如何排定事件和威脅警示的優先順序?
(選取所有適用項目)
您使用自動化來調查和補救大量或重複事件的程度有多高?
您在多少案例中使用雲端式工具來保護內部部署和多雲端資源?
您是否有票證系統來管理安全性事件,並衡量確認時間和補救時間?
您如何管理警示疲乏?
(選取所有適用項目)
下列資源和建議對於此階段可能會有所幫助。
威脅警示的優先順序
- 威脅警示的優先順序是您成功的關鍵。根據來源確判為真的機率進行評分是最佳做法。探索安全性領導者的重要深入解析和最佳做法,讓您的安全作業更完善。 深入了解
自動化
- 自動化協助您和作業團隊擺脫繁瑣的工作,以便專注於關鍵威脅、提升生產力並減少過勞。
- 深入了解 如何在適用於端點的 Microsoft Defender 設定自動化
利用雲端式工具
- 雲端式工具協助您跨雲端查看整個組織的威脅情勢。轉移到雲端式 SIEM 可減輕內部部署 SIEM 解決方案帶來的挑戰。 深入了解
透過票證管理安全性事件
- 擁有票證系統能協助您的團隊在打擊威脅時更有效率且更成功。 深入了解
管理警示疲乏
- 管理警示疲乏是順利執行安全性作業的關鍵。如果沒有優先順序系統,您的團隊最終可能會出現調查誤判,並錯過嚴重威脅,而可能會導致過勞。Azure Sentinel 透過機器學習減少警示疲乏。 深入了解
分析員使用多少個安全性工具進行事件調查 (例如,廠商產品或入口網站,以及自訂工具或指令碼)?
您是否使用 SIEM 或其他工具來合併和相互關聯所有資料來源?
您是否使用行為分析來進行偵測和調查 (例如,使用者與實體行為分析 (UEBA))?
您是否使用專注於身分識別的偵測和調查工具?
您是否使用專注於端點的偵測和調查工具?
您是否使用專注於電子郵件和資料的偵測和調查工具?
您是否使用專注於 SaaS 應用程式的偵測和調查工具?
您是否使用專注於雲端基礎結構 (例如,虛擬機器、物聯網 (IoT) 和營運技術 (OT)) 的偵測和調查工具?
您是否使用 MITRE ATT&CK 或其他架構來追蹤和分析事件?
調查或搜捕團隊是否檢閱分級佇列中的案例,以識別趨勢、根本原因和其他深入解析?
下列資源和建議對於此階段可能會有所幫助。
整合式安全性工具
使用 SIEM 以合併資料來源
- SIEM (例如 Azure Sentinel) 提供威脅情勢的鳥瞰圖檢視,並擷取所有威脅資料,協助您更加主動,不會遺漏任何項目。 什麼是 Azure Sentinel?
- 深入了解 Microsoft 網路安全性參考架構。
適用於安全性作業的 Microsoft 安全性最佳做法
- 機器學習和行為分析是具高信賴度、可協助您快速識別異常事件的最佳做法。 深入了解
資料存取權管理
- 知道誰能存取您的資料以及存取類型非常重要。降低風險和提升生產力的最佳做法是利用身分識別型架構。 深入了解
端點管理
電子郵件和資料偵測
- 惡意執行者可透過遭入侵的商業電子郵件進入您的環境。可偵測和阻止威脅 (例如網路釣魚) 的解決方案能協助避免將安全性工作交給終端使用者。 深入了解
SaaS 應用程式偵測
- 保護能存取您敏感性資料的雲端式解決方案非常重要。
雲端基礎結構偵測
- 隨著界限擴展到包括 IoT 和儲存空間、容器以及雲端基礎結構的其他元件,對您環境的這些擴展設定監控和偵測就非常重要。
追蹤和分析事件
- MITRE ATT&CK® 是根據現實世界的觀察,可全球存取的敵人策略和技術知識庫。擁有像 MITRE ATT&CK 這樣的架構可協助您開發特定威脅模型和方法,以協助您主動開發防禦措施。
記錄和檢閱
- 為了獲得深入解析並主動面對威脅,記錄調查案例非常重要。
您是否將主動式搜捕威脅包含在安全性策略?
您是否使用自動化搜捕程序 (例如 Jupyter Notebook)?
您是否有協助偵測和管理內部威脅的程序與工具?
您的搜捕團隊是否有時間精簡警示以提升分級 (第 1 層) 團隊確判為真的機率?
下列資源和建議對於此階段可能會有所幫助。
主動式搜捕威脅
自動化搜捕
- 使用自動化搜捕程序可協助增加生產力並減少資料量。
精簡搜捕程序
- 從威脅搜捕團隊取得的深入解析可協助精簡並提升分級警示系統的準確度。 深入了解
您的團隊是否有處理重大安全性事件的危機管理程序?
此程序是否包括佈建,以提供具有深度事件回應、威脅情報或技術平台專業知識的廠商團隊?
這個程序是否涉及包括法務小組和監管機構在內的高階主管?
這個程序是否包含通訊和公關團隊?
您的團隊是否舉辦定期練習以練習及精簡此程序?
下列資源和建議對於此階段可能會有所幫助。
事件回應
- 回應危機必須分秒必爭。即使是臨時程序到位,對於確保快速補救和事件管理也非常重要。
- 取得事件回應參考指南
- 了解如何 避免從勒索軟體到勒索的網路安全性攻擊。
事件補救
- 靈活性和彈性對於補救和事件管理非常重要。了解和評定團隊技能和體驗還可協助您確定所需的廠商團隊和技術。 深入了解
通訊和公關
- 您的程序應包括公關和通訊計劃,以便出現缺口時,您準備好支援客戶並減輕缺口的影響。 深入了解如何 執行高效率的安全性作業。
熟能生巧
- 練習以確保您可以在缺口出現之前發現需要改進的差距和地方。測試案例練習來確保您已為缺口做好準備。
- 您是否有廠商提供或廠商維護的自動化方法,來減少分析員調查和補救的工作負載?
您是否可以協調不同工具的自動化動作?
如果要協調不同工具的自動化動作,您會原生連結所有或多數工具,還是根據自訂指令碼?
您是否使用社群提供的自動化方法?
下列資源和建議對於此階段可能會有所幫助。
協調自動化動作
- 整合所有工具的自動化動作可強化生產力並協助您增加不錯過任何威脅的可能性。了解合併安全性堆疊如何能協助降低您的風險和成本。 深入了解
連結自動化動作
- 連結和整合工具與程序能協助縮減威脅監控程式間的差距,並協助您跟上瞬息萬變的網路安全性威脅情勢。
社群提供的自動化方法
- 考慮使用社群提供的自動化方法,提升威脅模式識別,且因無須自訂建置自動化工具而省下您的時間。
關注 Microsoft 安全性