Paso 1. Planear la preparación de las operaciones Microsoft Defender XDR
Se aplica a:
- Microsoft Defender XDR
Sea cual sea la madurez actual de las operaciones de seguridad, es importante que se alinee con el Centro de operaciones de seguridad (SOC). Aunque no hay ningún modelo único que se ajuste a todas las organizaciones, hay ciertos aspectos que son más comunes que otros.
En las secciones siguientes se describen las funciones principales del SOC.
Proporcionar una conciencia situacional de las amenazas modernas
Un equipo de SOC se prepara y busca amenazas nuevas y entrantes para que puedan trabajar con la organización para establecer contramedidas y respuestas. El equipo de SOC debe tener personal altamente entrenado en métodos y técnicas de ataque modernos y comprender a los actores de amenazas. La inteligencia y los marcos de amenazas compartidos, como cyber kill chain o MITRE ATT&marco de CK , pueden capacitar al personal de analistas de amenazas y cazadores de amenazas.
Proporcionar respuestas de primer, segundo y potencialmente de tercer nivel a incidentes y eventos cibernéticos
El SOC es la primera línea de defensa frente a eventos e incidentes de seguridad. Cuando un evento, amenaza, ataque, infracción de directiva o búsqueda de auditoría desencadena una alerta o una llamada a la acción, el equipo de SOC realiza una evaluación para evaluar y contenerla o escalarla para su investigación. Por lo tanto, los respondedores de primera línea de SOC deben tener un amplio conocimiento técnico de los eventos e indicadores de seguridad.
Centralización de la supervisión y el registro de los orígenes de seguridad de la organización
Normalmente, la función principal del equipo de SOC es asegurarse de que todos los dispositivos de seguridad, como firewalls, sistemas de prevención de intrusiones, sistemas de prevención de pérdida de datos, sistemas de administración de vulnerabilidades y sistemas de identidad, funcionan correctamente y se supervisan. Los equipos de SOC trabajan con las operaciones de red más amplias, como identidad, DevOps, nube, aplicación, ciencia de datos y otros equipos empresariales para garantizar que el análisis de la información de seguridad está centralizado y protegido. Además, el equipo de SOC es responsable de mantener los registros de los datos en formatos legibles y utilizables, lo que podría incluir el análisis y normalización de formatos dispares.
Establecimiento de la preparación operativa del equipo rojo, azul y púrpura
Cada equipo de SOC debe probar su preparación para responder a un incidente cibernético. Las pruebas se pueden realizar a través de ejercicios de entrenamiento, como tablas y ejecuciones de práctica con varias personas en TI, seguridad y en el nivel empresarial. Los equipos de ejercicios de entrenamiento individuales se crean en función de roles representativos y desempeñan el papel de un defensor (equipo azul), un atacante (equipo rojo) o como observadores que buscan mejorar los métodos y las técnicas de los equipos azul y rojo a través de puntos fuertes y débiles que se descubren durante el ejercicio (equipo púrpura).
Paso siguiente
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.