Praktik terbaik keamanan Microsoft untuk operasi keamanan

Operasi keamanan (SecOps) mempertahankan dan memulihkan jaminan keamanan sistem saat adversaries langsung menyerangnya. Tugas SecOps dijelaskan dengan baik oleh fungsi Kerangka Kerja Keamanan Cyber NIST dari Deteksi, Respons, dan Pulihkan.

  • Deteksi - SecOps harus mendeteksi keberadaan iklan dalam sistem, yang diinsentifkan untuk tetap tersembunyi dalam banyak kasus karena ini memungkinkan mereka untuk mencapai tujuan mereka tidak dikunci. Ini dapat berupa bereaksi terhadap peringatan aktivitas mencurigakan atau secara proaktif berburu peristiwa anomali di log aktivitas perusahaan.

  • Tanggapi – Setelah mendeteksi potensi aksi atau kampanye adversary, SecOps harus dengan cepat menyelidiki untuk mengidentifikasi apakah itu serangan aktual (positif benar) atau alarm palsu (positif palsu) dan kemudian menghitung ruang lingkup dan tujuan operasi adversary.

  • Recover – Tujuan utama SecOps adalah untuk mempertahankan atau memulihkan jaminan keamanan (kerahasiaan, integritas, ketersediaan) layanan bisnis selama dan setelah serangan.

Risiko keamanan paling signifikan yang dihadapi sebagian besar organisasi adalah dari operator serangan manusia (dengan berbagai tingkat keahlian). Ini karena risiko dari serangan otomatis/berulang telah dimitigasi secara signifikan untuk sebagian besar organisasi dengan pendekatan berbasis tanda tangan dan pembelajaran mesin yang dibangun ke dalam anti-malware (meskipun ada pengecualian penting seperti Wannacrypt dan NotPetya, yang bergerak lebih cepat daripada pertahanan ini).

Sementara operator serangan manusia menantang untuk dihadapi karena kemampuan beradaptasi mereka (vs. logika otomatis/berulang), operator beroperasi pada "kecepatan manusia" yang sama dengan pertahanan, yang membantu tingkat lapangan bermain.

SecOps (terkadang disebut sebagai Security Operations Center (SOC)) memiliki peran penting untuk dimainkan dalam membatasi waktu dan mengakses penyerang dapat sampai ke sistem dan data yang berharga. Setiap menit yang dimiliki penyerang di lingkungan memungkinkan mereka untuk terus melakukan operasi serangan dan mengakses sistem yang sensitif atau berharga.

Tujuan dan metrik

Metrik yang Anda ukur akan memiliki efek signifikan pada perilaku dan hasil SecOps. Berfokus pada pengukuran yang tepat akan membantu mendorong peningkatan berkelanjutan di area yang tepat yang secara signifikan mengurangi risiko.

Untuk memastikan bahwa SecOps secara efektif berisi akses penyerang, tujuannya harus berfokus pada:

  • Mengurangi waktu untuk mengakui peringatan guna memastikan bahwa musuh yang terdeteksi tidak diabaikan sementara pembela menghabiskan waktu untuk menyelidiki positif palsu.

  • Mengurangi waktu untuk memulihkan musuh yang ditemukan guna mengurangi waktu kesempatan mereka untuk melakukan dan menyerang serta menjangkau sistem yang sensitif

  • Memprioritaskan investasi keamanan ke dalam sistem yang memiliki nilai intrinsik tinggi (kemungkinan target atau dampak bisnis yang tinggi) dan akses ke banyak sistem atau sistem sensitif (akun administrator dan pengguna sensitif)

  • Meningkatkan fokus pada perburuan lawan secara proaktif saat program Anda matang dan insiden reaktif terkendali. Ini difokuskan pada pengurangan waktu yang dapat dioperasikan musuh dengan keterampilan yang lebih tinggi di lingkungan (misalnya, cukup terampil untuk menghindari peringatan reaktif).

Untuk informasi selengkapnya tentang cara SOC Microsoft menggunakan metrik ini, lihat https://aka.ms/ITSOC.

Tampilan perusahaan hibrid

SecOps harus memastikan peralatan, proses, dan set keterampilan analis mereka memungkinkan visibilitas di seluruh rentang penuh estate hibrid mereka.

Penyerang tidak membatasi tindakan mereka ke lingkungan tertentu saat menargetkan organisasi, mereka akan menyerang sumber daya di platform apa pun menggunakan metode apa pun yang tersedia. Organisasi perusahaan yang mengadopsi layanan cloud seperti Azure dan AWS secara efektif mengoperasikan hibrida cloud dan aset lokal.

Alat dan proses SecOps harus dirancang untuk serangan pada aset cloud dan lokal serta penyerang yang berputar antara sumber daya cloud dan lokal menggunakan identitas atau cara lain. Tampilan di seluruh perusahaan ini akan memungkinkan tim SecOps mendeteksi, merespons, dan memulihkan dari serangan dengan cepat, mengurangi risiko organisasi.

Memanfaatkan deteksi dan kontrol asli

Anda harus mendukung penggunaan deteksi dan kontrol keamanan yang dibangun ke dalam platform cloud sebelum membuat deteksi kustom menggunakan log peristiwa dari cloud.

Platform cloud berkembang pesat dengan fitur-fitur baru, yang membuat pemeliharaan deteksi menjadi sulit. Kontrol asli dikelola oleh penyedia cloud dan biasanya berkualitas tinggi (tingkat positif palsu rendah).

Karena banyak organisasi dapat menggunakan beberapa platform cloud dan memerlukan tampilan terpadu di seluruh perusahaan, Anda harus memastikan deteksi dan kontrol asli ini memberi umpan SIEM terpusat atau alat lainnya. Kami tidak menyarankan untuk mencoba mengganti alat dan kueri analisis log umum alih-alih deteksi dan kontrol asli. Alat-alat ini dapat menawarkan banyak nilai untuk kegiatan berburu proaktif tetapi mendapatkan pemberitahuan berkualitas tinggi dengan alat-alat ini membutuhkan penerapan keahlian dan waktu yang mendalam yang bisa lebih baik dihabiskan untuk berburu dan kegiatan lainnya.

Untuk melengkapi visibilitas luas SIEM terpusat (seperti Microsoft Sentinel, Splunk, atau QRadar), Anda harus memanfaatkan deteksi dan kontrol asli seperti:

  • Organisasi yang menggunakan Azure harus memanfaatkan kemampuan seperti Microsoft Defender untuk Cloud untuk pembuatan pemberitahuan di platform Azure.

  • Organisasi harus memanfaatkan kemampuan pengelogan asli seperti Azure Monitor dan AWS CloudTrail untuk menarik log ke tampilan pusat.

  • Organisasi yang menggunakan Azure harus memanfaatkan kemampuan Network Security Group (NSG) untuk visibilitas ke dalam aktivitas jaringan di platform Azure.

  • Praktik investigasi harus memanfaatkan alat asli dengan pengetahuan mendalam tentang jenis aset seperti solusi Deteksi dan Respons Titik Akhir (EDR), alat identitas, dan Microsoft Sentinel.

Memprioritaskan peringatan dan integrasi log

Pastikan Anda mengintegrasikan peringatan keamanan penting dan masuk ke SIEM tanpa memasukkan data bernilai rendah dalam jumlah besar.

Memperkenalkan terlalu banyak data bernilai rendah dapat meningkatkan biaya SIEM, meningkatkan kebisingan dan positif palsu, dan performa yang lebih rendah.

Data yang Anda kumpulkan harus difokuskan untuk mendukung satu atau lebih aktivitas operasi berikut:

  • Peringatan (deteksi dari alat yang ada atau data yang diperlukan untuk membuat peringatan kustom)

  • Investigasi insiden (misalnya, diperlukan untuk kueri umum)

  • Aktivitas berburu proaktif

Mengintegrasikan lebih banyak data dapat memungkinkan Anda memperkaya pemberitahuan dengan konteks tambahan yang memungkinkan respons dan remediasi cepat (filter positif palsu, dan meningkatkan positif sejati, dll.), tetapi pengumpulan bukan deteksi. Jika Anda tidak memiliki harapan yang wajar bahwa data akan memberikan nilai (misalnya, peristiwa penolakan firewall dalam volume tinggi), Anda dapat memisahkan integrasi peristiwa ini.

Sumber daya SecOps untuk layanan keamanan Microsoft

Jika Anda baru berperan sebagai analis keamanan, lihat sumber daya ini untuk memulai.

Topik Sumber daya
Perencanaan SecOps untuk respons insiden Perencanaan respons insiden untuk menyiapkan organisasi Anda untuk insiden.
Proses respons insiden SecOps Proses respons insiden untuk praktik terbaik dalam menanggapi insiden.
Alur kerja respons insiden Contoh alur kerja respons insiden untuk Pertahanan Microsoft 365
Operasi keamanan berkala Contoh operasi keamanan berkala untuk Pertahanan Microsoft 365
Investigasi untuk Microsoft Azure Sentinel Insiden di Microsoft Azure Sentinel
Investigasi untuk Pertahanan Microsoft 365 Insiden di Pertahanan Microsoft 365

Jika Anda adalah analis keamanan berpengalaman, lihat sumber daya ini untuk meningkatkan tim SecOps Anda dengan cepat untuk layanan keamanan Microsoft.

Topik Sumber daya
Microsoft Azure Active Directory (Azure AD) Panduan operasi keamanan
Pertahanan Microsoft 365 Panduan operasi keamanan
Microsoft Sentinel Cara menyelidiki insiden
Pertahanan Microsoft 365 Cara menyelidiki insiden
Pembentukan atau modernisasi operasi keamanan Artikel Azure Cloud Adoption Framework untuk fungsi SecOps dan SecOps
Playbook respons insiden Gambaran Umum di https://aka.ms/IRplaybooks
- Phishing
- Semprotan kata sandi
- Pemberian persetujuan aplikasi
SOC Process Framework Microsoft Sentinel
Notebook MSTICPy dan Jupyter Microsoft Sentinel

Seri blog tentang SecOps dalam Microsoft

Lihat seri blog ini tentang cara kerja tim SecOps di Microsoft.

Simuland

Simuland adalah inisiatif sumber terbuka untuk menyebarkan lingkungan lab dan simulasi end-to-end yang:

  • Reproduksi teknik terkenal yang digunakan dalam skenario serangan nyata.
  • Uji dan verifikasi secara aktif efektivitas deteksi Pertahanan Microsoft 365, Microsoft Defender untuk Cloud, dan Microsoft Azure Sentinel terkait.
  • Perluas penelitian ancaman menggunakan artefak telemetri dan forensik yang dihasilkan setelah setiap latihan simulasi.

Lingkungan lab Simuland menyediakan kasus penggunaan dari berbagai sumber data termasuk telemetri dari produk keamanan Pertahanan Microsoft 365, Microsoft Defender untuk Cloud, dan sumber data terintegrasi lainnya melalui konektor data Microsoft Azure Sentinel.

Demi keamanan langganan uji coba atau kotak pasir berbayar, Anda dapat:

  • Pahami perilaku dan fungsionalitas yang mendasari tradecraft musuh.
  • Identifikasi mitigasi dan jalur penyerang dengan mendokumenkan prasyarat untuk setiap tindakan penyerang.
  • Mempercepat desain dan penyebaran lingkungan lab penelitian ancaman.
  • Tetap up to date dengan teknik dan alat terbaru yang digunakan oleh aktor ancaman nyata.
  • Mengidentifikasi, mendokumen, dan berbagi sumber data yang relevan untuk memodelkan dan mendeteksi tindakan adversary.
  • Memvalidasi dan menyelaraskan kemampuan deteksi.

Pembelajaran dari skenario lingkungan lab Simuland kemudian dapat diimplementasikan dalam produksi.

Setelah membaca gambaran umum Simuland, lihat repositori GitHub Simuland.

Sumber daya keamanan Microsoft utama

Sumber daya Deskripsi
Laporan Pertahanan Digital Microsoft 2021 Laporan yang mencakup pembelajaran dari pakar keamanan, praktisi, dan pertahanan di Microsoft untuk memberdayakan orang-orang di mana saja untuk bertahan dari ancaman cyber.
Arsitektur Referensi Keamanan Cyber Microsoft Serangkaian diagram arsitektur visual yang menunjukkan kemampuan keamanan cyber Microsoft dan integrasinya dengan platform cloud Microsoft seperti Microsoft 365 dan Microsoft Azure serta platform dan aplikasi cloud pihak ketiga.
Unduhan infografis masalah menit Gambaran umum tentang bagaimana tim SecOps Microsoft melakukan respons insiden untuk mengurangi serangan yang sedang berlangsung.
Operasi keamanan Azure Cloud Adoption Framework Panduan strategis untuk para pemimpin yang membangun atau memodernisasi fungsi operasi keamanan.
Keamanan cloud Microsoft untuk model arsitek TI Keamanan di seluruh layanan dan platform cloud Microsoft untuk akses identitas dan perangkat, perlindungan ancaman, dan perlindungan informasi.
Dokumentasi keamanan Microsoft Panduan keamanan tambahan dari Microsoft.

Langkah selanjutnya

Tinjau kemampuan operasi keamanan.