This is the Trace Id: c12ca6cc9779997b2a7e3390327a32d5
Pereiti prie pagrindinio turinio Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Žr. visus produktus Dirbtiniu intelektu pagrįsta kibernetinė sauga Debesies sauga Duomenų sauga ir valdymas Tapatybės ir tinklo prieiga Privatumas ir rizikos valdymas Dirbtinio intelekto sauga Smulkios ir vidutinės įmonės Bendrosios saugos operacijos Nulinis patikimumas Kainodara Paslaugos Partneriai Kodėl verta rinktis „Microsoft“ saugą? Kibernetinės saugos suvokimas Klientų istorijos Sauga 101 Produktų bandomosios versijos Pripažinimas sektoriuje Microsoft Security Insider „Microsoft“ skaitmeninės saugos ataskaita Reagavimo į saugos grėsmes centras „Microsoft“ saugos tinklaraštis „Microsoft“ renginiai apie saugą „Microsoft“ technologijų bendruomenė Dokumentacija Techninio turinio biblioteka Mokymas ir sertifikavimas „Microsoft“ debesies atitikties programa „Microsoft“ patikimumo centras Tarnybų patikimumo portalas „Microsoft“ saugios ateities iniciatyva Verslo sprendimų centras Susisiekti su pardavimų skyriumi Pradėkite naudoti nemokamą bandomąją versiją „Microsoft“ sauga „Azure” Dynamics 365 „Microsoft 365“ Microsoft Teams Windows 365 „Microsoft“ dirbtinis intelektas „Azure Space“ Mišrioji realybė „Microsoft HoloLens“ „Microsoft Viva“ Kvantinė kompiuterija Švietimas Autotransportas Finansinės paslaugos Valstybės institucijos Sveikatos priežiūra Gamyba Mažmeninė prekyba Raskite partnerį Tapkite partneriu Partnerių tinklas Microsoft Marketplace Programinės įrangos įmonės Tinklaraštis Microsoft Advertising Kūrėjų centras Dokumentacija Įvykiai Licencijuojama Microsoft Learn Microsoft Research Rodyti svetainės struktūrą
Du žmonės peržiūri planšetinį kompiuterį, vienas iš jų rodo į ekraną biuro aplinkoje.

Kas yra STAA?

Sužinokite, kas yra saugos valdymas, automatizavimas ir reagavimas (STAA), kodėl tai svarbu ir kaip tai padeda supaprastinti kibernetinės saugos operacijas.

STAA yra saugos operacijų sprendimas, padedantis saugos komandoms tirti ir šalinti grėsmes dideliu mastu. Naudodamos veiksmų sekas darbo eigoms automatizuoti, komandos gali sumažinti rankinį darbą, pagerinti nuoseklumą ir greičiau reaguoti visuose saugos įrankiuose.

  • STAA padeda saugos operacijų centrams standartizuoti ir išplėsti reagavimą į incidentus, didėjant įspėjimų kiekiui.
  • Automatizuotos darbo eigos sumažina analitikų darbo krūvį ir pagreitina tyrimą, sulaikymą bei šalinimą.
  • Orkestruodamas veiksmus visose saugos priemonėse, STAA pagerina nuoseklumą, matomumą ir veiklos efektyvumą.
  • Modernios STAA galimybės vis labiau integruojamos įsaugos informacijos ir įvykių valdyme (SIEM) ir patobulintos naudojant dirbtinio intelekto darbo eigas.

STAA paaiškinta

Saugos operacijų komandos, siekdamos aptikti grėsmes ir į jas reaguoti, pasikliauja daugeliu įrankių. Be valdymo analitikams reikia rankiniu būdu perjunginėti sistemas, rinkti kontekstą ir priimti sprendimus esant spaudimui – dėl to reakcija vėluoja, atsiranda įspėjimų nuovargis ir nenuoseklūs rezultatai.

STAA padeda spręsti šiuos iššūkius, paversdamas reagavimo procesus pasikartojančiomis darbo eigomis. Naudodamos veiksmų sekas komandos gali automatiškai praturtinti įspėjimus, koordinuoti veiksmus tarp įrankių ir padėti analitikams laikytis nuoseklių tyrimo bei reagavimo veiksmų – neatsisakant žmogaus priežiūros.

Kaip tai veikia

Trys pagrindinės STAA galimybės padeda SOC komandoms veikti kartu efektyviau ir apsaugoti savo organizacijas: saugos valdymas, saugos automatizavimas ir reagavimas į incidentus.

Saugos valdymas

Saugos valdymas yra koordinavimo sluoksnis. Jis sujungia esamas technologijas, tokias kaip SIEM, atakų prieš galinius punktus aptikimas ir reagavimas (EDR), išplėstinis aptikimas ir reagavimas (XDR), tapatybės apsauga, el. pašto sauga, užkardos ir grėsmių informacijos sprendimai, kad būtų centralizuotas grėsmių aptikimas, tyrimas ir reagavimas.

Pavyzdžiui, jei SIEM sprendimas nustato galimą paskyros kompromitavimą, SOAR sprendimas galėtų:
 
  • ⁠Automatiškai surinkti kontekstinius duomenis iš tapatybių valdymo sistemos.
  • ⁠Sulyginti prisijungimo bandymą su grėsmių informacijos šaltiniais, kad būtų įvertinta rizika.
  • ⁠Patikrinti vartotojo veiklą galinio punkto saugos įrankiuose, ieškant bet kokių kompromitavimo ar judėjimo tinkle požymių.
  • Gauti naujausią prisijungimo istoriją iš prieigos žurnalų.
  • ⁠Koordinuoti reagavimą per susijusias sistemas, kad grėsmė būtų sulaikyta.
Organizacijos, kurios neturi STAA sprendimo, kiekvieną iš šių veiksmų turėtų atlikti rankiniu būdu. Naudodamos valdymą, komandos gali kurti darbo eigas, kurios struktūruotai perkelia informaciją tarp sistemų.

Saugos automatizavimas
Saugos automatizavimas sumažina rankinio darbo krūvį, susijusį su pasikartojančiomis ir laiko atžvilgiu jautriomis užduotimis. STAA sprendime komandos gali kurti darbo eigas, kuriose pateikiami nuoseklūs veiksmai konkrečių tipų incidentams, pavyzdžiui:

  • Įspėjimų papildymas grėsmių analize.
  • ⁠Kontekstinių duomenų rinkimas iš galinių punktų arba tapatybių sistemų.
  • Kenksmingų IP adresų blokavimas.
  • Pažeistų paskyrų išjungimas.
  • Pranešimas suinteresuotoms šalims ir veiksmų dokumentavimas.
Automatizavus šiuos veiksmus, saugos komandos reaguoja greičiau ir nuosekliau, ypač kai įvykių daug.

Reagavimas į incidentus
Kadangi STAA sauga surenka ir analizuoja duomenis iš kelių sprendimų, ji suteikia centralizuotą skydelį incidentų reagavimui valdyti. Tai leidžia lengviau susieti įspėjimus iš skirtingų sistemų ir tirti tarpdomeninę grėsmę.

Organizacijos taip pat naudoja STAA sprendimus, kad standartizuotų incidentų sulaikymą, šalinimą ir dokumentavimą. Vietoj to, kad pasikliautų tik atskiro analitiko patirtimi, komandos laikosi iš anksto nustatytų darbo eigų, kurios padeda reaguoti į incidentus. Tai padeda organizacijoms užtikrinti griežtesnį valdymą, aiškesnę atsakomybę ir labiau prognozuojamus rezultatus.

Dažniausios STAA funkcijos

Be saugos valdymo, automatizavimo ir reagavimo į incidentus galimybių, dauguma STAA sprendimų turi ir pagrindinį papildomų funkcijų rinkinį.

Taisyklės
Veiksmų sekos yra iš anksto nustatytos darbo eigos, kuriose aprašoma, kaip reikėtų tvarkyti konkrečių tipų incidentus. Jos paverčia institucines žinias struktūruotais, kartojamais procesais, kad nepriklausomai nuo pamainos ar komandos būtų taikomas nuoseklus metodas. Taisyklės gali apibrėžti, kaip ištirti sukčiavimo apsimetant įspėjimą, reaguoti į įtariamą kredencialų pažeidimo atvejį arba užkrėsti kenkėjiška programa.

Incidentų valdymas ir atvejų valdymas
Daugelyje STAA sprendimų yra įdiegta incidentų arba bylų valdymo galimybė, leidžianti komandoms sekti tyrimus nuo pradinio įspėjimo iki sprendimo. Šios funkcijos padeda supaprastinti incidentų valdymą, nes suteikia centralizuotą vietą veiksmams koordinuoti ir matomumui išlaikyti viso proceso metu.

Ataskaitos ir analizė
STAA sauga generuoja ataskaitas ir skydelius, kurie suteikia įžvalgų apie veiklos efektyvumą. Kibernetinės saugos analizė dažnai apima vidutinį aptikimo laiką (MTTD), vidutinį reagavimo laiką (MTTR), įspėjimų kiekius, taisyklių naudojimą ir sprendimo rodiklius.

Priežastys diegti STAA

Organizacijoms diegiant saugos valdymo, automatizavimo ir reagavimo galimybes, dažnai matyti išmatuojamų efektyvumo ir nuoseklumo pagerėjimų. Tuo pat metu diegimui reikia apgalvoto planavimo ir suderinimo.

STAA pranašumai

Greitesnis reagavimas į incidentus ir grėsmių suvaldymas
Automatizuodami praturtinimo, prioritetizavimo ir reagavimo veiksmus, STAA sprendimai sumažina vėlavimus tarp aptikimo ir šalinimo. Tai padeda sutrumpinti reagavimo laiką ir apriboti incidentų poveikį.

Geresnis veiklos efektyvumas
Organizacijos naudoja automatizavimo galimybes daugeliui pasikartojančių užduočių atlikti, kad analitikai galėtų sutelkti dėmesį į didesnės vertės tyrimus.

Stipresnė atitiktis ir pasirengimas auditui
Struktūruotos darbo eigos ir automatizuotas dokumentavimas padeda laikytis reguliavimo reikalavimų ir vidinių valdymo procesų, nes sukuriami aiškūs įrašai apie tai, kaip organizacija tvarko incidentus.

Patobulintas bendradarbiavimas
Centralizuotas atvejų valdymas ir integruoti darbo srautai suteikia bendrą veiklos vaizdą saugai, IT ir kitiems suinteresuotiesiems asmenims.

Patobulintas sprendimų priėmimas
Našumo rodikliai ir tendencijų duomenys leidžia vadovams nustatyti kliūtis, patobulinti veiksmų planus ir veiksmingiau paskirstyti išteklius.

STAA diegimo iššūkiai

Išankstinio projektavimo ir planavimo pastangos
Veiksmingam STAA reikia aiškiai apibrėžtų procesų ir gerai suprojektuotų taisyklių. Neaiškių arba nenuoseklių darbo srautų automatizavimas gali sukelti trukdžių, o ne padidinti efektyvumą.

Perteklinės automatizacijos rizika
Jei nėra tinkamų apsaugos priemonių, automatizavimas gali netinkamu metu sukelti trikdančius veiksmus, pavyzdžiui, išjungti paskyras arba izoliuoti sistemas, todėl būtina žmogaus priežiūra.

Veiklos nuosavybė ir valdymas
STAA darbo srautai turi būti prižiūrimi, palaikomos versijos ir nuolat tobulinami. Jei nėra aiškios atsakomybės, taisyklės gali pasenti arba tapti pernelyg sudėtingos.

Įgūdžiai ir pakeitimų tvarkymas

Komandoms reikia ir saugos žinių, ir darbo srautų kūrimo įgūdžių. Analitikams gali prireikti laiko prisitaikyti prie automatizavimu paremtų operacijų.

Kaip organizacijos naudoja STAA

STAA teikia daugiausia naudos, kai taikomas pasikartojantiems, didelės apimties saugos procesams. Įforminus darbo srautus į taisykles, komandos reaguoja nuosekliau, o ten, kur svarbiausia, išlaiko analitikų priežiūrą.

Automatizuotas reagavimas į sukčiavimą apsimetant
Sukčiavimas apsimetant yra puikus STAA saugos naudojimo atvejis, nes saugos komandas užplūsta didelis kiekis įtartinų el. laiškų, kuriuos reikia ištirti. Norėdamos sutrumpinti reagavimo laiką ir apriboti plitimą tinkle, organizacijos kuria STAA taisykles, kurios:
 
  • Gauti įspėjimus iš el. pašto saugos įrankių arba vartotojų ataskaitų.
  • išskiria indikatorius, tokius kaip URL, priedai arba siuntėjų domenai.
  • Papildykite tuos indikatorius grėsmių analize.
  • Patikrinkite, ar aplinkoje yra panašių pranešimų.
  • Automatiškai izoliuokite kenkėjiškus el. laiškus.
  • Sukurkite atvejį ir dokumentuokite visus veiksmus.
Grėsmių analizės pagerinimas
Vertindami įspėjimus, analitikai turi suprasti, kas slypi už grėsmės, ką ji reiškia organizacijai, kokio tipo tai grėsmė ir kaip ji veikia. Užuot rinkęs šį kontekstą rankiniu būdu, STAA darbo srautas automatiškai papildo įspėjimus šiais veiksmais:
 
  • Vidinių ir išorinių grėsmių analizės informacijos santraukų užklausa.
  • Tikrinami indikatoriai pagal žinomą kenkėjišką infrastruktūrą.
  • Renkamas pabaigos punktas arba tapatybės kontekstas.
  • Susiejami susiję įspėjimai.
Rūšiuojami ir perskiriami incidentai
SOC paprastai yra užversti įspėjimais, iš kurių daugelis yra mažos rizikos. Kad būtų lengviau veiksmingai nustatyti prioritetus ir dirbti greičiau, analitikai naudoja STAA darbo srautus, kad:
 
  • Automatiškai priskirtų svarbos lygius pagal iš anksto apibrėžtus kriterijus.
  • Nukreiptų incidentus į tinkamą komandą arba analitiką.
  • Suaktyvintų perskyrimo darbo srautus, kai pasiekiamos ribinės reikšmės.
  • Sekti būseną ir sprendimo laiką.
Paskyros kompromitavimo reagavimas
Norėdamos sutrumpinti reagavimo laiką, kai galimai buvo pažeisti prisijungimo duomenys, daugelis organizacijų naudoja STAA sprendimus sulaikymo veiksmams automatizuoti. Šios veiksmų sekos:
 
  • Patvirtina įspėjimą pagal tapatybės signalus.
  • Išjungia arba iš naujo nustatyto pažeistas paskyras.
  • Atšaukia aktyvias sesijas.
  • Praneša paveiktiems žmonėms.
  • Dokumentuoja veiksmus atitikties peržiūrai.
Grėsmių ir pažeidžiamumų valdymo koordinavimas
Saugos komandoms dažnai reikia derinti taisymo veiksmus su IT ir infrastruktūros komandomis. STAA sprendimas tai palengvina. Organizacijos gali kurti veiksmų sekas, kurios:

  • Įrašo pažeidžiamumų nuskaitymo rezultatus, kad visos komandos peržiūrėtų tuos pačius duomenis.
  • Prioritetizuoja aptiktas problemas pagal rizikos balą, kad visi sutelktų dėmesį į svarbiausias problemas.
  • Sukuria užduočių bilietus IT paslaugų valdymo sistemose, kad komandos žinotų, kas už ką atsakingas.
  • Stebi taisymo pažangą, kad visos komandos būtų informuotos apie kiekvieno įspėjimo ar incidento būseną.
  • Sugeneruoja ataskaitas vadovybei, kuriose apibendrinamos pažeidžiamumų išvados, taisymo pažanga ir bendras saugos lygis.
Geriausia praktika

Efektyvios STAA naudojimo strategijos

Organizacijos, kurioms sekasi ilgalaikėje perspektyvoje, STAA technologiją suderina su aiškiai apibrėžtais procesais, realistiškais tikslais ir stipria veiklos atsakomybe. Geriausios praktikos pavyzdžiai:

Pradėkite nuo aiškių tikslų

Saugos vadovai turėtų pradėti nuo pagrindinių sričių nustatymo, kur STAA sprendimas gali turėti didžiausią poveikį, pavyzdžiui, didelės apimties incidentų, kurie eikvoja analitikų laiką, tyrimų kliūčių ir rodiklių, kuriuos reikia gerinti, pvz., MTTR.

Pirmenybę teikite didžiausią poveikį turintiems, pasikartojantiems procesams

Ne visus procesus reikia automatizuoti iš karto. Geriausia pradėti nuo svarbių kasdienių darbo eigų, kurios yra gerai suprantamos irvyksta pagal nuoseklius sprendimų kelius. Kandidatai apima sukčiavimo apsimetant tyrimus, įspėjimų papildymą, paskyros blokavimą, slaptažodžių nustatymą iš naujo ir kvitų kūrimo darbo eigas.

Kurti taisykles su žmogaus priežiūra

Nors automatizavimas yra pagrindinis STAA sistemos pranašumas, jis visada turi padėti, o ne pakeisti žmogaus sprendimą. Gerai suprojektuotose taisyklėse yra sprendimo taškai, kuriuose reikalinga žmogaus peržiūra, ypač atliekant veiksmus, kurie gali trikdyti verslo veiklą, pavyzdžiui, išjungiant paskyras arba izoliuojant sistemas.

Investuokite į integravimo planavimą

STAA teikia daugiausia naudos, kai gerai veikia su esamomis saugos sistemomis, tokiomis kaip aptikimo įrankiai, tapatybių valdymas, galinių įrenginių apsauga, debesies aplinkos ir užduočių valdymo sistemos. Etapinis diegimas padeda sumažinti riziką ir suteikia komandoms laiko stabilizuoti bei patikslinti sistemą.

Nustatykite valdymą ir atsakomybę

Aiški atsakomybė už STAA sprendimą yra būtina, kad būtų išvengta darbo srautų išsiplėtimo ir nenuoseklių konfigūracijų. Organizacijos turėtų nustatyti, kas turi teisę kurti ar keisti taisykles, ir įdiegti versijų valdymo bei keitimų valdymo procesus.

Nuolat mokykite komandas

Analitikų įsitraukimas ir techninė patirtis yra labai svarbūs sėkmingam STAA diegimui. Organizacijos turėtų siūlyti nuolatinius mokymus, kad komandos būtų supažindintos su naujausiais taisyklių kūrimo principais, automatizavimo logika, perskyrimo keliais ir incidentų dokumentavimo standartais.

Žvelgiame į priekį

Tobulinant saugos operacijas STAA pereina ne tik į statinį, taisyklėmis pagrįstą automatizavimą, bet ir į labiau adaptyvias, įžvalgomis pagrįstas darbo eigas. Šiuolaikinės STAA galimybės padeda komandoms didinti reagavimo mastą, mažinti rankinį darbą ir koordinuoti veiksmus vis sudėtingesnėse aplinkose. Naujos kartos SAA saugą sudaro kelios pagrindinės tendencijos:
 
  • Taisyklių kūrimas naudojant natūraliąją kalbą: generuojamasis dirbtinis intelektas daro STAA automatizavimą prieinamesnį, nes leidžia analitikams kurti, atnaujinti ir tobulinti veiksmų planus naudojant natūraliąją kalbą. Tai sumažina automatizavimo slenkstį, pagreitina taisyklių kūrimą ir leidžia daugiau saugos komandų, ne tik automatizavimo specialistams, įdiegti STAA darbo srautus į veiklą.
  • ⁠Nuolatinis mokymasis ir prisitaikantis automatizavimas: naujos kartos STAA sprendimai įtraukia grįžtamąjį ciklą ir mokymosi mechanizmus, kurie patvirtina rezultatus ir laikui bėgant koreguoja atsakymus. Vietoj vienkartinių automatizavimų STAA vis dažniau mokosi iš ankstesnių incidentų, kad pagerintų tikslumą ir efektyvumą.
  • Plėtra už įspėjimo reakcijos ribų: STAA jau neapsiriboja reagavimu po įspėjimo. Organizacijos STAA automatizavimą taiko anksčiau ir vėliau saugos cikle – padėdamos vykdyti prieš įspėjimą atliekamus veiksmus, pvz., signalų koreliaciją ir praturtinimą, taip pat po incidento atliekamas užduotis, pvz., ataskaitų rengimą, taisymo stebėjimą ir valdiklių naujinimus. Ši platesnė aprėptis pagerina aptikimo kokybę ir sumažina veiklos sąnaudas.
  • STAA kaip autonominių sistemų valdymo sluoksnis: tobulėjant agentiniam DI ir vis dažniau naudojant ne žmogaus tapatybes, STAA tampa centralizuotu valdymo sluoksniu, padedančiu saugiai valdyti autonominius veiksmus. Tai apima įrankių koordinavimą, apsauginių taisyklių taikymą ir matomumo užtikrinimą sudėtingose, tarpusavyje susietose aplinkose.
  • Gilesnė integracija visose saugos sistemose: nors STAA pavadinimas gali tapti mažiau matomas, saugos tiekėjai vis dažniau įtraukia jo galimybes į SIEM, XDR ir platesnius saugos operacijų sprendimus. Tai suteikia sklandesnį valdymą, bendrą kontekstą ir nuoseklų reagavimą hibridinėse ir kelių debesų aplinkose.

„Microsoft“ saugos STAA sprendimas

Vertindamos STAA sprendimus, organizacijos turėtų įvertinti, kaip jie padės siekti dabartinių saugos tikslų ir kaip palaikys besikeičiančius SOC poreikius. Daugelis ieško sprendimų, pvz., „Microsoft Sentinel“ – debesies vietinį SIEM sprendimą, apimantį STAA galimybes. Sujungdamas SIEM ir STAA viename sprendime, „Microsoft Sentinel“ padeda saugos komandoms rinkti ir analizuoti duomenis iš vartotojų, įrenginių, programų ir infrastruktūros, kartu automatizuodamas iš anksto apibrėžtas darbo eigas. „Microsoft Sentinel“ taip pat sukurtas veikti kartu su „Microsoft Defender XDR“, kad būtų pateiktas vieningas saugos operacijų sprendimas, ir jį galima prijungti prie įvairių saugos įrankių, kad būtų užtikrinta visa apimanti apsauga. Naudodamos „Microsoft Sentinel“, saugos vadovai turi įrankius struktūruotam, pamatuojamam ir atspariam SOC kurti.

Dažnai užduodami klausimai

  • Saugos valdymas, automatizavimas ir reagavimas (STAA) naudojamas saugos operacijų užduotims koordinuoti ir automatizuoti, įskaitant įspėjimų peržiūrą, grėsmių informacijos praturtinimą, reagavimą į incidentus ir bylų valdymą. Tai padeda saugos komandoms standartizuoti darbo eigas, sumažinti rankinį darbą ir pagerinti reagavimo nuoseklumą visame saugos operacijų centre.
  • STAA reiškia saugos valdymą, automatizavimą ir atsaką. Tai saugos sprendimų kategorija, kuri sujungia įrankius, automatizuoja pasikartojančias užduotis ir padeda užtikrinti struktūruotą reagavimą į incidentus naudojant iš anksto apibrėžtas darbo eigas.
  • Saugos valdymas sujungia ir koordinuoja kelis saugos įrankius, kad jie galėtų veikti kaip vienos bendros darbo eigos dalis. Saugos automatizavimas ypač orientuotas į rankinio darbo mažinimą, automatiškai atliekant iš anksto apibrėžtas užduotis tose darbo eigose.
  • Saugos informacijos ir įvykių valdymo (SIEM) sprendimai renka ir analizuoja saugos duomenis, kad aptiktų galimas grėsmes. Saugos valdymo, automatizavimo ir reagavimo (STAA) sprendimai padeda komandoms reaguoti automatizuodami praturtinimą, koordinuodami įrankius ir standartizuodami procesus.
  • Saugos valdymas, automatizavimas ir reagavimas (STAA) padeda sumažinti vidutinį reagavimo laiką (MTTR), padidinti veiklos efektyvumą ir užtikrinti atitiktį, naudojant struktūruotą dokumentaciją ir ataskaitas. Tai taip pat sustiprina bendradarbiavimą ir padeda užtikrinti nuoseklesnes, pamatuojamas saugos operacijas.

Stebėkite „Microsoft“ saugą

Lietuvių (Lietuva) Vartotojų sveikatos privatumas Susisiekti su „Microsoft“ Privatumas Slapukų valdymas Naudojimosi sąlygos Prekių ženklai Apie mūsų reklamą EU Compliance DoCs