Förbered säkerheten för den första händelsen

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Förberedelse för incidenthantering omfattar att konfigurera tillräckligt skydd av organisationens nätverk från olika typer av säkerhetsincidenter. För att minska risken för säkerhetsincidenter rekommenderar National Institute of Standards and Technology (NIST) flera säkerhetsmetoder, bland annat riskbedömning, hårdnande värdsäkerhet, konfigurera nätverk säkert och förhindra skadlig programvara.

Microsoft 365 Defender kan hantera flera aspekter av incidentskydd:

Steg 1. Implementera nollförtroende

Zero Trust är en integrerad säkerhetsstrategi som tar hänsyn till hur komplex en modern miljö är, inklusive den mobila arbetsstyrkan och användare, enheter, program och data, var de än befinner sig. Genom att ha ett enda fönster med fönster för att hantera alla identifieringar på ett konsekvent sätt kan Microsoft 365 Defender göra det enklare för din säkerhetsgrupp att implementera de vägledande principerna för Noll förtroende.

Komponenter i Microsoft 365 Defender kan visa överträdelser av regler som har implementerats för att upprätta villkorsstyrda åtkomstprinciper för Zero Trust genom att integrera data från Microsoft Defender för Endpoint eller andra mobila säkerhetsleverantörer som en informationskälla för principer för enhetsefterlevnad och implementering av enhetsbaserade villkorsstyrda åtkomstprinciper.

Enhetsrisk påverkar direkt vilka resurser som är tillgängliga för användaren av enheten. Denial of access to resources based on certain criteria is the main theme of Zero Trust and Microsoft 365 Defender provides information needed to determine the trust level criteria. Till exempel Microsoft 365 Defender tillhandahålla programvaruversionsnivån för en enhet på sidan Hot och sårbarhetshantering medan villkorsstyrd åtkomst begränsar enheter som har inaktuella eller sårbara versioner.

Automation är en viktig del i implementeringen och underhållet av en nollförtroendemiljö samtidigt som antalet aviseringar som potentiellt skulle leda till incidentåtgärdshändelser (IR-händelser) minskar. Delar av Microsoft 365 Defender kan automatiseras, till exempel åtgärder (kallas undersökningar för en incident i Microsoft 365 Defender-portalen), aviseringsåtgärder och till och med skapandet av supportärenden i ServiceNow.

Steg 2. Fastställa säkerheten i din organisation

Därefter kan organisationer använda Microsoft Secure Score i Microsoft 365 Defender fastställa den aktuella säkerhetsstatusen och fundera på rekommendationer om hur du kan förbättra den. Ju högre poäng desto fler säkerhetsrekommendationer och förbättringsåtgärder har genomförts av organisationen. Rekommendationer om Secure Score kan användas i olika produkter och organisationer kan höja sina resultat ännu högre.

Exempel på Microsoft Secure Score i Microsofts säkerhetscenter.

Steg 3. Utvärdera exponering av risker för din organisation

Att förhindra incidenter kan effektivisera arbetet med säkerhetsåtgärder för att fokusera på viktiga säkerhetsincidenter som är viktiga i det här processen. Säkerhetsproblem av programvara är ofta en startpunkt som kan förhindras för attacker som kan leda till datastöld, dataförlust eller störningar i affärsåtgärder. Om inga attacker är i gång måste säkerhetsåtgärder strävar efter att uppnå och upprätthålla en godtagbar nivå av exponering av sårbarheter i organisationen.

Om du vill kontrollera förloppet för programkorrigeringar går du till sidan Hantering av hot och sårbarhet i Defender för slutpunkt, som du kan komma åt från Microsoft 365 Defender på fliken Fler resurser.

Exempel på sidan Hot och sårbarhet i Microsofts säkerhetscenter.

4. Förstå nya hot

Använd hotanalyser i Microsoft 365 Defender-portalen för att hålla dig uppdaterad om de aktuella liggande hoten. En expert som Microsoft-säkerhetsexpert skapar rapporter som beskriver de senaste cyberhoten i detalj så att du förstår hur de kan påverka Microsoft 365 prenumeration, enheter och användare. Dessa rapporter kan innehålla:

  • Aktiva hot-aktör och deras kampanjer
  • Populära och nya attacktekniker
  • Kritiska säkerhetsproblem
  • Vanliga attackytor
  • Vanligast förekommande skadlig programvara

Hotanalyser tittar också på din konfiguration och aviseringar för att fastställa hur riskabel du är och om det finns aktiva aviseringar som gäller för en rapport.

Du kan implementera rekommendationerna om ett framväxande hot för att stärka din säkerhetsrisk och minimera ditt attackområde.

Se till att ha tid i schemat för att regelbundet kontrollera avsnittet om hotanalys på Microsoft 365 Defender portalen.

Nästa steg

Steg 1: Lär dig att undersöka och analysera incidenter.

Lär dig att undersöka och analysera incidenter.

Se även