事件响应概述

事件响应是调查和修正针对组织的活动攻击活动的做法。 这是 SecOps 规则 (操作 ) 的一部分,本质上主要是被动的。

事件响应对确认 (MTTA) 的总体平均时间具有最大的直接影响 (MTTR) 测量安全操作能够降低组织风险的能力。 事件响应团队在很大程度上依赖于威胁搜寻、情报和事件管理团队 ((如果存在) )来实际降低风险。 有关详细信息 ,请参阅 SecOps 指标。

有关安全操作角色和职责详细信息,请参阅 云 SOC 函数

新角色资源

如果你是安全分析师的新角色,请参阅这些资源来入门。

主题 资源
事件响应的 SecOps 规划 事件响应 规划,为组织准备事件。
SecOps 事件响应过程 事件响应 过程,提供响应事件时最佳做法。
事件响应工作流 事件响应工作流示例Microsoft 365 Defender
定期安全操作 示例定期安全操作Microsoft 365 Defender
Microsoft Sentinel 调查 Microsoft Sentinel 中的事件
调查Microsoft 365 Defender Microsoft 365 Defender

经验丰富的安全分析师资源

如果你是经验丰富的安全分析师,请参阅这些资源来快速提升 SecOps 团队的 Microsoft 安全服务。

主题 资源
Microsoft Sentinel 如何调查事件
Microsoft Defender for Cloud (Azure 资源) 如何调查警报
Microsoft 365 Defender 如何调查事件
安全运营建立或现代化 Azure 云采用框架 SecOpsSecOps 函数的文章
Microsoft 安全最佳实践 如何充分利用 SecOps 中心
事件响应 playbook 概述位于 https://aka.ms/IRplaybooks

- 网络钓鱼
- 密码喷发
- 应用许可授予
SOC 进程框架 Microsoft Sentinel
MSTICPy 和 Jupyter Notebook Microsoft Sentinel

有关 Microsoft 中的 SecOps 的博客系列

请参阅此博客系列,了解 Microsoft 的 SecOps 团队如何工作。

Simuland

Simuland 是一个开源计划,用于部署实验室环境和端到端模拟,用于:

  • 再现真实攻击方案中使用的已知技术。
  • 主动测试并验证相关Microsoft 365 Defender、Microsoft Defender for Cloud和 Microsoft Sentinel 检测的有效性。
  • 使用每次模拟练习后生成的遥测和取证项目扩展威胁研究。

Simuland 实验室环境提供来自各种数据源的用例,包括来自 Microsoft 365 Defender 安全产品的遥测数据、Microsoft Defender for Cloud,以及 Microsoft Sentinel 数据连接器提供的其他集成数据源。

在试用版或付费沙盒订阅的安全中,您可以:

  • 了解对手贸易游戏的基础行为和功能。
  • 记录每个攻击者操作的先决条件,确定缓解措施和攻击者路径。
  • 加快威胁研究实验室环境的设计和部署。
  • 随时了解实际威胁参与者使用的最新技术和工具。
  • 识别、记录并共享相关数据源,以对攻击者操作进行建模和检测。
  • 验证和优化检测功能。

然后,可以在生产环境和安全进程中实现 Simuland 实验室环境方案的学习。

请参阅 Simuland 概述Simuland GitHub资源

事件响应资源

关键的 Microsoft 安全资源

资源 说明
2021 Microsoft 数字防御报告 该报告包含来自 Microsoft 安全专家、执行者以及维护者的学习,使任何地方的人能够防范网络攻击。
Microsoft 网络安全参考体系结构 一组可视化体系结构图表,显示 Microsoft 的网络安全功能及其与 Microsoft 云平台(例如 Microsoft 365 和 Microsoft Azure 以及第三方云平台和应用)的集成。
分钟信息图 下载 概述 Microsoft SecOps 团队如何执行事件响应来缓解持续攻击。
Azure 云采用框架安全操作 有关领导建立或现代化安全运营功能战略指南。
Microsoft 安全操作最佳做法 如何充分利用 SecOps 中心比以组织为目标的攻击者更快地移动。
适用于 IT 架构师模型的 Microsoft 云安全性 适用于标识和设备访问、威胁防护和信息保护的 Microsoft 云服务和平台的安全性。
Microsoft 安全文档 Microsoft 提供的其他安全指南。