Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Sicherheitsvorgang (SecOps) ist für Zero Trust von grundlegender Grundlage, da dadurch nicht nur sichergestellt wird, dass Bedrohungen verhindert werden, sondern auch kontinuierlich erkannt, untersucht und geantwortet werden. In einem Zero Trust-Modell gehen Organisationen von Sicherheitsverletzungen aus, wodurch starke SecOps-Funktionen erforderlich sind, um Angriffe zu enthalten, Auswirkungen zu verringern und Resilienz aufrechtzuerhalten.
SecOps-Säulenleitfaden konzentrieren sich auf das Sammeln und Korrelieren von Sicherheitssignalen in der gesamten Umgebung, das Erkennen und Analysieren von Bedrohungen, die Orchestrierung und Automatisierung von Reaktionsaktionen, die proaktive Suche nach Bedrohungen und die kontinuierliche Verbesserung von Sicherheitsvorgängen.
Workshop-Implementierung
Der SecOps Workshop behandelt die in der Tabelle zusammengefassten Implementierungsbereiche.
| Area | Details |
|---|---|
| Zentralisieren von Sicherheitsdaten und Telemetrie | Integrieren Sie Protokolle und Signale von Identität, Geräten, Netzwerken, Daten und Infrastruktur in zentralisierte Plattformen, um einheitliche Sichtbarkeit zu ermöglichen. Stellen Sie eine umfassende Abdeckung sicherheitsrelevanter Ereignisse in der gesamten Umgebung sicher. |
| Identifizieren von Risiken und Priorisieren der Risikobehebung | Analysieren Sie Angriffspfade, Fehlkonfigurationen und Sicherheitsrisiken in der gesamten Umgebung. Verwenden Sie Die Funktionen für die Gefährdungsverwaltung, um Korrekturen zu priorisieren und die Wahrscheinlichkeit und Auswirkungen potenzieller Angriffe zu verringern. |
| Erkennen von Bedrohungen und Generieren von warnungen hoher Qualität | Verwenden Sie Erkennungsregeln, Verhaltensanalysen und Bedrohungsintelligenz, um potenzielle Kompromittierungen zu identifizieren. Generieren Sie vertrauenswürdige Warnungen und verfeinern Sie die Erkennungslogik kontinuierlich, um die Signalqualität zu verbessern und falsch positive Ergebnisse zu reduzieren. |
| Korrelieren von Warnungen in Vorfälle und Priorisieren der Reaktion | Korrelieren Sie verwandte Warnungen in Vorfälle, in der Regel durch automatisierte Korrelation, und wenden Sie Priorisierung basierend auf Risiko, Schweregrad und potenziellen Auswirkungen an. Bieten Sie einen strukturierten Ansatz für die Triage- und Vorfallverwaltung. |
| Untersuchen und Reagieren auf Vorfälle | Führen Sie strukturierte Untersuchungsworkflows aus, um den Umfang und die Auswirkungen von Vorfällen zu verstehen. Dämmen Sie Bedrohungen durch Maßnahmen wie die Isolierung von Geräten oder die Deaktivierung von Konten ein und stellen Sie konsistente Behebungsprozesse sicher. |
| Automatisieren der Reaktion und Orchestrierung | Verwenden Sie Automatisierungstools und Workflows, um Reaktionsaktionen in der gesamten Umgebung zu koordinieren, zu standardisieren und zu beschleunigen. Aktivieren Sie die automatisierte Eindämmung und Behebung, falls zutreffend, um die Reaktionszeit zu reduzieren und die Bewegung des Angreifers zu begrenzen. |
| Proaktive Suche nach Bedrohungen | Analysieren Sie gesammelte Telemetrie, um anomaliele Aktivitäten, Angreifertechniken und Kompromittierungsindikatoren zu identifizieren, die die automatisierte Erkennung umgehen können. Verfeinern Sie kontinuierlich Suchhypothes und Erkennungsstrategien basierend auf Untersuchungsergebnissen, Bedrohungserkennung und sich entwickelnden Gegnerverhalten. |
| Nutzen Sie Bedrohungsinformationen | Integrieren Sie interne und externe Bedrohungsintelligenz, um Erkennungen und Untersuchungen zu erweitern. Verwenden Sie Indikatoren und Kontextdaten, um das Verständnis des Verhaltens von Angreifern zu verbessern und die Erkennungsabdeckung zu verbessern. |
| Erkennungen kontinuierlich abstimmen und optimieren | Überprüfen und verfeinern Sie Warnungen, Unterdrückungsregeln und Erkennungslogik, um Rauschen zu reduzieren und die Betriebseffizienz zu verbessern. Stellen Sie sicher, dass SecOps sich auf hochwertige, umsetzbare Signale konzentriert. |
| Korrelieren von Signalen über Domänen hinweg zur vollständigen Sichtbarkeit von Angriffen | Kombinieren Sie Identitäts-, Geräte-, Netzwerk-, Daten- und Infrastruktursignale, um komplexe, mehrstufige Angriffsketten zu erkennen. Verwenden Sie domänenübergreifende Sichtbarkeit, um die Untersuchungstiefe und Reaktionseffektivität zu verbessern. |
| SecOps-Prozesse kontinuierlich verbessern | Verbessern Sie Erkennungsstrategien und Reaktionsprozesse kontinuierlich basierend auf Vorfällen und sich entwickelnden Bedrohungen. Integrieren Sie Feedback von Vorfällen, Bedrohungssuche und Expositionsanalyse, um laufende operative Verbesserungen voranzutreiben. |
Nächste Schritte
Beginnen Sie den SecOps-Workshop.