Olay müdahale planlama
Bu tabloyu, Güvenlik İşlemleri Merkezi'nizi (SOC) siber güvenlik olaylarına yanıt vermek üzere hazırlamak için denetim listesi olarak kullanın.
| Bitti | Etkinlik | Açıklama | Avantaj |
|---|---|---|---|
| En çok yapılan tablo alıştırmaları | Düzenli aralıklarla, kuruluş yönetimini zor risk tabanlı kararlar almak için zorlanacak, işlerinizi etkileyecek öngörülebilir siber olaylarla ilgili en iyi tablo alıştırmaları yapın. | Siber güvenliği bir iş sorunu olarak sıkı bir şekilde kurmak ve göstermek. Kas belleği geliştirir ve kuruluş genelinde zor kararlar ve karar hakları sorunları ortaya çıkar. | |
| Saldırı öncesi kararları ve karar verenleri belirleme | En önemli alıştırmalara bir övgü olarak, risk tabanlı kararları, karar alma ölçütlerini ve bu kararları kimin almalı ve yürütmesi gerektiğini belirler. Örneğin: Who zorlamadan yardım almak için ne zaman/ne zaman arayabilirsiniz? Who yanıtlayanları ne zaman/ne zaman listeye alıcasınız? Who/ne zaman/eğer ödemesi gereksin? Who denetçileri ne zaman/ne zaman bildirsin? Who ilgili yetkililere bildirmek için ne zaman/ne zaman/ne zaman bilgi verirsiniz? Who düzenleyicileri haberdar etmek için ne zaman/ne zaman/eğer? Who yönetim kuruluna veya denetim komitesine ne zaman bildireceksiniz/ne zaman bildireceksiniz? Who kritik iş yüklerini kapatma yetkisine sahip mi var? |
Bir olayı yanıtlamayı kolaylaştıran ilk yanıt parametrelerini ve kişilerini tanımlar. | |
| Ayrıcalığı koruma | Genellikle, tavsiyeler ayrıcalıklı olabilir, ancak olguları keşfedilebilir. Temel olay liderlerini, ayrıcalık korunacak ve riskler azaltacak şekilde, tavsiyeleri, olguları ve fikirleri ayrıcalık altında iletir. | E-posta, işbirliği platformları, sohbetler, belgeler, yapılar gibi çok sayıda iletişim kanalını dikkate alarak, ayrıcalığı korumak karmaşık bir süreç olabilir. Örneğin, Microsoft Teams Odaları. Olay personeli genelinde tutarlı bir yaklaşım ve dış kuruluşları desteklemek, olası yasal açık kalma süresini azaltmaya yardımcı olabilir. | |
| Insider alım satım ile ilgili dikkat edilmesi gereken noktalar | Menkul değer ihlali riskini azaltmak için alınması gereken yönetime yapılan genel bildirimler. | Boards ve dış denetçiler, türülans dönemleri sırasında şüpheli menkul değerlerle ilgili ticari riskini azaltacak risk azaltmalar söz konusu olduğunu değerlendirme eğilimindedir. | |
| Olay rolleri ve sorumlulukları oynatma defteri | Çeşitli süreçlerin odağı korumasına ve ilerleme durumunu iletmesine olanak sağlayan temel roller ve sorumluluklar sın. Yanıt ekibinin uzak olduğu zaman, saat dilimleri ve özel el ile erişim hakkında başka dikkate alınması gereken noktalar da olabilir. Dahil olabileceği diğer ekipler (örneğin, satıcı ekipleri) arasında iletişim kurmanız gerekiyor olabilir. |
Teknik Olay Lideri – Her zaman olayda, dağıtım girdileri ve bulguları ve sonraki eylemleri planlama. İletişim Birlikteliği – Teknik Olay Liderinden yönetime iletişim kurmanın yükünü kaldırır ve odak kaybı olmadan olaya dahil kalmalarını sağlar. Bu, yönetimle ilgili mesajlaşma ve etkileşimleri ve düzenleyiciler gibi diğer üçüncü tarafları yönetmeyi de içerebilir. Olay Kaydedicisi – Bir olay yanıtlayandan bulguları, kararları ve eylemleri kaydetme yükünü kaldırır ve baştan sona olayın doğru bir muhasebesi sağlar. İleri Planlayıcı – İş açısından kritik iş süreci sahipleriyle çalışmak, 24, 48, 72, 96 saat veya daha uzun süren bilgi sistemi bozukluğu olan iş sürekliliği etkinliklerini ve hazırlıkları formüle ediyor. Halkla İlişkiler – Büyük olasılıkla kamunun dikkatini çekecek bir olayda ve İlerletir Planlayıcı ile birlikte, genel iletişim yaklaşımları ve taslaklar, olası sonuçları ele alan genel iletişim yaklaşımlarıdır. |
|
| Gizlilik olayı yanıtı oynatma kitabı | Giderek sıkı gizlilik düzenlemelerini karşılamak için, SecOps ile gizlilik ofisi arasında, güvenlik olaylarından çıkma olasılığı makul olan olası gizlilik sorunlarının hızlı değerlendirilmesina olanak sağlayan, birlikte sahip olunan bir çalışma kitabı geliştirin. | Çoğu güvenlik olayı, genellikle 72 saatlik bir bildirim beklentisi ile, yasal düzenleme riski belirlenen bir gizlilik ofisine hızlıca ortaya çıkar ve son derece teknik teknik bir SOC'de ortaya çıkıyor olması nedeniyle, güvenlik olaylarının gizliliği etkileme riski olduğunu değerlendirme. | |
| Deneme testi | Güvenlik karşısında zayıf noktaları belirlemek için iş açısından kritik sistemlere, kritik altyapıya ve yedeklere yönelik, noktadan noktaya benzetimli saldırılar yürütür. Bu genellikle, engellemeyi atlayarak önemli güvenlik açıklarını kullanıma siliyor ve güvenlik açıklarını ortaya atlayan bir dış uzmanlar ekibi tarafından yürütmektedir. | İnsan tarafından işletilen son fidye yazılımları olayları karşısında, test çalışmaları, özellikle de görev açısından kritik sistemlerin ve verilerin yedeklerine saldırı ve kontrol etme yeteneği olmak üzere, daha yüksek bir altyapı kapsamına karşı yürütülmektedir. | |
| Kırmızı Ekip / Mavi Ekip / Mor Takım / Yeşil Takım | İş açısından kritik sistemlere, kritik altyapıya, güvenlik belirlemede zayıf noktaları belirlemek için yedeklemelere yönelik sürekli veya düzenli benzetimi yapılan saldırılar gerçekleştirin. Bu genellikle, güvenlik denetimlerinin ve ekiplerin (Mavi ekipler) ne kadar etkili olduğunu test etmek için odaklanan dahili saldırı ekipleri (Kırmızı ekipler) tarafından gerçekleştirilen çalışmalardır. Örneğin, Uç Nokta için Microsoft 365 Defender Deneyimi ve Saldırı Office 365 benzetimleri için Saldırı benzetim Microsoft 365 Defender kullanabilirsiniz. |
İyi şekilde bittiğinde Kırmızı, Mavi ve Mor ekip saldırı benzetimleri çok sayıda amaca hizmet ediyor:
Yeşil Ekip, değişiklikler için IT veya güvenlik yapılandırması uygulanır. |
|
| İş sürekliliği planlaması | İş süreçleri açısından kritik öneme sahip iş süreçleri için, en düşük uygulanabilir işin, bilgi sistemleri bozukluğu zamanlarına çalışmasına olanak sağlayan süreçler tasarlar ve test edin. Örneğin, iş işlemlerinizin hızlı bir şekilde kurtar olmasını sağlamak için saldırı sırasında kritik iş sistemlerinizi korumak üzere bir Azure yedekleme ve geri yükleme planı kullanın. |
|
|
| Olağanüstü durum kurtarma | İş açısından kritik iş işlemlerini destekleyen bilgi sistemleri için, hazırlama süreleri de içinde olmak üzere sıcak/soğuk ve sıcak/sıcak yedekleme ve kurtarma senaryoları tasarlar ve test edin. | Metal olmayan derlemeler yürüten kuruluşlar, hizmet düzeyi hedeflerine çoğaltmak veya çoğaltmak olanaksız olan etkinlikleri çoğunlukla bulur. Desteksiz donanım üzerinde çalışan görev açısından kritik sistemler birçok kez modern donanıma geri yüklenebilir. Yedeklemeleri geri yükleme işlemi genellikle test edilmedi ve deneyim sorunlarıyla sık sık karşılaşılan bir sorun değildir. Yedeklemeler, hazırlama zamanlarının kurtarma hedefleri olarak faktöre dönüşme süresi kadar daha çevrimdışı olabilir. |
|
| Bant dışında iletişimler | E-posta ve işbirliği hizmet bozukluğu, belge depoları ve personel telefon numaralarının kullanılamaması durumunda iletişim kurma yollarına hazırlanma. | Bu zor bir uygulama olsa da, telefon numaralarının, topolojilerin, belgelerin ve IT geri yükleme yordamlarının depolandığı, satır dışı ve değişmez kaynakların kopyalarının satır dışı cihazlarda ve konumlarda depolanabilir ve ölçekte dağıtılabilir olduğunu belirler. | |
| Suzing, uzlaştırma ve yaşam döngüsü yönetimi | İnternet Güvenliği Merkezi (CIS) kapsamında, altyapınız için en iyi 20 güvenlik denetimi ve kapsamlı kapsamlı çalışmalar gerçekleştirin. | İnsan tarafından işletilen son fidye yazılımı olaylarına yanıt olarak, Microsoft, siber saldırı kill zincirinin her aşamasını Microsoft özellikleriyle veya diğer sağlayıcıların özellikleriyle korumak için özel kılavuzlar sundu. Belirli bir not:
|
|
| Olay müdahale planlama | Olayın başlangıcında karar verin:
|
Tüm kullanılabilir kaynakları en baştan bir olayda atmak ve hızlı çözüm umarak eğilimi vardır. Bir olayın uzun bir süre için geçerli olacağını fark ediyor veya tahmin ettiyken, personeliniz ve tedarikçileriniz ile daha uzun süre devam eden bir anlaşma yapmak için onlara izin veren farklı bir gönderiye sahip oluruz. | |
| Olay yanıtlayanlar | Bir biri ile açık beklentilerin bir diğerine atalım. Devam eden etkinlikleri raporlamanın popüler bir biçimi şunları içerir:
|
Olay yanıtlayanlar, ölüm kutusu çözümlemesi, büyük veri çözümlemesi ve artımlı sonuçlar elde etme özelliği gibi farklı teknikler ve yaklaşımlarla gelir. Net beklentileri karşılamak, net iletişimleri kolaylaştıracak. |
Olay müdahale kaynakları
- Yeni rol ve deneyimli analistler için Microsoft güvenlik ürünlerine ve kaynaklarına genel bakış
- Olay yanıt süreci önerileri ve en iyi uygulamalar için işlem
- Sık kullanılan saldırı yöntemlerini yanıtla ilgili ayrıntılı kılavuzlar için Playbooks
- Microsoft 365 Defender yanıtı
- Microsoft Sentinel olayı yanıtı
Önemli Microsoft güvenlik kaynakları
| Kaynak | Açıklama |
|---|---|
| 2021 Microsoft Dijital Savunma Raporu | Microsoft'ta güvenlik uzmanlarından, güvenlik uzmanlarından ve güvenlik uzmanlarından gelen öğrenmeleri kapsayan ve siber tehditlere karşı savunma için her yerde insanlara güç veren bir rapor. |
| Microsoft Siber Güvenlik Başvuru Mimarileri | Microsoft'un siber güvenlik özelliklerini ve bunların Microsoft 365 ve Microsoft Azure üçüncü taraf bulut platformları ve uygulamaları gibi Microsoft bulut platformlarıyla tümleştirmesini gösterecek bir görsel mimari diyagramı kümesi. |
| Dakikalar bilgi grafiği indirme | Microsoft'un SecOps ekibinin devam eden saldırıları azaltmak için olay müdahalesini nasıl yok ettiğine genel bakış. |
| Azure Cloud Adoption Framework güvenlik işlemleri | Güvenlik işlemi işlevini kuran veya modernleştiren öncüler için stratejik kılavuz. |
| Güvenlik işlemleri için en iyi Microsoft güvenlik yöntemleri | SecOps merkezinizi, organizasyonlarınızı hedef alan saldırganlardan daha hızlı hareket etmek için en iyi şekilde nasıl kullanabilirsiniz. |
| IT mimarları modeli için Microsoft bulut güvenliği | Kimlik ve cihaz erişimi, tehdit koruması ve bilgi koruması için Microsoft bulut hizmetleri ve platformları genelinde güvenlik. |
| Microsoft güvenlik belgeleri | Microsoft'tan ek güvenlik kılavuzu. |