Microsoft 安全操作最佳做法

项目
04/08/2022

SecOps (安全) 在实时攻击者攻击系统时维护和还原系统的安全保证。检测、响应和恢复的 NIST 网络安全框架功能很好地描述了 SecOps 的任务。

检测 - SecOps 必须检测系统中是否存在攻击者，这些攻击者被激励以在大多数情况下保持隐藏状态，因为这样一来，攻击者可以实现其未实现的目标。这可以是响应可疑活动的警报，或者主动在企业活动日志中搜寻异常事件。
响应 - 检测到潜在的攻击者操作或活动后，SecOps 必须快速调查，以确定它是实际攻击 (真正) 还是误报 (误报) ，然后枚举攻击者操作的范围和目标。
恢复 - SecOps 的最终目标是在攻击期间 (恢复安全保证) 服务的保密性、完整性和可用性。

大多数组织面临的最重大安全风险来自人为攻击操作员 (各种技能级别) 。这是因为自动/重复攻击的风险已通过内置于反恶意软件 (的基于签名和机器学习的方法显著缓解了大多数组织的风险 (但 Wannacrypt 和 NotPetya 等明显例外，其移动速度比这些防御) 。

虽然人工攻击操作员由于适应能力 (与自动化/重复逻辑) 而难以面对，但他们以与防御者相同的"人类速度"运行，这有助于调整游戏环境。

SecOps (有时称为安全运营中心 (SOC) ) ，在限制攻击者访问有价值的系统和数据的时间和访问方面可以发挥关键的作用。攻击者在环境中每一分钟就可以继续执行攻击操作，并访问敏感或有价值的系统。

目标和指标

测量的指标将显著影响 SecOps 的行为和结果。关注适当的度量有助于推动正确领域的持续改进，以有意义的方式降低风险。

为了确保 SecOps 有效地包含攻击者的访问，目标应侧重于：

减少 确认警报的时间 ，以确保在防御者花费时间调查误报时不会忽略检测到的攻击者。
减少修正已发现攻击者的时间，减少其执行和攻击以及访问敏感系统的机会时间
将安全 投资排列为具有较高内部价值 (或对业务影响较高的系统) 以及访问许多系统或敏感系统（ (管理员帐户和敏感用户）)
随着计划 成熟且 反应性事件受到控制，越来越关注主动搜寻攻击者。这侧重于减少技能更高的攻击者在环境中操作的时间，例如 (足够熟练，能够规避攻击性) 。

有关 Microsoft SOC 如何使用这些指标的信息，请参阅 https://aka.ms/ITSOC。

混合企业视图

SecOps 应确保其工具、流程和分析师技能集能够跨混合资产的全部范围实现可见性。

当以组织为目标时，攻击者不会限制其操作到特定环境，他们会使用任何可用方法攻击任何平台上的资源。 Enterprise Azure 和 AWS 等云服务的组织正在有效地运行云与本地资产的混合。

SecOps 工具和进程应设计用于对云和本地资产的攻击，以及攻击者使用标识或其他方式在云和本地资源之间进行透视。此企业范围的视图可让 SecOps 团队快速检测、响应和从攻击中恢复，从而减少组织风险。

利用本机检测和控件

在使用云中的事件日志创建自定义检测之前，应支持使用内置于云平台的安全检测和控件。

云平台通过新功能快速发展，这会使维护检测成为一项挑战。本机控件由云提供商维护，并且通常是高质量的 (低误报率) 。

由于许多组织可能使用多个云平台，并且需要整个企业的统一视图，因此应确保这些本机检测和控件提供集中式 SIEM 或其他工具。我们不建议尝试使用通用日志分析工具和查询来代替本机检测和控件。这些工具可以提供许多用于主动搜寻活动的价值，但使用这些工具获取高质量的警报需要运用深度专业知识和时间，可以更好地花费在搜寻和其他活动上。

若要补充集中式 SIEM (（例如 Microsoft Sentinel、Splunk 或 QRadar) ）的广泛可见性，应利用本机检测和控件，例如：

使用 Azure 的组织应利用 Microsoft Defender for Cloud 等功能在 Azure 平台上生成警报。
组织应利用 Azure Monitor 和 AWS CloudTrail 等本机日志记录功能将日志拉取到中心视图中。
使用 Azure 的组织应利用网络安全组 (NSG) 功能来查看 Azure 平台上的网络活动。
调查实践应利用深入了解资产类型的本机工具，例如终结点检测和响应 (EDR) 解决方案、标识工具和 Microsoft Sentinel。

