Bewährte Methoden für die Microsoft-Sicherheit bei Sicherheitsvorgängen

Sicherheitsvorgänge (SecOps) verwalten und stellen die Sicherheitssicherungen des Systems bei Angriffen durch Live-Adversatoren aufrecht. Die Aufgaben von SecOps werden von den Funktionen des NIST Cybersecurity Frameworks (Erkennen, Reagieren und Wiederherstellen) gut beschrieben.

  • Erkennen – SecOps müssen das Vorhandensein von Adversaries im System erkennen, die in den meisten Fällen darauf zentriert sind, ausgeblendet zu bleiben, da sie damit ihre Ziele ohne Umsetzung erreichen können. Dies kann die Form einer Reaktion auf eine Warnung bei verdächtigen Aktivitäten oder die proaktive Suche nach anomalen Ereignissen in den Enterprise-Aktivitätsprotokollen haben.

  • Reaktion – Nach Erkennung einer potenziellen Adversary-Aktion oder -Kampagne muss SecOps schnell untersuchen, ob es sich um einen tatsächlichen Angriff (wahr positiv) oder einen falschen Alarm (falsch positiv) handelt, und dann Umfang und Ziel des adversären Vorgangs aufzählen.

  • Wiederherstellen – Das ultimative Ziel von SecOps ist es, die Sicherheitsversprechen (Vertraulichkeit, Integrität, Verfügbarkeit) von Geschäftsdiensten während und nach einem Angriff zu erhalten oder wiederherzustellen.

Das größte Sicherheitsrisiko, dem die meisten Organisationen gegenüber stehen, sind menschliche Angriffsoperatoren (mit unterschiedlichen Fertigkeiten). Dies liegt daran, dass das Risiko von automatisierten/wiederholten Angriffen in den meisten Organisationen durch in Anschlags- und Computerunterricht integrierte Ansätze erheblich abgemildert wurde (obwohl es wichtige Ausnahmen wie Wannacrypt und NotSignya gibt, die schneller verschoben wurden als diese Verteidigungen).

Während sich menschliche Angriffsoperatoren aufgrund ihrer Anpassbarkeit (im Vergleich zu automatisierter/wiederholter Logik) schwer zu stellen sind, arbeiten sie mit derselben "menschlichen Geschwindigkeit" wie Abwehrspieler, was dazu beihilft, das Spielfeld zu gleichen.

SecOps (manchmal auch als Security Operations Center (SOC) bezeichnet) hat eine wichtige Rolle bei der Beschränkung der Zeit und des Zugriffs auf einen Angreifer, der auf wertvolle Systeme und Daten zugreifen kann. Jede Minute, die ein Angreifer in der Umgebung besitzt, ermöglicht es ihnen, weiterhin Angriffsaktionen durchzuführen und auf sensible oder wertvolle Systeme zu zugreifen.

Ziel und Metriken

Die metriken, die Sie messen, haben erhebliche Auswirkungen auf das Verhalten und die Ergebnisse von SecOps. Wenn Sie sich auf die richtigen Maße konzentrieren, können Sie kontinuierliche Verbesserungen in den richtigen Bereichen erreichen, die das Risiko deutlich verringern.

Um sicherzustellen, dass SecOps tatsächlich Zugriff auf Angreifer enthalten, sollten Sie sich auf die Ziele konzentrieren:

  • Verringern Sie die Zeit zum Bestätigen einer Warnung, um sicherzustellen, dass erkannte Adversaries nicht ignoriert werden, während Defender Zeit für die Untersuchung falsch positiver Ergebnisse auf sich nehmen.

  • Verringern sie die Zeit zur Behebung eines entdeckten Adversarys, um die Zeit zu verringern, in der sie vertrauliche Systeme durchführen und in angriffsfähigen Systemen erreichen können.

  • Priorisieren von Investitionen in Sicherheitssysteme, die einen hohen systeminternen Wert haben (wahrscheinliche Ziele oder hohe geschäftliche Auswirkungen) und Zugriff auf viele Systeme oder sensible Systeme (Administratorkonten und sensible Benutzer)

  • Konzentrieren Sie sich auf die proaktive Suche nach Adversaries, während Ihr Programm reift und reaktive Vorfälle unter Kontrolle geraten. Dies ist darauf ausgerichtet, die Zeit zu verringern, die ein Erfahrener in der Umgebung betreiben kann (z. B. genug qualifiziert, um reaktive Warnungen zu entfündern).

Weitere Informationen dazu, wie das Microsoft-SOC diese Metriken verwendet, finden Sie unter https://aka.ms/ITSOC.

Hybride Unternehmensansicht

SecOps sollte sicherstellen, dass ihre Tools, Prozesse und Analystenfertigkeiten die Sichtbarkeit über den gesamten Hybrid-Bereich hinweg ermöglichen.

Angreifer schränken ihre Aktionen nicht auf eine bestimmte Umgebung ein, wenn sie auf eine Organisation gezielt werden. Sie greifen Ressourcen auf jeder Plattform mit einer verfügbaren Methode an. Enterprise, die Clouddienste wie Azure und AWS verwenden, wird effektiv eine Hybridlösung aus Cloud- und lokalen Ressourcen ausgeführt.

