Stap 1. Gereedheid van Microsoft Defender XDR-bewerkingen plannen
Van toepassing op:
- Microsoft Defender XDR
Wat de huidige looptijd van uw beveiligingsbewerkingen ook is, het is belangrijk dat u zich aansluit bij uw Security Operations Center (SOC). Hoewel er geen enkel model is dat bij elke organisatie past, zijn er bepaalde aspecten die vaker voorkomen dan andere.
In de volgende secties worden de kernfuncties van de SOC beschreven.
Zorg voor situationeel bewustzijn van moderne bedreigingen
Een SOC-team bereidt nieuwe en binnenkomende bedreigingen voor en zoekt deze op, zodat ze met de organisatie kunnen samenwerken om tegenmaatregelen en reacties vast te stellen. Uw SOC-team moet personeel hebben dat zeer goed is getraind in moderne aanvalsmethoden en -technieken en die inzicht heeft in bedreigingsactoren. Gedeelde bedreigingsinformatie en frameworks zoals de Cyber Kill Chain of MITRE ATT&CK-framework kunnen uw personeel van bedreigingsanalisten en bedreigingsjagers ondersteunen.
Eerste, tweede en mogelijk derde niveau antwoorden bieden op cyberincidenten en -gebeurtenissen
De SOC is de frontlinie van beveiliging voor beveiligingsincidenten en -incidenten. Wanneer een gebeurtenis, bedreiging, aanval, beleidsschending of controlebevinding een waarschuwing of oproep tot actie activeert, maakt het SOC-team een evaluatie om deze te sorteren en te bevatten of te escaleren voor onderzoek. Daarom moeten de eerstelijns responders van SOC beschikken over een brede technische kennis van beveiligingsevenementen en -indicatoren.
Bewaking en logboekregistratie van de beveiligingsbronnen van uw organisatie centraliseren
Meestal is de kernfunctie van het SOC-team ervoor te zorgen dat alle beveiligingsapparaten, zoals firewalls, inbraakpreventiesystemen, systemen ter preventie van gegevensverlies, beheersystemen voor beveiligingsproblemen en identiteitssystemen correct functioneren en worden bewaakt. De SOC-teams werken met de bredere netwerkbewerkingen zoals identiteit, DevOps, cloud, toepassing, gegevenswetenschap en andere bedrijfsteams om ervoor te zorgen dat de analyse van beveiligingsinformatie gecentraliseerd en beveiligd is. Daarnaast is het SOC-team verantwoordelijk voor het bijhouden van logboeken van de gegevens in bruikbare en leesbare indelingen, waaronder het parseren en normaliseren van ongelijksoortige indelingen.
Operationele gereedheid voor red, blue en purple team tot stand brengen
Elk SOC-team moet zijn paraatheid bij het reageren op een cyberincident testen. Testen kan worden gedaan via trainingsoefeningen, zoals table-tops en praktijkuitvoeringen met verschillende personen in IT, beveiliging en op bedrijfsniveau. Afzonderlijke trainingstrainingsteams worden gemaakt op basis van representatieve rollen en spelen de rol van een verdediger (Blue Team), een aanvaller (Red Team) of als waarnemers die methoden en technieken van zowel het Blauwe als het Rode team willen verbeteren door middel van sterke en zwakke punten die tijdens de oefening worden ontdekt (Paars team).
Volgende stap
Stap 2. Een soc-integratiegereedheidsevaluatie uitvoeren met behulp van het Zero Trust Framework
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor