Udostępnij za pośrednictwem

Widoczność, automatyzacja i aranżacja za pomocą rozwiązania Zero Trust

  • Artykuł

Jedną z znaczących zmian w podejściu, które są znakiem rozpoznawczym ram bezpieczeństwa Zero Trust, jest odejście od zaufania domyślnego w kierunku zaufania na podstawie wyjątku. Potrzebujesz jednak niezawodnego sposobu ustanowienia zaufania, gdy jest to potrzebne. Ponieważ nie zakładasz już, że żądania są wiarygodne, kluczowe jest ustanowienie sposobu potwierdzenia ich wiarygodności w danym momencie. To potwierdzenie wymaga możliwości uzyskania wglądu w działania związane z żądaniem oraz czynności wokół niego.

W innych naszych przewodnikach Zero Trust zdefiniowaliśmy podejście do wdrożenia kompleksowego modelu Zero Trust obejmującego tożsamości, punkty końcowe i urządzenia, dane, aplikacje, infrastrukturę oraz sieć. Wszystkie te inwestycje zwiększają widoczność, co zapewnia lepsze dane do podejmowania decyzji o zaufaniu. Jednak przyjmując podejście Zero Trust w tych sześciu obszarach, koniecznie zwiększasz liczbę incydentów, które analitycy centrów operacji zabezpieczeń (SOC, Security Operation Centers) muszą złagodzić. Twoi analitycy stają się bardziej zajęci niż kiedykolwiek, w czasie, gdy już występuje niedobór talentów. Może to prowadzić do przewlekłego zmęczenia spowodowanego nadmiarem alertów, co skutkuje przeoczeniem krytycznych alertów przez analityków.

Diagram zintegrowanych możliwości zarządzania zagrożeniami.

W przypadku każdego z tych poszczególnych obszarów generujących własne odpowiednie alerty, potrzebujemy zintegrowanej możliwości zarządzania napływem danych, aby lepiej chronić się przed zagrożeniami i weryfikować zaufanie do transakcji.

Chcesz mieć możliwość:

  • Wykrywanie zagrożeń i luk w zabezpieczeniach.
  • Zbadaj.
  • Odpowiedz
  • Polować.
  • Podaj dodatkowy kontekst za pośrednictwem analizy zagrożeń.
  • Ocena luk w zabezpieczeniach.
  • Uzyskiwanie pomocy od ekspertów światowej klasy
  • Zapobiegaj lub blokuj występowanie zdarzeń w obrębie filarów.

Zarządzanie zagrożeniami obejmuje reaktywne, a także proaktywne wykrywanie i wymaga narzędzi, które obsługują oba te rozwiązania.

Wykrywanie reaktywne jest wtedy, gdy zdarzenia są wyzwalane z jednego z sześciu filarów, które można zbadać. Ponadto produkt zarządzania, taki jak SIEM, prawdopodobnie będzie obsługiwał inną warstwę analizy, która będzie wzbogacać i korelować dane, co powoduje flagowanie zdarzenia jako nieprawidłowe. Następnym krokiem będzie zbadanie, aby uzyskać pełną narrację ataku.

Proaktywne wykrywanie polega na analizowaniu danych pod kątem zagrożeń w celu udowodnienia hipotezy o naruszeniu. Polowanie na zagrożenia zaczyna się od założenia, że doszło do naruszenia systemu – poszukujesz dowodów na to, że rzeczywiście nastąpiło takie naruszenie.

Wyszukiwanie zagrożeń zaczyna się od hipotezy opartej na bieżących zagrożeniach, takich jak ataki phishingowe związane z COVID-19. Analitycy zaczynają od tego hipotetycznego zagrożenia, identyfikują kluczowe wskaźniki naruszenia i przeszukuje dane, aby sprawdzić, czy środowisko zostało naruszone. Jeśli istnieją wskaźniki, scenariusze polowania mogą spowodować analizy, które powiadomią organizacje, jeśli niektóre wskaźniki wystąpią ponownie.

Tak czy inaczej, po wykryciu zdarzenia należy zbadać go, aby utworzyć pełną historię ataku. Co jeszcze zrobił użytkownik? Jakie inne systemy były zaangażowane? Jakie pliki wykonywalne zostały uruchomione?

