Förbered säkerheten för den första händelsen
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Förberedelse för incidenthantering omfattar att konfigurera tillräckligt skydd av organisationens nätverk från olika typer av säkerhetsincidenter. För att minska risken för säkerhetsincidenter rekommenderar National Institute of Standards and Technology (NIST) flera säkerhetsmetoder, bland annat riskbedömning, hårdnande värdsäkerhet, konfigurera nätverk säkert och förhindra skadlig programvara.
Microsoft 365 Defender till att hantera flera aspekter av incidentskydd:
- Implementera ett Zero Trust Framework
- Fastställa din säkerhet genom att tilldela ett poäng med Microsoft Secure Score
- Förhindra hot genom sårbarhetsutvärderingar i hot- och sårbarhetshantering
- Förstå de senaste säkerhetshoten så att du kan förbereda dem
Steg 1. Implementera nollförtroende
Zero Trust är en integrerad säkerhetsstrategi som tar hänsyn till hur komplex en modern miljö är, inklusive den mobila arbetsstyrkan och användare, enheter, program och data, var de än befinner sig. Genom att ha ett enda fönster med fönster för att hantera alla identifieringar på ett konsekvent sätt kan Microsoft 365 Defender göra det enklare för din säkerhetsgrupp att implementera de vägledande principerna för Zero Trust.
Komponenter i Microsoft 365 Defender kan visa överträdelser av regler som har implementerats för att upprätta villkorsstyrda åtkomstprinciper för Zero Trust genom att integrera data från Microsoft Defender för Endpoint eller andra mobila säkerhetsleverantörer som en informationskälla för principer för enhetsefterlevnad och implementering av enhetsbaserade villkorsstyrda åtkomstprinciper.
Enhetsrisker påverkar direkt vilka resurser som är tillgängliga för användaren av enheten. Denial of access to resources based on certain criteria is the main theme of Zero Trust and Microsoft 365 Defender provides information needed to determine the trust level criteria. Till exempel Microsoft 365 Defender tillhandahålla programvaruversionsnivån för en enhet på sidan Hantering av hot och sårbarhet medan villkorsstyrda åtkomstprinciper begränsar enheter som har inaktuella eller sårbara versioner.
Automation är en viktig del i implementeringen och underhållet av en nollförtroendemiljö samtidigt som antalet aviseringar som potentiellt skulle leda till incidentåtgärdshändelser (IR-händelser) minskar. Delar av Microsoft 365 Defender kan automatiseras, till exempel åtgärder (kallas undersökningar för en incident i Microsoft 365 Defender-portalen), aviseringsåtgärder och till och med skapandet av supportärenden i ServiceNow.
Steg 2. Fastställa säkerheten i din organisation
Därefter kan organisationer använda Microsoft Secure Score i Microsoft 365 Defender fastställa den aktuella säkerhetsstatusen och fundera på rekommendationer om hur du kan förbättra den. Ju högre poäng desto fler säkerhetsrekommendationer och förbättringsåtgärder har genomförts av organisationen. Rekommendationer om Secure Score kan användas i olika produkter och organisationer kan höja sina resultat ännu högre.
Steg 3. Utvärdera exponering av risker för din organisation
Att förhindra incidenter kan effektivisera arbetet med säkerhetsåtgärder för att fokusera på viktiga säkerhetsincidenter som är viktiga i det här processen. Säkerhetsproblem av programvara är ofta en startpunkt som kan förhindras för attacker som kan leda till datastöld, dataförlust eller störningar i affärsåtgärder. Om inga attacker är i gång måste säkerhetsåtgärder strävar efter att uppnå och upprätthålla en godtagbar nivå av exponering av sårbarheter i organisationen.
Om du vill kontrollera förloppet för programkorrigeringar går du till sidan Hantering av hot och sårbarhet i Defender för slutpunkt, som du kan komma åt Microsoft 365 Defender via fliken Fler resurser.
4. Förstå nya hot
Använd hotanalyser i Microsoft 365 Defender-portalen för att hålla dig uppdaterad om de aktuella liggande hoten. En expert på Microsoft-säkerhetsrapportering skapar rapporter som beskriver de senaste cyberhoten i detalj så att du förstår hur de kan påverka Microsoft 365 prenumeration, enheter och användare. Dessa rapporter kan innehålla:
- Aktiva hot-aktör och deras kampanjer
- Populära och nya attacktekniker
- Kritiska säkerhetsproblem
- Vanliga attackytor
- Vanligast förekommande skadlig programvara
Hotanalyser tittar också på din konfiguration och aviseringar för att fastställa hur riskabel du är och om det finns aktiva aviseringar som gäller för en rapport.
Du kan implementera rekommendationerna om ett framväxande hot för att stärka din säkerhetsrisk och minimera ditt attackområde.
Se till att det finns tid i schemat för att regelbundet kontrollera avsnittet om hotanalys på Microsoft 365 Defender portalen.
Nästa steg
Lär dig att undersöka och analysera incidenter.
