Passo 1. Planear a preparação para operações de Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Seja qual for a maturidade atual das suas operações de segurança, é importante que se alinhe com o Centro de Operações de Segurança (SOC). Embora não exista um único modelo que se adeque a todas as organizações, existem certos aspetos mais comuns do que outros.
As secções seguintes descrevem as funções principais do SOC.
Fornecer consciência situacional de ameaças modernas
Uma equipa do SOC prepara e procura ameaças novas e recebidas para que possa trabalhar com a organização para estabelecer contramedidas e respostas. A sua equipa do SOC deve ter pessoal altamente treinado em técnicas e métodos de ataque modernos e compreender os atores de ameaças. Informações e arquiteturas de ameaças partilhadas, como a Cyber Kill Chain ou a MITRE ATT&arquitetura CK podem capacitar a sua equipa de analistas de ameaças e caçadores de ameaças.
Fornecer respostas de primeiro, segundo e potencialmente terceiro nível a incidentes e eventos cibernéticos
O SOC é a linha da frente da defesa para eventos e incidentes de segurança. Quando um evento, ameaça, ataque, violação de política ou localização de auditoria aciona um alerta ou chamada à ação, a equipa do SOC faz uma avaliação da triagem e contém-na ou escala-a para investigação. Por conseguinte, os socorristas de primeira linha do SOC têm de ter um amplo conhecimento técnico dos eventos e indicadores de segurança.
Centralizar a monitorização e o registo das origens de segurança da sua organização
Normalmente, a função principal da equipa do SOC é garantir que todos os dispositivos de segurança, como firewalls, sistemas de prevenção de intrusões, sistemas de prevenção de perda de dados, sistemas de gestão de vulnerabilidades e sistemas de identidade estão a funcionar corretamente e a ser monitorizados. As equipas do SOC trabalham com as operações de rede mais amplas, como identidade, DevOps, cloud, aplicação, ciência de dados e outras equipas empresariais para garantir que a análise das informações de segurança é centralizada e protegida. Além disso, a equipa do SOC é responsável por manter os registos dos dados em formatos utilizáveis e legíveis, o que pode incluir a análise e a normalização de formatos diferentes.
Estabelecer preparação operacional da equipa Vermelha, Azul e Púrpura
Todas as equipas do SOC devem testar a sua preparação para responder a um incidente cibernético. Os testes podem ser efetuados através de exercícios de preparação, como tabelas e execuções práticas com várias pessoas em TI, segurança e a nível empresarial. As equipas de exercícios de formação individuais são criadas com base em funções representativas e estão a desempenhar o papel de um defensor (Equipa Azul), um atacante (Equipa Vermelha) ou como observadores que procuram melhorar métodos e técnicas das equipas Azul e Vermelho através de pontos fortes e fracos que são descobertos durante o exercício (Equipa Púrpura).
Passo seguinte
Passo 2. Realizar uma avaliação de preparação da integração do SOC com o Confiança Zero Framework
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários