Overzicht van reactie op incidenten

Incidentrespons is de praktijk van het onderzoeken en herstellen van actieve aanvalscampagnes voor uw organisatie. Dit maakt deel uit van de discipline Beveiligingsbewerkingen (SecOps) en is hoofdzakelijk reactief van aard.

Incidentrespons heeft de grootste directe invloed op de totale gemiddelde tijd om te erkennen (MTTA) en de gemiddelde tijd om te corrigeren (MTTR) die meten hoe goed beveiligingsbewerkingen in staat zijn om het organisatierisico te beperken. Incidentresponsteams zijn sterk afhankelijk van goede werkrelaties tussen teams voor het zoeken naar bedreigingen, intelligentie en incidentbeheer (indien aanwezig) om de risico's daadwerkelijk te beperken. Zie SecOps-metrische gegevens voor meer informatie.

Zie Cloud-SOC-functies voor meer informatie over rollen en verantwoordelijkheden voor beveiligingsbewerkingen.

Resources voor nieuwe functies

Als u een nieuwe rol als beveiligingsanalist hebt, bekijkt u deze bronnen om aan de slag te gaan.

Onderwerp Resource
SecOps-planning voor incidentrespons Reactieplanning voor incidenten voor het voorbereiden van uw organisatie op een incident.
SecOps-incidentreactieproces Incident response process for best practices on responding to an incident.
Werkstroom voor incidentrespons Voorbeeld van de werkstroom voor incidentrespons voor Microsoft 365 Defender
Periodieke beveiligingsbewerkingen Voorbeeld van periodieke beveiligingsbewerkingen voor Microsoft 365 Defender
Onderzoek voor Microsoft Sentinel Incidenten in Microsoft Sentinel
Onderzoek voor Microsoft 365 Defender Incidenten in Microsoft 365 Defender

Ervaren bronnen van beveiligingsanalisten

Als u een ervaren beveiligingsanalist bent, bekijkt u deze bronnen om snel uw SecOps-team voor Microsoft-beveiligingsservices te verbeteren.

Onderwerp Resource
Microsoft Sentinel Incidenten onderzoeken
Microsoft Defender voor Cloud (Azure-bronnen) Waarschuwingen onderzoeken
Microsoft 365 Defender Incidenten onderzoeken
Inrichting of modernisatie van beveiligingsbewerkingen Azure Cloud Adoption Framework voor SecOps- en SecOps-functies
Best practices voor Microsoft-beveiliging Uw SecOps-centrum het beste gebruiken
Playbooks voor incidentreacties Overzicht op https://aka.ms/IRplaybooks

- Phishing
- Wachtwoordsproei
- Toestemming verlenen voor apps
SOC Process Framework Microsoft Sentinel
MSTICPy- en Jupyter-notitieblokken Microsoft Sentinel

Blogreeks over SecOps binnen Microsoft

Bekijk deze blogreeks over hoe het SecOps-team bij Microsoft werkt.

Simuland

Simuland is een open-source-initiatief voor het implementeren van labomgevingen en end-to-endsimulaties die:

  • Reproduceer bekende technieken die in echte aanvalsscenario's worden gebruikt.
  • Test en controleer actief de effectiviteit van gerelateerde Microsoft 365 Defender, Microsoft Defender voor Cloud en Microsoft Sentinel-detecties.
  • Onderzoek naar bedreigingen uitbreiden met behulp van telemetrie en gerechtelijke artefacten die na elke oefening zijn gegenereerd.

Simuland-labomgevingen bieden use cases uit diverse gegevensbronnen, waaronder telemetrie uit Microsoft 365 Defender beveiligingsproducten, Microsoft Defender voor Cloud en andere geïntegreerde gegevensbronnen via Microsoft Sentinel-gegevensconnectoren.

In de veiligheid van een proefabonnement of betaald sandbox-abonnement kunt u het volgende doen:

  • Inzicht in het onderliggende gedrag en de functionaliteit van wederpartijhandel.
  • Identificeer risicobeperkings- en aanvallerpaden door randvoorwaarden voor elke actie van de aanvaller te documenteren.
  • Versnel het ontwerp en de implementatie van labomgevingen voor bedreigingsonderzoek.
  • Blijf op de hoogte van de nieuwste technieken en hulpmiddelen die worden gebruikt door echte bedreigingsacteurs.
  • Identificeer, document en deel relevante gegevensbronnen om acties van tegenpartij te modelleren en te detecteren.
  • Detectiemogelijkheden valideren en afstemmen.

De leerprocessen van simuland labomgevingscenario's kunnen vervolgens worden geïmplementeerd in uw productieomgeving en beveiligingsprocessen.

Zie dit overzicht van Simuland en de resources in de Simuland GitHub repository.

Resources voor incidentrespons

Belangrijke Microsoft-beveiligingsbronnen

Resource Beschrijving
Microsoft Digital Defense Report 2021 Een rapport met informatie over het leren van beveiligingsexperts, werkers en verdedigers bij Microsoft om mensen overal in staat te stellen zich te beschermen tegen cyberaanvallen.
Referentiearchitectuur voor Microsoft Cyberbeveiliging Een reeks visuele architectuurdiagrammen met de cyberbeveiligingsmogelijkheden van Microsoft en hun integratie met Microsoft-cloudplatforms zoals Microsoft 365 en Microsoft Azure en cloudplatforms en apps van derden.
Minuten belangrijk infographic downloaden Een overzicht van hoe het SecOps-team van Microsoft reageert op incidenten om lopende aanvallen te beperken.
Azure Cloud Adoption Framework beveiligingsbewerkingen Strategische richtlijnen voor leidinggevenden bij het opzetten of moderniseren van een beveiligingsfunctie.
Best practices voor beveiliging van Microsoft voor beveiligingsbewerkingen Hoe u het SecOps-centrum het beste kunt gebruiken om sneller te bewegen dan de aanvallers die zich op uw organisatie richten.
Microsoft cloudbeveiliging voor IT-architectenmodel Beveiliging op microsoft-cloudservices en -platforms voor identiteits- en apparaattoegang, bedreigingsbeveiliging en informatiebeveiliging.
Microsoft-beveiligingsdocumentatie Aanvullende beveiligingsadviezen van Microsoft.