Widoczność, automatyzacja i aranżacja za pomocą Zero Trust

Jedną ze znaczących zmian w perspektywach, która jest znakiem rozpoznawczym Zero Trust struktury zabezpieczeń, jest odejście od domyślnego zaufania w kierunku zaufania według wyjątku. Potrzebujesz jednak niezawodnego sposobu ustanowienia zaufania, gdy będzie potrzebne zaufanie. Ponieważ nie zakładasz już, że żądania są godne zaufania, ustanowienie środków potwierdzających wiarygodność żądania ma kluczowe znaczenie dla udowodnienia jego wiarygodności w danym momencie. To zaświadczenie wymaga możliwości uzyskania wglądu w działania dotyczące żądania i jego otoczenia.

W pozostałych przewodnikach Zero Trust zdefiniowaliśmy podejście do wdrażania kompleksowego podejścia Zero Trust w zakresie tożsamości, punktów końcowych i urządzeń, danych, aplikacji, infrastruktury i sieci. Wszystkie te inwestycje zwiększają Widoczność, co zapewnia lepsze dane do podejmowania decyzji o zaufaniu. Jednak przyjmując podejście Zero Trust w tych sześciu obszarach, należy koniecznie zwiększyć liczbę zdarzeń, które analitycy Centrów Operacji Bezpieczeństwa (SOC) muszą złagodzić. Twoi analitycy stają się bardziej ruchliwi niż kiedykolwiek, w czasie, gdy już brakuje talentów. Może to prowadzić do chronicznego zmęczenia alertów, a analitycy nie mają krytycznych alertów.

Diagram of integrated capabilities to manage threats.

Ponieważ każdy z tych poszczególnych obszarów generuje własne alerty, potrzebujemy zintegrowanej możliwości zarządzania wynikającym z tego napływem danych, aby lepiej bronić się przed zagrożeniami i zweryfikować zaufanie do transakcji.

Chcesz mieć możliwość:

  • Wykrywanie zagrożeń i luk w zabezpieczeniach.
  • Zbadania.
  • Odpowiadać.
  • Polowanie.
  • Zapewnij dodatkowy kontekst za pośrednictwem analizy zagrożeń.
  • Oceń luki w zabezpieczeniach.
  • Uzyskiwanie pomocy od światowej klasy ekspertów
  • Zapobiegaj występowaniu zdarzeń na filarach lub blokuj je.

Zarządzanie zagrożeniami obejmuje reaktywne, a także proaktywne wykrywanie i wymaga narzędzi, które obsługują oba te narzędzia.

Wykrywanie reaktywne polega na tym, że zdarzenia są wyzwalane z jednego z sześciu filarów, które można zbadać. Ponadto produkt zarządzania, taki jak SIEM, prawdopodobnie będzie obsługiwał kolejną warstwę analiz, która wzbogaci i skoreluje dane, co spowoduje oflagowanie zdarzenia jako złego. Następnym krokiem byłoby zbadanie, czy uzyskać pełną narrację o ataku.

Proaktywne wykrywanie polega na zastosowaniu polowania na dane w celu udowodnienia zagrożonej hipotezy. Polowanie na zagrożenia zaczyna się od założenia, że zostały naruszone - szukasz dowodu, że rzeczywiście istnieje naruszenie.

Polowanie na zagrożenia zaczyna się od hipotezy opartej na bieżących zagrożeniach, takich jak ataki wyłudzające informacje COVID-19. Analitycy zaczynają od tego hipotetycznego zagrożenia, identyfikują kluczowe wskaźniki kompromisu i przeszczują dane, aby sprawdzić, czy istnieją dowody na to, że środowisko zostało naruszone. Jeśli wskaźniki istnieją, scenariusze łowieckie mogą powodować analizy, które powiadamiają organizacje, jeśli niektóre wskaźniki wystąpią ponownie.

W obu przypadkach, po wykryciu incydentu, musisz go zbadać, aby zbudować pełną historię ataku. Co jeszcze zrobił użytkownik? Jakie inne systemy były zaangażowane? Jakie wykonywalne zostały uruchomione?

Jeśli wynikiem badania są materiały umożliwiające wykonywanie akcji, możesz podjąć kroki naprawcze. Jeśli na przykład badanie wykażą luki we wdrożeniu zerowym poziomie zaufania, można zmodyfikować zasady w celu wyeliminowania tych luk i zapobiegania przyszłym niepożądanym incydentom. Jeśli to możliwe, pożądane jest zautomatyzowanie kroków naprawczych, ponieważ skraca to czas potrzebny analitykowi SOC na rozwiązanie zagrożenia i przejście do następnego incydentu.

Innym kluczowym elementem oceny zagrożeń jest włączenie znanych analiz zagrożeń do połówkowanych danych. Jeśli wiadomo, że adres IP, skrót, adres URL, plik, plik wykonywalny itp. jest nieprawidłowy, można je zidentyfikować, zbadać i rozwiązać problem.

W filarze infrastruktury poświęcono czas na eliminowanie luk w zabezpieczeniach. Jeśli wiadomo, że system jest podatny na zagrożenia i skorzystał z tej luki, można to wykryć, zbadać i rozwiązać.

Aby używać tych taktyk do zarządzania zagrożeniami, powinieneś mieć konsolę centralną, aby umożliwić administratorom SOC wykrywanie, badanie, naprawianie, polowanie, wykorzystanie analizy zagrożeń, zrozumienie znanych luk w zabezpieczeniach, opieranie się na ekspertach od zagrożeń i blokowanie zagrożeń w każdym z sześciu filarów. Narzędzia potrzebne do obsługi tych faz działają najlepiej, jeśli są zbieżne w jeden przepływ pracy, zapewniając płynne środowisko, które zwiększa skuteczność analityka SOC.

Centra operacji zabezpieczeń często wdrażają kombinację technologii SIEM i SOAR w celu zbierania, wykrywania, badania i reagowania na zagrożenia. Firma Microsoft oferuje usługę Microsoft Sentinel jako ofertę SIEM-as-a-service. Microsoft Sentinel połknie wszystkie dane Microsoft Defender for Identity i innych firm.

Microsoft Threat Protection (MTP), kluczowy kanał informacyjny firmy Microsoft Sentinel, zapewnia ujednolicony pakiet ochrony przedsiębiorstwa, który zapewnia ochronę, wykrywanie i reakcję w kontekście wszystkich składników Microsoft 365. Klienci korzystający z Microsoft 365, świadomi kontekstu i skoordynowani, mogą uzyskać widoczność i ochronę w punktach końcowych, narzędziach do współpracy, tożsamościach i aplikacjach.

To właśnie dzięki tej hierarchii umożliwiamy naszym klientom maksymalizowanie ich koncentracji. Pomimo świadomości kontekstowej i automatycznego korygowania, MTP może wykrywać i zatrzymywać wiele zagrożeń bez dodawania dodatkowego zmęczenia alertami do już przeciążonego personelu SOC. Zaawansowane polowanie wewnątrz MTP przynosi ten kontekst do polowania, aby skupić się na wielu kluczowych punktach ataku. Polowanie i aranżacja w całym ekosystemie za pośrednictwem Microsoft Sentinel zapewnia zdolność do uzyskania właściwej widoczności we wszystkich aspektach heterogenicznego środowiska, a wszystko to przy minimalizowaniu przeciążenia poznawczego operatora.

Widoczność, automatyzacja i aranżacja Zero Trust celów wdrażania

Podczas wdrażania kompleksowej struktury Zero Trust na potrzeby widoczności, automatyzacji i aranżacji zalecamy skoncentrowanie się przede wszystkim na następujących początkowych celach wdrażania:

List icon with one checkmark.

I.Ustalwidoczność.

II.Włącz automatyzację.

Po ich ukończeniu skoncentruj się na następujących dodatkowych celach wdrożenia:

List icon with two checkmarks.

III.Włącz dodatkowe kontrolki ochrony i wykrywania.

Widoczność, automatyzacja i aranżacja Zero Trust przewodnik wdrażania

Ten przewodnik przeprowadzi Cię przez kroki wymagane do zarządzania widocznością, automatyzacją i aranżacją zgodnie z zasadami Zero Trust struktury zabezpieczeń.




Checklist icon with one checkmark.

Początkowe cele wdrożenia

I. Określanie widoczności

Pierwszym krokiem jest zapewnienie widoczności poprzez włączenie usługi Microsoft Threat Protection (MTP).

Wykonaj następujące czynności:

  1. Utwórz konto, aby uzyskać jedno z obciążeń związanych z ochroną przed zagrożeniami firmy Microsoft.
  2. Włączanie obciążeń i ustanawianie łączności.
  3. Skonfiguruj wykrywanie na urządzeniach i infrastrukturze, aby zapewnić natychmiastowy wgląd w działania w środowisku. Zapewnia to wszystkie ważne "ton wybierania", aby rozpocząć przepływ krytycznych danych.
  4. Włącz ochronę przed zagrożeniami firmy Microsoft, aby uzyskać widoczność między obciążeniami pracą i wykrywanie zdarzeń.

II. Włączanie automatyzacji

Następnym kluczowym krokiem, po ustaleniu widoczności, jest włączenie automatyzacji.

Zautomatyzowane badania i działania naprawcze

Dzięki funkcji Ochrona przed zagrożeniami firmy Microsoft zautomatyzowaliśmy zarówno badania, jak i działania naprawcze, co stanowi dodatkową analizę SOC poziomu 1.

Funkcja automatycznego badania i korygowania (AIR) może być włączana stopniowo, dzięki czemu można rozwijać poziom komfortu w odniesieniu do wykonywanych akcji.

Wykonaj następujące czynności:

  1. Włączanie funkcji AIR dla grupy testowej.
  2. Analizowanie kroków badania i działań reagowania.
  3. Stopniowe przechodzenie do automatycznego zatwierdzania dla wszystkich urządzeń w celu skrócenia czasu wykrywania i reagowania.

W celu uzyskania wglądu w incydenty wynikające z wdrożenia modelu Zero Trust ważne jest połączenie protokołu MTP, innych łączników danych firmy Microsoft i odpowiednich produktów innych firm z usługą Microsoft Sentinel w celu udostępnienia scentralizowanej platformy do badania incydentów i reagowania na incydenty.

W ramach procesu łączenia danych można włączyć odpowiednie analizy wyzwalające zdarzenia, a skoroszyty można tworzyć dla graficznej reprezentacji danych w czasie.

Chociaż uczenie maszynowe i analiza fuzji są dostępne po raz pierwszy, jest to również korzystne dla pobierania danych wywiadowczych o zagrożeniach do Microsoft Sentinel, aby pomóc w identyfikacji zdarzeń, które odnoszą się do znanych złych jednostek.




Checklist icon with two checkmarks.

Dodatkowe cele wdrożenia

III. Włączanie dodatkowych kontrolek ochrony i wykrywania

Włączenie dodatkowych kontrolek poprawia sygnał przychodzący do MTP i Sentinel w celu poprawy widoczności i zdolności do aranżacji odpowiedzi.

Jednym z takich możliwości jest sterowanie redukcją powierzchni ataku. Te kontrolki ochronne nie tylko blokują niektóre działania, które są najbardziej związane ze złośliwym oprogramowaniem, ale także poddają się próbom użycia konkretnych podejść, które mogą pomóc w wykrywaniu przeciwników korzystających z tych technik wcześniej w tym procesie.

Produkty objęte tym przewodnikiem

Microsoft Azure

Microsoft Defender for Identity

Microsoft Sentinel

Microsoft 365

Ochrona przed zagrożeniami firmy Microsoft



Seria przewodników po wdrażaniu Zero Trust

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration