Omówienie reakcji na incydenty

Reagowanie na incydenty jest praktyką badania i korygowania aktywnych kampanii ataków na twoją organizację. Jest to część dyscypliny związanej z zabezpieczeniami (SecOps), która przede wszystkim reaguje.

Reagowanie na incydenty ma największy bezpośredni wpływ na ogólną średnią wartość czasu na potwierdzenie (MTTA) i średni czas rozwiązywania problemów (MTTR) w celu oceny skuteczności działań zabezpieczających w celu zmniejszenia ryzyka organizacyjnego. Zespoły reagowania na incydenty w dużej mierze opierają się na dobrych relacjach roboczych między chwytami zagrożeń, analizą i zespołami do zarządzania zdarzeniami (jeśli są obecne), aby w rzeczywistości zmniejszyć ryzyko. Aby uzyskać więcej informacji, zobacz Metryki secops .

Aby uzyskać więcej informacji na temat ról i obowiązków dotyczących operacji zabezpieczeń, zobacz Funkcje SOC w chmurze.

Zasoby dla nowych ról

Jeśli jesteś nowym analitykiem zabezpieczeń, zapoznaj się z tymi zasobami, aby rozpocząć pracę.

Temat Zasób
Planowanie działań w celu reagowania na zdarzenia Planowanie reakcji na incydenty na wypadek zdarzenia w organizacji.
Proces reagowania na zdarzenia secOps Proces reagowania na incydenty, aby uzyskać najlepsze rozwiązania dotyczące reakcji na zdarzenie.
Przepływ pracy reagowania na incydenty Przykładowy przepływ pracy reagowania na zdarzenia dla Microsoft 365 Defender
Okresowe operacje zabezpieczeń Przykład okresowych operacji zabezpieczeń Microsoft 365 Defender
Badanie programu Microsoft Sentinel Zdarzenia w Programie Microsoft Sentinel
Badanie Microsoft 365 Defender Zdarzenia w Microsoft 365 Defender

Doświadczonych analitycy zabezpieczeń, zasoby

Jeśli jesteś doświadczonym analitykiem zabezpieczeń, zapoznaj się z tymi zasobami, aby szybko skonfigurować zespół usługi SecOps do obsługi zabezpieczeń firmy Microsoft.

Temat Zasób
Microsoft Sentinel Jak badać zdarzenia
Microsoft Defender dla Chmury (zasoby na platformie Azure) Jak badać alerty
Microsoft 365 Defender Jak badać zdarzenia
Operacje związane z zabezpieczeniami lub unowocześnienie Artykuły Cloud Adoption Framework usługi Azure dotyczące funkcji SecOpsi SecOps
Najlepsze rozwiązania dotyczące zabezpieczeń firmy Microsoft Jak najlepiej korzystać z centrum obsługi aplikacji SecOps
Podręczniki reagowania na incydenty Omówienie: https://aka.ms/IRplaybooks

- Wyłudzanie informacji
- Password do ochrony przed hasłami
- Udzielenie zgody na aplikację
Struktury procesów SOC Microsoft Sentinel
Notesy MSTICPy i Jupyter Microsoft Sentinel

Seria blogów na temat secopsów w obrębie firmy Microsoft

Zapoznaj się z tą serią blogów na temat pracy zespołu usługi SecOps w firmie Microsoft.

Simuland

Program Simuland to otwarta inicjatywa w zakresie wdrażania środowisk laboratoryjnych i końcowych symulacyjnych, które:

  • Odtąd odtąd używane techniki będą używane w rzeczywistych scenariuszach ataków.
  • Aktywnie testuje i sprawdza skuteczność wykrywania Microsoft 365 Defender, Microsoft Defender dla Chmury i Microsoft Sentinel.
  • Rozszerzanie badań zagrożeń przy użyciu artefaktów telemetrycznych i forensycznych generowanych po każdym ćwiczeniu symulacyjnej.

Środowiska laboratoryjnych na platformie Simuland zapewniają przypadki użycia z różnych źródeł danych, w tym telemetrii z produktów zabezpieczeń firmy Microsoft 365 Defender, Microsoft Defender dla Chmury i innych zintegrowanych źródeł danych za pośrednictwem łączników danych Programu Microsoft Sentinel.

Bezpieczeństwo wersji próbnej lub płatnej subskrypcji w trybie piaskownicy umożliwia:

  • Zrozumienie podstawowych zachowań i funkcji organizacji adversary tradecraft.
  • Określ środki zaradcze i ścieżki atakujące, dokumentując schłody dla poszczególnych działań atakujących.
  • Przyspieszyć projektowanie i wdrażanie środowisk laboratoryjnych w zakresie badań zagrożeń.
  • Bądź na bieżąco z najnowszymi technikami i narzędziami używanymi przez rzeczywiste zagrożenia.
  • Identyfikowanie, dokumentowanie i udostępnianie odpowiednich źródeł danych w celu modelowania i wykrywania działań adversary.
  • Weryfikowanie i dostosowywanie funkcji wykrywania.

Nauki z scenariuszy środowiska laboratorium simulandzkiego można następnie zaimplementować w środowisku produkcyjnym i procesach zabezpieczeń.

Zobacz omówienie programu Simuland i zasobów w repozytorium danych GitHub Simuland.

Zasoby do reagowania na incydenty

Kluczowe zasoby zabezpieczeń firmy Microsoft

Zasób Opis
Raport Microsoft Digital Defense 2021 Raport obejmujący informacje od ekspertów ds. zabezpieczeń, wytłaczyń i defenderów w firmie Microsoft, aby umożliwić innym osobom obronę przed cyberatakami.
Architektury odwłaści firmy Microsoft Zestaw diagramów architektury wizualnej, które pokazują możliwości firmy Microsoft w zakresie bezpieczeństwa i integracji z platformami chmurowymi firmy Microsoft, takimi jak Microsoft 365 i Microsoft Azure, oraz platformami i aplikacjami w chmurze innych firm.
Pobieranie infografiki na temat minut bez znaczenia Przegląd reakcji zespołu usługi SecOps firmy Microsoft na zdarzenia w celu zminimalizowania trwających ataków.
Operacje Cloud Adoption Framework Azure Wskazówki strategiczne dla liderów ustanawiania lub unowocześninia funkcji operacji zabezpieczeń.
Najlepsze rozwiązania firmy Microsoft dotyczące zabezpieczeń w zakresie operacji zabezpieczeń Jak najlepiej używać centrum firmy SecOps do szybszego poruszania się niż osoby atakujące, które są przeznaczone dla Twojej organizacji.
Model zabezpieczeń chmury firmy Microsoft dla architektów it Zabezpieczenia w usługach i platformach w chmurze firmy Microsoft w zakresie tożsamości, dostępu do urządzeń, ochrony przed zagrożeniami i ochrony informacji.
Dokumentacja zabezpieczeń firmy Microsoft Dodatkowe wskazówki dotyczące zabezpieczeń od firmy Microsoft.