Обеспечение видимости, автоматизация и оркестрация с помощью модели "Никому не доверяй"

Одним из существенных изменений в перспективах, которые являются отличительной чертой платформ безопасности нулевого доверия, является переход от доверия по умолчанию к доверию по исключению. Однако требуется надежный способ установить доверие после того, как оно потребуется. Так как надежность запросов больше не предполагается, создание средств подтверждения достоверности запроса имеет решающее значение для подтверждения его достоверности на определенный момент времени. В процессе этой аттестации необходимо видеть действия, происходящие по запросу и в связи с запросом.

В наших руководствах по модели "Никому не доверяй" мы определи сквозной подход к реализации этой комплексной модели для удостоверений, конечных точек и устройств, данных, приложений, инфраструктуры и сети. Все эти вложения улучшают видимость, предоставляя более точные данные для принятия решений о доверии. Однако, принимая в этих шести областях подход "Никому не доверяй", необходимо увеличить число аналитиков центров операций по безопасности (SOC) устраняемых инцидентов. Ваши аналитики становятся более оживленными, чем когда-либо, в то время, когда уже есть нехватка талантов. Это может привести к хронической усталости от оповещений и пропуску аналитиками критических оповещений.

Каждая из этих отдельных областей генерирует свои собственные соответствующие предупреждения, поэтому нам нужна интегрированная возможность управлять поступающими данными, чтобы лучше защищаться от угроз и подтверждать доверие к транзакции.

Вам необходимо:

• Обнаруживать угрозы и уязвимости.
• Проведите расследование.
• Устранение.
• Технология.
• Предоставьте дополнительный контекст, используя аналитику угроз.
• Уязвимости оценки.
• Получение помощи от экспертов мирового класса
• Запретите или заблокируйте события на основе базовых принципов.

Управление угрозами включает в себя реактивное и упреждающее обнаружение и требует наличия средств, поддерживающих оба обнаружения.

Реактивное обнаружение происходит при активации инцидентов по одному из шести базовых принципов, которые можно исследовать. Кроме того, такой продукт управления, как SIEM, вероятно, будет поддерживать еще один уровень аналитики, который будет расширять и сопоставлять данные, что приводит к пометке инцидента как плохого. Далее следует получить все инструкции по атакам.

Упреждающее обнаружение происходит при использовании поиска данных для подтверждения скомпрометированной гипотезы. Охота на угрозы начинается с предположения, что вы были нарушены- вы охотитесь на доказательство того, что действительно нарушение.

Поиск угроз начинается с гипотезы на основе текущих угроз, например фишинговых атак, связанных с КОВИД-19. Аналитики начинают с этой гипотетической угрозы, определяют ключевые индикаторы компрометации и охотятся на данные, чтобы узнать, есть ли доказательства того, что среда скомпрометирована. Если индикаторы существуют, сценарии охоты могут привести к аналитике, которая уведомит организации, если некоторые индикаторы возникают снова.

В любом случае, как только обнаруживается инцидент, его необходимо исследовать, чтобы воссоздать полную историю атаки. Что еще сделал пользователь? Какие другие системы были задействованы? Какие исполняемые файлы были запущены?

Если исследование приводит к пошаговому изучению, вы можете предпринять действия по исправлению. Например, если исследование обнаруживает пробелы в развертывании без доверия, можно изменить политики, чтобы устранить эти нарушения и предотвратить нежелательные инциденты в будущем. По возможности желательно автоматизировать действия по исправлению, поскольку это сокращает время, необходимое аналитику SOC для устранения угрозы и перехода к следующему инциденту.

Другой ключевой компонент в процессе оценки угроз заключается во внедрении известной аналитики угроз в полученные данные. Если IP, хэш, URL-адрес, файл, исполняемый объект и т. д. известны как неправильные, их можно определить, исследовать и исправить.

В базовом принципе инфраструктуры время было затрачено на устранение уязвимостей. Если известно, что система подвержена уязвимости, а угроза использовала эту уязвимость, то это можно обнаружить, проверить и исправить.

Чтобы использовать эти тактику для управления угрозами, необходимо иметь центральную консоль, позволяющую администраторам SOC обнаруживать, изучать, исправлять, отслеживать, использовать аналитику угроз, понимать известные уязвимости, опираться на экспертов по угрозам и блокировать угрозы по любому из шести принципов. Средства, необходимые для поддержки этих этапов, работают лучше, если они объединены в один рабочий процесс. Это обеспечивает простой интерфейс, повышающий эффективность работы аналитика SOC.

Центры операций безопасности часто развертывают сочетание технологий SIEM и SOAR для сбора, обнаружения, исследования и реагирования на угрозы. Корпорация Майкрософт предлагает Microsoft Sentinel в качестве предложения "SIEM как услуга". Microsfot Sentinel принимает все данные Microsoft Defender для удостоверений и сторонние данные.

Microsoft 365 Defender, веб-канал ключей в Azure Sentinel, предоставляет единый набор корпоративной защиты, который обеспечивает защиту, обнаружение и ответ контекста во всех компонентах Microsoft 365. С учетом контекста и координирования пользователи, использующие Microsoft 365, могут получить видимость и защиту в конечных точках, средств совместной работы, удостоверений и приложений.

Эта иерархия позволяет нашим клиентам максимально увеличить свое внимание. Хотя распознавание контекста и автоматическое исправление, Microsoft 365 Defender может обнаруживать и останавливать многие угрозы, не добавляя дополнительную усталость от оповещений к уже перегруженным персоналу SOC. Расширенный поиск внутри Microsoft 365 Defender привносит этот контекст в поиск, чтобы сосредоточиться на многих ключевых точках атаки. Поиск и оркестровка во всей экосистеме с помощью Azure Sentinel дает возможность получить правильную видимость всех аспектов гетерогенной среды, при этом сводя к минимуму когнитивную перегрузку оператора.

Обеспечение видимости, автоматизация и оркестрация с помощью модели "Никому не доверяй"

При реализации сквозной платформы с моделью "Никому не доверяй" для обеспечения видимости, автоматизации и оркестровки рекомендуется в первую очередь сосредоточиться на следующих начальных целях развертывания:
	I. Установите видимость. II. Включение автоматизации.
После того, как они будут выполнены, сосредоточьтесь на следующих дополнительных целях развертывания:
	III. Включите дополнительные элементы управления защитой и обнаружением.

Руководство по развертыванию: обеспечение видимости, автоматизация и оркестрация с помощью модели "Никому не доверяй"

Это руководство поможет вам выполнить инструкции, необходимые для управления видимостью, автоматизацией и оркестрацией, соблюдая принципы платформы безопасности по модели "Никому не доверяй".

Основные цели развертывания

I. Обеспечение видимости

Первый шаг — установить видимость, включив Защиту от угроз (Майкрософт) (MTP).

Выполните следующие действия:

1. Зарегистрируйтесь для одной из рабочих нагрузок Microsoft 365 Defender.
2. Включите рабочие нагрузки и установите подключение.
3. Настройте обнаружение на своих устройствах и в инфраструктуре, чтобы немедленно перейти к действиям, выполняемым в среде. Это дает вам все важные "сигналы", чтобы начать передачу потока важных данных.
4. Включите Microsoft 365 Defender для повышения видимости и обнаружения инцидентов в нескольких рабочих нагрузках.

II. Обеспечение автоматизации

Следующим ключевым шагом после установления видимости является включение службы автоматизации.

Автоматическое исследование и исправление

Благодаря Microsoft 365 Defender мы автоматизируем расследования и исправления, которые, по сути, предоставляют дополнительный анализ SOC уровня 1.

Автоматическое исследование и исправление (AIR) можно включать постепенно, чтобы можно было разработать комфортный уровень.

Выполните следующие действия:

1. Включите AIR для тестовой группы.
2. Анализ этапов исследования и устранения.
3. Постепенно переходите к автоматическому утверждению для всех устройств, чтобы сократить время на обнаружение и устранение.

Связывание соединителей данных Microsoft Purview и соответствующих продуктов сторонних производителей с Microsoft Sentinel

Чтобы получить представление об инцидентах, которые приводят к развертыванию модели нулевого доверия, важно подключить Microsoft 365 Defender, Соединители данных Microsoft Purview и соответствующие сторонние продукты в Azure Sentinel, чтобы обеспечить централизованную платформу для расследования инцидентов и реагирования.

В рамках процесса подключения к данным можно включить соответствующую аналитику для активации инцидентов и книг, которые с течением времени могут быть созданы для графического представления данных.

Связывание данных аналитики угроз с Microsoft Sentinel

Хотя машинное обучение и аналитика слияния предоставляются по умолчанию, также полезно принимать данные аналитики угроз в Microsoft Sentinel, чтобы упростить идентификацию событий, которые связаны с известными действиями злоумышленников.

Дополнительные цели развертывания

III. Включите дополнительные элементы управления для защиты и обнаружения

Включение дополнительных элементов управления улучшает сигнал, поступающий в Microsoft 365 Defender и Sentinel, что увеличивает эффективность видимости и способствует координации ответов.

Элементы управления для сокращения направлений атак представляют одну такую возможность. Эти защитные элементы управления не только блокируют некоторые действия, связанные с вредоносной программой, но и пытаются использовать определенные подходы, которые могут помочь выявить злоумышленников, использующих эти методы прежде в процессе.

Продукты, описанные в данном руководстве

Microsoft Azure

Microsoft Defender для удостоверений

Microsoft Sentinel

Microsoft 365

защита от угроз (Microsoft);

Серия руководств по развертыванию с использованием модели "Никому не доверяй"