Adım 5. Kullanım örneklerini geliştirme ve test edin
Şunlar için geçerlidir:
- Microsoft Defender XDR
Güvenlik İşlemleri Merkezinizde (SOC) Microsoft Defender XDR dağıtmak için önerilen yöntemler, SOC ekibinin geçerli araç, işlem ve beceri kümesine bağlıdır. Yüzlerce güvenlik kaynağı olmasa da onlarca veriden gelen muazzam miktarda veri nedeniyle platformlar arasında siber hijyenin korunması zor olabilir.
Güvenlik araçları birbiriyle ilişkilidir. Bir güvenlik teknolojisindeki bir özelliği açmak veya bir işlemi değiştirmek başka bir özelliği bozabilir. Bu nedenle Microsoft, SOC ekibinizin kullanım örneklerini tanımlamaya ve önceliklendirmeye yönelik bir yöntemi resmileştirmesini önerir. Kullanım örnekleri, çeşitli ekiplerde SOC işlemleri için gereksinimleri ve test süreçlerini tanımlamaya yardımcı olur. Doğru rollerin ve görev karışımının doğru beceri kümesiyle doğru takıma hizalanıp hizalanmadığını belirlemek için ölçümleri yakalamak için bir metodoloji oluşturur.
Kullanım örneği sürecini geliştirme ve resmileştirme
SOC, SOC Gözetim ekibi tarafından düzenlenecek olan kullanım örnekleri geliştirmek için üst düzey bir standart ve süreç tanımlamalıdır. SOC Gözetim ekibi, SOC ekibinin runbook'larına ve playbook'larına giden soC kullanım örneklerini önceliklendirmek için işletmeniz, BT, hukuk, İk ve diğer gruplarla birlikte çalışmalıdır. Kullanım örneklerinin önceliği, uyumluluk veya gizlilik gibi hedeflere bağlıdır.
Kullanım örneği geliştirmeyle ilgili SOC Gözetim etkinlikleri şunlardır:
- Gereksinimler
- Personel veya eğitim gereksinimleri
- Yazılım lisansları
- Satıcı sözleşmesi
- Planı yönetme
- Kullanım örneği kayıt defterini koruma
- Şablonları koruma/güncelleştirme
Runbook ve playbook oluşturma işlemlerini kolaylaştırmak için bir kullanım örneği karar ağacı oluşturun. Bu şekilde bir örnek gösterilmektedir.
Üst düzey kullanım örneği standardı tanımlanıp onaylandıktan sonra, bir sonraki adım gerçek bir kullanım örneği oluşturup test etmektir. Aşağıdaki bölümlerde örnek olarak kimlik avı önleme ve tehdit ve güvenlik açığı tarama senaryoları kullanılır.
Kullanım örneği 1: Yeni kimlik avı değişkeni
Kullanım örneği oluşturmanın ilk adımı, bir yazı panosu kullanarak iş akışının ana hatlarını oluşturmaktır. Burada, Tehdit Bilgileri ekibine yeni kimlik avı açıklarından yararlanma bildirimi için üst düzey bir hikaye panosu örneği verilmiş.
Kullanım örneği iş akışını çağırın, örneğin 1
İçerik panosu onaylandıktan sonra, sonraki adım kullanım örneği iş akışını çağırmaktır. Kimlik avı önleme kampanyası için örnek bir süreç aşağıda verilmiştir.
Kullanım örneği 2: Tehdit ve güvenlik açığı taraması
Kullanım örneğinin kullanılabilmesi için bir diğer senaryo da tehdit ve güvenlik açığı taramasıdır. Bu örnekte SOC, varlıkların taranması da dahil olmak üzere onaylı işlemler aracılığıyla varlıklara karşı tehditlerin ve güvenlik açıklarının giderilmesini gerektirir.
Varlıkların Microsoft Defender Güvenlik Açığı Yönetimi için örnek bir üst düzey görsel taslak aşağıda verilmiştir.
Kullanım örneği iş akışını çağırma örneğin 2
Tehdit ve güvenlik açığı taraması için örnek bir işlem aşağıda verilmiştir.
Kullanım örneği çıkışını ve öğrenilen dersleri analiz etme
Bir kullanım örneği onaylandıktan ve test edildikten sonra güvenlik ekipleriniz arasındaki boşluklar ve ilgili kişiler, süreçler ve Microsoft Defender XDR teknolojileri belirlenmelidir. Microsoft Defender XDR teknolojilerin istenen sonuçlara ulaşıp ulaşamadığını belirlemek için analiz edilmesi gerekir. Bunlar bir denetim listesi veya matris aracılığıyla izlenebilir.
Örneğin, kimlik avına karşı koruma senaryosu örneğinde SOC ekipleri bu tabloda keşifler yapmış olabilir.
| SOC ekibi | Gereksinim | Gereksinimi karşılamak için Kişiler | Gereksinimi karşılama süreci | İlgili teknoloji | Tanımlanan boşluk | Kullanım örneği değişiklik günlüğü | Muaf (Y/N) |
|---|---|---|---|---|---|---|---|
| Tehdit Analizi ve Analiz ekibi | Veri kaynakları tehdit bilgileri altyapılarını düzgün bir şekilde besliyor. | Tehdit Analizi Analisti/Mühendis | Veri akışı gereksinimleri oluşturuldu, onaylanan kaynaklardan gelen tehdit bilgileri tetikleyicileri | Kimlik için Microsoft Defender, Uç Nokta için Microsoft Defender | Tehdit Bilgileri ekibi, Microsoft Defender XDR API'sini tehdit intel altyapılarıyla bağlamak için otomasyon betiğini kullanmadı | Tehdit altyapılarına veri kaynağı olarak Microsoft Defender XDR ekleme Kullanım örneği çalıştırma kitabını güncelleştirme |
N |
| İzleme ekibi | Veri kaynakları izleme panolarını düzgün şekilde besliyor | Katman 1,2 SOC Analisti-İzleme & Uyarıları | Güvenlik & Uyumluluk Merkezi Güvenli Puanını raporlamaya yönelik iş akışı | Microsoft Defender XDR uyarıları araştırma Güvenli Puan izleme |
SOC analistlerinin Güvenli Puanı geliştirmek için başarılı yeni kimlik avı değişken algılamasını bildirmesi için bir mekanizma yok Microsoft Defender portalında e-posta güvenlik raporlarını görüntüleme |
Raporlama iş akışlarına Güvenli Puan iyileştirmesini izlemeye yönelik bir işlem ekleme | N |
| Mühendislik ve SecOps Ekibi | Değişiklik denetimi güncelleştirmeleri SOC ekip runbook'larında yapılır | Katman 2 SOC Mühendisi | SOC ekip runbook'ları için Denetim bildirimi yordamını değiştirme | Güvenlik cihazlarında onaylanan değişiklikler | SOC güvenlik teknolojisine Microsoft Defender XDR bağlantıda yapılan değişiklikler onay gerektirir | SOC runbook'larına Microsoft Defender for Cloud Apps, Kimlik için Defender, Uç Nokta için Defender, Güvenlik & Uyumluluk Merkezi ekleme | E |
Ayrıca SOC ekipleri, yukarıda özetlenen Defender Güvenlik Açığı Yönetimi senaryosuyla ilgili olarak aşağıdaki tabloda özetlenen keşifleri yapmış olabilir:
| SOC ekibi | Gereksinim | Gereksinimi karşılamak için Kişiler | Gereksinimi karşılama süreci | İlgili teknoloji | Tanımlanan boşluk | Kullanım örneği değişiklik günlüğü | Muaf (Y/N) |
|---|---|---|---|---|---|---|---|
| SOC Gözetim | Onaylanan ağlara bağlı tüm varlıklar tanımlanır ve kategorilere ayrılmıştır | SOC Gözetim, BU sahipleri, uygulama sahipleri, BT varlık sahipleri vb. | Risk temelinde varlık kategorisini ve özniteliklerini bulmak ve listelemek için merkezi varlık yönetim sistemi. | ServiceNow veya diğer varlıklar. Microsoft 365 Cihaz Envanteri |
Varlıkların yalnızca %70'i bulundu. Microsoft Defender XDR düzeltme izlemesi yalnızca bilinen varlıklar için geçerlidir | Microsoft Defender XDR %100 kapsama sahip olduğundan emin olmak için olgun varlık yaşam döngüsü yönetim hizmetleri | N |
| Mühendislik & SecOps Ekipleri | Varlıklardaki yüksek etki ve kritik güvenlik açıkları ilkeye göre düzeltilir | SecOps mühendisleri, SOC analistleri: Güvenlik açığı & Uyumluluğu, Güvenlik Mühendisliği | Yüksek Risk ve Kritik Güvenlik Açıklarını kategorilere ayırmak için tanımlanan işlem | Microsoft Defender Güvenlik Açığı Yönetimi Panoları | Uç Nokta için Defender, microsoft tarafından önerilen etkinliği düzeltme planı veya uygulaması olmayan yüksek etki, yüksek uyarı cihazları tanımladı | İlke başına 30 gün içinde düzeltme etkinliği gerektiğinde varlık sahiplerini bilgilendirmek için bir iş akışı ekleyin; Varlık sahiplerine düzeltme adımlarını bildirmek için bir bilet sistemi uygulayın. | N |
| İzleme Ekipleri | Tehdit ve güvenlik açığı durumu şirket intranet portalı aracılığıyla bildirilir | Katman 2 SOC analisti | Varlıkların düzeltme ilerleme durumunu gösteren Microsoft Defender XDR otomatik olarak oluşturulan raporlar | Microsoft Defender XDR uyarıları araştırma Güvenli Puan izleme |
Varlıkların tehdit ve güvenlik açığı durumuyla ilgili olarak varlık sahiplerine hiçbir görünüm veya pano raporu iletilmeyen. | Kuruluş için yüksek riskli ve kritik varlık güvenlik açığı düzeltme durumunu doldurmak için otomasyon betiğini İçerik Oluşturucu. | N |
Bu örnek kullanım örneklerinde test, SOC ekibinin gereksinimlerinde her ekibin sorumlulukları için temel olarak oluşturulmuş çeşitli boşluklar ortaya çıkardı. SoC ekibinin yeni veya mevcut SOC gereksinimleriyle Microsoft Defender XDR tümleştirmeye hazır olduğundan emin olmak için kullanım örneği denetim listesi gerektiği kadar kapsamlı olabilir. Bu yinelemeli bir süreç olduğundan, kullanım örneği geliştirme süreci ve kullanım örneği çıktı içeriği doğal olarak SOC'nin runbook'larını öğrenilen derslerle güncelleştirmeye ve olgun etmeye hizmet eder.
Üretim runbook'larını ve playbook'larını güncelleştirme
Kullanım örneği testi tüm boşluklar için düzeltildikten sonra, öğrenilen dersler ve bunlarda toplanan ölçümler SOC ekibinizin üretim runbook'larına (işletim süreçleri) ve playbook'larına (olay yanıtları ve yükseltme yordamları) eklenebilir.
SOC ekibi runbook'larının ve playbook'larının bakımı birçok yolla düzenlenebilir. Her SOC ekibi kendilerinden sorumlu olabilir veya tüm ekiplerin merkezi bir depoda paylaşabileceği tek bir merkezi sürüm olabilir. Tek tek kuruluşlar için runbook ve playbook yönetimi boyut, beceri kümesi, roller ve görevlerin ayrıştırılması temel alır. Bir runbook güncelleştirildikten sonra playbook güncelleştirme işlemi izlenmelidir.
Yükseltme için standart çerçeve kullanma
Playbook'lar, başarılı tümleştirme ve kullanım örneğinin testine bağlı olarak SOC ekiplerinin gerçek bir olay gerçekleştiğinde izlemesi gereken adımlardır. Bu nedenle, SOC'nin olay yanıtı için önde gelen endüstri standartlarından biri haline gelen NIST Olay Yanıtı Standardı gibi olay yanıtına yönelik resmi bir yaklaşım izlemesi şarttır.
NIST dört adımlı olay yanıtı işlemi dört aşama içerir:
- Hazırlık
- Algılama ve analiz
- Kapsama, silme ve kurtarma
- Olay sonrası etkinlik
Örnek: Hazırlık aşaması etkinliğini izleme
Yükseltme playbook'unun temel temellerinden biri, her SOC ekibinin bir etkinlik veya olaydan önce, olay sırasında ve sonrasında ne yapması gerektiğiyle ilgili çok az belirsizlik olmasını sağlamaktır. Bu nedenle, adım adım yönergeleri listelemek iyi bir uygulamadır.
Örneğin, Hazırlık aşaması bir if/then veya XoR görev matrisi içerebilir. Yeni kimlik avı değişken örneği kullanım örneği söz konusu olduğunda, böyle bir matris aşağıdaki gibi görünebilir:
| Yükseltme Neden Garanti Edilir? | Sonraki Adım |
|---|---|
| SOC İzleme'de kritik olarak tetiklenen >500/saat uyarı | Playbook A, Bölüm 2, Etkinlik 5'e gidin (playbook bölümünün bağlantısıyla) |
| e-Ticaret olası DDoS saldırısı bildirdi | Playbook B-Section C, Etkinlik 19'u çağırma (playbook bölümünün bağlantısıyla) |
| Yönetici şüpheli bir e-postayı zıpkınla kimlik avı girişimi olarak bildirdi | Playbook 5, Bölüm 2, Etkinlik 5'e gidin (playbook bölümünün bağlantısıyla) |
Hazırlık aşamasını yürüten kuruluşlar, NIST tarafından özetlenen kalan aşamaları çağırmalıdır:
- Algılama ve analiz
- Kapsama, silme ve kurtarma
- Olay sonrası etkinlik
Sonraki adım
6. Adım. SOC bakım görevlerini tanımlama
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin