Doporučené postupy zabezpečení microsoftu pro operace zabezpečení

Operace zabezpečení (SecOps) udržují a obnoví záruky zabezpečení systému, protože na něj napadají aktivní protivné. Úkoly secops jsou dobře popsány funkcemi NIST Cybersecurity Framework pro zjišťování, odpovídání a obnovení.

  • Rozpoznat – Funkce SecOps musí zjistit přítomnost protivných lidí v systému, kteří jsou incentivovaní, aby ve většině případů zůstali skrytí, protože jim to umožňuje dosáhnout svých cílů, které jsou stíhány. Může to mít podobu reakce na upozornění na podezřelou aktivitu nebo aktivní hledání neobvyklé události v protokolech podnikových aktivit.

  • Odpovědět – Po zjištění potenciálních protichůdných akcí nebo kampaní musí SecOps rychle prozkoumat, jestli se jedná o skutečný útok (pravda kladný) nebo falešně pozitivní alarm (falešně pozitivní) a pak vyjmenovává rozsah a cíl operace protivníka.

  • Obnovení – Konečným cílem SecOps je zachovat nebo obnovit záruky zabezpečení (důvěrnost, integrita, dostupnost) obchodních služeb během útoku a po útoku.

Nejzása nějším bezpečnostním rizikem, které většina organizací čelí, je od operátorů útoku lidí (s různou úrovní dovedností). Je to proto, že rizika z automatizovaných nebo opakovaných útoků byla ve většině organizací výrazně zmírněna pomocí přístupů založených na podpisech a strojového učení integrovaných do antimalwaru (i když existují významné výjimky, jako je Wannacrypt a NotPetya, které se pohybovaly rychleji než tato obrana).

I když jsou operátoři útoku lidí nároční, protože jsou přizpůsobilí (vs. automatizovaná/opakovaná logika), působí stejnou "rychlostí člověka" jako obránci, což pomáhá vyrovnat podmínky.

SecOps (někdy označoval se jako Centrum operací zabezpečení (SOC)) má zásadní roli při omezení času a přístup k útočníkovi se může dostat k cenným systémům a datům. Každá minuta, kterou má útočník v prostředí, jim umožňuje pokračovat v operacích útoku a přistupovat k citlivým nebo cenným systémům.

Cíl a metriky

Metriky, které měříte, budou mít významný vliv na chování a výsledky funkce SecOps. Když se zaměříte na správné měření, pomůžete neustále zlepšovat ty správné oblasti, které smysluplně snižují riziko.

Aby se zajistilo, že SecOps efektivně obsahuje přístup útočníků, měly by se cíle zaměřit na:

  • Zkrátíte čas na potvrzení upozornění, abyste zajistili, že zjištěné protivníky nebudou ignorovány, zatímco obránci tráví čas zkoumáním falešně pozitivních výsledků.

  • Zkrácení času na nápravu zjištěného protivníka, aby se zkrátil jejich čas na vedení a útok a přístup k citlivým systémům

  • Upřednostňování investic zabezpečení do systémů, které mají vysokou vnitřní hodnotu (pravděpodobné cíle nebo vysoký dopad na firmy) a přístup k mnoha systémům nebo citlivým systémům (účty správce a citliví uživatelé)

  • Když se váš program zvětšuje a reaktivní incidenty se zaměřit na aktivní hledání pronásledovately, budete se stále více soustředit na hledání pronásledovately. Zaměřuje se na zkrácení doby, po kterou může v prostředí působit zkušený protivný (například dostatečně zkušený, aby se vymykal reaktivním upozorněním).

Další informace o tom, jak soc společnosti Microsoft používá tyto metriky, najdete v tématu https://aka.ms/ITSOC.

Hybridní podnikové zobrazení

SecOps by měl zajistit, aby jejich nástroje, procesy a analytické dovednosti umožnily viditelnost v celém rozsahu jejich hybridního prostředí.

Útočníci neomezují své akce na určité prostředí při cílení na organizaci, napadá prostředky na libovolné platformě pomocí jakékoli dostupné metody. Enterprise organizace, které přijímají cloudové služby, jako je Azure a AWS, efektivně provozují hybridní cloudové a místní prostředky.

Nástroje a procesy SecOps by měly být navržené pro útoky na cloudové a místní prostředky i pro útočníky, které se přechádují mezi cloudem a místními prostředky pomocí identity nebo jiných prostředků. Toto zobrazení pro celou organizaci umožní týmům SecOps rychle zjišťovat útoky, reagovat na ně a zotavovat se z útoků, čímž se sníží riziko organizace.

Využití nativních zjišťování a ovládacích prvků

Před vytvořením vlastních zjišťování pomocí protokolů událostí z cloudu byste měli upřednostňovat používání zjišťování zabezpečení a ovládacích prvků integrovaných do cloudové platformy.

Cloudové platformy se rychle vyvíjejí s novými funkcemi, které nutí udržovat detekce náročné. Nativní ovládací prvky spravuje poskytovatel cloudu a jsou obvykle vysoce kvalitní (nízká falešně kladná rychlost).

Vzhledem k tomu, že mnoho organizací může používat více cloudových platforem a potřebuje jednotné zobrazení v celém podniku, měli byste zajistit, aby tato nativní zjišťování a ovládací prvky informačního kanálu informačního kanálu centralizovaného nástroje SIEM nebo jiného nástroje. Nedoporučujeme místo nativních zjišťování a ovládacích prvků nahrazovat nástroje a dotazy pro zobecněnou analýzu protokolů. Tyto nástroje mohou nabídnout řadu hodnot proaktivních loveckých aktivit, ale dostat se k vysoce kvalitnímu upozornění pomocí těchto nástrojů vyžaduje použití hloubkových znalostí a času, které by se mohly lépe věnovat lovecké a jiné činnosti.

Abyste doplnili širokou viditelnost centralizovaného systému SIEM (například Microsoft Sentinel, Splunk nebo QRadar), měli byste využít nativní detekce a ovládací prvky, jako jsou:

  • Organizace používající Azure by měly využívat funkce jako Microsoft Defender for Cloud pro generování upozornění na platformě Azure.

  • Organizace by měly využívat nativní funkce protokolování, jako je Azure Monitor a AWS CloudTrail, pro přetahování protokolů do centrálního zobrazení.

  • Organizace používající Azure by měly využívat funkce skupiny zabezpečení sítě (NSG) pro viditelnost síťových aktivit na platformě Azure.

  • Postupy vyšetřování by měly využívat nativní nástroje s hlubokou znalostí o typu aktiva, jako je řešení zjišťování koncových bodů a odpověď (EDR), nástroje identity a Microsoft Sentinel.

Stanovení priority upozorňování a integrace protokolu

Ujistěte se, že integrujete důležitá upozornění zabezpečení a protokoly do systémů SIEM, aniž byste představili vysoký objem dat s nízkou hodnotou.

Zavedení příliš nízká hodnota dat může zvýšit náklady na SIEM, zvýšit šum a falešná pozitiva a snížit výkon.

Data, která shromáždíte, by se měla zaměřit na podporu jedné nebo více těchto operací:

  • Upozornění (zjišťování ze stávajících nástrojů nebo dat nutných pro generování vlastních upozornění)

  • Vyšetřování incidentu (například vyžadované pro běžné dotazy)

  • Proaktivní lovecké aktivity

Integrace dalších dat vám umožní obohatit upozornění o další kontext, který umožňuje rychlou reakci a nápravu (filtrování falešně pozitivních výsledků a zvýšení skutečných pozitiv atd.), ale kolekce není zjišťování. Pokud nemáte přiměřené očekávání, že data budou poskytovat hodnotu (například vysoký objem brány firewall popírá události), můžete zhoršit integraci těchto událostí.

Prostředky SecOps pro služby zabezpečení Microsoftu

Pokud jste analytikem zabezpečení, podívejte se na tyto materiály, kde můžete začít.

Téma Zdroj
Plánování SecOps pro odpověď na incident Plánování odpovědí na incidenty pro přípravu vaší organizace na incident.
Proces odezvy incidentu SecOps Proces reakce na incident , který obsahuje osvědčené postupy pro reakci na incident.
Pracovní postup odpovědi na incident Příklad pracovního postupu odpovědi na incident pro Microsoft 365 Defender
Pravidelné operace zabezpečení Příklad pravidelných operací zabezpečení pro Microsoft 365 Defender
Vyšetřování společnosti Microsoft Sentinel Incidenty v Microsoft Sentinelu
Vyšetřování Microsoft 365 Defender Incidenty v Microsoft 365 Defender

Pokud jste zkušený analytik zabezpečení, podívejte se na tyto zdroje informací, které vám poslouží k rychlému rozjezdu týmu SecOps pro bezpečnostní služby Microsoftu.

Téma Zdroj
Azure Active Directory (Azure AD) Průvodce operacemi zabezpečení
Microsoft 365 Defender Průvodce operacemi zabezpečení
Microsoft Sentinel Jak prozkoumat incidenty
Microsoft 365 Defender Jak prozkoumat incidenty
Zřízení nebo modernizace bezpečnostních operací Články Cloud Adoption Framework azure pro funkce SecOps a SecOps
Playbooks pro odpovědi na incidenty Přehled na https://aka.ms/IRplaybooks
- Phishing
- Rozprašování heslem
- Udělení souhlasu s aplikací
SOC Process Framework Microsoft Sentinel
Poznámkové bloky MSTICPy a Jupyter Microsoft Sentinel

Blogová řada o secopsech v Microsoftu

Podívejte se na tuto blogovou řadu o tom, jak tým SecOps v Microsoftu funguje.

Simuland

Simuland je open-source iniciativa pro nasazení testovacích prostředí a simulací mezi koncovými zařízeními, které:

  • Reprodukovat známé techniky používané ve scénářích skutečného útoku.
  • Aktivně testujte a ověřujte účinnost souvisejících Microsoft 365 Defender, Microsoft Defender for Cloud a detekcí Microsoft Sentinel.
  • Rozšiřte výzkum hrozeb pomocí telemetrie a forenzních artefaktů generovaných po každém simulačním cvičení.

Simuland lab environments provide use cases from a variety data sources including telemetry from Microsoft 365 Defender security products, Microsoft Defender for Cloud, and other integrated data sources through Microsoft Sentinel data connectors.

V zabezpečení zkušebního nebo placeného předplatného izolovaného prostoru můžete:

  • Pochopte základní chování a funkčnost obchodních řemesel pro spory.
  • Zdokumentujte předběžné podmínky pro každou akci útočníka.
  • Urychlete návrh a nasazení testovacích prostředí pro výzkum hrozeb.
  • Zůstaňte v platnosti s nejnovějšími technikami a nástroji, které používají skuteční aktéři hrozeb.
  • Identifikujte, dokumentujte a sdílejte relevantní zdroje dat pro modelování a zjišťování protichůdných akcí.
  • Ověřte a vylaďte možnosti zjišťování.

V produkčním prostředí pak můžete implementovat výuku ze scénářů testovacího prostředí Simuland.

Po přečtení přehledu simulandu se podívejte do úložiště simuland GitHub.

Klíčové zdroje zabezpečení Microsoftu

Zdroj Popis
2021 Microsoft Digital Defense Report Zpráva, která zahrnuje učení od odborníků na zabezpečení, odborníků z praxe a obránců v Microsoftu, která umožňuje lidem všude bránit se před kybernetickými hrozbami.
Referenční architektury microsoftu pro kybernetickou bezpečnost Sada diagramů vizuální architektury, které ukazují možnosti kybernetické bezpečnosti Microsoftu a jejich integraci s cloudovými platformami Microsoftu, jako jsou Microsoft 365 a Microsoft Azure a cloudové platformy a aplikace třetích stran.
Minuty jsou důležité– infografika ke stažení Přehled toho, jak tým SecOps od Microsoftu na incidenty zareagovat, aby zmírní probíhající útoky.
Operace Cloud Adoption Framework zabezpečení Azure Strategické pokyny pro vedoucí, kteří zachytá nebo modernizují funkci operace zabezpečení.
Cloudové zabezpečení Microsoftu pro model IT architektů Zabezpečení cloudových služeb a platforem Microsoftu pro přístup ke identitám a zařízením, ochranu před internetovými hrozbami a ochranu informací.
Dokumentace zabezpečení microsoftu Další pokyny k zabezpečení od Microsoftu

Další krok

Zkontrolujte možnosti operací zabezpečení.