Selbstbewertungstool für Sicherheitsabläufe
Triage
Bewerten Sie Warnungen, setzen Sie Prioritäten, und leiten Sie Vorfälle zur Problemlösung an die Mitglieder Ihres Security Operations Center-Teams weiter.
Untersuchung
Finden Sie schnell heraus, ob einer Warnung ein echter Angriff oder ein Fehlalarm zugrunde liegt.
Suche
Verstärken Sie die Suche nach Angreifern, die primäre und automatisierte Abwehrmaßnahmen umgehen.
Incident Management
Koordinieren Sie Abhilfemaßnahmen zwischen den Bereichen Technik, Betrieb, Kommunikation, Recht und Governance.
Automatisierung
Entlasten Sie Analysten, beschleunigen Sie Maßnahmen, und verringern Sie den Arbeitsaufwand.
Wie priorisieren Sie Vorfälle und Bedrohungswarnungen?
(Alle zutreffenden auswählen)
Inwieweit nutzen Sie die Automatisierung zur Untersuchung und Behebung sehr vieler bzw. wiederholt auftretender Vorfälle?
In wie vielen Szenarien verwenden Sie cloudbasierte Tools, um lokale und Multi-Cloud-Ressourcen abzusichern?
Verfügen Sie über ein Ticketsystem zur Verwaltung von Sicherheitsvorfällen und zur Erfassung der Zeit, die bis zur Erkennung und Wiederherstellung verstreicht?
Wie wirken Sie der Warnmüdigkeit entgegen?
(Alle zutreffenden auswählen)
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Optimiert“ ermittelt.
Erfahren Sie, wie Sie den Reifegrad in Ihrem Security Operations Center optimieren.
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Erweitert“ ermittelt.
Erfahren Sie, wie Sie einen optimalen Reifegrad für Ihr Security Operations Center erreichen.
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Basic“ ermittelt.
Erfahren Sie, wie Sie einen fortgeschrittenen Reifegrad für Ihr Security Operations Center erreichen.
Die folgenden Ressourcen und Empfehlungen können auf dieser Stufe hilfreich sein.
Bedrohungswarnungen priorisieren
- Die Priorisierung von Bedrohungswarnungen ist entscheidend für Ihren Erfolg. Es hat sich bewährt, die Bewertung auf der Grundlage der Richtig-Positiv-Rate der Quelle vorzunehmen. Erhalten Sie wichtige Erkenntnisse und Best Practices von führenden Sicherheitsexperten, um den Reifegrad von Sicherheitsabläufen zu optimieren. Mehr erfahren
Automatisierung
- Die Automatisierung erspart Ihnen und Ihrem Betriebsteam lästige Aufgaben, sodass Sie sich auf kritische Bedrohungen konzentrieren, die Produktivität steigern und Überlastung entgegenwirken können.
- Mehr erfahren, wie Sie die Automatisierung in Microsoft Defender for Endpoint konfigurieren
Cloudbasierte Tools nutzen
- Mit cloudbasierten Tools können Sie die gesamte Bedrohungslandschaft Ihres Unternehmens in der Cloud abbilden. Durch die Umstellung auf eine cloudbasierte SIEM-Lösung lassen sich die Probleme abschwächen, die typisch für lokale SIEM-Lösungen sind. Mehr erfahren
Sicherheitsvorfälle über ein Ticketsystem verwalten
- Ein Ticketsystem hilft Ihrem Team, effizient zu arbeiten und Bedrohungen erfolgreich abzuwehren. Mehr erfahren
Warnmüdigkeit in den Griff bekommen
- Die Eindämmung der Warnmüdigkeit ist entscheidend für reibungslose Sicherheitsabläufe. Ohne ein Priorisierungssystem kann es passieren, dass Ihr Team Fehlalarme untersucht, aber schwerwiegende Bedrohungen außer Acht lässt – eine häufige Ursache für die Überlastung des Teams. Azure Sentinel reduziert die Warnmüdigkeit mithilfe von maschinellem Lernen. Mehr erfahren
Wie viele Sicherheitstools verwenden Ihre Analysten für die Untersuchung von Vorfällen (z. B. Produkte oder Portale von Anbietern bzw. eigene Tools oder Skripte)?
Verwenden Sie SIEM oder andere Tools, um alle Datenquellen zu konsolidieren und zu korrelieren?
Verwenden Sie Verhaltensanalysen zur Erkennung und Untersuchung (z. B. UEBA, User Entity and Behavior Analytics)?
Verwenden Sie Erkennungs- und Untersuchungstools, die auf Identitäten ausgerichtet sind?
Verwenden Sie Erkennungs- und Untersuchungstools, die auf Endpunkte ausgerichtet sind?
Verwenden Sie Erkennungs- und Untersuchungstools, die auf E-Mails und Daten ausgerichtet sind?
Verwenden Sie Erkennungs- und Untersuchungstools, die auf SaaS-Apps ausgerichtet sind?
Verwenden Sie Erkennungs- und Untersuchungstools, die auf die Cloudinfrastruktur wie etwa Virtual Machines, das Internet der Dinge (IoT) und Operational Technology (OT) ausgerichtet sind?
Verwenden Sie MITRE ATT&CK oder andere Frameworks zur Verfolgung und Analyse von Vorfällen?
Werden Fälle in der Triage-Warteschlange von Untersuchungs- oder Suchteams geprüft, um Trends, Ursachen und andere Erkenntnisse aufzudecken?
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Optimiert“ ermittelt.
Wichtige Ressourcen:
- Erfahren Sie, wie Sie Risiken und Kosten mit konsolidierten Sicherheitslösungen verringern können.
- Mehr erfahrenErfahren Sie mehr über SecOps-Funktionen (Security Operations).
Erfahren Sie, wie Sie den Reifegrad in Ihrem Security Operations Center optimieren.
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Erweitert“ ermittelt.
Wichtige Ressourcen:
- Erfahren Sie, wie Sie Risiken und Kosten mit konsolidierten Sicherheitslösungen verringern können.
- Mehr erfahrenErfahren Sie mehr über SecOps-Funktionen (Security Operations).
Erfahren Sie, wie Sie einen optimalen Reifegrad für Ihr Security Operations Center erreichen.
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Basic“ ermittelt.
Wichtige Ressourcen:
- Erfahren Sie, wie Sie Risiken und Kosten mit konsolidierten Sicherheitslösungen verringern können.
- Mehr erfahrenErfahren Sie mehr über SecOps-Funktionen (Security Operations).
Erfahren Sie, wie Sie einen fortgeschrittenen Reifegrad für Ihr Security Operations Center erreichen.
Die folgenden Ressourcen und Empfehlungen können auf dieser Stufe hilfreich sein.
Integrierte Sicherheitstools
- Der domänenübergreifende Einsatz intelligenter, automatisierter und integrierter Sicherheitslösungen kann SecOps-Beauftragten dabei helfen, scheinbar unzusammenhängende Warnungen zu verknüpfen und Angreifern einen Schritt voraus zu sein. Erfahren Sie, wie Sie fortgeschrittene Angriffe mit einer einheitlichen SIEM- und XDR-Lösung stoppen. Mehr erfahren
- Modernisieren Sie das Security Operations Center, um die Sicherheit Ihrer Remotemitarbeiter zu gewährleisten. Mehr erfahren
Datenquellen mit SIEM konsolidieren
- Eine SIEM-Lösung wie Azure Sentinel ermöglicht einen Blick von oben auf die Bedrohungslandschaft und erfasst alle Bedrohungsdaten, damit Sie proaktiv handeln können und nichts übersehen. Was ist Azure Sentinel?
- Mehr erfahren über Microsoft Cybersecurity Reference Architecture
Bewährte Microsoft Security-Verfahren für Sicherheitsabläufe
- Maschinelles Lernen und Verhaltensanalysen sind bewährte Methoden, mit denen sich anomale Ereignisse schnell und sehr zuverlässig erkennen lassen. Mehr erfahren
Datenzugriff verwalten
- Es ist wichtig zu wissen, wer auf welche Weise Zugriff auf Ihre Daten hat. Ein identitätsbasiertes Framework ist eine bewährte Methode, um Risiken zu mindern und die Produktivität zu steigern. Mehr erfahren
Endpunktverwaltung
- Es ist immer gut zu wissen, wer von außerhalb des herkömmlichen Perimeters auf Daten zugreift und ob die Geräteintegrität sichergestellt ist. Microsoft Defender for Endpoint kann Ihnen mit dieser Schritt-für-Schritt-Anleitung weiterhelfen. Mehr erfahren
- Mehr erfahren über die Bereitstellung von Microsoft Defender for Endpoint
E-Mail- und Datenerkennung
- Böswillige Akteure können über kompromittierte Business-E-Mails in Ihre Umgebung eindringen. Mit einer Lösung, die Bedrohungen wie Phishing erkennen und stoppen kann, werden Endnutzer von Sicherheitsaufgaben entlastet. Mehr erfahren
SaaS-Apps erkennen
- Es ist wichtig, cloudbasierte Lösungen abzusichern, die Zugriff auf vertrauliche Daten haben.
Cloudinfrastruktur erkennen
- Mit der Ausweitung des Perimeters auf IoT, Speicher, Container und andere Komponenten der Cloudinfrastruktur kommt es darauf an, die Überwachung und Erkennung auch auf diese Umgebungsbereiche anzuwenden.
Vorfälle verfolgen und analysieren
- MITRE ATT&CK® ist eine weltweit zugängliche Knowledge Base für Angriffstaktiken und -techniken, die auf realen Beobachtungen beruht. Frameworks wie MITRE ATT&CK unterstützen Sie bei der Entwicklung gezielter Bedrohungsmodelle und -methoden, die die proaktive Entwicklung von Schutzmaßnahmen fördern.
Dokumentieren und bewerten
- Um Erkenntnisse zu gewinnen und proaktiv auf Bedrohungen reagieren zu können, muss die Untersuchung von Fällen dokumentiert werden.
Ist die proaktive Bedrohungssuche Teil Ihrer Sicherheitsstrategie?
Verwenden Sie automatisierte Suchprozesse wie z. B. Jupyter Notebooks?
Verfügen Sie über Prozesse und Tools zur Erkennung und Eindämmung von Insiderbedrohungen?
Nimmt sich Ihr Suchteam Zeit für die Optimierung von Warnungen, um die Richtig-Positiv-Rate für Triageteams (Stufe 1) zu erhöhen?
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Optimiert“ ermittelt.
Wichtige Ressourcen:
- Mehr erfahren über das Insider-Risikomanagement in Microsoft 365.
Erfahren Sie, wie Sie den Reifegrad in Ihrem Security Operations Center optimieren.
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Erweitert“ ermittelt.
Wichtige Ressourcen:
- Mehr erfahren über das Insider-Risikomanagement in Microsoft 365.
Erfahren Sie, wie Sie einen optimalen Reifegrad für Ihr Security Operations Center erreichen.
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Basic“ ermittelt.
Wichtige Ressourcen:
- Mehr erfahren über das Insider-Risikomanagement in Microsoft 365.
Erfahren Sie, wie Sie einen fortgeschrittenen Reifegrad für Ihr Security Operations Center erreichen.
Die folgenden Ressourcen und Empfehlungen können auf dieser Stufe hilfreich sein.
Proaktive Bedrohungssuche
- Erkennen Sie Bedrohungen bereits im Vorfeld. Entschlossene Angreifer finden Wege, um eine automatisierte Erkennung zu umgehen. Daher ist eine proaktive Strategie unverzichtbar. Verringern Sie die Auswirkungen von Insider-Risiken durch schnelles Handeln. Mehr erfahren
- Mehr erfahren über den Ablauf der Bedrohungssuche im Microsoft SOC
Automatisierte Suche
- Durch automatisierte Suchprozesse können Sie die Produktivität steigern und den Aufwand reduzieren.
Insiderbedrohungen
- Mitarbeiter, Lieferanten und Auftragnehmer greifen von unzähligen Endpunkten aus auf das Firmennetzwerk zu. Daher müssen Risikoexperten schneller als je zuvor in der Lage sein, Risiken innerhalb des Unternehmens zu erkennen und Maßnahmen einzuleiten.
