Zichtbaarheid, automatisering en indeling met Zero Trust

Een van de belangrijke wijzigingen in perspectieven die een kenmerk is van een Zero Trust beveiligingsframeworks, is het wegstappen van standaard vertrouwen naar vertrouwen per uitzondering. U hebt echter een betrouwbare manier nodig om vertrouwen tot stand te brengen zodra vertrouwen nodig is. Omdat u er niet langer van uit gaat dat aanvragen betrouwbaar zijn, is het essentieel om een manier te bepalen om de betrouwbaarheid van de aanvraag aan te tonen. Deze attestation vereist de mogelijkheid om inzicht te krijgen in de activiteiten op en rond de aanvraag.

In onze andere Zero Trust-handleidingen hebben we de benadering gedefinieerd voor het implementeren van een end-to-end Zero Trust benadering voor identiteiten, eindpunten en apparaten, gegevens, apps, infrastructuur en netwerk. Al deze investeringen vergroten uw zichtbaarheid, wat u betere gegevens biedt voor het nemen van vertrouwensbeslissingen. Als u echter een Zero Trust aanpak op deze zes gebieden kiest, verhoogt u noodzakelijkerwijs het aantal incidenten dat SOC-analisten (Security Operation Centers) moeten beperken. Uw analisten worden drukker dan ooit, in een tijd waarin er al een talenttekort is. Dit kan leiden tot chronische waarschuwingsmoeheid en analisten missen kritieke waarschuwingen.

Diagram of integrated capabilities to manage threats.

Nu elk van deze afzonderlijke gebieden hun eigen relevante waarschuwingen genereert, hebben we een geïntegreerde mogelijkheid nodig om de resulterende toestroom van gegevens te beheren om beter te beschermen tegen bedreigingen en het vertrouwen in een transactie te valideren.

U wilt de volgende mogelijkheden:

  • Bedreigingen en beveiligingsproblemen detecteren.
  • Onderzoeken.
  • Reageren.
  • Hunt.
  • Geef aanvullende context via bedreigingsanalyse.
  • Beveiligingsproblemen beoordelen.
  • Hulp krijgen van experts van wereldklasse
  • Voorkom of blokkeer gebeurtenissen in de pijlers.

Het beheren van bedreigingen omvat reactieve en proactieve detectie en vereist hulpprogramma's die beide ondersteunen.

Reactieve detectie is wanneer incidenten worden geactiveerd vanuit een van de zes pijlers die kunnen worden onderzocht. Bovendien biedt een beheerproduct zoals een SIEM waarschijnlijk ondersteuning voor een andere analyselaag die gegevens verrijkt en correleren, waardoor een incident als slecht wordt gemarkeerd. De volgende stap zou dan zijn om te onderzoeken om het volledige verhaal van de aanval te krijgen.

Proactieve detectie is wanneer u opsporing toepast op de gegevens om een verdachte hypothese te bewijzen. Het opsporen van bedreigingen begint met de veronderstelling dat je bent geschonden- je zoekt naar bewijs dat er inderdaad een schending is.

Het opsporen van bedreigingen begint met een hypothese op basis van huidige bedreigingen, zoals COVID-19 phishing-aanvallen. Analisten beginnen met deze hypothetische bedreiging, identificeren de belangrijkste indicatoren van inbreuk en doorzoeken de gegevens om te zien of er bewijs is dat de omgeving is aangetast. Als er indicatoren zijn, kunnen opsporingsscenario's leiden tot analyses die de organisaties op de hoogte stellen als de bepaalde indicatoren zich opnieuw voordoen.

Hoe dan ook, zodra een incident is gedetecteerd, moet u dit onderzoeken om het volledige verhaal van de aanval op te bouwen. Wat heeft de gebruiker nog meer gedaan? Welke andere systemen waren betrokken? Welke uitvoerbare bestanden zijn uitgevoerd?

Als een onderzoek tot bruikbare lessen leidt, kunt u herstelstappen uitvoeren. Als een onderzoek bijvoorbeeld hiaten in een zero trust-implementatie ontdekt, kan beleid worden aangepast om deze hiaten op te lossen en toekomstige ongewenste incidenten te voorkomen. Waar mogelijk is het wenselijk om herstelstappen te automatiseren, omdat het de tijd verkort die een SOC-analist nodig heeft om de bedreiging aan te pakken en door te gaan naar het volgende incident.

Een ander belangrijk onderdeel bij de evaluatie van bedreigingen is het opnemen van bekende bedreigingsinformatie tegen de opgenomen gegevens. Als bekend is dat een IP, hash, URL, bestand, uitvoerbaar bestand, enzovoort slecht is, kunnen ze worden geïdentificeerd, onderzocht en hersteld.

In de infrastructuurpijler werd tijd besteed aan het aanpakken van beveiligingsproblemen. Als bekend is dat een systeem kwetsbaar is en een bedreiging gebruikmaakt van dat beveiligingsprobleem, kan dit worden gedetecteerd, onderzocht en hersteld.

Als u deze tactieken wilt gebruiken om bedreigingen te beheren, moet u een centrale console hebben om SOC-beheerders in staat te stellen bedreigingen te detecteren, onderzoeken, herstellen, opsporen, gebruiken van bedreigingsinformatie, bekende beveiligingsproblemen te begrijpen, op bedreigingsexperts te leunen en bedreigingen te blokkeren in een van de zes pijlers. De hulpprogramma's die nodig zijn om deze fasen te ondersteunen, werken het beste als ze zijn geconvergeerd in één werkstroom, wat een naadloze ervaring biedt die de effectiviteit van de SOC-analist verhoogt.

Security Operation Centers implementeren vaak een combinatie van SIEM- en SOAR-technologieën om bedreigingen te verzamelen, detecteren, onderzoeken en erop te reageren. Microsoft biedt Microsoft Sentinel als siem-as-a-service-aanbieding. Microsoft Sentinel gebruikt alle Microsoft Defender for Identity en gegevens van derden.

Microsoft Threat Protection (MTP), een sleutelfeed in Microsoft Sentinel, biedt een geïntegreerde enterprise defense-suite die contextbewuste beveiliging, detectie en respons biedt voor alle Microsoft 365 onderdelen. Door contextbewust en gecoördineerd te zijn, kunnen klanten die gebruikmaken van Microsoft 365 zichtbaarheid en beveiliging krijgen voor eindpunten, samenwerkingsprogramma's, identiteiten en toepassingen.

Via deze hiërarchie stellen we onze klanten in staat om hun focus te maximaliseren. Hoewel contextbewust en geautomatiseerd herstel, kan MTP veel bedreigingen detecteren en stoppen zonder extra waarschuwingsmoeheid toe te voegen aan al overbelast SOC-personeel. Geavanceerde opsporing binnen van MTP brengt die context naar de jacht om te focussen op veel belangrijke aanvalspunten. En opsporing en indeling in het hele ecosysteem via Microsoft Sentinel biedt de mogelijkheid om het juiste inzicht te krijgen in alle aspecten van een heterogene omgeving, terwijl de cognitieve overbelasting van de operator wordt geminimaliseerd.

Zichtbaarheid, automatisering en indeling Zero Trust implementatiedoelstellingen

Wanneer u een end-to-end Zero Trust framework implementeert voor zichtbaarheid, automatisering en indeling, raden we u aan om u eerst te richten op deze initiële implementatiedoelstellingen:

List icon with one checkmark.

I.Establishzichtbaarheid.

II.Automatisering inschakelen.

Nadat deze zijn voltooid, richt u zich op deze aanvullende implementatiedoelstellingen:

List icon with two checkmarks.

III.Schakel aanvullende besturingselementen voor beveiliging en detectie in.

Implementatiehandleiding voor zichtbaarheid, automatisering en indeling Zero Trust

In deze handleiding worden de stappen beschreven die nodig zijn om zichtbaarheid, automatisering en indeling te beheren volgens de principes van een Zero Trust beveiligingsframework.




Checklist icon with one checkmark.

Initiële implementatiedoelstellingen

I. Zichtbaarheid tot stand brengen

De eerste stap bestaat uit het tot stand brengen van zichtbaarheid door Microsoft Threat Protection (MTP) in te schakelen.

Volg deze stappen:

  1. Meld u aan voor een van de Microsoft Threat Protection-workloads.
  2. Schakel de workloads in en breng connectiviteit tot stand.
  3. Configureer detectie op uw apparaten en infrastructuur om direct inzicht te krijgen in activiteiten die in de omgeving plaatsvinden. Dit geeft u de belangrijkste 'kiestoon' om de stroom van kritieke gegevens te starten.
  4. Schakel Microsoft Threat Protection in om zichtbaarheid en incidentdetectie voor meerdere workloads te verkrijgen.

II. Automatisering inschakelen

De volgende belangrijke stap, nadat u de zichtbaarheid hebt vastgesteld, is het inschakelen van automatisering.

Geautomatiseerd onderzoek en herstel

Met Microsoft Threat Protection hebben we zowel onderzoeken als herstel geautomatiseerd, wat in feite een extra SOC-analyse op laag 1 biedt.

Automatisch onderzoek en herstel (AIR) kan geleidelijk worden ingeschakeld, zodat u een comfortniveau kunt ontwikkelen met de acties die worden uitgevoerd.

Volg deze stappen:

  1. SCHAKEL AIR in voor een testgroep.
  2. Analyseer de onderzoeksstappen en antwoordacties.
  3. Stap geleidelijk over naar automatische goedkeuring voor alle apparaten om de tijd tot detectie en reactie te verkorten.

Om inzicht te krijgen in de incidenten die het gevolg zijn van het implementeren van een Zero Trust model, is het belangrijk om MTP, andere Microsoft-gegevensconnectors en relevante producten van derden te verbinden met Microsoft Sentinel om een gecentraliseerd platform te bieden voor incidentonderzoek en -respons.

Als onderdeel van het gegevensverbindingsproces kan relevante analyse worden ingeschakeld om incidenten te activeren en kunnen werkmappen worden gemaakt voor een grafische weergave van de gegevens in de loop van de tijd.

Hoewel machine learning en fusieanalyses out-of-the-box worden aangeboden, is het ook nuttig om bedreigingsinformatiegegevens op te nemen in Microsoft Sentinel om gebeurtenissen te identificeren die betrekking hebben op bekende slechte entiteiten.




Checklist icon with two checkmarks.

Aanvullende implementatiedoelstellingen

III. Aanvullende besturingselementen voor beveiliging en detectie inschakelen

Door extra besturingselementen in te schakelen, wordt het signaal dat bij MTP en Sentinel binnenkomt, verbeterd om uw zichtbaarheid en de mogelijkheid om reacties te organiseren te verbeteren.

Besturingselementen voor het verminderen van kwetsbaarheid voor aanvallen vormen zo'n kans. Deze beschermende controles blokkeren niet alleen bepaalde activiteiten die het meest zijn gekoppeld aan malware, maar geven ook pogingen om specifieke benaderingen te gebruiken, die kunnen helpen bij het detecteren van kwaadwillende personen die eerder in het proces gebruikmaken van deze technieken.

Producten die in deze handleiding worden behandeld

Microsoft Azure

Microsoft Defender for Identity

Microsoft Sentinel

Microsoft 365

Microsoft Threat Protection



De reeks Zero Trust-implementatiehandleiding

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration