Översikt över incidentsvar

Incidentsvar är att undersöka och åtgärda aktiva attackkampanjer i organisationen. Det här är en del av säkerhetsåtgärderna (SecOps) och är främst reaktivt till sin natur.

Incidentåtgärder har störst direkt inverkan på den totala medelvärdet för att bekräfta (MTTA) och medelvärdet för åtgärd (MTTR) som mäter hur väl säkerhetsåtgärder kan minska organisationens risker. Incidenthanteringsteam är starkt beroende av bra arbetsrelationer mellan grupper för hothantering, information och incidenthantering (om sådana finns) för att faktiskt minska risken. Mer information finns i SecOps-mått .

Mer information om säkerhetsfunktioner och roller och ansvarsområden finns i Cloud SOC-funktioner.

Resurser med ny roll

Om du är säkerhetsanalytiker kan du komma igång genom att titta på de här resurserna.

Ämne Resurs
SekOps-planering för incidentsvar Planering av incidentsvar för att förbereda organisationen på en incident.
Svarsprocess för SecOps-incidenter Svarsprocess för incidenter för metodtips för att svara på en incident.
Arbetsflöde för incidentsvar Exempel på arbetsflöde av incidentsvar för Microsoft 365 Defender
Periodiska säkerhetsåtgärder Exempel på periodiska säkerhetsåtgärder för Microsoft 365 Defender
Undersökning för Microsoft Sentinel Incidenter i Microsoft Sentinel
Undersökning för Microsoft 365 Defender Ärenden i Microsoft 365 Defender

Erfarna säkerhetsanalytiker

Om du är säkerhetsanalytiker kan du använda de här resurserna för att snabbt öka ditt SecOps-team för Microsofts säkerhetstjänster.

Ämne Resurs
Microsoft Sentinel Så här undersöker du incidenter
Microsoft Defender för molnet (Azure-resurser) Så här undersöker du aviseringar
Microsoft 365 Defender Så här undersöker du incidenter
Säkerhetsåtgärder som utförs eller moderniseras Azure Cloud Adoption Framework-artiklar för SekOps- och SecOps-funktioner
Microsofts metodtips för säkerhet Så här använder du ditt SecOps center på bästa sätt
Spelböcker för incidentsvar Översikt på https://aka.ms/IRplaybooks

- Nätfiske
- Lösenord lösenord
- Bevilja appmedgivande
SOC Process Framework Microsoft Sentinel
MSTICPy- och Jupyter-anteckningsböcker Microsoft Sentinel

Bloggserie om SecOps i Microsoft

Se den här bloggserien om hur SecOps-teamet på Microsoft fungerar.

Så här ser det ut

Samtidigt är ett initiativ för öppen källkod för att distribuera labmiljöer och end-to-end-simuleringar som:

  • Återskapa välkända tekniker som används i verkliga attackscenarier.
  • Testa och kontrollera att relaterade identifieringar, Microsoft 365 Defender, Microsoft Defender för molnet och Microsoft Sentinel-identifieringar är effektiva.
  • Utöka hotforskning med hjälp av telemetri och artefakter från en undersökning som skapats efter varje simuleringsövning.

Samtidiga labbmiljöer tillhandahåller användningsfall från en mängd olika datakällor, bland annat telemetri från Microsoft 365 Defender-säkerhetsprodukter, Microsoft Defender för molnet och andra integrerade datakällor via Microsoft Sentinel-dataanslutningar.

När det gäller säkerheten för en utvärderingsversion eller betald sandbox-prenumeration kan du:

  • Förstå det underliggande beteendet och funktionaliteten hos adversära flygplan.
  • Identifiera åtgärder och attackervägar genom att dokumentera säkerhetsproblem för varje attackåtgärd.
  • Underlätta utformningen och distributionen av hotlabbmiljöer.
  • Håll dig uppdaterad med de senaste teknikerna och verktygen som används av verkliga hotare.
  • Identifiera, dokumentera och dela relevanta datakällor för att skapa modeller och upptäcka adversa åtgärder.
  • Validera och finjustera identifieringsfunktioner.

På så sätt kan utbildningarna från Simulerings- och labmiljöscenarier implementeras i produktionsmiljön och säkerhetsprocesserna.

Se den här översikten över Samtidigt och resurserna på resurskatalogen GitHub och resurskatalogen.

Resurser för incidentsvar

Viktiga Säkerhetsresurser från Microsoft

Resurs Beskrivning
2021 Microsoft Digital Defense Report En rapport som omfattar inlärning från säkerhetsexperter, lärare och expertutbildning på Microsoft för att göra det möjligt för människor överallt att försvara sig mot cyberhot.
Microsoft Cybersecurity Reference-arkitekturer En uppsättning visuella arkitekturdiagram som visar Microsofts cybersäkerhetsfunktioner och deras integrering med Microsoft-molnplattformar, till exempel Microsoft 365 och Microsoft Azure och molnplattformar och appar från tredje part.
Infografik för minuter En översikt över hur Microsofts SecOps-team gör incidentsvar för att minimera pågående attacker.
Azure Cloud Adoption Framework säkerhetsåtgärder Strategiska riktlinjer för ledare vid etablering eller modernisering av en säkerhetsåtgärdsfunktion.
Microsofts metodtips för säkerhetsåtgärder Så här använder du ditt SecOps-center på bästa sätt för att flytta snabbare än attacker som riktar sig till din organisation.
Microsoft Cloud-säkerhet för MODELL för IT-arkitekter Säkerhet i Microsofts molntjänster och plattformar för identitet och enhetsåtkomst, skydd mot hot och informationsskydd.
Microsofts säkerhetsdokumentation Ytterligare säkerhetsvägledning från Microsoft.