- Mehr erfahren über die Überwachung von Insiderbedrohungen
- Jetzt loslegen mit dem Insider-Risikomanagement
Suchprozesse optimieren
- Die von Bedrohungssuchteams gesammelten Erkenntnisse können dazu beitragen, die Genauigkeit von Triage-Warnsystemen zu verfeinern und zu verbessern. Mehr erfahren
Verfügt Ihr Team über einen Krisenmanagementprozess zur Beseitigung größerer Sicherheitsvorfälle?
Lassen sich in diesen Prozess Anbieterteams einbinden, die über umfassende Kenntnisse in Bezug auf Incident Response, Threat Intelligence oder die Technologieplattform verfügen?
Ist die Führungsebene einschließlich Rechtsexperten und Aufsichtsbehörden in diesen Prozess eingebunden?
Sind Kommunikations- und Public-Relations-Teams in den Prozess eingebunden?
Führt Ihr Team regelmäßige Übungen durch, um den Prozess zu trainieren und zu verfeinern?
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Optimiert“ ermittelt.
Wichtige Ressourcen:
- Mehr erfahren über das Insider-Risikomanagement in Microsoft 365.
Erfahren Sie, wie Sie den Reifegrad in Ihrem Security Operations Center optimieren.
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Erweitert“ ermittelt.
Wichtige Ressourcen:
- Mehr erfahren über das Insider-Risikomanagement in Microsoft 365.
Erfahren Sie, wie Sie einen optimalen Reifegrad für Ihr Security Operations Center erreichen.
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Basic“ ermittelt.
Wichtige Ressourcen:
- Mehr erfahren über das Insider-Risikomanagement in Microsoft 365.
Erfahren Sie, wie Sie einen fortgeschrittenen Reifegrad für Ihr Security Operations Center erreichen.
Die folgenden Ressourcen und Empfehlungen können auf dieser Stufe hilfreich sein.
Incident Response
- Bei der Bewältigung von Krisen kommt es auf Minuten an. Auch temporäre Prozesse sind wichtig, um das Incident Management und die Wiederherstellung zügig anzugehen.
- Referenzleitfaden zur Reaktion auf Vorfälle lesen
- Mehr erfahren, wie Sie Angriffe auf die Cybersicherheit abwehren – von Ransomware bis hin zu Erpressung
Vorfälle beheben
- Agilität und Flexibilität sind wichtig für das Incident Management und die Wiederherstellung. Indem Sie die Fähigkeiten und Erfahrungen Ihres Teams richtig einschätzen, können Sie auch die Teamstärke und Technologie von Anbietern leicht ermitteln. Mehr erfahren
Auswirkungen abschwächen
- Sicherheit geht jeden Einzelnen im Unternehmen etwas an. Einblicke von anderen Beteiligten können gezielte Hinweise zur Eindämmung von Sicherheitsverletzungen liefern.
- Mehr ansehen von der CISO Spotlight Series
- Mehr erfahren über Cloudsicherheit
Kommunikation und Public Relations
- Ihr Prozess sollte auch Pläne umfassen, wie im Fall einer Sicherheitsverletzung mit Public Relations und Kommunikation umzugehen ist. So sind Sie gut aufgestellt, um Ihre Kunden zu unterstützen und die Sicherheitsverletzung einzudämmen. Mehr erfahren, wie Sie hocheffiziente Sicherheitsabläufe umsetzen können
Den Ernstfall trainieren
- Durch Übung lernen Sie, Lücken und Verbesserungspotenziale im Vorfeld einer Sicherheitsverletzung zu erkennen. Durch das Trainieren von Testfällen stellen Sie sicher, dass Sie auf eine Sicherheitsverletzung vorbereitet sind.
- Verfügen Sie über Automatisierungslösungen, die von Anbietern bereitgestellt oder gewartet werden, um den Untersuchungs- und Wartungsaufwand für Analysten zu verringern?
Sind Sie in der Lage, automatisierte Aktionen über verschiedene Tools hinweg zu orchestrieren?
Wenn Sie automatisierte Aktionen über verschiedene Tools hinweg orchestrieren, stellen Sie dann eine native Verbindung zu allen oder den meisten Tools her, oder verwenden Sie benutzerdefinierte Skripts?
Nutzen Sie von der Community bereitgestellte Automatisierungslösungen?
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Optimiert“ ermittelt.
Wichtige Ressourcen:
- Azure Sentinel – SOC Process Framework Workbook. Jetzt herunterladen.
- SOAR (Security Orchestration, Automation, and Response) in Azure Sentinel. Mehr erfahren.
- Leitfaden für den nahtlosen sicheren Zugriff: ein besseres Benutzererlebnis mit stärkerer Sicherheit. Mehr erfahren.
- Sicherheit mit Zero Trust proaktiv umsetzen. Mehr erfahren.
- Zero Trust-Bereitstellungsleitfaden für Azure Active Directory. Jetzt herunterladen.
Erfahren Sie, wie Sie den Reifegrad in Ihrem Security Operations Center optimieren.
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Erweitert“ ermittelt.
Wichtige Ressourcen:
- Azure Sentinel – SOC Process Framework Workbook. Jetzt herunterladen.
- SOAR (Security Orchestration, Automation, and Response) in Azure Sentinel. Mehr erfahren.
- Leitfaden für den nahtlosen sicheren Zugriff: ein besseres Benutzererlebnis mit stärkerer Sicherheit. Mehr erfahren.
- Sicherheit mit Zero Trust proaktiv umsetzen. Mehr erfahren.
- Zero Trust-Bereitstellungsleitfaden für Azure Active Directory. Jetzt herunterladen.
Erfahren Sie, wie Sie einen optimalen Reifegrad für Ihr Security Operations Center erreichen.
Empfehlungen
Ausgehend von Ihren Antworten wurde für Ihre Security Operations die Stufe „Basic“ ermittelt.
Wichtige Ressourcen:
- Azure Sentinel – SOC Process Framework Workbook. Jetzt herunterladen.
- SOAR (Security Orchestration, Automation, and Response) in Azure Sentinel. Mehr erfahren.
- Leitfaden für den nahtlosen sicheren Zugriff: ein besseres Benutzererlebnis mit stärkerer Sicherheit. Mehr erfahren.
- Sicherheit mit Zero Trust proaktiv umsetzen. Mehr erfahren.
- Zero Trust-Bereitstellungsleitfaden für Azure Active Directory. Jetzt herunterladen.
Erfahren Sie, wie Sie einen fortgeschrittenen Reifegrad für Ihr Security Operations Center erreichen.
Die folgenden Ressourcen und Empfehlungen können auf dieser Stufe hilfreich sein.
Arbeitsaufwand für Analysten verringern
- Durch die Unterstützung der anbieterseitigen Automatisierung können Sie Ihr Team entlasten. Erwägen Sie den Schutz Ihrer digitalen Umgebung mit einem integrierten Ansatz, um die SOC-Effizienz zu erhöhen. Mehr erfahren
- Erfahren Sie, wie sich SecOp-Teams auf eine veränderte Bedrohungslandschaft einstellen.
Automatisierte Aktionen orchestrieren
- Durch die Integration automatisierter Aktionen über alle Tools hinweg können Sie die Produktivität steigern und die Wahrscheinlichkeit für die Erkennung von Bedrohungen erhöhen. Erfahren Sie, wie Sie Risiken und Kosten mit konsolidierten Sicherheitslösungen verringern können. Mehr erfahren
Automatisierte Aktionen verbinden
- Vernetzte und integrierte Tools und Prozesse können dazu beitragen, Lücken im Programm zur Bedrohungsüberwachung zu schließen und mit der veränderten Bedrohungslandschaft im Bereich Cybersicherheit Schritt zu halten.
Von der Community bereitgestellte Automatisierungslösungen
- Erwägen Sie die Nutzung von Automatisierungslösungen, die von der Community bereitgestellt werden. So können Sie Bedrohungsmuster ganz leicht erkennen und sparen Zeit, da Sie keine eigenen automatisierten Tools entwickeln müssen.
Microsoft folgen