具有零信任的可见性、自动化和业务流程

作为零信任安全框架的标志,视角的重大变化之一是从默认信任转向按例外信任。 但是,一旦需要信任,你需要一些可靠的方法来建立信任。 由于不再假定请求值得信任,因此建立一种证明请求可信度的方法对于证明其时间点可信度至关重要。 此证明要求能够查看请求上和周围的活动。

在其他零信任指南中,我们定义了跨标识终结点和设备、数据应用基础结构和网络实现端到端零信任方法的方法。 所有这些投资都提高了你的可见性,这为你提供了更好的数据来做出信任决策。 但是,通过在这六个领域采用零信任方法,安全运营中心 (SOC) 分析人员需要缓解的事件数量必然增加。 在人才短缺的时候,你的分析师变得比以往更加忙碌。 这可能导致长期警报疲劳和分析师缺少严重警报。

Diagram of integrated capabilities to manage threats.

在其中每个区域生成各自的相关警报时,我们需要一种集成功能来管理生成的数据流入,以便更好地抵御威胁并验证对事务的信任。

你希望能够:

  • 检测威胁和漏洞。
  • 探讨。
  • 响应。
  • 狩猎。
  • 通过威胁分析提供其他上下文。
  • 评估漏洞。
  • 获取世界级专家的帮助
  • 防止或阻止跨支柱发生事件。

管理威胁包括被动检测和主动检测,并且需要支持这两者的工具。

反应检测 是从可以调查的六大支柱之一触发事件的时候。 此外,像 SIEM 这样的管理产品可能会支持另一层分析,这些分析会扩充和关联数据,从而导致将事件标记为错误。 然后,下一步是进行调查,以获得攻击的完整叙述。

主动检测 是在将搜寻应用到数据以证明已泄露的假设时。 威胁搜寻始于你被破坏的假设——你寻找确实存在漏洞的证据。

威胁搜寻以基于当前威胁(如 COVID-19 网络钓鱼攻击)的假设开头。 分析师从这种假设性威胁开始,确定妥协的关键指标,并搜寻数据,看看是否有证据表明环境受到了损害。 如果存在指示器,则搜寻方案可能会导致分析,如果某些指标再次发生,则会通知组织。

无论哪种方式,一旦检测到事件,你需要调查它,以建立攻击的完整故事。 用户还执行了哪些操作? 涉及哪些其他系统? 运行了哪些可执行文件?

如果调查的结果是可操作的学习,则可以执行修正步骤。 例如,如果调查发现零信任部署中的漏洞,则可以修改策略来解决这些漏洞,并防止将来发生不需要的事件。 尽可能自动执行修正步骤是可取的,因为它减少了 SOC 分析师应对威胁并转到下一个事件所需的时间。

评估威胁的另一个关键组成部分是将已知的威胁情报与引入的数据结合在一起。 如果 IP、哈希、URL、文件、可执行文件等已知错误,则可以识别、调查和修正它们。

基础结构 支柱中,时间花在了解决漏洞上。 如果已知系统易受攻击,并且威胁利用了该漏洞,则可以检测、调查和修正此漏洞。

为了使用这些策略来管理威胁,你应该有一个中央控制台,允许 SOC 管理员检测、调查、修正、搜寻、利用威胁情报、了解已知漏洞、依靠威胁专家和阻止六大支柱中的任何一个的威胁。 如果合并到单个工作流,则支持这些阶段所需的工具效果最佳,从而提供无缝体验,提高 SOC 分析师的有效性。

安全操作中心通常部署 SIEM 和 SOAR 技术的组合来收集、检测、调查和响应威胁。 Microsoft 提供 Microsoft Sentinel 作为其 SIEM 即服务产品/服务。 Microsoft Sentinel 引入所有Microsoft Defender for Identity和第三方数据。

Microsoft 威胁防护 (MTP) (Microsoft Sentinel 中的关键源)提供了统一的企业防御套件,可在所有Microsoft 365组件中提供上下文感知保护、检测和响应。 通过上下文感知和协调,使用Microsoft 365的客户可以跨终结点、协作工具、标识和应用程序获得可见性和保护。

正是通过此层次结构,我们使客户能够最大程度地集中注意力。 尽管上下文感知和自动修正,但 MTP 可以检测和阻止许多威胁,而无需向已重载的 SOC 人员添加额外的警报疲劳。 MTP 内部的高级搜寻将该上下文引入到搜寻中,以专注于许多关键攻击点。 通过 Microsoft Sentinel 在整个生态系统中进行搜寻和业务流程,可以正确地了解异类环境的各个方面,同时最大程度地减少运算符的认知重载。

可见性、自动化和业务流程零信任部署目标

实现端到端零信任框架以实现可见性、自动化和业务流程时,建议首先关注以下初始部署目标

List icon with one checkmark.

I.建立可见性。

第二。启用自动化。

完成这些操作后,请重点关注以下 附加部署目标

List icon with two checkmarks.

第三。启用其他保护和检测控件。

可见性、自动化和业务流程零信任部署指南

本指南将指导你按照零信任安全框架的原则,完成管理可见性、自动化和业务流程所需的步骤。




Checklist icon with one checkmark.

初始部署目标

我。 建立可见性

第一步是通过启用 Microsoft 威胁防护 (MTP) 来建立可见性。

请执行以下步骤:

  1. 注册其中一个 Microsoft 威胁防护工作负载。
  2. 启用工作负载并建立连接。
  3. 在设备和基础结构上配置检测,以便立即了解环境中发生的活动。 这为你提供了所有重要的“拨号音调”来启动关键数据的流。
  4. 启用 Microsoft 威胁防护以获得跨工作负荷可见性和事件检测。

第二。 启用自动化

建立可见性后,下一个关键步骤是启用自动化。

自动调查和修正

借助 Microsoft 威胁防护,我们实现了自动调查和修正,这实质上提供了额外的第 1 层 SOC 分析。

可以逐步启用 (AIR) 的自动调查和修正,以便可以使用所采取的操作来开发舒适级别。

请执行以下步骤:

  1. 为测试组启用 AIR。
  2. 分析调查步骤和响应操作。
  3. 逐步过渡到所有设备的自动审批,以减少检测和响应的时间。

为了了解部署零信任模型所导致的事件,必须将 MTP、其他 Microsoft 数据连接器和相关第三方产品连接到 Microsoft Sentinel,以便为事件调查和响应提供一个集中的平台。

作为数据连接过程的一部分,可以启用相关分析来触发事件,并且可以为数据的图形表示形式创建工作簿。

虽然机器学习和融合分析是现成的,但它也有利于将威胁情报数据引入 Microsoft Sentinel,以帮助识别与已知不良实体相关的事件。




Checklist icon with two checkmarks.

其他部署目标

第三。 启用其他保护和检测控件

启用其他控件可改善传入 MTP 和 Sentinel 的信号,以提高可见性和协调响应的能力。

攻击面减少 控件代表一个这样的机会。 这些保护措施不仅阻止了与恶意软件关联最密切的某些活动,而且还允许尝试使用特定方法,这有助于检测在过程早期利用这些技术的攻击者。

本指南中介绍的产品

Microsoft Azure

Microsoft Defender for Identity

Microsoft Sentinel

Microsoft 365

Microsoft 威胁防护



零信任部署指南系列

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration