手順 1. Microsoft Defender XDR操作の準備を計画する
適用対象:
- Microsoft Defender XDR
セキュリティ操作の現在の成熟度に関係なく、セキュリティ オペレーション センター (SOC) に合わせることが重要です。 すべてのorganizationに適合する単一のモデルはありませんが、他のモデルよりも一般的な特定の側面があります。
以降のセクションでは、SOC のコア機能について説明します。
最新の脅威に対する状況認識を提供する
SOC チームは、organizationと連携して対策と対応を確立できるように、新しい脅威と着信する脅威を準備し、捜索します。 SOC チームには、最新の攻撃方法と手法で高度なトレーニングを受け、脅威アクターを理解する担当者が必要です。 サイバー キル チェーンや MITRE ATT&CK フレームワークなどの共有脅威インテリジェンスとフレームワークは、脅威アナリストや脅威ハンターのスタッフを支援できます。
サイバー インシデントとイベントに対する第 1、第 2、および可能性のある第 3 レベルの対応を提供する
SOC は、セキュリティ イベントとインシデントに対する防御の最前線です。 イベント、脅威、攻撃、ポリシー違反、または監査の検出によってアラートまたはアクションの呼び出しがトリガーされると、SOC チームはトリアージに対して評価を行い、それを含めるか、調査のためにエスカレートします。 したがって、SOC ファースト ライン レスポンダーは、セキュリティ イベントとインジケーターに関する広範な技術的知識を持っている必要があります。
organizationのセキュリティ ソースの監視とログ記録を一元化する
通常、SOC チームの主要な機能は、ファイアウォール、侵入防止システム、データ損失防止システム、脆弱性管理システム、ID システムなどのすべてのセキュリティ デバイスが正しく機能し、監視されていることを確認することです。 SOC チームは、ID、DevOps、クラウド、アプリケーション、データ サイエンスなどの広範なネットワーク操作と連携して、セキュリティ情報の分析を一元化してセキュリティで保護します。 さらに、SOC チームは、さまざまな形式の解析と正規化を含む、使用できる読み取り可能な形式でデータのログを維持する役割を担います。
Red、Blue、Purple の各チームの運用準備を確立する
すべての SOC チームは、サイバー インシデントに対応するための準備をテストする必要があります。 テストは、テーブルトップなどのトレーニング演習や、IT、セキュリティ、ビジネス レベルのさまざまな個人との練習実行を通じて行うことができます。 個々のトレーニング 演習チームは、代表的な役割に基づいて作成され、Defender (Blue Team)、攻撃者 (Red Team) の役割を果たすか、または演習中に明らかにされた長所と短所を通じて青と赤の両方のチームの方法とテクニックを改善しようとしているオブザーバーとして行われます (パープル チーム)。
次の手順
手順 2. ゼロ トラスト Framework を使用して SOC 統合の準備状況評価を実行する
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。