Planering av incidenthantering

Använd den här tabellen som en checklista för att förbereda Ditt Security Operations Center (SOC) för att svara på cybersäkerhetsincidenter.

Klart Aktivitet Description Fördelar
Övningar i tabelltop Utför periodiska tabelltoppövningar med förutsebara cyberincidenter som påverkar verksamheten och som tvingar din organisations ledning att överväga svåra riskbaserade beslut. Etablerar och illustrerar cybersäkerhet som en affärsfråga. Utvecklar muskelminne och ytor svåra beslut och beslut rättigheter frågor i hela organisationen.
Fastställa beslut före angrepp och beslutsfattare Som ett komplement till tabelltoppövningarna fastställer du riskbaserade beslut, kriterier för att fatta beslut och vem som måste fatta och verkställa dessa beslut. Exempel:

Vem/när/om du ska söka hjälp från polisen?

Vem/när/om för att registrera incidentsvarare?

Vem/när/om ska betala lösensumma?

Vem/när/om att meddela externa granskare?

Vem/när/om ska tillsynsmyndigheterna meddelas?

Vem/när/om ska meddela värdepapperstillsynsmyndigheter?

Vem/när/om ska meddela styrelsen eller revisionsutskottet?

Vem har behörighet att stänga av verksamhetskritiska arbetsbelastningar?
Definierar de inledande svarsparametrarna och kontakterna för att effektivisera svaret på en incident.
Upprätthålla behörighet I allmänhet kan råd vara privilegierade, men fakta kan upptäckas. Träna viktiga incidentledare i att kommunicera råd, fakta och åsikter under privilegier så att privilegiet bevaras och risken minskas. Att upprätthålla privilegier kan vara en rörig process när du överväger de många kommunikationskanalerna, inklusive e-post, samarbetsplattformar, chattar, dokument, artefakter. Du kan till exempel använda Microsoft Teams Rooms. En konsekvent metod för incidentpersonal och stöd till externa organisationer kan bidra till att minska eventuell juridisk exponering.
Överväganden vid insiderhandel Överväg meddelanden till ledningen som bör vidtas för att minska risken för värdepappersöverträdelser. Styrelser och externa revisorer brukar uppskatta att du har åtgärder som minskar risken för tvivelaktiga värdepappersaffärer under perioder av turbulens.
Spelbok för incidentroller och ansvarsområden Upprätta grundläggande roller och ansvarsområden som gör det möjligt för olika processer att upprätthålla fokus och framåtskrida.

När ditt svarsteam är fjärranslutet kan det kräva ytterligare överväganden för tidszoner och korrekt överlämning till utredare.

Du kan behöva kommunicera mellan andra team som kan vara inblandade, till exempel leverantörsteam.
Technical Incident Leader – Alltid i incidenten, syntetisera indata och resultat och planera nästa åtgärder.

Kommunikationskontakt – Tar bort ansvaret för att kommunicera med ledningen från den tekniska incidentledaren så att de kan fortsätta vara inblandade i incidenten utan att behöva fokusera.

Detta bör omfatta hantering av verkställande meddelanden och interaktioner och andra tredje parter, till exempel tillsynsmyndigheter.

Incidentinspelare – Tar bort bördan av att registrera resultat, beslut och åtgärder från en incidenthanteringspersonal och ger en korrekt redovisning av incidenten från början till slut.

Forward Planner – Arbeta med verksamhetskritiska affärsprocessägare, formulerar verksamhetskontinuitetsaktiviteter och förberedelser som överväger funktionsnedsättning i informationssystemet som varar i 24, 48, 72, 96 timmar eller mer.

PR – I händelse av en incident som sannolikt kommer att få allmänhetens uppmärksamhet, och tillsammans med Forward Planner, överväger och utarbetar offentliga kommunikationsmetoder som tar itu med sannolika resultat.
Spelbok för sekretessincidenter För att uppfylla allt strängare sekretessregler, utveckla en gemensamt ägd spelbok mellan SecOps och integritetskontoret som möjliggör snabb utvärdering av potentiella integritetsproblem som har en rimlig sannolikhet att uppstå till följd av säkerhetsincidenter. Det är svårt att utvärdera säkerhetsincidenter för att de kan påverka sekretessen på grund av att de flesta säkerhetsincidenter uppstår i en mycket teknisk SOC som snabbt måste komma upp till ett sekretesskontor där regelrisk fastställs, ofta med en 72-timmars meddelandeförväntning.
Intrångstest Utför simulerade angrepp från tidpunkt mot affärskritiska system, kritisk infrastruktur och säkerhetskopior för att identifiera svagheter i säkerhetsstatusen. Detta utförs vanligtvis av ett team med externa experter som fokuserar på att kringgå förebyggande kontroller och att upptäcka viktiga säkerhetsrisker. Mot bakgrund av den senaste tidens incidenter med utpressningstrojaner som drivs av människor bör intrångstester utföras mot ett ökat infrastrukturomfång, särskilt möjligheten att attackera och kontrollera säkerhetskopior av verksamhetskritiska system och data.
Rött lag/blått lag/lila lag/grönt lag Utför kontinuerliga eller periodiska simulerade attacker mot affärskritiska system, kritisk infrastruktur, säkerhetskopior för att identifiera svagheter i säkerhetsstatusen. Detta utförs vanligtvis av interna attackteam (röda team) som fokuserar på att testa effektiviteten hos detektivkontroller och team (blå team).

Du kan till exempel använda attacksimuleringsträning för självstudierna & Microsoft 365 Defender för Office 365 och Attack för Microsoft 365 Defender för Endpoint.
Red, Blue och Purple team attack simuleringar, när det görs bra, tjänar en mängd olika syften:
  • Gör det möjligt för tekniker från hela IT-organisationen att simulera attacker på sina egna infrastrukturdiscipliner.
  • Ytor luckor i synlighet och identifiering.
  • Höjer säkerhetstekniken över hela linjen.
  • Fungerar som en mer kontinuerlig och expansiv process.


Det gröna teamet implementerar ändringar i IT- eller säkerhetskonfigurationen.
Planering av affärskontinuitet För verksamhetskritiska affärsprocesser, design och testkontinuitetsprocesser som gör det möjligt för minsta livskraftiga verksamhet att fungera under tider av funktionsnedsättning i informationssystem.

Du kan till exempel använda en azure-plan för säkerhetskopiering och återställning för att skydda dina kritiska affärssystem under en attack för att säkerställa en snabb återställning av din verksamhet.
  • Belyser det faktum att det inte finns någon kontinuitetslösning för funktionsnedsättning eller frånvaro av IT-system.
  • Kan betona behovet och finansieringen av sofistikerad digital motståndskraft jämfört med enklare säkerhetskopiering och återställning.
Haveriberedskap För informationssystem som stöder verksamhetskritiska affärsprocesser bör du utforma och testa scenarier för frekvent/kall och varm/varm säkerhetskopiering och återställning, inklusive mellanlagringstider. Organisationer som utför bare metal-byggen hittar ofta aktiviteter som är omöjliga att replikera eller inte passar in i servicenivåmålen.

Verksamhetskritiska system som körs på maskinvara som inte stöds många gånger kan inte återställas till modern maskinvara.

Återställning av säkerhetskopior testas ofta inte och har problem. Säkerhetskopior kan vara ytterligare offline så att mellanlagringstider inte har tagits med i återställningsmålen.
Out-of-band-kommunikation Förbered dig på hur du skulle kommunicera i händelse av försämrad e-post- och samarbetstjänst, lösensumma för dokumentationslagringsplatser och otillgänglighet för personaltelefonnummer. Även om det här är en svår övning kan du avgöra hur off-line och oföränderliga kopior av resurser som lagrar telefonnummer, topologier, byggdokument och IT-återställningsprocedurer kan lagras på enheter och platser utanför linjen och distribueras i stor skala.
Härdning, hygien och livscykelhantering I linje med De 20 främsta säkerhetskontrollerna i Center for Internet Security (CIS) kan du förstärka infrastrukturen och utföra noggranna hygienaktiviteter. Som svar på den senaste tidens incidenter med utpressningstrojaner som används av människor har Microsoft utfärdat specifik vägledning för att härda och skydda varje steg i kedjan för cyberattacker oavsett om det gäller Microsoft-funktioner eller andra leverantörers. Särskilt viktigt är:
  • Skapandet och underhållet av oföränderliga säkerhetskopior i händelse av lösensystem. Du kan också överväga hur du behåller oföränderliga loggfiler som komplicerar angriparens förmåga att täcka sina spår.
  • Risker som rör maskinvara som inte stöds för haveriberedskap.
Planering av incidenthantering I början av incidenten ska du besluta om:
  • Viktiga organisationsparametrar.
  • Tilldelning av personer till roller och ansvarsområden.
  • Känslan av brådska (till exempel 24x7 och kontorstid).
  • Personal för hållbarhet under hela tiden.
Det finns en tendens att kasta alla tillgängliga resurser vid en incident i början och hoppas på en snabb lösning. När du känner igen eller förväntar dig att en incident kommer att gå under en längre tid, ta en annan hållning som med din personal och leverantörer som gör att de kan bosätta sig för en längre transport.
Incidentpersonal Upprätta tydliga förväntningar med varandra. Ett populärt format för rapportering av pågående aktiviteter omfattar:
  • Vad har vi gjort (och vad var resultatet)?
  • Vad gör vi (och vilka resultat kommer att produceras och när)?
  • Vad planerar vi att göra härnäst (och när är det realistiskt att förvänta sig resultat)?
Incidentpersonal har olika tekniker och metoder, inklusive analys av döda rutor, stordataanalys och möjligheten att producera inkrementella resultat. Från och med tydliga förväntningar kommer det att underlätta tydlig kommunikation.

Incidenthanteringsresurser

Viktiga Microsoft-säkerhetsresurser

Resurs Beskrivning
2021 Microsoft Digital Defense Report En rapport som omfattar lärdomar från säkerhetsexperter, utövare och försvarare på Microsoft för att ge människor överallt möjlighet att försvara sig mot cyberhot.
Referensarkitekturer för Microsoft Cybersecurity En uppsättning diagram över visuell arkitektur som visar Microsofts cybersäkerhetsfunktioner och deras integrering med Microsofts molnplattformar som Microsoft 365 och Microsoft Azure och molnplattformar och appar från tredje part.
Minuter materia infographic nedladdning En översikt över hur Microsofts SecOps-team utför incidenthantering för att minimera pågående attacker.
Säkerhetsåtgärder för Azure Cloud Adoption Framework Strategisk vägledning för ledare som upprättar eller moderniserar en säkerhetsåtgärdsfunktion.
Microsofts rekommenderade säkerhetsmetoder för säkerhetsåtgärder Så här använder du ditt SecOps-center på bästa sätt för att gå snabbare än de angripare som riktar in sig på din organisation.
Microsofts molnsäkerhet för IT-arkitekter Säkerhet i Microsofts molntjänster och plattformar för identitets- och enhetsåtkomst, hotskydd och informationsskydd.
Microsofts säkerhetsdokumentation Ytterligare säkerhetsvägledning från Microsoft.