Alat za samoprocjenu sigurnosnih operacija
Trijaža
Procjenjujte upozorenja, određujte prioritete i usmjeravajte incidente na rješavanje članovima tima centra za sigurnosne operacije.
Lociranje
Usredotočite se na traženje napadača koji su zaobišli primarnu i automatsku zaštitu.
Upravljanje incidentima
Koordinirajte reagiranje timova – tehničkog, operativnog, tima za komunikaciju, pravnog i tima za upravljanje.
Automatizacija
Uštedite vrijeme analitičarima, povećajte brzinu reagiranja i smanjite radna opterećenja.
Kako određujete prioritete incidenata i upozorenja o prijetnjama?
(Odaberite sve što je primjenjivo)
U kojoj mjeri koristite automatizaciju za istragu i popravak u slučaju incidenata velikog obujma ili onih koji se ponavljaju?
U koliko scenarija koristite alate utemeljene na oblaku da biste zaštitili lokalne resurse i resurse u više oblaka?
Imate li sustav prijava za upravljanje sigurnosnim incidentima i mjerenje vremena za potvrdu te vremena za popravak?
Kako upravljate zamorom uslijed upozorenja?
(Odaberite sve što je primjenjivo)
Preporuke
Prema odgovorima nalazite se u fazi optimiziranih sigurnosnih operacija.
Saznajte više o načinu na koji možete optimizirati razvoj centra za sigurnosne operacije.
Preporuke
Prema odgovorima nalazite se u fazi naprednih sigurnosnih operacija.
Saznajte više o načinu na koji možete prijeći u fazu optimalnog razvoja centra za sigurnosne operacije.
Preporuke
Prema odgovorima nalazite se u fazi osnovnih sigurnosnih operacija.
Saznajte više o načinu na koji možete prijeći u fazu naprednog razvoja centra za sigurnosne operacije.
Sljedeći resursi i preporuke mogu biti korisni u ovoj fazi.
Određivanje prioriteta upozorenja o prijetnjama
- Određivanje prioriteta upozorenja o prijetnjama ključno je za vaš uspjeh. Najbolja je praksa ocjenjivanje provesti na temelju stope stvarno pozitivnih rezultata za izvor. Istražite ključne uvide i najbolje prakse sigurnosnih rukovoditelja za razvoj sigurnosnih operacija. Saznajte više
Automatizacija
- Automatizacija vas i vaš operativni tim oslobađa od mukotrpnih zadataka da biste se mogli usredotočiti na ključne prijetnje, povećati produktivnost i smanjiti preopterećenost poslom.
- Saznajte kako konfigurirati automatizaciju na platformi Microsoft Defender za krajnju točku
Korištenje alata utemeljenih na oblaku
- Alati utemeljeni na oblaku omogućuju vam da vidite okruženje prijetnji cijele tvrtke ili ustanove diljem oblaka. Prelazak na SIEM u oblaku mogao bi smanjiti potencijalne poteškoće s lokalnim rješenjima za SIEM. Saznajte više
Upravljanje sigurnosnim incidentima putem prijava
- Sustav prijava omogućuje timu učinkovitiju i uspješniju borbi protiv prijetnji. Saznajte više
Smanjivanje zamora uslijed upozorenja
- Upravljanje zamorom uslijed upozorenja ključno je za neometano izvođenje sigurnosnih operacija. Bez sustava za određivanje prioriteta može se dogoditi da tim istražuje lažno pozitivne rezultata, a promaknu mu ozbiljne prijetnje, što može dovesti do preopterećenja poslom. Azure Sentinel smanjuje zamor uslijed upozorenja pomoću strojnog učenja. Saznajte više
Koliko sigurnosnih alata analitičari koriste za istraživanje incidenata (na primjer, proizvoda dobavljača ili portala i prilagođenih alata ili skripti)?
Koristite li SIEM ili druge alate za konsolidaciju i povezivanje svih izvora podataka?
Koristite li analizu ponašanja u otkrivanju i istrazi (na primjer, analizu entiteta i ponašanja korisnika, UEBA)?
Koristite li alate za otkrivanje i istraživanje s težištem na identitetu?
Koristite li alate za otkrivanje i istraživanje s težištem na krajnjim točkama?
Koristite li alate za otkrivanje i istraživanje s težištem na e-pošti i podacima?
Koristite li alate za otkrivanje i istraživanje s težištem na SaaS aplikacijama?
Koristite li alate za otkrivanje i istraživanje s težištem na infrastrukturi u oblaku, kao što su virtualna računala, internet stvari (IoT) i operativna tehnologija (OT)?
Koristite li MITRE ATT&CK ili druge okvire za praćenje i analizu incidenata?
Pregledavaju li timovi za istrage ili lociranje slučajeve u redu čekanja za trijažu da bi prepoznali trendove i osnovne uzroke te stekli druge uvide?
Preporuke
Prema odgovorima nalazite se u fazi optimiziranih sigurnosnih operacija.
Ključni resursi:
- Saznajte kako konsolidirani sigurnosni stog može smanjiti rizike i troškove.
- Saznajte više o funkcijama sigurnosnih operacija (SecOps).
Saznajte više o načinu na koji možete optimizirati razvoj centra za sigurnosne operacije.
Preporuke
Prema odgovorima nalazite se u fazi naprednih sigurnosnih operacija.
Ključni resursi:
- Saznajte kako konsolidirani sigurnosni stog može smanjiti rizike i troškove.
- Saznajte više o funkcijama sigurnosnih operacija (SecOps).
Saznajte više o načinu na koji možete prijeći u fazu optimalnog razvoja centra za sigurnosne operacije.
Preporuke
Prema odgovorima nalazite se u fazi osnovnih sigurnosnih operacija.
Ključni resursi:
- Saznajte kako konsolidirani sigurnosni stog može smanjiti rizike i troškove.
- Saznajte više o funkcijama sigurnosnih operacija (SecOps).
Saznajte više o načinu na koji možete prijeći u fazu naprednog razvoja centra za sigurnosne operacije.
Sljedeći resursi i preporuke mogu biti korisni u ovoj fazi.
Alati za integriranu sigurnost
- Korištenje inteligentnih, automatiziranih i integriranih sigurnosnih rješenja u svim domenama može pomoći timu za sigurnosne operacije da poveže naizgled nepovezana upozorenja i preduhitri napadače. Proučite kako rješenje u kojem su objedinjeni SIEM i XDR pridonosi zaustavljanju naprednih napada. Saznajte više
- Modernizirajte centar za sigurnosne operacije radi sigurnosti udaljene radne snage. Saznajte više.
Konsolidirajte izvore podataka pomoću SIEM-a
- SIEM, kao što je Azure Sentinel, pruža širok pogled na okruženje prijetnji i bilježi sve podatke o prijetnjama i time vam omogućuje proaktivniji pristup da vam ništa ne bi promaklo. Što je Azure Sentinel?
- Saznajte više o dijagramu Microsoft Cybersecurity Reference Architecture.
Najbolje prakse Microsoftove sigurnosti za sigurnosne operacije
- Strojno učenje i analiza ponašanja najbolje su prakse koje vam mogu pomoći pri brzom prepoznavanju neuobičajenih događaja s visokom pouzdanošću. Saznajte više
Upravljanje pristupom podacima
- Važno je znati tko ima pristup vašim podacima te koju vrstu pristupa ima. Korištenje okvira utemeljenog na identitetu najbolja je praksa za smanjenje rizika i povećanje produktivnosti. Saznajte više
Upravljanje krajnjim točkama
- Najbolja je praksa znati tko prelazi tradicionalnu vanjsku granicu da bi pristupio podacima te jesu li ti uređaji u dobrom stanju. Microsoft Defender za krajnju točku može vam u tome pomoći detaljnim uputama. Saznajte više
- Saznajte više o načinu implementacije platforme Microsoft Defender za krajnju točku
Otkrivanje za e-poštu i podatke
- Negativci mogu prodrijeti u vaše okruženje putem kompromitirane poslovne e-pošte. Rješenjem koje može otkriti i zaustaviti prijetnje kao što je krađa identiteta možete krajnjeg korisnika osloboditi brige o sigurnosti. Saznajte više
Otkrivanje pomoću SaaS aplikacija
- Važno je zaštititi rješenja u oblaku koja mogu pristupati vašim povjerljivim podacima.
Otkrivanje za infrastrukturu u oblaku
- Budući da se sigurnosni opseg proširuje da bi obuhvatio internet stvari te prostor za pohranu, spremnike i druge komponente infrastrukture u oblaku, važno je da uspostavite nadzor i otkrivanje za takva proširenja svog okruženja.
Praćenje i analiza incidenata
- MITRE ATT&CK® globalno je pristupačna baza znanja neprijateljskih taktika i tehnika temeljena na opažanjima stvarnog svijeta. Pomoću okvira kao što je MITRE ATT&CK možete razviti specifične modele prijetnji i metodologije koje vam mogu pomoći pri proaktivnom razvoju obrana.
Dokumentiranje i pregled
- Da biste prikupili uvide i bili proaktivni prema prijetnjama, važno je dokumentirati slučajeve u kojima se provodi istraga.
Obuhvaća li vaša strategija sigurnosti proaktivno lociranje prijetnji?
Koristite li automatizirane procese lociranja prijetnji kao što su bilježnice Jupyter?
Imate li procese i alate koji pomažu pri otkrivanju internih prijetnji i upravljanju njima?
Uspijeva li vaš tim za lociranje stvoriti vrijeme za filtriranje upozorenja da bi povećao stopu stvarno pozitivnih upozorenja za trijažne timove (razina 1)?
Preporuke
Prema odgovorima nalazite se u fazi optimiziranih sigurnosnih operacija.
Ključni resursi:
- Saznajte više o upravljanju internim rizicima u okruženju Microsoft 365.
Saznajte više o načinu na koji možete optimizirati razvoj centra za sigurnosne operacije.
Preporuke
Prema odgovorima nalazite se u fazi naprednih sigurnosnih operacija.
Ključni resursi:
- Saznajte više o upravljanju internim rizicima u okruženju Microsoft 365.
Saznajte više o načinu na koji možete prijeći u fazu optimalnog razvoja centra za sigurnosne operacije.
Preporuke
Prema odgovorima nalazite se u fazi osnovnih sigurnosnih operacija.
Ključni resursi:
- Saznajte više o upravljanju internim rizicima u okruženju Microsoft 365.
Saznajte više o načinu na koji možete prijeći u fazu naprednog razvoja centra za sigurnosne operacije.
Sljedeći resursi i preporuke mogu biti korisni u ovoj fazi.
Proaktivno lociranje prijetnji
- Prepoznajte prijetnje prije nego što se pojave. Odlučni suparnici mogu pronaći načine da izbjegnu automatizirana otkrivanja pa je važno primijeniti proaktivnu strategiju. Smanjite utjecaj internih rizika skraćivanjem vremena potrebnog za djelovanje. Saznajte više
- Pogledajte kako Microsoftov SOC pristupa lociranju prijetnji
Automatsko lociranje
- Korištenjem automatiziranih procesa lociranja može se povećati produktivnost i smanjiti količina.
Interne prijetnje
- Kad zaposlenici, dobavljači i izvođači pristupaju mreži tvrtke s nebrojenih krajnjih točaka, važnije je no ikad da stručnjaci za rizik brzo prepoznaju rizike za tvrtku ili ustanovu i pokrenu radnje za popravak.
- Saznajte više o nadzoru internih prijetnji
- Početak rada s upravljanjem internim rizicima
Poboljšanje preciznosti procesa lociranja
- Uvidi koje prikupe timovi za lociranje prijetnji mogu pomoći da se poboljša preciznost i točnost sustava upozorenja za trijažu. Saznajte više
Ima li vaš tim proces upravljanja kriznim situacijama za postupanje u slučaju velikih sigurnosnih incidenata?
Jeste li u sklopu tog procesa predvidjeli uključivanje timova dobavljača s dubinskim odgovorom na incidente, obavještavanjem o prijetnjama ili stručnošću tehnološke platforme?
Obuhvaća li taj proces izvršne rukovoditelje, uključujući pravne timove i regulatorna tijela?
Obuhvaća li taj proces timove za komunikaciju i odnose s javnošću?
Provodi li vaš tim redovite vježbe za uvježbavanje i prilagođavanje procesa?
Preporuke
Prema odgovorima nalazite se u fazi optimiziranih sigurnosnih operacija.
Ključni resursi:
- Saznajte više o upravljanju internim rizicima u okruženju Microsoft 365.
Saznajte više o načinu na koji možete optimizirati razvoj centra za sigurnosne operacije.
Preporuke
Prema odgovorima nalazite se u fazi naprednih sigurnosnih operacija.
Ključni resursi:
- Saznajte više o upravljanju internim rizicima u okruženju Microsoft 365.
Saznajte više o načinu na koji možete prijeći u fazu optimalnog razvoja centra za sigurnosne operacije.
Preporuke
Prema odgovorima nalazite se u fazi osnovnih sigurnosnih operacija.
Ključni resursi:
- Saznajte više o upravljanju internim rizicima u okruženju Microsoft 365.
Saznajte više o načinu na koji možete prijeći u fazu naprednog razvoja centra za sigurnosne operacije.
Sljedeći resursi i preporuke mogu biti korisni u ovoj fazi.
Odgovor na incident
- U odgovoru na krizu važna je svaka minuta. Važno je omogućiti makar i privremen postupak da bi se osiguralo brzo rješavanje problema i upravljanje incidentima.
- Preuzmite referentni vodič za odgovor na incidente
- Saznajte kako spriječiti računalne napade, sve od ucjenjivačkog softvera pa do iznude.
Popravak u slučaju incidenata
- Agilnost i fleksibilnost važni su za popravak i upravljanje incidentima. Ako razumijete i ocijenite stupanj na kojem su znanja i vještine te iskustvo vašeg tima, to vam pomaže da odredite koji su vam timovi dobavljača i tehnologije potrebni. Saznajte više
Ublažavanje učinka
- Sigurnost mora biti važna svima u vašoj tvrtki ili ustanovi. Uvid drugih dionika u poslovnim procesima može vam poslužiti kao konkretna smjernica za ublažavanje učinka kršenja sigurnosti.
- Pogledajte seriju CISO Spotlight
- Saznajte više o sigurnosti u oblaku
Komunikacija i odnosi s javnošću
- Vaš proces mora sadržavati planove za odnose s javnošću i komunikaciju u slučaju kršenja sigurnosti da biste bili spremni pomoći korisnicima i ublažiti učinak kršenja sigurnosti. Saznajte kako voditi vrlo učinkovitu sigurnosnu operaciju.
Vježbom do savršenstva
- Vježba vam omogućuje da naučite uočiti praznine i područja koja se mogu poboljšati prije no što dođe do kršenja sigurnosti. Uvježbavanjem probnih slučajeva pripremate se za slučaj kršenja sigurnosti.
- Imate li automatizaciju koju pruža dobavljač ili koju održava dobavljač, a koja smanjuje radno opterećenje analitičara u području istraga i popravaka?
Možete li usklađivati automatizirane radnje na različitim alatima?
Ako usklađujete automatizirane radnje na različitim alatima, povezujete li se nativno sa svim ili većinom alata ili se povezivanje temelji na prilagođenom skriptiranju?
Upotrebljavate li automatizaciju u sklopu zajednice?
Preporuke
Prema odgovorima nalazite se u fazi optimiziranih sigurnosnih operacija.
Ključni resursi:
- Azure Sentinel – radna knjiga o okviru za procese u centru za sigurnosne operacije. Preuzmite odmah.
- Sigurnosna orkestracija, automatizacija i reagiranje (SOAR) u rješenju Azure Sentinel. Saznajte više.
- Vodič za besprijekoran siguran pristup: poboljšano korisničko iskustvo uz pojačanu sigurnost. Saznajte više.
- Počnite provoditi proaktivnu zaštitu uz model „svi su nepouzdani”. Saznajte više.
- Vodič za implementaciju modela „svi su nepouzdani” za Microsoft Azure Active Directory. Preuzmite odmah.
Saznajte više o načinu na koji možete optimizirati razvoj centra za sigurnosne operacije.
Preporuke
Prema odgovorima nalazite se u fazi naprednih sigurnosnih operacija.
Ključni resursi:
- Azure Sentinel – radna knjiga o okviru za procese u centru za sigurnosne operacije. Preuzmite odmah.
- Sigurnosna orkestracija, automatizacija i reagiranje (SOAR) u rješenju Azure Sentinel. Saznajte više.
- Vodič za besprijekoran siguran pristup: poboljšano korisničko iskustvo uz pojačanu sigurnost. Saznajte više.
- Počnite provoditi proaktivnu zaštitu uz model „svi su nepouzdani”. Saznajte više.
- Vodič za implementaciju modela „svi su nepouzdani” za Microsoft Azure Active Directory. Preuzmite odmah.
Saznajte više o načinu na koji možete prijeći u fazu optimalnog razvoja centra za sigurnosne operacije.
Preporuke
Prema odgovorima nalazite se u fazi osnovnih sigurnosnih operacija.
Ključni resursi:
- Azure Sentinel – radna knjiga o okviru za procese u centru za sigurnosne operacije. Preuzmite odmah.
- Sigurnosna orkestracija, automatizacija i reagiranje (SOAR) u rješenju Azure Sentinel. Saznajte više.
- Vodič za besprijekoran siguran pristup: poboljšano korisničko iskustvo uz pojačanu sigurnost. Saznajte više.
- Počnite provoditi proaktivnu zaštitu uz model „svi su nepouzdani”. Saznajte više.
- Vodič za implementaciju modela „svi su nepouzdani” za Microsoft Azure Active Directory. Preuzmite odmah.
Saznajte više o načinu na koji možete prijeći u fazu naprednog razvoja centra za sigurnosne operacije.
Sljedeći resursi i preporuke mogu biti korisni u ovoj fazi.
Upravljanje radnim opterećenjem analitičara
- Podrška za automatizaciju dobavljača vašem timu može olakšati upravljanje radnim opterećenjem. Razmislite o zaštiti digitalne imovine integriranim pristupom kojim se povećava učinkovitost SOC-a. Saznajte više
- Istražite kako se timovi za sigurnosne operacije prilagođavaju okruženju u kojem se prijetnje neprestano mijenjaju
Usklađivanje automatiziranih radnji
- Integriranje automatiziranih radnji u sve alate može poboljšati produktivnost i povećati vjerojatnost da vam ne promakne nijedna prijetnja. Pogledajte kako konsolidirani sigurnosni stog može smanjiti rizike i troškove. Saznajte više
Povezivanje automatiziranih radnji
- Povezani i integrirani alati i procesi mogu popuniti praznine u vašem programu nadzora prijetnji i pomoći vam da održite korak s okruženjem prijetnji računalnoj sigurnosti koje se neprestano mijenja.
Automatizacija u sklopu zajednice
- Razmislite o korištenju automatizacije u sklopu zajednice, čime se poboljšava prepoznavanje uzoraka prijetnji i može se uštedjeti na vremenu jer nema potrebe za prilagođenim automatiziranim alatima.
Pratite Microsoft Security