Biztonsági műveletek önértékelési eszköze
Prioritási sorrend
Értékelheti a riasztásokat, prioritásokat állíthat be, és az incidenseket a megoldás érdekében a biztonsági műveleti központ csapattagjaihoz irányíthatja.
Vizsgálat
Gyorsan megállapíthatja, hogy egy riasztás tényleges támadást jelez-e vagy hamis riasztásra utal.
Veszélyforrás-keresés
Nagyobb figyelmet fordítva keresheti azokat a támadókat, amelyek megkerülték az elsődleges és automatizált védelmet.
Incidenskezelés
Műszaki, üzemeltetési, kommunikációs, jogi és cégirányítási funkciók szerint koordinálhatja a válaszadást.
Automatizálás
Időt takaríthat meg az elemzőknek, növelheti a válaszadási sebességet és csökkentheti a munkaterheléseket.
Hogyan rangsorolja az incidenseket és a veszélyforrásokkal kapcsolatos riasztásokat?
(Az összes érvényes választ jelölje be)
Milyen mértékben használja az automatizálást a nagy mennyiségű vagy ismétlődő incidensek kivizsgálásához és szervizeléséhez?
Hány esetben használ felhőalapú eszközöket a helyszíni és a többfelhős erőforrások védelmére?
Használ jegykezelő rendszert a biztonsági incidensek kezeléséhez, illetve a nyugtázásig és szervizelésig eltelt idő méréséhez?
Hogyan kezeli a riasztások kezelésével járó terheket?
(Az összes érvényes választ jelölje be)
Javaslatok
A válaszok alapján Ön az Optimalizált biztonsági műveleti szakaszban van.
További információ a biztonsági műveleti központ fejlettségének optimalizálásáról.
Javaslatok
A válaszok alapján Ön a Speciális biztonsági műveleti szakaszban van.
További információ a biztonsági műveleti központ fejlettségének optimális szakaszára való áttérésről.
Javaslatok
A válaszok alapján Ön az Alapszintű biztonsági műveleti szakaszban van.
További információ a biztonsági műveleti központ fejlettségének speciális szakaszára való áttérésről.
A következő források és javaslatok hasznosak lehetnek ebben a szakaszban.
Veszélyforrás-riasztások rangsorolása
- A veszélyforrás-riasztások rangsorolása kritikus fontosságú a sikeresség szempontjából. Ajánlott a pontozást a forrás valós pozitív aránya alapján végezni. Megismerheti a biztonsági vezetők legfontosabb ismereteit és ajánlott eljárásait, és felhasználhatja őket a biztonsági műveletek továbbfejlesztéséhez. További információ
Automatizálás
- Automatizálással Ön és a műveleti csapata mentesülhet a fárasztó feladatoktól, így a kritikus veszélyforrásokra összpontosíthatnak, növelhetik a hatékonyságot, és csökkenthetik a kiégést.
- Információk az automatizálás Végponthoz készült Microsoft Defenderben való konfigurálásáról
Felhőalapú eszközök használata
- A felhőalapú eszközökkel a teljes szervezet veszélyforrás-környezetét láthatja a felhőben. A felhőalapú SIEM technológiára való átállással csökkentheti a helyszíni SIEM-megoldások esetén jelentkező kihívásokat. További információ
Biztonsági incidensek kezelése jegykezeléssel
- A jegykezelő rendszer segít a csapatnak hatékonyabban és sikeresebben védekezni a veszélyforrások ellen. További információ
A riasztások kezelésével járó terhek kezelése
- A riasztásokkal járó terhek kezelése kritikus fontosságú a biztonsági műveletek zökkenőmentességéhez. Rangsorolási rendszer hiányában előfordulhat, hogy a csapat téves riasztások vizsgálatával tölti az időt, és komoly veszélyforrásokat is átengedhet, ami mind-mind kiégéshez vezethet. Az Azure Sentinel gépi tanulással csökkenti a riasztások kezelésével járó terheket. További információ
Hány biztonsági eszközt (például szállítói termékeket vagy portálokat, illetve egyéni eszközöket vagy szkripteket) használnak az elemzők az incidensvizsgálathoz?
Használ SIEM-et vagy más eszközöket az összes adatforrás összevonására és összefüggéseinek feltárására?
Használ viselkedéselemzést – például felhasználó- és entitásviselkedés-elemzést (UEBA) – az észleléshez és vizsgálathoz?
Használ olyan észlelési és vizsgálati eszközöket, amelyek az identitásra helyezik a hangsúlyt?
Használ olyan észlelési és vizsgálati eszközöket, amelyek a végpontokra helyezik a hangsúlyt?
Használ olyan észlelési és vizsgálati eszközöket, amelyek az e-mailekre és az adatokra helyezik a hangsúlyt?
Használ olyan észlelési és vizsgálati eszközöket, amelyek a SaaS-alkalmazásokra helyezik a hangsúlyt?
Használ olyan észlelési és vizsgálati eszközöket, amelyek a felhőinfrastruktúrára (például a virtuális gépekre, az eszközök internetes hálózatára és az operatív technológiákra) helyezik a hangsúlyt?
Használja a MITRE ATT&CK tudásbázist vagy más keretrendszereket az incidensek nyomon követéséhez és elemzéséhez?
A vizsgálatot végző vagy veszélyforrást kereső csapatok áttekintik a prioritási várólistán lévő eseteket a trendek, a kiváltó ok és egyéb ismeretek azonosítása érdekében?
Javaslatok
A válaszok alapján Ön az Optimalizált biztonsági műveleti szakaszban van.
Fontos források:
- További információ arról, hogy az összevont biztonsági verem hogyan csökkentheti a kockázatokat és a költségeket.
- További információ a biztonsági műveleti funkciókról.
További információ a biztonsági műveleti központ fejlettségének optimalizálásáról.
Javaslatok
A válaszok alapján Ön a Speciális biztonsági műveleti szakaszban van.
Fontos források:
- További információ arról, hogy az összevont biztonsági verem hogyan csökkentheti a kockázatokat és a költségeket.
- További információ a biztonsági műveleti funkciókról.
További információ a biztonsági műveleti központ fejlettségének optimális szakaszára való áttérésről.
Javaslatok
A válaszok alapján Ön az Alapszintű biztonsági műveleti szakaszban van.
Fontos források:
- További információ arról, hogy az összevont biztonsági verem hogyan csökkentheti a kockázatokat és a költségeket.
- További információ a biztonsági műveleti funkciókról.
További információ a biztonsági műveleti központ fejlettségének speciális szakaszára való áttérésről.
A következő források és javaslatok hasznosak lehetnek ebben a szakaszban.
Integrált biztonsági eszközök
- A tartományokban intelligens, automatizált és integrált biztonsági megoldások használatával a biztonsági szakértők látszólag különálló riasztásokat kapcsolhatnak össze, és megelőzhetik a támadókat. Megtudhatja, hogyan segítenek az egyesített SIEM- és XDR-megoldások elhárítani a speciális támadásokat. További információ
- A biztonsági műveleti központ korszerűsítésével hatékonyabban gondoskodhat a távoli munkaerő biztonságáról. További információ.
Adatforrások összevonása a SIEM használatával
- Az Azure Sentinelhez hasonló SIEM-megoldások madártávlatból jelenítik meg a veszélyforrások környezetét, és rögzítik az összes veszélyforrásadatot, így Ön proaktívabb lehet, és gondoskodhat róla, hogy semmit ne hagyjon figyelmen kívül. Mi az Azure Sentinel?
- További információ a Microsoft Kiberbiztonsági referenciaarchitektúráról.
A Microsoft biztonsági műveletekhez ajánlott biztonsági eljárásai
- A gépi tanulás és a viselkedéselemzés két olyan ajánlott eljárás, amellyel nagy megbízhatósággal, gyorsan azonosíthatja a rendellenes eseményeket. További információ
Adathozzáférés-kezelés
- Fontos tudni, hogy ki és milyen típusú hozzáféréssel rendelkezik az adataihoz. Az azonosításalapú keretrendszer használata ajánlott a kockázatok csökkentése és a hatékonyság növelése érdekében. További információ
Végpontkezelés
- Ajánlott tudni, hogy ki fér hozzá az adatokhoz a hagyományos peremhálózaton túlról, és hogy ezek az eszközök kifogástalan állapotúak-e. A Végponthoz készült Microsoft Defender segíthet ebben a lépésenkénti útmutatóban. További információ
- Információk a Végponthoz készült Microsoft Defender üzembe helyezéséről
E-mailek és adatok észlelése
- A rosszindulatú szereplők feltört üzleti e-mail-címek használatával behatolhatnak az Ön környezetébe. A veszélyforrások, például az adathalászat észlelésére és elhárítására képes megoldások segítségével elkerülhető, hogy a végfelhasználót biztonsági feladatokkal kelljen terhelni. További információ
SaaS-alkalmazások észlelése
- Fontos gondoskodni azoknak a felhőalapú megoldásoknak a biztonságáról, amelyek hozzáférhetnek a bizalmas adataihoz.
Felhőinfrastruktúra észlelése
- Mivel a szegélyhálózat kiterjed az eszközök internetes hálózatára és a tárolásra, a tárolókra és a felhőinfrastruktúra egyéb összetevőire, fontos beállítani a környezetben ezeknek a bővítményeknek a figyelését és észlelését.
Incidensek nyomon követése és elemzése
- A MITRE ATT&CK® a támadók taktikáinak és technikáinak globálisan elérhető tudásbázisa, amely valós megfigyeléseken alapul. A MITRE ATT&CK tudásbázishoz hasonló keretrendszerekkel olyan speciális veszélyforrásmodelleket és módszereket fejleszthet, amelyekkel proaktív módon fejleszthet védelmi megoldásokat.
Dokumentálás és véleményezés
- Az ismeretek kinyeréséhez és a veszélyforrások proaktív kezeléséhez fontos a vizsgálati esetek dokumentálása.
A proaktív veszélyforrás-keresés részét képezi a biztonsági stratégiájának?
Használ automatizált veszélyforrás-keresési folyamatokat, például Jupyter-jegyzetfüzeteket?
Rendelkezik a belső veszélyforrások észlelésére és kezelésére szolgáló folyamatokkal és eszközökkel?
Van ideje a keresőcsapatnak arra, hogy finomítsa a riasztásokat a prioritási (1. szintű) csapatok valós pozitív arányának növelése érdekében?
Javaslatok
A válaszok alapján Ön az Optimalizált biztonsági műveleti szakaszban van.
Fontos források:
- További információ a belső kockázatkezelésről a Microsoft 365-ben.
További információ a biztonsági műveleti központ fejlettségének optimalizálásáról.
Javaslatok
A válaszok alapján Ön a Speciális biztonsági műveleti szakaszban van.
Fontos források:
- További információ a belső kockázatkezelésről a Microsoft 365-ben.
További információ a biztonsági műveleti központ fejlettségének optimális szakaszára való áttérésről.
Javaslatok
A válaszok alapján Ön az Alapszintű biztonsági műveleti szakaszban van.
Fontos források:
- További információ a belső kockázatkezelésről a Microsoft 365-ben.
További információ a biztonsági műveleti központ fejlettségének speciális szakaszára való áttérésről.
A következő források és javaslatok hasznosak lehetnek ebben a szakaszban.
Proaktív veszélyforrás-keresés
- A veszélyforrásokat még azelőtt azonosíthatja, hogy kárt okoznának. Az elszánt támadók megtalálhatják a módját, hogy elkerüljék az automatikus észleléseket, ezért fontos, hogy proaktív stratégiát alkalmazzon. A művelethez szükséges idő felgyorsításával enyhítheti a belső kockázatok hatását. További információ
- További információ arról, hogy a Microsoft biztonsági műveleti központja hogyan viszonyul a veszélyforrás-kereséshez
Automatizált veszélyforrás-keresés
- Az automatizált veszélyforrás-keresési folyamatok használatával növelheti a termelékenységet, és csökkentheti a mennyiséget.
Belső fenyegetések
- Mivel az alkalmazottak, szállítók és alvállalkozók számtalan végpontról hozzáférnek a vállalati hálózathoz, minden eddiginél fontosabb, hogy a kockázatkezeléssel foglalkozó szakemberek gyorsan azonosíthassák a szervezeten belüli kockázatokat, és szervizelési műveleteket végezzenek.
- Információk a belső veszélyforrások figyeléséről
- A belső kockázatkezelés első lépései
Veszélyforrás-keresési folyamatok finomítása
- A veszélyforrás-keresési csapatok által összegyűjtött ismeretek segíthetnek a riasztási rendszerek prioritásainak finomításában és pontosságának javításában. További információ
Van a csapatának válságkezelési eljárása a főbb biztonsági incidensek kezeléséhez?
Tartalmazza ez az eljárás a mélyreható incidenselhárítás, az intelligens veszélyforrás-felderítés vagy a technológiai platform terén szakértelemmel bíró szállítói csapatok bevonását?
Az eljárásban a vezetőségnek is jut szerep, beleértve a jogi csapatokat és a szabályozási testületeket?
Az eljárásban kapnak szerepet a kommunikációs és közönségszolgálati csapatok?
Rendszeresen végez a csapata gyakorlatokat az eljárás begyakorlása és tökéletesítése érdekében?
Javaslatok
A válaszok alapján Ön az Optimalizált biztonsági műveleti szakaszban van.
Fontos források:
- További információ a belső kockázatkezelésről a Microsoft 365-ben.
További információ a biztonsági műveleti központ fejlettségének optimalizálásáról.
Javaslatok
A válaszok alapján Ön a Speciális biztonsági műveleti szakaszban van.
Fontos források:
- További információ a belső kockázatkezelésről a Microsoft 365-ben.
További információ a biztonsági műveleti központ fejlettségének optimális szakaszára való áttérésről.
Javaslatok
A válaszok alapján Ön az Alapszintű biztonsági műveleti szakaszban van.
Fontos források:
- További információ a belső kockázatkezelésről a Microsoft 365-ben.
További információ a biztonsági műveleti központ fejlettségének speciális szakaszára való áttérésről.
A következő források és javaslatok hasznosak lehetnek ebben a szakaszban.
Incidenselhárítás
- Krízishelyzetben a percek is számítanak. A gyors szervizelés és incidenskezelés biztosítása érdekében egy átmeneti eljárás megléte is fontos.
- Letöltés – Incidenselhárítási útmutató
- További információ arról, hogyan előzheti meg a zsarolóvírusoktól a zsarolásig terjedő kiberbiztonsági támadásokat.
Incidens szervizelése
- Az agilitás és a rugalmasság fontos feltétele a szervizelésnek és az incidenskezelésnek. A csapat szakértelmének és tapasztalatának megismerése és felmérése segít meghatározni a szükséges szállítói csapatokat és technológiákat. További információ
A hatások mérséklése
- A biztonság mindenkinek fontos a szervezetben. A más üzleti érdekeltektől származó ismeretek konkrét útmutatást nyújthatnak a biztonsági incidensek hatásának mérsékléséhez.
- További információ a CISO Spotlight sorozatról
- További információ a felhőbiztonságról
Kommunikáció és közönségszolgálat
- Az eljárásnak tartalmaznia kell közönségszolgálati és kommunikációs terveket, hogy ha biztonsági incidens történik, készen álljon az ügyfelek támogatására az incidens hatásának mérséklésére. További információ arról, hogyan működtethetők a rendkívül hatékony biztonsági műveletek.
Gyakorlat teszi a mestert
- Gyakorlással gondoskodhat arról, hogy a biztonsági incidensek bekövetkezése előtt felismerje a biztonsági réseket és a javítandó területeket. Az esetgyakorlatokat tesztelve ellenőrizze, hogy felkészült-e a biztonsági incidensekre.
- Rendelkezik szállító által biztosított vagy karbantartott automatizálással, amely csökkenti a vizsgálati és szervizelési munkaterheléseket az elemzők számára?
Képes vezényelni az automatizált műveleteket a különböző eszközök között?
Az automatizált műveletek különböző eszközökön való összehangolása során natív módon csatlakozik az összes vagy a legtöbb eszközéhez, vagy egyéni szkriptelést használ?
Használ közösség által biztosított automatizálást?
Javaslatok
A válaszok alapján Ön az Optimalizált biztonsági műveleti szakaszban van.
Fontos források:
- Azure Sentinel – a biztonsági műveleti központ folyamat-keretrendszer munkafüzete. Letöltés.
- Biztonsági vezénylés, automatizálás és helyreállítás (SOAR) az Azure Sentinelben. További információ.
- Útmutató a zökkenőmentes biztonságos hozzáféréshez: Továbbfejlesztett felhasználói élmény megerősített biztonsággal. További információ.
- Proaktív biztonság kialakítása teljes felügyelettel. További információ.
- A Microsoft Azure Active Directory Teljes felügyelet modelljének üzembe helyezési útmutatója. Letöltés.
További információ a biztonsági műveleti központ fejlettségének optimalizálásáról.
Javaslatok
A válaszok alapján Ön a Speciális biztonsági műveleti szakaszban van.
Fontos források:
- Azure Sentinel – a biztonsági műveleti központ folyamat-keretrendszer munkafüzete. Letöltés.
- Biztonsági vezénylés, automatizálás és helyreállítás (SOAR) az Azure Sentinelben. További információ.
- Útmutató a zökkenőmentes biztonságos hozzáféréshez: Továbbfejlesztett felhasználói élmény megerősített biztonsággal. További információ.
- Proaktív biztonság kialakítása teljes felügyelettel. További információ.
- A Microsoft Azure Active Directory Teljes felügyelet modelljének üzembe helyezési útmutatója. Letöltés.
További információ a biztonsági műveleti központ fejlettségének optimális szakaszára való áttérésről.
Javaslatok
A válaszok alapján Ön az Alapszintű biztonsági műveleti szakaszban van.
Fontos források:
- Azure Sentinel – a biztonsági műveleti központ folyamat-keretrendszer munkafüzete. Letöltés.
- Biztonsági vezénylés, automatizálás és helyreállítás (SOAR) az Azure Sentinelben. További információ.
- Útmutató a zökkenőmentes biztonságos hozzáféréshez: Továbbfejlesztett felhasználói élmény megerősített biztonsággal. További információ.
- Proaktív biztonság kialakítása teljes felügyelettel. További információ.
- A Microsoft Azure Active Directory Teljes felügyelet modelljének üzembe helyezési útmutatója. Letöltés.
További információ a biztonsági műveleti központ fejlettségének speciális szakaszára való áttérésről.
A következő források és javaslatok hasznosak lehetnek ebben a szakaszban.
Elemzői munkaterhelés kezelése
- A szállítói automatizálás támogatása segíthet a csapatnak a munkaterhelés kezelésében. Fontolja meg integrált megközelítést alkalmazva gondoskodni a digitális tulajdona védelméről, a biztonsági műveleti központ hatékonyságának növelése érdekében. További információ
- További információ arról, hogy a biztonsági műveletekért felelős csapatok hogyan alkalmazkodnak a veszélyforrások változó világához
Automatizált műveletek vezénylése
- Az automatizált műveletek integrálása az összes eszközén javíthatja a hatékonyságot, és növelheti annak a valószínűségét, hogy minden egyes veszélyforrást észleljen. További információ arról, hogy az összevont biztonsági verem hogyan csökkentheti a kockázatokat és a költségeket. További információ
Automatizált műveletek csatlakoztatása
- A csatlakoztatott és integrált eszközök és folyamatok segíthetnek csökkenteni a veszélyforrás-figyelési program hiányosságait, és a segítségükkel lépést tarthat a folyamatosan változó kiberbiztonsági veszélyforrás-környezettel. További információ
Közösség által biztosított automatizálás
- Fontolja meg a közösség által biztosított automatizálás használatát, amely javítja a veszélyforrásminták felismerését, és időt takaríthat meg Önnek azáltal, hogy megszünteti az egyénileg létrehozott automatizált eszközök szükségességét.
A Microsoft követése