Steg 5: Utveckla och testa användningsfall

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

De rekommenderade metoderna för Microsoft 365 Defender i Säkerhetsoperationscenter (SOC) beror på SOC-teamets aktuella uppsättning verktyg, processer och kompetenser. Att underhålla cyberhotet över plattformar kan vara en utmaning eftersom den stora mängden data kommer från dussintals, men inte hundratals säkerhetskällor.

Säkerhetsverktygen är relaterade. Om du aktiverar en funktion i en säkerhetsteknik eller ändrar en process kan det i sin tur bryta en annan. Microsoft rekommenderar därför att SOC-teamet formalisera en metod för att definiera och prioritera användningsfall. Användningsfall hjälper till att definiera krav och testprocesser för SOC-åtgärder i olika team. Den skapar en metod för att fånga mätvärden för att avgöra om rätt roller och en blandning av aktiviteter är anpassade till rätt team med rätt kunskaper.

Utveckla och formalisera användningsfallsprocessen

SOC bör definiera en högnivåstandard och -process för att utveckla användningsfall, som skulle regleras av SOC-kontrollteamet. SOC-överblicksteamet bör arbeta med företaget, IT-avdelningen, juridiska personer, personalavdelningen och andra grupper för att prioritera användningsfall för SOC-gruppen som så småningom kommer att gå in i SOC-teamets runbooks och spelböcker. Prioriteten för användningsfall baseras på mål, till exempel efterlevnad eller sekretess.

SOC-överblicksaktiviteter relaterade till användning av fallutveckling är:

  • Krav
  • Behov av personal eller utbildning
  • Programvarulicenser
  • Kontraktering av leverantör
  • Hanteringsplan
  • Underhålla registret för användningsfall
  • Underhålla/uppdatera mallar

Skapa ett beslutsträd för användningsfall för att underlätta processerna för att skapa en runbook och spelbok. I den här bilden visas ett exempel.

Beslutsprocessen för användningsfall.

När en högnivåstandard för användningsfall har definierats och godkänts är nästa steg att skapa och testa ett verkligt användningsfall. Följande avsnitt använder scenarier för skydd mot nätfiske och hot och sårbarhetssökning som exempel.

Använd exempel på fall 1: Ny variant av nätfiske

Det första steget för att skapa ett användningsfall är att skapa en disposition för arbetsflödet med en story board. Här är ett exempel på en story board på hög nivå för en ny sårbarhetsavisering för nätfiskemeddelanden till ett team för hotinformation.

Ett exempel på ett användningsfallsarbetsflöde för en nätfiskekampanj.

Anropa arbetsflödet för användningsfall, till exempel 1

När story board har godkänts är nästa steg att anropa arbetsflödet för användningsfall. Här är en exempelprocess för en nätfiskekampanj.

Ett exempel på ett detaljerat arbetsflöde av användningsfall för en anti-phishing-kampanj.

Exempel på användning av fall 2: Sökning efter hot och sårbarhet

Ett annat scenario där ett användningsfall kan användas är för sökning efter hot och sårbarhet. I det här exemplet kräver SOC att hot och svagheter åtgärdas mot tillgångar via godkända processer som inkluderar genomsökning av tillgångar.

Här är ett exempel på en storyboard på hög nivå för Hantering av hot och säkerhetsrisker av tillgångar.

Ett exempel på ett arbetsflöde för användning av ärende för Hantering av hot och säkerhetsrisker.

Anropa arbetsflödet för användningsfall, till exempel 2

Här är en exempelprocess för sökning efter hot och sårbarhet.

Ett exempel på ett detaljerat arbetsflöde av användningsfall för Hantering av hot och säkerhetsrisker.

Analysera utdata och lektioner av användningsfall

När ett användningsfall har godkänts och testats bör luckor i dina säkerhetsteam identifieras tillsammans med personer, processer och de Microsoft 365 Defender teknikerna som ingår. Microsoft 365 Defender bör analyseras för att fastställa om de kan uppnå önskat resultat. De kan spåras via en checklista eller en matris.

I exemplet med nätfiske kunde SOC-teamen till exempel ha gjort upptäckterna i tabellen.

SOC-team Krav Personer för att uppfylla krav Processen för att uppfylla krav Relevant teknik Identifierad lucka Använd ändringslogg för ärende Undantagen (Y/N)
Team för hotinformation och analys Datakällor matar då in hotmotorerna på rätt sätt. Analytiker/tekniker för hotinformation Krav för datafeeds fastställda, hotinformationsutlösare från godkända källor Microsoft Defender för identitet, Microsoft Defender för slutpunkt Threat Intelligence-teamet använder inte automatiseringsskript för att länka Microsoft 365 Defender API med informationsmotorer för hot Lägga Microsoft 365 Defender som datakällor i sökmotorer som använder hot

Uppdatera användningsfallsfallsbok
N
Övervakningsteam Datakällor matas på rätt sätt i instrumentpanelerna för övervakning Tier 1,2 SOC Analys-Monitoring & Alerts Arbetsflöde för rapportering av säkerhets- & Compliance Center Secure Score Varningar i Säkerhets- & Efterlevnadscenter

Övervaka säker poäng
Ingen mekanism för SOC-analytiker att rapportera ny identifiering av nätfiskevarianter för att förbättra Secure Score

Rapportering i Säkerhets- & Efterlevnadscenter
Lägga till en process för uppföljning av Secure Score-förbättring i rapportering av arbetsflöden N
Engineering and SecOps Team Uppdateringar av ändringskontroll görs i SOC-gruppkörningsböckerna Tier 2 SOC-tekniker Ändra kontrollmeddelandeproceduren för SOC-gruppkörningsböcker Godkända ändringar av säkerhetsenheter Ändringar av Microsoft 365 Defender till SOC-säkerhetsteknik kräver godkännande Lägga till Microsoft Defender för molnappar, Defender för identitet, Defender för slutpunkt, säkerhets- & efterlevnadscenter i SOC-runbooks J

SOC-teamen kan dessutom ha gjort upptäckterna som beskrivs i tabellen nedan i förhållande till det Hantering av hot och säkerhetsrisker scenario som beskrivs ovan:

SOC-team Krav Personer för att uppfylla krav Processen för att uppfylla krav Relevant teknik Identifierad lucka Använd ändringslogg för ärende Undantagen (Y/N)
SOC-överblick Alla tillgångar som är kopplade till godkända nätverk identifieras och kategoriseras SOC-överblick, BU-ägare, programägare, IT-tillgångsägare osv. Centralt system för tillgångshantering för att upptäcka och lista tillgångskategorier och attribut baserat på risker. ServiceNow eller andra tillgångar.

Microsoft 365 enhetsinventering
Endast 70 % av tillgångarna har identifierats. Microsoft 365 Defender åtgärder som bara gäller för kända tillgångar Livscykelhanteringstjänster för mogna tillgångar för att säkerställa att Microsoft 365 Defender har 100 % täckning N
Engineering & SecOps Teams Hög inverkan och kritiska säkerhetsproblem i tillgångar åtgärdas i enlighet med policyn SecOps-tekniker, SOC-analytiker: Vulnerability & Compliance, Security Engineering Definierad process för att kategorisera stora risker och kritiska säkerhetsproblem Instrumentpaneler för hantering av hot och sårbarhet Defender för Endpoint har identifierat hög inverkan, högaviseringsenheter utan åtgärdsplan eller implementering av rekommenderad aktivitet från Microsoft Lägg till ett arbetsflöde för att meddela ägare av tillgångar när åtgärdsaktivitet krävs inom 30 dagar per princip. Implementera ett biljettsystem för att meddela ägare av åtgärder till tillgångar. N
Övervakning Teams Status för hot och sårbarhet rapporteras via företagets intranätportal Tier 2 SOC-analytiker Automatiskt genererade rapporter Microsoft 365 Defender visar status för tillgångar Varningar i Säkerhets- & Efterlevnadscenter

Övervaka säker poäng
Inga vyer eller instrumentpanelrapporter meddelas till ägare av tillgångar om hot och sårbarhetsstatus. Skapa automatiseringsskript för att fylla i status för åtgärder för högrisk och kritisk resursrisk för organisationen. N

I dessa exempel av användningsfall införde testet flera luckor i SOC-teamets krav som fastställts som baslinjer för varje grupps ansvarsområden. Checklistan för användningsfall kan vara så omfattande som behövs för att säkerställa att SOC-teamet är förberett för Microsoft 365 Defender av nya eller befintliga SOC-krav. Eftersom det här blir en iterativ process kommer användningsfallsutvecklingsprocessen och innehållet i utdata från användningsfall naturligt att användas för att uppdatera och mogna SOC-körningsböckerna med erfarenheter från lektioner.

Uppdatera produktionskörningsböcker och spelböcker

När användning av falltestning har åtgärdats för alla luckor kan de erfarenheter och mätvärden som samlats in i dem införlivas i SOC-teamets produktionskörningsböcker (driftprocesser) och spelböcker (incidentsvar och eskaleringsmetoder).

Underhåll av SOC-teamets runbooks och spelböcker kan organiseras på många olika sätt. Varje SOC-team kan ansvara för sin egen eller så kan det finnas en enda centraliserad version som alla grupper kan dela på en central lagringsplats. Hantering av runbook och spelbok för enskilda organisationer baseras på storlek, kompetensuppsättningar, roller och separering av uppgifter. När en runbook har uppdaterats ska uppdateringsprocessen för spelboken följa.

Använd ett standardramverk för eskalering

Spelböcker är de steg som SOC-team måste följa när en verklig händelse inträffar, baserat på en lyckad integrering och test av användningsfall. Därför är det absolut nödvändigt att SOC följer en formaliserad metod för incidentsvar, till exempel NIST-incidentsvarsstandarden som har blivit en av de ledande branschstandarderna för incidentsvar.

Svarsprocessen för NIST i fyra steg innehåller fyra faser:

  1. Förberedelse
  2. Identifiering och analys
  3. Inneslutning, renovering och återställning
  4. Efter incidentaktivitet

Exempel: Spåra förberedelsefasaktivitet

En av grunderna för en spelbok för eskalering är att se till att det finns liten oklarhet om vad varje SOC-team ska göra tidigare, under och efter en händelse eller händelse. Därför är det bra att ta fram stegvisa instruktioner.

Förberedelsefasen kan till exempel innehålla en if/then- eller XoR-matris med aktiviteter. När det gäller exemplet med den nya användningen av nätfiskevarianten kan en sådan matris se ut så här:

Varför är eskalering garantierad? Nästa steg
Varning i SOC-övervakning som klassificerats som kritiskt utlöst > 500/timme Gå till Spelbok A, Avsnitt 2, Aktivitet 5 (med en länk till spelboksavsnittet)
eCommerce rapporterade potentiella DDoS-attack Invoke Playbook B-Section C, Activity 19 (with a link to the playbook section)
Chef har rapporterat ett misstänkt e-postmeddelande som nätfiskeförsök Gå till Spelbok 5, Avsnitt 2, Aktivitet 5 (med en länk till spelboksavsnittet)

När förberedelsefasen har utförts bör organisationer anropa de återstående faserna enligt NIST:

  • Identifiering och analys
  • Inneslutning, renovering och återställning
  • Efter incidentaktivitet

Nästa steg

Steg 6. Identifiera SOC-underhållsåtgärder