Операции безопасностиSecurity operations

Операции безопасности сохраняют и восстанавливают безопасность системы в режиме реального злоумышленников атаки.Security operations maintain and restores the security assurances of the system as live adversaries attack it. Задачи безопасности описаны в разделе функции обнаружения, реагирования и восстановления директивы NIST кибербезопасности Framework.The tasks of security operations are described well by the NIST Cybersecurity Framework functions of Detect, Respond, and Recover.

  • Операции обнаружения -безопасности должны обнаруживать присутствие злоумышленников в системе, которые в большинстве случаев остаются скрытыми, так как это позволяет им достичь своих целей.Detect - Security operations must detect the presence of adversaries in the system, who are incented to stay hidden in most cases as this allows them to achieve their objectives unimpeded. Это может стать результатом передействия предупреждения о подозрительной активности или упреждающим поиске аномальных событий в журналах действий предприятия.This can take the form of reacting to an alert of suspicious activity or proactively hunting for anomalous events in the enterprise activity logs.

  • Ответ . при обнаружении потенциальных вредоносных действий или кампаний операции безопасности должны быстро исследоваться, чтобы определить, является ли она фактической атакой (истинным положительным) или ложным предупреждением (ложным положительным), а затем перечислить область и цель самой злоумышленниковой операции.Respond – Upon detection of potential adversary action or campaign, security operations must rapidly investigate to identify whether it is an actual attack (true positive) or a false alarm (false positive) and then enumerate the scope and goal of the adversary operation.

  • Восстановление — конечная цель операций безопасности заключается в том, чтобы сохранить или восстановить гарантии безопасности (конфиденциальность, целостность, доступность) бизнес-служб во время и после атаки.Recover – The ultimate goal of security operations is to preserve or restore the security assurances (confidentiality, integrity, availability) of business services during and after an attack.

Наиболее значимые риски безопасности, которые сталкиваются с большинством организаций, — это от операторов атак человека (на различных уровнях навыков).The most significant security risk most organizations face is from human attack operators (of varying skill levels). Это обусловлено тем, что риск от автоматических или повторяющихся атак был значительно уменьшен для большинства организаций, в том числе в соответствии с сигнатурами и подходами на основе машинного обучения, встроенными в Антивредоносные программы (хотя существуют важные исключения, такие как Wannacrypt и Нотпетя, которые перемещаются быстрее, чем эти средства защитыThis is because risk from automated/repeated attacks have been mitigated significantly for most organizations by signature and machine learning based approaches built into anti-malware (though there are notable exceptions like Wannacrypt and NotPetya, which moved faster than these defenses).

В то время, когда операторы атаки человека сложнее в связи с их адаптируемостью (а также автоматизированной или повторяющейся логикой), они работают на той же «скорости», что и защитники, что позволяет повысить уровень игрового поля.While human attack operators are challenging to face because of their adaptability (vs. automated/repeated logic), they are operating at the same “human speed” as defenders, which help level the playing field.

Операции безопасности (которые иногда называются центром управления безопасностью) имеют критическую роль для воспроизведения, ограничивая время и доступ злоумышленника к ценным системам и данным.Security Operations (sometimes referred to as a Security Operations Center (SOC)) has a critical role to play in limiting the time and access an attacker can get to valuable systems and data. Каждая минута, когда злоумышленник находится в среде, позволяет им продолжать выполнять атаки и получать доступ к конфиденциальным и ценным системам.Each minute that an attacker has in the environment allows them to continue to conduct attack operations and access sensitive/valuable systems.

Цель и метрикиObjective and metrics

Метрики, которые вы измеряете, будут существенно влиять на поведение и результаты операций безопасности.The metrics you measure will have a significant effect on the behaviors and outcomes of security operations. Основное внимание на правильных измерениях поможет устранить непрерывное улучшение в правильных областях, которые существенно снижают риски.Focusing on the right measurements will help drive continuous improvement in the right areas that meaningfully reduce risk.

Чтобы обеспечить эффективное использование злоумышленниками операций безопасности, цели должны сосредоточиться наTo ensure that security operations are effectively containing attackers access, the objectives should focus on

  • Сокращение времени на подтверждение оповещения о том, что обнаруженные злоумышленников не пропускаются, тогда как защитники тратят время на ложные срабатывания.Reducing time to acknowledge an alert to ensure that detected adversaries are not ignored while defenders are spending time investigating false positives.

  • Сокращение времени на исправление обнаруженного злоумышленника, чтобы сократить время их возможного проведения и атаки и получить доступ к конфиденциальным системамReducing time to remediate a discovered adversary to reduce their opportunity time to conduct and attack and reach sensitive systems

  • Определение приоритетов инвестиций в системы с высоким внутренним значением (вероятные цели/высокий уровень бизнеса) и доступ ко многим системам или конфиденциальным системам (учетные записи администраторов и конфиденциальные пользователи)Prioritizing security investments into systems that have high intrinsic value (likely targets / high business impact) and access to many systems or sensitive systems (administrator accounts and sensitive users)

  • Сосредоточьтесь на профилактическом поиске злоумышленников по мере того, как ваша программа стала неактивной, а реактивные инциденты повышают контроль.Increase focus on proactively hunting for adversaries as your program matures and reactive incidents get under control. Это посвящено уменьшению времени, в течение которого более опытный злоумышленник может действовать в среде (например, достаточно квалифицирована для избегать обнаружения реактивных оповещений).This is focused on reducing the time that a higher skilled adversary can operate in the environment (for example, skilled enough to evade reactive alerts).

Дополнительные сведения о том, как Microsoft SOC использует эти метрики, см https://aka.ms/ITSOC . в разделе.For more information on how Microsoft’s SOC uses these metrics, see https://aka.ms/ITSOC.

Гибридное корпоративное представлениеHybrid enterprise view

Операции безопасности гарантируют, что средства, процессы и аналитик навыков обеспечивают видимость всего диапазона их гибридного места.Security operations should ensure their tooling, processes, and analyst skillsets enable visibility across the full span of their hybrid estate.

Злоумышленники не ограничивают свои действия определенным окружениям при разработке для Организации, они будут атаковать ресурсы на любой платформе, используя любой доступный метод.Attackers don’t restrict their actions to a particular environment when targeting an organization, they will attack resources on any platform using any method available. Корпоративные организации, которые принимают облачные службы, такие как Azure и AWS, эффективно используют гибриды облачных и локальных ресурсов.Enterprise organizations adopting cloud services like Azure and AWS are effectively operating a hybrid of cloud and on-premises assets.

Средства и процессы безопасности должны быть разработаны для атак на облачные и локальные ресурсы, а также злоумышленники, посвященные взаимодействиям между облачными и локальными ресурсами с помощью удостоверений или других средств.Security operations tooling and processes should be designed for attacks on cloud and on-premises assets as well as attackers pivoting between cloud and on-premises resources using identity or other means. Это представление корпоративного уровня позволит группам операций по обеспечению безопасности быстро обнаруживать, отвечать и устранять атаки, уменьшая риски Организации.This enterprise-wide view will enable security operations teams to rapidly detect, respond, and recover from attacks, reducing organizational risk.

Использование собственных средств обнаружения и элементов управленияLeverage native detections and controls

Прежде чем создавать пользовательские обнаружения с помощью журналов событий из облака, следует использовать встроенные в облачную платформу средства обнаружения и управления безопасностью.You should favor the use of security detections and controls built into the cloud platform before creating custom detections using event logs from the cloud.

Облачные платформы быстро развиваются с помощью новых функций, что может сделать обнаружение несложным.Cloud platforms evolve rapidly with new features, which can make maintaining detections challenging. Собственные элементы управления обслуживаются поставщиком облачных служб и обычно имеют высокое качество (низкая Положительная частота).Native controls are maintained by the cloud provider and are typically high quality (low false positive rate).

Так как многие организации могут использовать несколько облачных платформ и для них требуется единое представление на предприятии, следует убедиться, что эти собственные обнаружения и элементы управления поступают на веб-канал централизации SIEM или другого средства.Because many organizations may use multiple cloud platforms and need a unified view across the enterprise, you should ensure these native detections and controls feed a centralize SIEM or other tool. Мы не рекомендуем пытаться заменить обобщенные средства анализа журналов и запросы вместо собственных средств обнаружения и управления.We don’t recommend trying to substitute generalized log analysis tools and queries instead of native detections and controls. Эти средства могут предоставлять многочисленные значения для упреждающих операций по поиску, но для получения высококачественного оповещения с помощью этих средств требуется применение глубокого опыта и времени, которое может быть лучше затрачено на поиск и другие действия.These tools can offer numerous values for proactive hunting activities, but getting to a high-quality alert with these tools requires application of deep expertise and time that could be better spent on hunting and other activities.

Чтобы дополнить широкую видимость централизованной SIEM (например, Azure Sentinel, Splunk или QRadar), следует использовать собственные обнаружения и элементы управления, такие какTo complement the broad visibility of a centralized SIEM (like Azure Sentinel, Splunk, or QRadar), you should leverage native detections and controls such as

  • Организации, использующие Azure, должны использовать такие возможности, как центр безопасности Azure, для создания предупреждений на платформе Azure.Organizations using Azure should leverage capabilities like Azure Security Center for alert generation on the Azure platform.

  • Организации должны использовать собственные возможности ведения журнала, такие как Azure Monitor и AWS Клаудтраил для извлечения журналов в Центральное представление.Organizations should leverage native logging capabilities like Azure Monitor and AWS CloudTrail for pulling logs into a central view

  • Организации, использующие Azure, должны использовать возможности группы безопасности сети (NSG) для отслеживания сетевых операций на платформе Azure.Organizations using Azure should leverage Network Security Group (NSG) capabilities for visibility into network activities on the Azure platform.

  • Рекомендации по исследованию должны использовать собственные средства с глубокими знаниями о типе ресурса, таком как решение для обнаружения конечных точек и ответа (ЕДР), средства идентификации и метка Azure.Investigation practices should leverage native tools with deep knowledge of the asset type such as an Endpoint Detection and Response (EDR) solution, Identity tools, and Azure Sentinel.

Определение приоритетов для интеграции предупреждений и журналовPrioritize alert and log integration

Убедитесь, что вы интегрируете критические оповещения системы безопасности и журналы в решения Siem без введения большого объема данных с низкой ценностью.Ensure that you are integrating critical security alerts and logs into SIEMs without introducing a high volume of low value data.

Введение в слишком большие объемы данных может увеличить стоимость SIEM, увеличить шум и ложное срабатывание и снизить производительность.Introducing too much low value data can increase SIEM cost, increase noise and false positives, and lower performance.

Собранные данные должны быть сосредоточены на поддержке одного или нескольких действий операций:The data you collect should be focused on supporting one or more of these operations activities:

  • Оповещения (обнаружения из существующих средств или данных, необходимых для создания пользовательских оповещений)Alerts (detections from existing tools or data required for generating custom alerts)

  • Исследование инцидента (например, требуется для общих запросов)Investigation of an incident (for example, required for common queries)

  • Упреждающие действия в поискеProactive hunting activities

Интеграция дополнительных данных позволяет расширить возможности оповещений с помощью дополнительного контекста, обеспечивающего быстрое реагирование и исправление (фильтрация ложных срабатываний и повышение истинных положительных результатов и т. д.), но сбор не производится.Integrating more data can allow you to enrich alerts with additional context that enable rapid response and remediation (filter false positives, and elevate true positives, etc.), but collection is not detection. Если у вас нет разумных полагать, что данные будут предоставлять ценность (например, большой объем брандмауэра запрещает события), вы можете отменять приоритеты интеграции этих событий.If you don’t have a reasonable expectation that the data will provide value (for example, high volume of firewall denies events), you may deprioritize integration of these events.

Дальнейшие действияNext steps

Дополнительные рекомендации по безопасности от корпорации Майкрософт см. в документации по безопасности Майкрософт.For additional security guidance from Microsoft, see Microsoft security documentation.