Narzędzie do samooceny działań operacyjnych dotyczących zabezpieczeń
Klasyfikacja
Oceniaj alerty, ustalaj priorytety i kieruj zdarzenia do członków zespołu centrum SOC w celu ich rozwiązania.
Wyszukiwanie zagrożeń
Zwiększaj koncentrację na wyszukiwaniu atakujących, którzy ominęli podstawowe i automatyczne mechanizmy obrony.
Zarządzanie zdarzeniami
Zadbaj o koordynację reakcji funkcji w zakresie działalności operacyjnej, komunikacji, kwestii prawnych i zarządzania.
Jak ustalasz priorytety zdarzeń i alertów o zagrożeniach?
(Wybierz wszystkie pasujące odpowiedzi)
W jakim stopniu wykorzystujesz automatyzację do prowadzenia badań i działań korygujących w przypadku zdarzeń występujących w dużej liczbie lub powtarzających się?
W ilu scenariuszach używasz narzędzi opartych na chmurze do zabezpieczania zasobów lokalnych i wielochmurowych?
Czy masz wdrożony system biletowy do zarządzania zdarzeniami zabezpieczeń i mierzenia czasu poświęcanego na ich potwierdzanie i korygowanie?
Jak radzisz sobie z ograniczaniem alertów?
(Wybierz wszystkie pasujące odpowiedzi)
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie zoptymalizowanych działań operacyjnych dotyczących zabezpieczeń.
Uzyskaj więcej informacji o tym, jak zoptymalizować dojrzałość centrum operacyjnego ds. zabezpieczeń.
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie zaawansowanych działań operacyjnych dotyczących zabezpieczeń.
Uzyskaj więcej informacji o tym, jak przejść do etapu optymalnego dojrzałości centrum operacyjnego ds. zabezpieczeń.
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie podstawowych działań operacyjnych dotyczących zabezpieczeń.
Uzyskaj więcej informacji o tym, jak przejść do etapu zaawansowanego dojrzałości centrum operacyjnego ds. zabezpieczeń.
Na tym etapie pomocne mogą być następujące zasoby i rekomendacje.
Ustalanie priorytetów alertów o zagrożeniach
- Ustalanie priorytetów alertów o zagrożeniach ma kluczowe znaczenie dla sukcesu. Najlepszym rozwiązaniem jest ocenianie na podstawie wskaźnika prawdziwych wykryć dla danego źródła. Zapoznaj się z kluczowymi szczegółowymi informacjami i najlepszymi rozwiązaniami od liderów ds. zabezpieczeń, aby doskonalić swoje działania dotyczące zabezpieczeń. Dowiedz się więcej
Automatyzacja
- Automatyzacja pomaga odciążyć Ciebie i Twój zespół operacyjny pod względem żmudnych zadań, dzięki czemu możecie skupić się na kluczowych zagrożeniach, zwiększyć produktywność i zmniejszyć wypalenie.
- Dowiedz się , jak skonfigurować automatyzację w usłudze Ochrona punktu końcowego w usłudze Microsoft Defender
Wykorzystywanie narzędzi opartych na chmurze
- Narzędzia oparte na chmurze zapewniają wgląd w krajobraz zagrożeń dla całej organizacji w chmurze. Migracja w kierunku rozwiązania SIEM opartego na chmurze może złagodzić wyzwania związane z lokalnymi rozwiązaniami SIEM. Dowiedz się więcej
Zarządzanie zdarzeniami zabezpieczeń za pomocą biletów
- Stosowanie systemu biletowego pomaga zespołowi pracować wydajniej i skuteczniej zwalczać zagrożenia. Dowiedz się więcej
Zarządzanie ograniczaniem liczby alertów
- Zarządzanie ograniczaniem liczby alertów ma kluczowe znaczenie dla zapewnienia płynnych działań dotyczących zabezpieczeń. Bez systemu ustalania priorytetów Twój zespół może niepotrzebnie badać fałszywe alarmy i przepuszczać poważne zagrożenia, co może prowadzić do wypalenia. Usługa Azure Sentinel ogranicza liczbę alertów dzięki uczeniu maszynowemu. Dowiedz się więcej
Ilu narzędzi zabezpieczeń używają analitycy do badania zdarzeń (na przykład portali lub produktów od dostawców oraz narzędzi bądź skryptów niestandardowych)?
Czy korzystasz z rozwiązania SIEM lub innych narzędzi do konsolidowania i korelowania wszystkich źródeł danych?
Czy korzystasz z analizy zachowań przy wykrywaniu i badaniu (na przykład analizy zachowań użytkowników i jednostek — UEBA)?
Czy korzystasz z narzędzi do wykrywania i badania ukierunkowanych na tożsamości?
Czy korzystasz z narzędzi do wykrywania i badania ukierunkowanych na punkty końcowe?
Czy korzystasz z narzędzi do wykrywania i badania ukierunkowanych na pocztę e-mail i dane?
Czy korzystasz z narzędzi do wykrywania i badania ukierunkowanych na aplikacje SaaS?
Czy korzystasz z narzędzi do wykrywania i badania ukierunkowanych na infrastrukturę chmury, takich jak maszyny wirtualne, Internet rzeczy (IoT) i technologia operacyjna (OT)?
Czy używasz bazy MITRE ATT&CK lub innych struktur do śledzenia i analizowania zdarzeń?
Czy zespoły zajmujące się badaniami i wyszukiwaniem zagrożeń przeglądają przypadki w kolejce do klasyfikacji w celu identyfikowania trendów, przyczyn źródłowych i zbierania szczegółowych informacji?
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie zoptymalizowanych działań operacyjnych dotyczących zabezpieczeń.
Kluczowe zasoby:
- Dowiedz się, jak skonsolidowany stos zabezpieczeń może zmniejszyć ryzyko i koszty.
- Dowiedz się więcej o funkcjach działań operacyjnych dotyczących zabezpieczeń (SecOps).
Uzyskaj więcej informacji o tym, jak zoptymalizować dojrzałość centrum operacyjnego ds. zabezpieczeń.
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie zaawansowanych działań operacyjnych dotyczących zabezpieczeń.
Kluczowe zasoby:
- Dowiedz się, jak skonsolidowany stos zabezpieczeń może zmniejszyć ryzyko i koszty.
- Dowiedz się więcej o funkcjach działań operacyjnych dotyczących zabezpieczeń (SecOps).
Uzyskaj więcej informacji o tym, jak przejść do etapu optymalnego dojrzałości centrum operacyjnego ds. zabezpieczeń.
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie podstawowych działań operacyjnych dotyczących zabezpieczeń.
Kluczowe zasoby:
- Dowiedz się, jak skonsolidowany stos zabezpieczeń może zmniejszyć ryzyko i koszty.
- Dowiedz się więcej o funkcjach działań operacyjnych dotyczących zabezpieczeń (SecOps).
Uzyskaj więcej informacji o tym, jak przejść do etapu zaawansowanego dojrzałości centrum operacyjnego ds. zabezpieczeń.
Na tym etapie pomocne mogą być następujące zasoby i rekomendacje.
Narzędzia zintegrowanych zabezpieczeń
- Korzystanie z inteligentnych, zautomatyzowanych i zintegrowanych rozwiązań zabezpieczeń w wielu domenach pomaga pracownikom zajmującym się obroną w ramach działań dotyczących zabezpieczeń kojarzyć pozornie niepowiązane alerty i wyprzedzać atakujących. Dowiedz się, jak ujednolicone rozwiązanie SIEM i XDR pomaga powstrzymywać zaawansowane ataki. Dowiedz się więcej
- Zmodernizuj centrum działań dotyczących zabezpieczeń na potrzeby lepszego zabezpieczania pracowników zdalnych. Dowiedz się więcej.
Konsolidowanie źródeł danych za pomocą rozwiązania SIEM
- Rozwiązanie SIEM, takie jak usługa Azure Sentinel, zapewnia widok globalny krajobrazu zagrożeń i przechwytuje wszystkie dane o zagrożeniach, umożliwiając bardziej proaktywne działanie, bez przegapiania problemów. Co to jest Azure Sentinel?
- Dowiedz się więcej o diagramie Microsoft Cybersecurity Reference Architecture.
Najlepsze rozwiązania zabezpieczające firmy Microsoft w zakresie działań dotyczących zabezpieczeń
- Uczenie maszynowe i analiza zachowań to najlepsze rozwiązania, które pomagają w szybkim identyfikowaniu nietypowych zdarzeń z dużą pewnością. Dowiedz się więcej
Zarządzanie dostępem do danych
- Wiedza o tym, kto ma dostęp do Twoich danych i jakiego typu jest ten dostęp, jest niezwykle ważna. Wykorzystywanie platformy opartej na tożsamości to najlepsze rozwiązanie służące zmniejszaniu ryzyka i poprawianiu produktywności. Dowiedz się więcej
Zarządzanie punktami końcowymi
- Do najlepszych rozwiązań należy gromadzenie informacji o tym, kto uzyskuje dostęp do danych spoza tradycyjnego obwodu i czy te urządzenia są w dobrej kondycji. Ochrona punktu końcowego w usłudze Microsoft Defender zapewnia pomoc, udostępniając te wskazówki krok po kroku. Dowiedz się więcej
- Dowiedz się, jak wdrożyć usługę Ochrona punktu końcowego w usłudze Microsoft Defender
Wykrywanie w poczcie e-mail i danych
- Groźne elementy mogą przedostać się do Twojego środowiska poprzez naruszoną biznesową pocztę e-mail. Rozwiązanie, które może wykrywać i powstrzymywać zagrożenia, takie jak wyłudzanie informacji, ułatwia uniknięcie obciążania zadaniami związanymi z bezpieczeństwem użytkownika końcowego. Dowiedz się więcej
Wykrywanie aplikacji SaaS
- Należy koniecznie zabezpieczać rozwiązania oparte na chmurze, które mają dostęp do poufnych danych.
Wykrywanie infrastruktury chmury
- W miarę tego, jak środowisko się rozszerza, obejmując rozwiązania IoT i do magazynowania, kontenery i inne składniki infrastruktury chmury, ważne jest, aby ustanowić monitorowanie i wykrywanie tych uzupełnień środowiska.
Śledzenie i analizowanie zdarzeń
- MITRE ATT&CK® to globalnie dostępna baza wiedzy o taktykach i technikach atakujących, oparta na obserwacjach ze świata rzeczywistego. Korzystanie ze struktur, takich jak MITRE ATT&CK, pomaga w opracowaniu określonych modeli zagrożeń i metodologii ułatwiających proaktywne projektowanie mechanizmów obronnych.
Dokumentowanie i przegląd
- Aby gromadzić szczegółowe informacje i proaktywnie podchodzić do zagrożeń, należy koniecznie dokumentować badane przypadki.
Czy uwzględniasz w strategii zabezpieczeń proaktywne wyszukiwanie zagrożeń?
Czy korzystasz ze zautomatyzowanych procesów wyszukiwania zagrożeń, takich jak notesy Jupyter?
Czy masz procesy i narzędzia ułatwiające wykrywanie zagrożeń wewnętrznych i zarządzanie nimi?
Czy Twój zespół ds. wyszukiwania zagrożeń poświęca czas na uściślanie alertów, aby zwiększyć wskaźnik prawdziwych wykryć dla zespołów ds. klasyfikacji (poziom 1)?
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie zoptymalizowanych działań operacyjnych dotyczących zabezpieczeń.
Kluczowe zasoby:
- Dowiedz się więcej o zarządzaniu ryzykiem wewnętrznym na platformie Microsoft 365.
Uzyskaj więcej informacji o tym, jak zoptymalizować dojrzałość centrum operacyjnego ds. zabezpieczeń.
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie zaawansowanych działań operacyjnych dotyczących zabezpieczeń.
Kluczowe zasoby:
- Dowiedz się więcej o zarządzaniu ryzykiem wewnętrznym na platformie Microsoft 365.
Uzyskaj więcej informacji o tym, jak przejść do etapu optymalnego dojrzałości centrum SOC.
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie podstawowych działań operacyjnych dotyczących zabezpieczeń.
Kluczowe zasoby:
- Dowiedz się więcej o zarządzaniu ryzykiem wewnętrznym na platformie Microsoft 365.
Uzyskaj więcej informacji o tym, jak przejść do etapu zaawansowanego dojrzałości centrum SOC.
Na tym etapie pomocne mogą być następujące zasoby i rekomendacje.
Proaktywne wyszukiwanie zagrożeń
- Identyfikuj zagrożenia, zanim wystąpią. Zdeterminowani atakujący mogą znaleźć sposoby na obejście mechanizmów wykrywania automatycznego, dlatego tak ważna jest strategia proaktywna. Zmniejszanie wpływu zagrożeń wewnętrznych przez skracanie czasu podjęcia działań. Dowiedz się więcej
- Dowiedz się, jak centrum operacji dotyczących zabezpieczeń firmy Microsoft podchodzi do wyszukiwania zagrożeń
Zautomatyzowane wyszukiwanie zagrożeń
- Stosowanie zautomatyzowanych procesów wyszukiwania zagrożeń pomaga w zwiększeniu produktywności i zmniejszeniu nakładu pracy.
Zagrożenia wewnętrzne
- W sytuacji, gdy pracownicy, dostawcy i kontrahenci uzyskują dostęp do sieci przedsiębiorstwa z niezliczonych punktów końcowych, bardziej kluczowe niż kiedykolwiek wcześniej jest zadbanie o to, aby specjaliści ds. ryzyka mogli szybko identyfikować występujące w organizacji zagrożenia i podejmować działania korygujące.
- Dowiedz się więcej o monitorowaniu zagrożeń wewnętrznych
- Wprowadzenie do zarządzania ryzykiem wewnętrznym
Uściślanie procesów wyszukiwania zagrożeń
- Szczegółowe informacje zebrane w zespołach ds. wyszukiwania zagrożeń pomagają w doskonaleniu i zwiększaniu dokładności systemów generowania alertów na podstawie klasyfikacji. Dowiedz się więcej
Czy Twój zespół ma gotowy proces zarządzania kryzysem do obsługi poważnych zdarzeń zabezpieczeń?
Czy ten proces obejmuje rozwiązania umożliwiające wciągnięcie do współpracy zespołów dostawców z wiedzą z zakresu zaawansowanego reagowania na zdarzenia, analizy zagrożeń lub platform technologicznych?
Czy ten proces obejmuje angażowanie kierownictwa wyższego szczebla, w tym zespołów prawnych i organów regulacyjnych?
Czy ten proces obejmuje zespoły ds. komunikacji i wizerunku organizacji?
Czy Twój zespół przeprowadza regularne ćwiczenia, aby trenować stosowanie procesu i aby go doskonalić?
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie zoptymalizowanych działań operacyjnych dotyczących zabezpieczeń.
Kluczowe zasoby:
- Dowiedz się więcej o zarządzaniu ryzykiem wewnętrznym na platformie Microsoft 365.
Uzyskaj więcej informacji o tym, jak zoptymalizować dojrzałość centrum SOC.
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie zaawansowanych działań operacyjnych dotyczących zabezpieczeń.
Kluczowe zasoby:
- Dowiedz się więcej o zarządzaniu ryzykiem wewnętrznym na platformie Microsoft 365.
Uzyskaj więcej informacji o tym, jak przejść do etapu optymalnego dojrzałości centrum SOC.
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie podstawowych działań operacyjnych dotyczących zabezpieczeń.
Kluczowe zasoby:
- Dowiedz się więcej o zarządzaniu ryzykiem wewnętrznym na platformie Microsoft 365.
Uzyskaj więcej informacji o tym, jak przejść do etapu zaawansowanego dojrzałości centrum SOC.
Na tym etapie pomocne mogą być następujące zasoby i rekomendacje.
Reagowanie na incydenty
- Przy reagowaniu na kryzys liczy się każda minuta. Nawet ustanowienie procesu tymczasowego ma znaczenie dla zapewnienia szybkiego korygowania i zarządzania zdarzeniami.
- Uzyskaj przewodnik dotyczący reagowania na zdarzenia
- Dowiedz się, jak zapobiegać atakom na cyberzabezpieczenia, od programów wymuszających okup po inne wymuszenia.
Korygowanie zdarzeń
- Sprawność i elastyczność są ważne dla zarządzania korygowaniem i zdarzeniami. Zrozumienie i oszacowanie tego, jak wyglądają umiejętności i doświadczenie zespołu, pomagają również określić potrzeby w zakresie technologii i zespołów dostawców. Dowiedz się więcej
Łagodzenie skutków
- Bezpieczeństwo to sprawa każdego członka organizacji. Szczegółowe informacje od innych interesariuszy przedsiębiorstwa mogą dostarczyć konkretnych wskazówek dotyczących łagodzenia skutków naruszenia zabezpieczeń.
- Obejrzyj serię „Spotkanie z dyrektorem ds. zabezpieczeń informatycznych”
- Dowiedz się więcej o zabezpieczeniach chmury
Komunikacja i wizerunek organizacji
- Proces powinien obejmować plany dotyczące zarządzania wizerunkiem organizacji i komunikacją na wypadek wystąpienia naruszenia, aby organizacja była gotowa do zapewnienia klientom wsparcia i łagodzenia skutków naruszenia. Dowiedz się , jak prowadzić wysoce skuteczne działania dotyczące zabezpieczeń.
Praktyka czyni mistrza
- Ćwiczenia pozwalają wykryć luki i obszary, które wymagają ulepszenia, zanim nastąpi naruszenie zabezpieczeń. Testuj w ramach ćwiczenia różne przypadki, aby upewnić się, że Twoja organizacja jest przygotowana na naruszenie zabezpieczeń.
- Czy masz udostępnianą lub obsługiwaną przez dostawcę automatyzację, która zmniejsza obciążenie analityków w zakresie badań i korygowania?
Czy jesteś w stanie orkiestrować zautomatyzowane działania w wielu różnych narzędziach?
Jeśli orkiestrujesz działania zautomatyzowane w różnych narzędziach, czy łączysz się ze wszystkimi narzędziami lub z większością z nich natywnie, czy jest to oparte na skryptach niestandardowych?
Czy korzystasz z automatyzacji zapewnianej przez społeczność?
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie zoptymalizowanych działań operacyjnych dotyczących zabezpieczeń.
Kluczowe zasoby:
- Skoroszyt struktury procesów centrum operacji dotyczących zabezpieczeń w usłudze Azure Sentinel. Pobierz go teraz.
- Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR) w usłudze Azure Sentinel. Dowiedz się więcej.
- Przewodnik po bezproblemowym bezpiecznym dostępie: ulepszone środowisko użytkownika ze wzmocnionymi zabezpieczeniami. Dowiedz się więcej.
- Postaw na proaktywne zabezpieczenia oparte na modelu Zero Trust. Dowiedz się więcej.
- Przewodnik po wdrażaniu modelu Zero Trust dla usługi Microsoft Azure Active Directory. Pobierz go teraz.
Uzyskaj więcej informacji o tym, jak zoptymalizować dojrzałość centrum operacyjnego ds. zabezpieczeń.
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie zaawansowanych działań operacyjnych dotyczących zabezpieczeń.
Kluczowe zasoby:
- Skoroszyt struktury procesów centrum operacji dotyczących zabezpieczeń w usłudze Azure Sentinel. Pobierz go teraz.
- Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR) w usłudze Azure Sentinel. Dowiedz się więcej.
- Przewodnik po bezproblemowym bezpiecznym dostępie: ulepszone środowisko użytkownika ze wzmocnionymi zabezpieczeniami. Dowiedz się więcej.
- Postaw na proaktywne zabezpieczenia oparte na modelu Zero Trust. Dowiedz się więcej.
- Przewodnik po wdrażaniu modelu Zero Trust dla usługi Microsoft Azure Active Directory. Pobierz go teraz.
Uzyskaj więcej informacji o tym, jak przejść do etapu optymalnego dojrzałości centrum operacyjnego ds. zabezpieczeń.
Rekomendacje
Z Twoich odpowiedzi wynika, że jesteś na etapie podstawowych działań operacyjnych dotyczących zabezpieczeń.
Kluczowe zasoby:
- Skoroszyt struktury procesów centrum operacji dotyczących zabezpieczeń w usłudze Azure Sentinel. Pobierz go teraz.
- Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR) w usłudze Azure Sentinel. Dowiedz się więcej.
- Przewodnik po bezproblemowym bezpiecznym dostępie: ulepszone środowisko użytkownika ze wzmocnionymi zabezpieczeniami. Dowiedz się więcej.
- Postaw na proaktywne zabezpieczenia oparte na modelu Zero Trust. Dowiedz się więcej.
- Przewodnik po wdrażaniu modelu Zero Trust dla usługi Microsoft Azure Active Directory. Pobierz go teraz.
Uzyskaj więcej informacji o tym, jak przejść do etapu zaawansowanego dojrzałości centrum operacyjnego ds. zabezpieczeń.
Na tym etapie pomocne mogą być następujące zasoby i rekomendacje.
Zarządzanie obciążeniem analityków
- Obsługa automatyzacji od dostawców może pomóc Twojemu zespołowi w zarządzaniu obciążeniem pracą. Rozważ ochronę swojej infrastruktury cyfrowej za pomocą zintegrowanego podejścia do zwiększenia wydajności centrum operacji dotyczących zabezpieczeń. Dowiedz się więcej
- Sprawdź, jak zespoły ds. zabezpieczeń dostosowują się do zmieniającego się krajobrazu zagrożeń
Orkiestrowanie działań zautomatyzowanych
- Zintegrowanie zautomatyzowanych działań we wszystkich narzędziach może ulepszyć produktywność i zwiększyć prawdopodobieństwo, że żadne zagrożenia nie zostaną przeoczone. Dowiedz się, jak skonsolidowany stos zabezpieczeń może zmniejszyć ryzyko i koszty. Dowiedz się więcej
Łączenie działań zautomatyzowanych
- Połączone i zintegrowane narzędzia i procesy pomagają eliminować luki w programie monitorowania zagrożeń i nadążać za stale zmieniającym się krajobrazem cyberzagrożeń.
Automatyzacja zapewniana przez społeczność
- Rozważ korzystanie z automatyzacji zapewnianej przez społeczność, która zwiększa poziom rozpoznawania wzorców zagrożeń i oszczędza czas, eliminując potrzebę stosowania niestandardowych narzędzi zautomatyzowanych.
Obserwuj rozwiązania zabezpieczające firmy Microsoft