设置警报和日志集成优先级

确保将关键安全警报和日志集成到 SIEM 中，而不引入大量低价值数据。

引入过多的低价值数据会增加 SIEM 成本、增加噪音和误报以及降低性能。

收集的数据应侧重于支持以下一个或多个操作活动：

警报 (生成自定义警报所需的现有工具或数据进行检测)
调查事件 (例如，常见查询)
主动搜寻活动

通过集成更多数据，可以使用其他上下文来丰富警报，以便进行快速响应和修正 (筛选误报、提升真正等) 但收集不会检测。如果没有合理的预期数据将提供值，例如 (大量防火墙拒绝事件，) 事件集成。

Microsoft 安全服务的 SecOps 资源

如果你是安全分析师的新角色，请参阅这些资源来入门。

主题	资源
事件响应的 SecOps 规划	事件响应规划，为组织准备事件。
SecOps 事件响应过程	事件响应过程，提供响应事件时最佳做法。
事件响应工作流	事件响应工作流示例Microsoft 365 Defender
定期安全操作	示例定期安全操作Microsoft 365 Defender
Microsoft Sentinel 调查	Microsoft Sentinel 中的事件
调查Microsoft 365 Defender	Microsoft 365 Defender

如果你是经验丰富的安全分析师，请参阅这些资源以快速提升 SecOps 团队的 Microsoft 安全服务。

主题	资源
Azure Active Directory (Azure AD)	安全操作指南
Microsoft 365 Defender	安全操作指南
Microsoft Sentinel	如何调查事件
Microsoft 365 Defender	如何调查事件
安全运营建立或现代化	Azure 云采用框架 SecOps 和 SecOps 函数的文章
事件响应 playbook	概述位于 https://aka.ms/IRplaybooks - 网络钓鱼 - 密码喷发 - 应用许可授予
SOC 进程框架	Microsoft Sentinel
MSTICPy 和 Jupyter Notebook	Microsoft Sentinel

有关 Microsoft 中的 SecOps 的博客系列

请参阅此博客系列，了解 Microsoft 的 SecOps 团队如何工作。

Simuland

Simuland 是一个开源计划，用于部署实验室环境和端到端模拟，用于：

再现真实攻击方案中使用的已知技术。
主动测试并验证相关Microsoft 365 Defender、Microsoft Defender for Cloud和 Microsoft Sentinel 检测的有效性。
使用每次模拟练习后生成的遥测和取证项目扩展威胁研究。

Simuland 实验室环境提供来自各种数据源的用例，包括来自 Microsoft 365 Defender 安全产品的遥测数据、Microsoft Defender for Cloud，以及 Microsoft Sentinel 数据连接器提供的其他集成数据源。

在试用版或付费沙盒订阅的安全中，您可以：

了解对手贸易游戏的基础行为和功能。
记录每个攻击者操作的先决条件，确定缓解措施和攻击者路径。
加快威胁研究实验室环境的设计和部署。
随时了解实际威胁参与者使用的最新技术和工具。
识别、记录并共享相关数据源，以对攻击者操作进行建模和检测。
验证和优化检测功能。

然后，可以在生产环境中实现 Simuland 实验室环境方案的学习。

阅读 Simuland 概述后，请参阅 Simuland GitHub存储库。

关键的 Microsoft 安全资源

资源	说明
2021 Microsoft 数字防御报告	该报告包含来自 Microsoft 安全专家、执行者以及维护者的学习，使任何地方的人能够防范网络攻击。
Microsoft 网络安全参考体系结构	一组可视化体系结构图表，显示 Microsoft 的网络安全功能及其与 Microsoft 云平台（例如 Microsoft 365 和 Microsoft Azure 以及第三方云平台和应用）的集成。
分钟信息图下载	概述 Microsoft SecOps 团队如何执行事件响应来缓解持续攻击。
Azure 云采用框架安全操作	有关领导建立或现代化安全运营功能战略指南。
适用于 IT 架构师模型的 Microsoft 云安全性	适用于标识和设备访问、威胁防护和信息保护的 Microsoft 云服务和平台的安全性。
Microsoft 安全文档	Microsoft 提供的其他安全指南。

下一步

查看安全操作功能。