Etapa 1. Planejar a preparação de operações de Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Qualquer que seja a maturidade atual de suas operações de segurança, é importante que você se alinhe com o SOC (Centro de Operações de Segurança). Embora não haja um modelo único que se encaixe em todas as organizações, há certos aspectos que são mais comuns do que outros.
As seções a seguir descrevem as funções principais do SOC.
Fornecer consciência situacional das ameaças modernas
Uma equipe do SOC se prepara e caça ameaças novas e de entrada para que possam trabalhar com a organização para estabelecer contramedidas e respostas. Sua equipe soc deve ter pessoal altamente treinado em métodos e técnicas de ataque modernos e entender atores de ameaças. A inteligência e estruturas de ameaças compartilhadas, como a Cadeia de Cyber Kill ou a estrutura do MITRE ATT&CK , podem capacitar sua equipe de analistas de ameaças e caçadores de ameaças.
Fornecer respostas de primeiro, segundo e potencialmente de terceiro nível a incidentes e eventos cibernéticos
O SOC é a linha de frente da defesa para eventos e incidentes de segurança. Quando um evento, ameaça, ataque, violação de política ou descoberta de auditoria dispara um alerta ou chamada à ação, a equipe do SOC faz uma avaliação para triagem e contê-lo ou escaloná-lo para investigação. Portanto, os socorristas de primeira linha do SOC devem ter amplo conhecimento técnico sobre eventos e indicadores de segurança.
Centralizar o monitoramento e o registro em log das fontes de segurança da sua organização
Normalmente, a função principal da equipe soc é garantir que todos os dispositivos de segurança, como firewalls, sistemas de prevenção contra intrusões, sistemas de prevenção contra perda de dados, sistemas de gerenciamento de vulnerabilidades e sistemas de identidade estejam funcionando corretamente e sendo monitorados. As equipes do SOC trabalham com as operações de rede mais amplas, como identidade, DevOps, nuvem, aplicativo, ciência de dados e outras equipes de negócios para garantir que a análise das informações de segurança seja centralizada e protegida. Além disso, a equipe do SOC é responsável por manter logs dos dados em formatos utilizáveis e legíveis, o que pode incluir analisar e normalizar formatos diferentes.
Estabelecer a preparação operacional da equipe Vermelha, Azul e Roxa
Todas as equipes do SOC devem testar sua preparação para responder a um incidente cibernético. Os testes podem ser feitos por meio de exercícios de treinamento, como tops de tabela e execuções práticas com vários indivíduos em TI, segurança e no nível de negócios. Equipes de exercícios de treinamento individuais são criadas com base em funções representativas e estão desempenhando o papel de um defensor (Equipe Azul), um atacante (Equipe Vermelha) ou como observadores que buscam melhorar métodos e técnicas das equipes Azul e Vermelha através de pontos fortes e fracos que são descobertos durante o exercício (Equipe Roxa).
Próxima etapa
Etapa 2. Executar uma avaliação de preparação de integração do SOC usando o Confiança Zero Framework
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.