bảo mật.
Các tài nguyên và đề xuất sau đây có thể hữu ích trong giai đoạn này.
Quản lý khối lượng công việc của chuyên gia phân tích
- Hỗ trợ tự động hóa nhà cung cấp có thể giúp nhóm của bạn quản lý khối lượng công việc. Cân nhắc việc bảo vệ tài sản kỹ thuật số của bạn bằng phương thức tiếp cận tích hợp để tăng hiệu quả SOC. Tìm hiểu thêm
- Khám phá cách các nhóm hoạt động bảo mật thích ứng với bối cảnh mối đe dọa đang thay đổi
Điều phối các hành động tự động
- Việc tích hợp các hành động tự động trên tất cả các công cụ của bạn có thể cải thiện năng suất và giúp tăng khả năng bạn không bỏ lỡ bất kỳ mối đe dọa nào. Tìm hiểu thêm về cách ngăn xếp bảo mật hợp nhất có thể giảm rủi ro và chi phí cho bạn. Tìm hiểu thêm
Kết nối các hành động tự động
- Các công cụ và quy trình được kết nối và tích hợp có thể giúp giảm lỗ hổng trong chương trình giám sát mối đe dọa và giúp bạn cập nhật bối cảnh mối đe dọa an ninh mạng không ngừng thay đổi.
Tự động hóa do cộng đồng cung cấp
- Cân nhắc việc sử dụng tự động hóa do cộng đồng cung cấp, cách này giúp tăng khả năng nhận dạng mẫu hình mối đe dọa và có thể giúp bạn tiết kiệm thời gian bằng cách loại bỏ nhu cầu đối với các công cụ tự động được tích hợp tùy chỉnh.
Theo dõi Microsoft Security