Jeśli badanie zakończy się nauką z możliwością działania, możesz wykonać kroki korygowania. Na przykład jeśli badanie odkryje luki we wdrożeniu zerowym zaufania, zasady można zmodyfikować, aby rozwiązać te luki i zapobiec przyszłym niepożądanym zdarzeniom. Jeśli jest to możliwe, pożądane jest zautomatyzowanie kroków korygowania, ponieważ skraca czas potrzebny analitykowi SOC na rozwiązanie zagrożenia i przejście na następne zdarzenie.

Innym kluczowym składnikiem oceny zagrożeń jest włączenie znanej analizy zagrożeń do pozyskanych danych. Jeśli adres IP, skrót, adres URL, plik, plik wykonywalny itp. są znane jako nieprawidłowe, można je zidentyfikować, zbadać i skorygować.

W filarze infrastruktury poświęcano czas na eliminowanie luk w zabezpieczeniach. Jeśli system jest znany jako narażony i zagrożenie skorzystało z tej luki w zabezpieczeniach, jest to coś, co można wykryć, zbadać i skorygować.

Aby zastosować te taktyki do zarządzania zagrożeniami, należy mieć centralną konsolę umożliwiającą administratorom SOC wykrywanie, badanie, korygowanie, wyszukiwanie, korzystanie z analizy zagrożeń, zrozumienie znanych luk w zabezpieczeniach, oparcie się na ekspertów ds. zagrożeń i blokowanie zagrożeń w jednym z sześciu filarów. Narzędzia potrzebne do obsługi tych faz działają najlepiej, jeśli są zbieżne z jednym przepływem pracy, zapewniając bezproblemowe środowisko, które zwiększa skuteczność analityka SOC.

Centra operacji zabezpieczeń często wdrażają kombinację technologii SIEM i SOAR w celu zbierania, wykrywania, badania i reagowania na zagrożenia. Microsoft oferuje Microsoft Sentinel jako swoją usługę typu SIEM. Usługa Microsoft Sentinel pozyska wszystkie dane usługi Microsoft Defender for Identity i innych firm.

Usługa Microsoft 365 Defender, źródło kluczy do usługi Azure Sentinel, udostępnia ujednolicony pakiet obrony przedsiębiorstwa, który zapewnia ochronę kontekstową, wykrywanie i reagowanie na wszystkie składniki platformy Microsoft 365. Dzięki świadomości kontekstowej i skoordynowanej klienci korzystający z platformy Microsoft 365 mogą uzyskać wgląd i ochronę między punktami końcowymi, narzędziami do współpracy, tożsamościami i aplikacjami.

Dzięki tej hierarchii możemy umożliwić naszym klientom zmaksymalizowanie ich zainteresowania. Dzięki rozpoznawaniu kontekstu i zautomatyzowanemu korygowaniu, usługa Microsoft 365 Defender może wykrywać i zatrzymywać wiele zagrożeń, nie dodając dodatkowego zmęczenia spowodowanego nadmiarem alertów do już przeciążonego personelu SOC. Zaawansowane wyszukiwanie zagrożeń wewnątrz usługi Microsoft 365 Defender przenosi ten kontekst do polowania, aby skupić się na wielu kluczowych punktach ataku. Wyszukiwanie zagrożeń i orkiestracja w całym ekosystemie za pośrednictwem usługi Azure Sentinel zapewnia możliwość uzyskania właściwego wglądu we wszystkie aspekty środowiska heterogenicznego, jednocześnie minimalizując przeciążenie poznawcze operatora.

Widoczność, automatyzacja, orkiestracja i cele wdrożenia Zero Trust

Podczas implementowania kompleksowej platformy Zero Trust na potrzeby widoczności, automatyzacji i aranżacji zalecamy skupienie się najpierw na tych początkowych celach wdrażania:

Ikona listy z jednym znacznikiem wyboru.

I.Ustanów widoczność.

II.Włącz automatyzację.

Po wykonaniu tych czynności skoncentruj się na następujących dodatkowych celach wdrażania:

Ikona listy z dwoma znacznikami wyboru.

III.Włącz dodatkową ochronę i mechanizmy kontroli wykrywania.

Przewodnik wdrażania widoczności, automatyzacji i orkiestracji Zero Trust

Ten przewodnik przeprowadzi Cię przez kroki wymagane do zarządzania widocznością, automatyzacją i orkiestracją zgodnie z zasadami platformy zabezpieczeń Zero Trust.




Ikona listy kontrolnej z jednym znacznikiem wyboru.

Początkowe cele wdrożenia

I. Ustalić widoczność

Pierwszym krokiem jest ustalenie widoczności przez włączenie usługi Microsoft Threat Protection (MTP).

Wykonaj te kroki:

  1. Zarejestruj się w celu skorzystania z jednego z komponentów Microsoft 365 Defender.
  2. Włącz obciążenia i ustanów łączność.
  3. Skonfiguruj wykrywanie na urządzeniach i infrastrukturze, aby zapewnić natychmiastowy wgląd w działania wykonywane w środowisku. Zapewnia to istotny "ton sygnalizacyjny", pozwalający rozpocząć przepływ krytycznych danych.
  4. Włącz usługę Microsoft 365 Defender, aby uzyskać widoczność i wykrywanie zdarzeń między obciążeniami.

II. Włączanie automatyzacji

Następnym kluczowym krokiem po ustanowieniu widoczności jest włączenie automatyzacji.

Zautomatyzowane badania i korygowanie

Dzięki usłudze Microsoft 365 Defender zautomatyzowaliśmy zarówno badania, jak i korygowanie, co zasadniczo zapewnia dodatkową analizę SOC warstwy 1.

Automatyczne śledztwo i naprawa (AIR) można włączać stopniowo, tak aby zyskać pewność co do podejmowanych działań.

Wykonaj te kroki:

  1. Włącz funkcję AIR dla grupy testowej.
  2. Przeanalizuj kroki badania i akcje odpowiedzi.
  3. Stopniowe przechodzenie do automatycznego zatwierdzania dla wszystkich urządzeń w celu skrócenia czasu wykrywania i reagowania.

Aby uzyskać wgląd w zdarzenia wynikające z wdrożenia modelu Zero Trust, ważne jest, aby połączyć usługę Microsoft 365 Defender, łączniki danych usługi Microsoft Purview i odpowiednie produkty innych firm z usługą Azure Sentinel w celu zapewnienia scentralizowanej platformy do badania i reagowania na zdarzenia.

W ramach procesu połączenia danych można włączyć odpowiednią analizę, aby inicjować incydenty, a pliki robocze można utworzyć na potrzeby graficznej reprezentacji danych w czasie.

Mimo że uczenie maszynowe i analiza fuzji są udostępniane poza tym rozwiązaniem, korzystne jest również pozyskiwanie danych analizy zagrożeń w usłudze Microsoft Sentinel w celu ułatwienia identyfikowania zdarzeń związanych ze znanymi złymi jednostkami.




Ikona listy kontrolnej z dwoma znacznikami wyboru.

Dodatkowe cele wdrożenia

III. Włączanie dodatkowych mechanizmów ochrony i wykrywania

Włączenie dodatkowych kontrolek poprawia sygnał przychodzący do usług Microsoft 365 Defender i Sentinel w celu poprawy widoczności i możliwości organizowania odpowiedzi.

Mechanizmy zmniejszania obszaru podatnego na ataki stanowią jedną z takich szans. Te mechanizmy kontroli ochronnej nie tylko blokują niektóre działania, które są najbardziej związane ze złośliwym oprogramowaniem, ale także dają próby użycia określonych podejść, które mogą pomóc wykrywać przeciwników korzystających z tych technik wcześniej w procesie.

Produkty omówione w tym przewodniku

Microsoft Azure

Microsoft Defender for Identity

Microsoft Sentinel

Microsoft 365

Microsoft Threat Protection



Seria przewodników wdrażania zero trust

Ikona wprowadzenia

Ikona tożsamości

Ikona punktów końcowych

Ikona aplikacji

Ikona danych

Ikona infrastruktury

Ikona sieci

Ikona widoczności, automatyzacji, aranżacji