Steg 1. Planera för Microsoft 365 Defender åtgärder

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Oavsett vilken förfallodag som gäller för dina säkerhetsåtgärder är det viktigt att du anpassar detta till Säkerhetscenter (SOC). Det finns ingen modell som passar varje organisation, men det finns vissa aspekter som är mer vanliga än andra.

I följande avsnitt beskrivs soc-funktionens huvudfunktioner.

Informera om moderna hot

Ett SOC-team förbereder och söker efter nya och inkommande hot så att de kan arbeta med organisationen för att upprätta motåtgärder och svar. SOC-teamet bör ha personal som har hög utbildning i moderna attackmetoder och tekniker samt förståelse för hothotsare. Delade hotinformation och ramverk som Cyber Kill Chain eller MITRE ATT&CK Framework kan ge din personal med hotanalytiker och hotinformation.

Tillhandahålla första, andra och potentiellt tredje nivåns svar på cyberincidenter och -händelser

SOC är ett skydd för säkerhetshändelser och -incidenter. När en händelse, ett hot, en attack, ett principfel eller en granskningsåtgärd utlöser en avisering eller en uppmaning om att vidta åtgärder, gör SOC-teamet en utvärdering för att begränsa eller eskalera den för undersökning. Därför måste SOC-svararna ha bred teknisk kunskap om säkerhetshändelser och indikatorer.

Centralisera övervakning och loggning av organisationens säkerhetskällor

SOC-teamets huvudfunktion är vanligtvis att se till att alla säkerhetsenheter som brandväggar, skyddssystem mot intrång, dataförlustskyddssystem, Hantering av hot och säkerhetsrisker-system och identitetssystem fungerar korrekt och övervakas. SOC-teamen kommer att arbeta med bredare nätverksåtgärder som identitet, DevOps, moln, program, datavetenskap och andra affärsteam för att säkerställa att analysen av säkerhetsinformationen centraliseras och skyddas. DESSUTOM är SOC-teamet ansvarigt för att underhålla loggar för data i användningsbara och läsbara format, vilket kan inkludera tolkning och normalisering av olika format.

Upprätta röd, blå och lila team operativa beredskap

Alla SOC-team bör testa sin beredskap att svara på en cyberhändelse. Tester kan utföras via övningar, som t.ex. tabell uppe och övning körs med olika personer inom IT, säkerhet och på affärsnivå. Individuella utbildningsteam skapas utifrån representativa roller och spelar antingen rollen som defender (Blue Team), en attackerare (Rött team) eller som representanter som söker för att förbättra metoder och tekniker för både blå och röd team med styrkor och övningar som inte upptäcks under övningen (lila team).

Nästa steg

Steg 2. Utföra en bedömning av SOC-integrering med Zero Trust Framework