Sdílet prostřednictvím


Krok 1. Plánování provozní připravenosti Microsoft Defender XDR

Platí pro:

  • Microsoft Defender XDR

Bez ohledu na aktuální vyspělost vašich operací zabezpečení je důležité, abyste se přizpůsobili službě Security Operations Center (SOC). I když neexistuje jediný model, který by vyhovoval každé organizaci, existují určité aspekty, které jsou běžnější než ostatní.

Následující části popisují základní funkce SOC.

Poskytovat situační povědomí o moderních hrozbách

Tým SOC se připravuje na nové a příchozí hrozby a vyhledává je, aby mohl spolupracovat s organizací na vytváření protiopatření a reakcí. Váš tým SOC by měl mít pracovníky, kteří jsou vysoce vyškoleni v moderních metodách a technikách útoku a rozumí aktérem hrozeb. Sdílené analýzy hrozeb a architektury, jako je Cyber Kill Chain nebo MITRE ATT&CK framework, můžou poskytnout vašim pracovníkům analytiků hrozeb a lovcům hrozeb možnost.

Poskytnout první, druhou a potenciálně třetí úroveň reakce na kybernetické incidenty a události

SOC je první linie obrany před bezpečnostními událostmi a incidenty. Když událost, hrozba, útok, porušení zásad nebo zjištění auditu aktivuje upozornění nebo výzvu k akci, tým SOC provede posouzení, aby ho posuzovala a obsahovala nebo eskalovala k prošetření. Proto musí mít respondeři první linie SOC široké technické znalosti o bezpečnostních událostech a ukazatelích.

Centralizace monitorování a protokolování zdrojů zabezpečení vaší organizace

Hlavní funkcí týmu SOC je obvykle zajistit, aby všechna bezpečnostní zařízení, jako jsou brány firewall, systémy pro ochranu před neoprávněným vniknutím, systémy ochrany před únikem informací, systémy pro správu ohrožení zabezpečení a systémy identit, správně fungovaly a byly monitorovány. Týmy SOC pracují s širšími síťovými operacemi, jako jsou identity, DevOps, cloud, aplikace, datové vědy a další obchodní týmy, aby zajistily centralizovanou a zabezpečenou analýzu informací o zabezpečení. Kromě toho tým SOC zodpovídá za správu protokolů dat v použitelných a čitelných formátech, což může zahrnovat parsování a normalizaci různorodých formátů.

Zajištění provozní připravenosti červeného, modrého a fialového týmu

Každý tým SOC by měl otestovat svou připravenost při reakci na kybernetický incident. Testování je možné provádět prostřednictvím trénovacích cvičení, jako jsou tabulkové topy a praktické běhy s různými jednotlivci v OBLASTI IT, zabezpečení a na podnikové úrovni. Jednotlivé tréninkové týmy se vytvářejí na základě reprezentativních rolí a buď hrají roli defendera (modrý tým), útočníka (Červený tým), nebo jako pozorovatelé, kteří se snaží vylepšit metody a techniky modrého a červeného týmu prostřednictvím silných a slabých stránek, které jsou během cvičení odhaleny (Purple Team).

Další krok

Krok 2. Provedení posouzení připravenosti integrace SOC s využitím nulová důvěra (Zero Trust) Frameworku

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.