Советы корпорации Майкрософт по обеспечению безопасности

Операции по обеспечению безопасности (SecOps) сохраняют и восстанавливают гарантии безопасности системы по мере атаки на нее в режиме эксплуатации. Задачи SecOps хорошо описаны функциями NIST Cybersecurity Framework (Обнаружение, реагирование и восстановление).

  • Обнаружение . SecOps должен обнаруживать наличие в системе заросли, которые в большинстве случаев остаются скрытыми, так как это позволяет им беспрепятпятно достичь своих целей. Это может принимать форму реагирования на оповещение о подозрительной активности или упреждающий поиск на аномальных событиях в журналах действий предприятия.

  • Ответить. При обнаружении потенциально опасных действий или кампаний SecOps необходимо быстро выяснить, является ли это фактической атакой (настоящей положительной) или ложной будильник (ложным срабатываем), а затем прогонять масштаб и цель операции.

  • Восстановление . Конечная цель SecOps — сохранить или восстановить гарантии безопасности (конфиденциальность, целостность, доступность) бизнес-служб во время и после атаки.

Самый высокий риск безопасности, с который сталкиваются большинство организаций, — это операторы атак с людьми (разных уровней квалификации). Это произошло потому, что риск автоматических и повторяющихся атак значительно снижается для большинства организаций благодаря встроенным подходам подписи и машинного обучения к вредоносным программам (хотя существуют важные исключения, такие как Wannacrypt и NotPetya, которые перемещались быстрее, чем эти системы защиты).

Операторы атак, с которыми сложно столкнуться из-за их адаптивности (в то время как автоматизированная или повторяемая логика), работают с той же скоростью, что и защитники, что помогает выравнивать уровень воспроизведения.

SecOps (иногда называемая центром операций безопасности) играет важную роль в ограничении времени, и злоумышленник может получить доступ к важным системам и данным. Каждая минута, которую злоумышленник проводит в среде, позволяет ему продолжать проводить атаки и получать доступ к конфиденциальным или ценным системам.

Цели и метрики

Метрики, измеримые вами, существенно влияют на поведение и результаты работы SecOps. Сосредоточьвшись на правильных измерениях, вы сможете постоянно усовершенствовать нужные области, чтобы значительно снизить риск.

Чтобы обеспечить эффективное обеспечение доступа к SecOps злоумышленникам, следует уделять особое внимание:

  • Сокращение времени для подтверждения оповещения о том, что обнаруженные заготовки не игнорируются, а защитники тратят время на ложные срабатывания.

  • Сокращение времени для устранения обнаруженной запамятии, чтобы сократить время на проведение атак и работу с конфиденциальными системами

  • Приоритет инвестиций в системы безопасности, которые имеют высокую внутреннюю ценность (скорее всего, целевые показатели или большое влияние на бизнес) и доступ ко многим системам или конфиденциальным системам (учетным записям администратора и конфиденциальным пользователям)

  • Все больше внимания уделяйте упреждающего поиску заросли по мере зрелости программы и реагирования инцидентов под контролем. В этой теме основное внимание уделяется уменьшению времени, которое более опытные вехи могут работать в среде (например, достаточно опытные, чтобы избежать реагирования).

Дополнительные сведения о том, как корпорация Майкрософт использует эти показатели, см. в .https://aka.ms/ITSOC

Гибридное корпоративное представление

SecOps должен обеспечить видимость своих инструментов, процессов и наборов навыков аналитика во всем диапазоне гибридного управления.

Злоумышленники не ограничивают свои действия определенной средой при наступлизации на организацию, они будут нападать на ресурсы на любой платформе с помощью любого из доступных методов. Enterprise организации, которые принимают облачные службы, такие как Azure и AWS, фактически работают в гибридной облачной и локальной службах.

Инструментирование и процессы SecOps должны быть предназначены для атак на облачные и локальное ресурсы, а также на злоумышленников, сводные между облачными и локально ресурсами с использованием удостоверений или других средств. Это корпоративное представление позволяет командам SecOps быстро обнаруживать атаки, отвечать на них и восстанавливаться после них, что снижает риск, связанный с работой организации.

Использование средств обнаружения и элементов управления

Перед созданием настраиваемого обнаружения с использованием журналов событий из облака следует использовать средства обнаружения безопасности и элементы управления, встроенные в облачную платформу.

Облачные платформы быстро развиваются благодаря новым функциям, которые могут усложнять обнаружение. Стандартные элементы управления поддерживаются облачным поставщиком и обычно имеют высокое качество (низкая скорость ложного срабатываирования).

Так как многие организации могут использовать несколько облачных платформ и требуют единого представления, убедитесь, что эти средства обнаружения и средства обеспечивают централизованное использование SIEM или другого средства. Мы не рекомендуем заменять общие средства анализа журналов и запросы вместо средств обнаружения и элементов управления. Эти средства могут иметь множество значений для упреждающего отдыха, но для получения высокого качества оповещений с их помощью требуются глубинные знания и время, которые можно было бы потратить на развлечения и другие действия.

Чтобы дополнять широкое видимость централизованного SIEM (например, Microsoft Sentinel, Splunk или QRadar), следует использовать такие средства обнаружения и средства управления, как:

  • Организациям, использующим Azure, следует Microsoft Defender для облака для генерации оповещений на платформе Azure.

  • Организациям следует использовать функции ведения журнала, такие как Azure Monitor и AWS CloudTrail, для централизованного ведения журналов.

  • Организациям, использующим Azure, следует использовать возможности Network Security Group (NSG) для наглядного использования сетевых действий на платформе Azure.

  • В методиках исследования следует использовать средства, которые хорошо знают тип активов, например решение для обнаружения конечных точек и ответов (EDR), средства идентификации и Microsoft Sentinel.

Приоритеты интеграции оповещений и журналов

Убедитесь, что вы интегрировали критически важные оповещения системы безопасности и журналы в SIEMs, не вводя большого объема данных с низкими значениями.

Слишком большое количество данных с низкими значениями может повысить стоимость SIEM, повысить шумы и ложные срабатывания и снизить производительность.

Собранные данные должны быть нацелены на поддержку одной или более из этих операций:

  • Оповещения (определения существующих средств или данных, необходимых для создания настраиваемой оповещений)

  • Исследование инцидента (например, необходимо для распространенных запросов)

  • Упреждающие занятия с развлечениями

Интеграция дополнительных данных позволяет обо обогащение оповещений за дополнительным контекстом, позволяющим быстро отвечать на запросы и устранять их (фильтровать ложные срабатывания и повышать уровень истинного срабатывания и т. д.), но сбор данных не позволяет их обнаруживать. Если вы не ожидаете, что данные будут иметь значение (например, большой объем событий брандмауэра отказано), интеграцию этих событий можно декрибировать.

Ресурсы SecOps для служб безопасности Майкрософт

Если вы еще не стали аналитиком безопасности, см. эти ресурсы, чтобы начать работу.

Теме Ресурсов
Планирование реагирования на инциденты в SecOps Планирование реагирования на инциденты для подготовки организации к инциденту.
Процесс реагирования на инцидент SecOps Процесс реагирования на инциденты с учетом лучших методик реагирования на инцидент.
Рабочий процесс реагирования на инцидент Пример рабочего процесса реагирования на инциденты для Microsoft 365 Defender
Периодические операции безопасности Примеры периодических операций безопасности Microsoft 365 Defender
Исследование Для Microsoft Sentinel Инциденты в Microsoft Sentinel
Исследование Microsoft 365 Defender Инциденты в Microsoft 365 Defender

Если вы опытный аналитик по вопросам безопасности, см. эти ресурсы, чтобы быстро сузить свою команду SecOps для служб безопасности Майкрософт.

Теме Ресурсов
Azure Active Directory (Azure AD) Руководство по эксплуатации системы безопасности
Microsoft 365 Defender Руководство по эксплуатации системы безопасности
Microsoft Sentinel Как изучить инциденты
Microsoft 365 Defender Как изучить инциденты
Установка или обновление операций безопасности Статьи Cloud Adoption Framework Azure для функций SecOpsи SecOps
Журналы ответов на инциденты Обзор в https://aka.ms/IRplaybooks
- Фишинг
- Пароль для паролей
- Предоставление согласия для приложения
Структура процесса SOC Microsoft Sentinel
Записные книжки MSTICPy и Jupyter Microsoft Sentinel

Ряд блогов о SecOps в корпорации Майкрософт

Посмотрите этот ряд блога о том, как работает команда SecOps в корпорации Майкрософт.

Simuland

Simuland — это инициатива с открытым кодом для развертывания среды лабораторных средуй и внутренних сред, которая:

  • Воспроизводя хорошо известные методы, используемые в реальных сценариях атак.
  • Активно тестировать и проверять эффективность связанных Microsoft 365 Defender, Microsoft Defender для облака и microsoft Sentinel.
  • Расширение исследования угроз с использованием телеметрии и артефактов, созданных после каждого упражнения по моделированию.

В лабораторных средах Simuland можно использовать различные источники данных, включая телеметрию из продуктов безопасности Microsoft 365 Defender, Microsoft Defender для облака и других интегрированных источников данных через соединители данных Microsoft Sentinel.

В целях безопасности пробной или платной подписки в песочнице вы можете:

  • Понимание поведения и функциональности веской выставки.
  • Выявлять потенциальные последствий и пути злоумышленников можно с помощью документов, которые необходимо задействовать для каждого действия злоумышленника.
  • Ускорять проектирование и развертывание сред исследования угроз.
  • Будьте в курсе последних технологий и инструментов, используемых субъектами, которые представляют собой реальные угрозы.
  • Выявлять, документировать и делиться соответствующими источниками данных для моделирования и обнаружения неохожных действий.
  • Проверка и настройка возможностей обнаружения.

Затем можно внедрить в производственной среде знания из сценариев, реализуемой в лабораторной среде Simuland.

Прочитав обзор Simuland, см. статью Simuland GitHub репозиторий.

Основные ресурсы корпорации Майкрософт по безопасности

Ресурсов Описание
Отчет о цифровой защите (Майкрософт) за 2021 г. Отчет, в который включаются знания экспертов по безопасности, специалистов по безопасности и защитников в корпорации Майкрософт, чтобы дать людям по всему миру возможность защищаться от киберугроз.
Справочники по кибербезопасности (Майкрософт) Набор схем визуальной архитектуры, которые показывают возможности корпорации Майкрософт в области кибербезопасности и их интеграцию с облачными платформами Майкрософт, такими как Microsoft 365 и Microsoft Azure и сторонние облачные платформы и приложения.
Загрузка инфографики "Минуты" Обзор того, как команда SecOps корпорации Майкрософт обеспечивает реагирование на инциденты для уменьшения текущих атак.
Azure Cloud Adoption Framework безопасности Стратегические рекомендации для руководителей по созданию или современной функции операции безопасности.
Модель облачной безопасности Майкрософт для ИТ-архитекторов Безопасность в облачных службах и платформах Майкрософт для доступа к удостоверениям и устройствам, защиты от угроз и защиты информации.
Документация майкрософт по безопасности Дополнительные рекомендации по безопасности от Корпорации Майкрософт.

Следующий шаг

Просмотрите возможности операций безопасности.