Freigeben über


Schritt 1. Planen der Microsoft Defender XDR Betriebsbereitschaft

Gilt für:

  • Microsoft Defender XDR

Unabhängig vom aktuellen Reifegrad Ihrer Sicherheitsvorgänge ist es wichtig, dass Sie sich an Ihrem Security Operations Center (SOC) orientieren. Es gibt zwar kein einzelnes Modell, das für jedes organization geeignet ist, aber es gibt bestimmte Aspekte, die häufiger sind als andere.

In den folgenden Abschnitten werden die Kernfunktionen des SOC beschrieben.

Bereitstellen eines Situationsbewusstseins für moderne Bedrohungen

Ein SOC-Team bereitet sich auf neue und eingehende Bedrohungen vor und sucht sie, damit es mit dem organization zusammenarbeiten kann, um Gegenmaßnahmen und Reaktionen zu etablieren. Ihr SOC-Team sollte über Mitarbeiter verfügen, die in modernen Angriffsmethoden und -techniken bestens geschult sind und Bedrohungsakteure verstehen. Gemeinsame Threat Intelligence und Frameworks wie die Cyber Kill Chain oder MITRE ATT&CK-Framework können Ihre Mitarbeiter von Bedrohungsanalysten und Bedrohungsjägern unterstützen.

Bereitstellen von Reaktionen auf der ersten, zweiten und potenziell dritten Ebene auf Cybervorfälle und -ereignisse

Das SOC ist die erste Verteidigungslinie für Sicherheitsereignisse und -vorfälle. Wenn ein Ereignis, eine Bedrohung, ein Angriff, ein Richtlinienverstoß oder eine Überwachungsermittlung eine Warnung oder einen Handlungsaufruf auslöst, nimmt das SOC-Team eine Bewertung vor, um sie zu selektieren und einzuschließen, oder eskaliert sie zur Untersuchung. Daher müssen die SOC-Ersthelfer über ein breites technisches Wissen über Sicherheitsereignisse und -indikatoren verfügen.

Zentralisieren der Überwachung und Protokollierung der Sicherheitsquellen Ihrer organization

In der Regel besteht die Kernfunktion des SOC-Teams darin, sicherzustellen, dass alle Sicherheitsgeräte wie Firewalls, Intrusion Prevention-Systeme, Systeme zur Verhinderung von Datenverlust, Sicherheitsrisiken-Management-Systeme und Identitätssysteme ordnungsgemäß funktionieren und überwacht werden. Die SOC-Teams arbeiten mit den umfassenderen Netzwerkvorgängen wie Identität, DevOps, Cloud, Anwendung, Data Science und anderen Geschäftsteams zusammen, um sicherzustellen, dass die Analyse von Sicherheitsinformationen zentralisiert und gesichert ist. Darüber hinaus ist das SOC-Team für die Verwaltung von Protokollen der Daten in verwendbaren und lesbaren Formaten verantwortlich, die das Analysieren und Normalisieren unterschiedlicher Formate umfassen können.

Einrichten der betriebsbereiten Betriebsbereitschaft für das Rote, Blaue und Violette Team

Jedes SOC-Team sollte seine Bereitschaft bei der Reaktion auf einen Cybervorfall testen. Tests können über Trainingsübungen durchgeführt werden, z. B. Tabellen- und Übungsläufe mit verschiedenen Personen in der IT, Sicherheit und auf Geschäftsebene. Einzelne Trainingstrainingsteams werden basierend auf repräsentativen Rollen erstellt und spielen entweder die Rolle eines Verteidigers (Blue Team), eines Angreifers (Red Team) oder als Beobachter, die die Methoden und Techniken der blauen und roten Teams durch Stärken und Schwächen verbessern möchten, die während der Übung aufgedeckt werden (Purple Team).

Nächster Schritt

Schritt 2. Durchführen einer SOC-Integrationsbereitschaftsbewertung mithilfe des Zero Trust Frameworks

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.