Vorfallreaktionen ( Übersicht)

Bei der Reaktion auf Vorfälle handelt es sich um die Methode der Untersuchung und Behebung aktiver Angriffskampagnen für Ihre Organisation. Dies ist Teil der Disziplin der Sicherheitsvorgänge und in erster Linie reaktiv in der Natur.

Die Reaktion auf Vorfälle hat den größten direkten Einfluss auf die Gesamtmittelzeit zur Bestätigung (MTRA) und den Mittelwert der Zeit zur Behebung, mit der gemessen wird, wie gut Sicherheitsvorgänge das Organisationsrisiko verringern können. Teams für die Reaktion auf Vorfälle sind in hohem Maße von guten funktionierenden Beziehungen zwischen der Bedrohungssuche, Intelligence und den Teams für die Vorfallverwaltung (sofern vorhanden) angewiesen, um das Risiko tatsächlich zu verringern. Weitere Informationen finden Sie unter SecOps-Metriken.

Weitere Informationen zu Rollen und Zuständigkeiten von Sicherheitsvorgängen finden Sie unter Cloud-SOC-Funktionen.

Ressourcen für neue Rollen

Wenn Sie ein Sicherheitsanalyst sind, finden Sie hier Ressourcen für die ersten Schritte.

Thema Ressource
SecOps-Planung für die Reaktion auf Vorfälle Planung der Reaktion auf Vorfälle zur Vorbereitung Ihrer Organisation auf einen Vorfall.
SecOps Incident Response Process Prozess zur Reaktion auf Vorfälle, um bewährte Methoden für die Reaktion auf einen Vorfall zu erhalten.
Workflow für die Reaktion auf Vorfälle Beispielworkflow für die Reaktion auf Vorfälle Microsoft 365 Defender
Regelmäßige Sicherheitsvorgänge Beispiel für regelmäßige Sicherheitsvorgänge für Microsoft 365 Defender
Untersuchung für Microsoft Unst Vorfälle in Microsoft Immer
Untersuchung für Microsoft 365 Defender Vorfälle in Microsoft 365 Defender

Erfahrene Ressourcen für Sicherheitsanalysten

Wenn Sie ein erfahrener Sicherheitsanalyst sind, finden Sie in diesen Ressourcen Informationen zum schnellen Einrichten Ihres SecOps-Teams für Microsoft-Sicherheitsdienste.

Thema Ressource
Microsoft Denkwert Untersuchen von Vorfällen
Microsoft 365 Defender Untersuchen von Vorfällen
Ab- oder Abarbeiten von Sicherheitsvorgängen Artikel zum Azure Cloud Adoption Framework für SecOps- und SecOps-Funktionen
Bewährte Methoden für die Microsoft-Sicherheit So verwenden Sie Ihr SecOps Center am besten
Playbooks für Reaktionen auf Vorfälle Übersicht bei https://aka.ms/IRplaybooks
- -
- -
- -
SOC Process Framework Microsoft Denkwert
MSTICPy- und Jupyter-Notizbücher Microsoft Denkwert

Blogreihe zu SecOps in Microsoft

Schauen Sie sich diese Blogreihe zur Funktionsweise des SecOps-Teams bei Microsoft an.

Simuland

Simuland ist eine Open-Source-Initiative zur Bereitstellung von Laborumgebungen und End-to-End-Simulationen, die:

  • Reproduzieren Sie bekannte Techniken, die in echten Angriffsszenarien verwendet werden.
  • Aktives Testen und Überprüfen der Effektivität verwandter Microsoft 365 Defender, Microsoft Defender for Cloud und Microsoft-Gesichtserkennungen.
  • Erweitern Sie die Bedrohungsforschung mithilfe von Telemetrie- und forensischen Artefakten, die nach jeder Simulationsübung generiert wurden.

Simuland-Laborumgebungen bieten Verwendungsfälle aus einer Vielzahl von Datenquellen, einschließlich Telemetrie aus Microsoft 365 Defender-Sicherheitsprodukten, Microsoft Defender für Cloud und anderen integrierten Datenquellen über MicrosoftIng-Datenconnectors.

Zur Sicherheit eines Testabonnements oder eines kostenpflichtigen Sandkastenabonnements können Sie:

  • Machen Sie sich mit dem zugrunde liegenden Verhalten und der Funktionalität von Adversary Tradecraft zu machen.
  • Identifizieren Sie Entschärfungen und Angreiferpfade, indem Sie für jede Angreiferaktion Dies dokumentieren.
  • Beschleunigen Sie den Entwurf und die Bereitstellung von Umgebung für Bedrohungsforschungslabors.
  • Bleiben Sie mit den neuesten Techniken und Tools auf dem Laufenden, die von echten Bedrohungen verwendet werden.
  • Identifizieren, dokumentieren und teilen Sie relevante Datenquellen, um adversäre Aktionen zu modellieren und zu erkennen.
  • Überprüfen und Optimieren von Erkennungsfunktionen.

Die Lernergebnisse aus Szenarios der Simuland-Laborumgebung können dann in Ihrer Produktionsumgebung und in Sicherheitsprozessen implementiert werden.

Nach dem Lesen einer Übersicht über Simulandfinden Sie Informationen zum Simuland GitHub Repository.

Ressourcen für die Reaktion auf Vorfälle

Wichtige Microsoft-Sicherheitsressourcen

Ressource Beschreibung
Microsoft Digital Defense Report 2021 Ein Bericht, der Lernen von Sicherheitsexperten, Verwaltern und Abwehrspielern bei Microsoft umfasst, um Personen überall zu befähigen, sich gegen Cyberthreats zu verteidigen.
Microsoft-Referenzarchitekturen für Internetsicherheit Eine Reihe visueller Architekturdiagramme, die die Internetsicherheitsfunktionen von Microsoft und deren Integration in Microsoft-Cloudplattformen wie Microsoft 365 und Microsoft Azure sowie Cloudplattformen und Apps von Drittanbietern zeigen.
Infografikdownload "Minutes matter" Eine Übersicht darüber, wie das Microsoft-SecOps-Team vorfallreaktionen kann, um laufende Angriffe zu entschärfen.
Sicherheitsvorgänge für Azure Cloud Adoption Framework Strategischer Leitfaden für Führungskräfte, die eine Funktion für Sicherheitsoperation einrichten oder modernisieren.
Bewährte Methoden für die Microsoft-Sicherheit bei Sicherheitsvorgängen Sie erfahren, wie Sie Ihr SecOps Center am besten verwenden können, um schneller zu arbeiten als die Angreifer, die auf Ihre Organisation gezielt sind.
Microsoft-Cloudsicherheit für IT-Architektenmodell Sicherheit auf allen Microsoft-Clouddiensten und -plattformen für Identitäts- und Gerätezugriff, Bedrohungsschutz und Informationsschutz.
Microsoft-Sicherheitsdokumentation Zusätzliche Sicherheitsleitfäden von Microsoft.