使用零信任的可見度、自動化和協調流程
檢視方塊中具有 零信任 安全性架構標誌的其中一項重大變更,就是從預設信任轉向信任例外狀況。 不過,您需要一些可靠的方法來建立信任,一旦需要信任。 因為您不再假設要求為可信任,所以建立證明要求值得信任的方式,對於證明其時間點值得信任非常重要。 此證明需要能夠查看要求前後的活動。
在我們的其他 零信任 指南中,我們定義了在身分識別、端點和裝置、數據、應用程式、基礎結構和網路之間實作端對端 零信任 方法的方法。 所有這些投資都能提高可見度,讓您更妥善地做出信任決策。 不過,透過在這六個區域中採用 零信任 方法,您一定會增加安全性作業中心 (SOC) 分析師需要減輕的事件數目。 您的分析師在人才短缺的時候變得比以往更加忙碌。 這可能會導致慢性警示疲勞,分析師遺漏重大警示。
透過這些個別區域產生自己的相關警示,我們需要整合功能來管理產生的數據湧入,以更好地防範威脅並驗證交易的信任。
您要能夠:
- 偵測威脅和弱點。
- 調查。
- 回應。
- 打獵。
- 透過威脅分析提供其他內容。
- 評估弱點。
- 向世界級專家取得協助
- 防止或封鎖跨支柱發生的事件。
管理威脅包括被動式和主動式偵測,而且需要支援這兩者的工具。
反應式偵測 是從可調查的六個支柱之一觸發事件時。 此外,SIEM 等管理產品可能會支援另一層分析,以擴充資料並與其相互關聯,導致將事件標記為惡意。 下一個步驟就是調查以取得攻擊的完整記述。
主動式偵測 是在您將搜捕套用至數據以證明遭入侵的假設時。 威脅搜捕從您遭到入侵的假設開始,即您尋找確實有缺口的證據。
威脅搜捕從根據目前威脅的假設開始,例如COVID-19網路釣魚攻擊。 分析師從這種假設威脅開始,找出入侵的關鍵指標,並搜尋數據,看看是否有證據表明環境遭到入侵。 如果指標存在,搜捕案例可能會導致分析,以在特定指標再次發生時通知組織。
無論哪種方式,一旦偵測到事件,您需要調查它,以建置攻擊的完整故事。 用戶還有什麼做? 涉及哪些其他系統? 執行了哪些可執行檔?
如果從調查中發現可採取行動的結果,則可以採取補救步驟。 例如,假設調查發現零信任部署中的缺口,則可以修改原則來解決這些缺口,避免未來發生不必要的事件。 盡可能將補救步驟自動化,如此便能減少 SOC 分析師解決威脅並移至下一個事件所需的時間。
評估威脅的另一個重要元件是針對內嵌的數據納入已知的威脅情報。 如果已知IP、哈希、URL、檔案、可執行檔等不正確,則可以加以識別、調查和補救。
在基礎結構支柱中,花費時間來解決弱點。 如果已知系統易受攻擊,且威脅利用該弱點,則這是可以偵測、調查和補救的。
為了使用這些策略來管理威脅,您應該擁有中央控制台,讓SOC系統管理員能夠偵測、調查、補救、搜捕、利用威脅情報、瞭解已知弱點、依賴威脅專家,並封鎖跨六大要素的威脅。 支援這些階段所需的工具在匯集為單一工作流程時的效果最好,這會提供順暢的體驗,以提高 SOC 分析師的成效。
安全性作業中心通常會部署 SIEM 和 SOAR 技術的組合,以收集、偵測、調查及回應威脅。 Microsoft 提供 Microsoft Sentinel 作為其 SIEM 即服務供應項目。 Microsoft Sentinel 內嵌有所有適用於身分識別的 Microsoft Defender 和協力廠商資料。
Microsoft 365 Defender 是 Azure Sentinel 的重要摘要,提供統一的企業防禦套件,可跨所有Microsoft 365 元件帶來內容感知保護、偵測和回應。 藉由內容感知和協調,使用 Microsoft 365 的客戶可以跨端點、共同作業工具、身分識別和應用程式取得可見度和保護。
透過此階層,我們可讓客戶最大化其焦點。 雖然內容感知和自動化補救,Microsoft 365 Defender 可以偵測和停止許多威脅,而不會為已經超載的SOC人員增加額外的警示疲勞。 Microsoft 365 Defender 內部的進階搜捕將搜捕內容著重於許多關鍵攻擊點。 透過 Azure Sentinel 在整個生態系統中搜捕和協調流程可讓您正確瞭解異質環境的所有層面,同時將操作員的認知多載降到最低。
可見度、自動化和協調流程零信任部署目標
實作端對端零信任架構以取得可見度、自動化和協調流程時,建議您先專注於下列初始部署目標: |
|
I. 建立可見度。 II. 啟用自動化。 |
|
達成以上目標之後,專注於下列額外的部署目標: |
|
III.啟用額外的保護和偵測控制。 |
零信任 部署指南的可見度、自動化和協調流程
本指南將逐步引導您遵循 零信任 安全性架構的原則來管理可見度、自動化和協調流程所需的步驟。
|
初始部署目標 |
I. 建立可見度
第一個步驟是透過啟用 Microsoft 威脅防護 (MTP) 來建立可見度。
執行下列步驟:
- 註冊其中一個 Microsoft 365 Defender 工作負載。
- 啟用工作負載並建立連線。
- 在您的裝置和基礎結構上設定偵測,以立即查看環境中進行的活動。 這可為您提供至關重要的「起點」來開始重要資料流程。
- 啟用 Microsoft 365 Defender,以取得跨工作負載可見度和事件偵測。
II. 啟用自動化
建立可見度之後,下一個重要步驟是啟用自動化。
自動化調查和補救
使用 Microsoft 365 Defender,我們已自動化調查和補救,基本上會提供額外的第 1 層 SOC 分析。
您可以逐步啟用自動化調查和補救 (AIR),以便制定方便採取動作的層級。
執行下列步驟:
- 為測試群組啟用 AIR。
- 分析調查步驟和回應動作。
- 逐步將所有裝置轉換為自動核准,以減少偵測和回應的時間。
將 Microsoft Purview 資料連接器和相關協力廠商產品連結至 Microsoft Sentinel
若要瞭解部署 零信任 模型所造成的事件,請務必將 Microsoft 365 Defender、Microsoft Purview Data Connectors 和相關第三方產品連線至 Azure Sentinel,以提供事件調查和回應的集中式平臺。
在資料連線過程中,可以啟用相關分析來觸發事件,也可以建立活頁簿作為一段時間內資料的圖形表示。
將威脅情報資料連結至 Microsoft Sentinel
雖然現成提供機器學習和融合分析,但將威脅情報資料內嵌到 Microsoft Sentinel,以協助識別與已知不良實體相關的事件,也很有幫助。
|
其他部署目標 |
III. 啟用其他保護和偵測控制
啟用其他控制可改善傳入至 Microsoft 365 Defender 和 Sentinel 的訊號,藉以提高可見度及協調回應的能力。
受攻擊面縮小控制即為其中一項機會。 這些保護控制不僅會封鎖與惡意程式碼最相關的特定活動,還會嘗試使用特定方法,以協助偵測在過程早期利用這些技術的敵人。
本指南涵蓋的產品
Microsoft Azure
Microsoft 365
零信任 部署指南系列