SecOps-Tools und -Prozesse sollten für Angriffe auf Cloud- und lokale Ressourcen sowie auf Angreifer ausgelegt sein, die mit Identität oder anderen Verfahren zwischen Cloud- und lokalen Ressourcen pivotieren. Diese unternehmensweite Ansicht ermöglicht secOps-Teams das schnelle Erkennen, Reagieren und Wiederherstellen von Angriffen, wodurch das Organisationsrisiko verringert wird.

Nutzen nativer Erkennungen und Steuerelemente

Sie sollten vor dem Erstellen benutzerdefinierter Erkennungen mithilfe von Ereignisprotokollen aus der Cloud Sicherheitserkennungen und Steuerelemente verwenden, die in die Cloudplattform integriert sind.

Cloudplattformen entwickeln sich schnell mit neuen Features, wodurch die Aufrechterhaltung von Erkennungen schwierig werden kann. Systemeigene Steuerelemente werden vom Cloudanbieter verwaltet und haben in der Regel eine hohe Qualität (niedrige falsch positive Rate).

Da viele Organisationen möglicherweise mehrere Cloudplattformen verwenden und eine einheitliche Ansicht im gesamten Unternehmen benötigen, sollten Sie sicherstellen, dass diese systemeigenen Erkennungen und Steuerelemente ein zentrales SIEM- oder ein anderes Tool bieten. Es wird nicht empfohlen, anstelle systemeigener Erkennungen und Steuerelemente generalisierte Protokollanalysetools und -abfragen zu ersetzen. Diese Tools können zahlreiche Werte für proaktive Aktivitäten auf der Suche anbieten, aber das Abrufen einer qualitativ hochwertigen Benachrichtigung mit diesen Tools erfordert ein hohes Fachwissen und eine hohe Zeit, die besser für Die Suche und andere Aktivitäten auf die Suche verwendet werden könnte.

Um die breite Sichtbarkeit eines zentralen SIEM zu ergänzen (z. B. Microsoft Bestehende, Splunk oder Q Spotr), sollten Sie systemeigene Erkennungen und Steuerelemente nutzen, z. B.:

  • Organisationen, die Azure verwenden, sollten Funktionen wie Microsoft Defender für Cloud zur Benachrichtigungsgenerierung auf der Azure-Plattform nutzen.

  • Organisationen sollten systemeigene Protokollierungsfunktionen wie Azure Monitor und AWS CloudTrail zum Ziehen von Protokollen in eine zentrale Ansicht nutzen.

  • Organisationen, die Azure verwenden, sollten NSG-Funktionen (Network Security Group) nutzen, um die Netzwerkaktivitäten auf der Azure-Plattform sichtbar zu machen.

  • Untersuchungsmethoden sollten systemeigene Tools mit tiefer Kenntnis des Ressourcentyps nutzen, z. B. eine Endpoint Detection and Response (EDR)-Lösung, Identitätstools und Microsoft Echo.

Priorisieren der Integration von Benachrichtigungen und Protokollen

Stellen Sie sicher, dass Sie wichtige Sicherheitswarnungen integrieren und sich bei SIEMs anmeldet, ohne dass ein hohes Datenvolumen für niedrige Werte eingeführt wird.

Die Einführung zu viel kostengünstiger Daten kann die SIEM-Kosten erhöhen, das Rauschen und falsch positive Ergebnisse erhöhen und die Leistung reduzieren.

Die von Ihnen erfassten Daten sollten darauf ausgerichtet sein, eine oder mehrere der folgenden Aktivitäten zu unterstützen:

  • Warnungen ( Erkennungen von vorhandenen Tools oder Daten, die zum Generieren von benutzerdefinierten Warnungen erforderlich sind)

  • Untersuchung eines Vorfalls (z. B. für allgemeine Abfragen erforderlich)

  • Proaktive Aktivitäten zur Suche

Durch die Integration weiterer Daten können Sie Warnungen durch zusätzlichen Kontext erweitern, der schnelle Reaktionen und Korrekturen ermöglicht (falsch positive Ergebnisse filtern und echte positive Ergebnisse erhöhen usw.), aber die Sammlung wird nicht erkannt. Wenn Sie nicht die angemessene Erwartung haben, dass die Daten einen Wert bereitstellen werden (z. B. eine hohe Anzahl von Firewalls, die Ereignisse verweigern), können Sie die Integration dieser Ereignisse depriorisieren.

SecOps-Ressourcen für Microsoft-Sicherheitsdienste

Wenn Sie ein Sicherheitsanalyst sind, finden Sie hier Ressourcen für die ersten Schritte.

Thema Ressource
SecOps-Planung für die Reaktion auf Vorfälle Planung der Reaktion auf Vorfälle zur Vorbereitung Ihrer Organisation auf einen Vorfall.
SecOps Incident Response Process Prozess zur Reaktion auf Vorfälle , um bewährte Methoden für die Reaktion auf einen Vorfall zu erhalten.
Workflow für die Reaktion auf Vorfälle Beispielworkflow für die Reaktion auf Vorfälle Microsoft 365 Defender
Regelmäßige Sicherheitsvorgänge Beispiel für regelmäßige Sicherheitsvorgänge für Microsoft 365 Defender
Untersuchung für Microsoft Unst Vorfälle in Microsoft Immer
Untersuchung für Microsoft 365 Defender Vorfälle in Microsoft 365 Defender

Wenn Sie ein erfahrener Sicherheitsanalyst sind, finden Sie in diesen Ressourcen Informationen zum schnellen Einrichten Ihres SecOps-Teams für Microsoft-Sicherheitsdienste.

Thema Ressource
Azure Active Directory (Azure AD) Leitfaden zu Sicherheitsvorgängen
Microsoft 365 Defender Leitfaden zu Sicherheitsvorgängen
Microsoft Denkwert Untersuchen von Vorfällen
Microsoft 365 Defender Untersuchen von Vorfällen
Ab- oder Abarbeiten von Sicherheitsvorgängen Azure Cloud Adoption Framework Artikel zu SecOps- und SecOps-Funktionen
Playbooks für Reaktionen auf Vorfälle Übersicht bei https://aka.ms/IRplaybooks
- Phishing
- Password kennwort
- Zustimmungserteilung für die App
SOC Process Framework Microsoft Denkwert
MSTICPy- und Jupyter-Notizbücher Microsoft Denkwert

Blogreihe zu SecOps in Microsoft

Schauen Sie sich diese Blogreihe zur Funktionsweise des SecOps-Teams bei Microsoft an.

Simuland

Simuland ist eine Open-Source-Initiative zur Bereitstellung von Laborumgebungen und End-to-End-Simulationen, die:

  • Reproduzieren Sie bekannte Techniken, die in echten Angriffsszenarien verwendet werden.
  • Aktives Testen und Überprüfen der Effektivität verwandter Microsoft 365 Defender, Microsoft Defender für Cloud und Microsoft-Gesichtserkennungen.
  • Erweitern Sie die Bedrohungsforschung mithilfe von Telemetrie- und forensischen Artefakten, die nach jeder Simulationsübung generiert wurden.

Simuland-Laborumgebungen bieten Verwendungsfälle aus einer Vielzahl von Datenquellen, einschließlich Telemetrie aus Microsoft 365 Defender-Sicherheitsprodukten, Microsoft Defender für Cloud und anderen integrierten Datenquellen über MicrosoftIng-Datenconnectors.

Zur Sicherheit eines Testabonnements oder eines kostenpflichtigen Sandkastenabonnements können Sie:

  • Machen Sie sich mit dem zugrunde liegenden Verhalten und der Funktionalität von Adversary Tradecraft zu machen.
  • Identifizieren Sie Entschärfungen und Angreiferpfade, indem Sie für jede Angreiferaktion Dies dokumentieren.
  • Beschleunigen Sie den Entwurf und die Bereitstellung von Umgebung für Bedrohungsforschungslabors.
  • Bleiben Sie mit den neuesten Techniken und Tools auf dem Laufenden, die von echten Bedrohungen verwendet werden.
  • Identifizieren, dokumentieren und teilen Sie relevante Datenquellen, um adversäre Aktionen zu modellieren und zu erkennen.
  • Überprüfen und Optimieren von Erkennungsfunktionen.

Die Lernergebnisse aus Szenarios der Simuland-Laborumgebung können dann in der Produktion implementiert werden.

Nachdem Sie eine Übersicht über Simuland gelesen haben, schauen Sie sich das Simuland-Repository GitHub an.

Wichtige Microsoft-Sicherheitsressourcen

Ressource Beschreibung
Microsoft Digital Defense Report 2021 Ein Bericht, der Lernen von Sicherheitsexperten, Verwaltern und Abwehrspielern bei Microsoft umfasst, um Personen überall zu befähigen, sich gegen Cyberthreats zu verteidigen.
Microsoft-Referenzarchitekturen für Internetsicherheit Eine Reihe visueller Architekturdiagramme, die die Internetsicherheitsfunktionen von Microsoft und deren Integration in Microsoft-Cloudplattformen wie Microsoft 365 und Microsoft Azure sowie Cloudplattformen und Apps von Drittanbietern zeigen.
Infografikdownload "Minutes matter " Eine Übersicht darüber, wie das Microsoft-SecOps-Team vorfallreaktionen kann, um laufende Angriffe zu entschärfen.
Azure Cloud Adoption Framework Sicherheitsvorgänge Strategischer Leitfaden für Führungskräfte, die eine Funktion für Sicherheitsoperation einrichten oder modernisieren.
Microsoft-Cloudsicherheit für IT-Architektenmodell Sicherheit auf allen Microsoft-Clouddiensten und -plattformen für Identitäts- und Gerätezugriff, Bedrohungsschutz und Informationsschutz.
Microsoft-Sicherheitsdokumentation Zusätzliche Sicherheitsleitfäden von Microsoft.

Nächster Schritt

Überprüfen Sie die Funktionen für Sicherheitsvorgänge.