Krok nr 3. Przeprowadzanie przeglądu po zdarzeniu pierwszego incydentu

Uwaga

Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

  • Microsoft 365 Defender

National Institute of Standards and Technology (NIST) zaleca, aby po wykonaniu wszystkich kroków w celu odzyskania sprawności po ataku organizacje muszą dokonać przeglądu incydentu, aby wyciągnąć z niego wnioski i poprawić stan bezpieczeństwa lub procesy. Ocena różnych aspektów obsługi incydentów staje się ważna podczas przygotowywania się do następnego incydentu.

Microsoft 365 Defender może pomóc w wykonywaniu działań po zdarzeniu, udostępniając organizacji alerty zgodne z programem MITRE ATT&CK Framework. Wszystkie rozwiązania usługi Microsoft Defender etykietują ataki zgodnie z taktyką lub techniką CK&ATT.

Mapowanie alertów na tę platformę branżową umożliwia:

  • Przeprowadzanie analizy luk w zabezpieczeniach.
  • Określanie przeciwnika i przypisywania kampanii.
  • Wykonaj analizę trendu.
  • Identyfikowanie luk w umiejętnościach w rozpoznawaniu metod ataku.
  • Utwórz podręcznik Power Automate, aby przyspieszyć korygowanie.

Działanie po przeglądzie po zdarzeniu może również spowodować dostrojenie konfiguracji zabezpieczeń i procesów zespołu ds. zabezpieczeń w celu usprawnienia możliwości reagowania organizacji.

Następny krok

Zobacz następujące dodatkowe ścieżki badania:

Zobacz też