Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’opération de sécurité (SecOps) est fondamentale pour Confiance nulle, car elle garantit non seulement que les menaces sont évitées, mais aussi qu’elles sont détectées, examinées et répondues en continu. Dans un modèle Confiance nulle, les organisations supposent une violation, ce qui rend les fonctionnalités SecOps fortes essentielles pour contenir des attaques, réduire l’impact et maintenir la résilience.
Les conseils du pilier SecOps se concentrent sur la collecte et la corrélation des signaux de sécurité dans l’environnement, la détection et l’analyse des menaces, l’orchestration et l’automatisation des actions de réponse, la chasse proactive aux menaces et l’amélioration continue des opérations de sécurité.
Implémentation de l’atelier
L’atelier SecOps couvre les domaines d’implémentation résumés dans le tableau.
| Area | Détails |
|---|---|
| Centraliser les données de sécurité et la télémétrie | Intégrez les journaux et les signaux liés aux identités, aux appareils, au réseau, aux données et à l’infrastructure dans des plateformes centralisées pour une visibilité unifiée. Garantir une couverture complète des événements pertinents pour la sécurité dans l’environnement. |
| Identifier l’exposition et hiérarchiser la correction des risques | Analysez les chemins d’attaque, les configurations incorrectes et les expositions de sécurité dans l’environnement. Utilisez les fonctionnalités de gestion de l’exposition pour hiérarchiser la correction et réduire la probabilité et l’impact des attaques potentielles. |
| Détecter les menaces et générer des alertes de haute qualité | Utilisez des règles de détection, des analyses comportementales et des informations sur les menaces pour identifier les compromis potentiels. Générez des alertes à haut niveau de confiance et affinez en permanence la logique de détection pour améliorer la qualité des signaux et réduire les faux positifs. |
| Mettre en corrélation les alertes en incidents et hiérarchiser la réponse | Mettre en corrélation les alertes associées aux incidents, généralement par le biais d’une corrélation automatisée et appliquer la hiérarchisation en fonction du risque, de la gravité et de l’impact potentiel. Fournissez une approche structurée pour le triage et la gestion des incidents. |
| Examiner et répondre aux incidents | Exécutez des workflows d’investigation structurés pour comprendre l’étendue et l’impact des incidents. Contenir des menaces par le biais d’actions telles que l’isolation des appareils ou la désactivation de comptes, et garantir des processus de correction cohérents. |
| Automatiser la réponse et l’orchestration | Utilisez des outils et des workflows d’automatisation pour orchestrer, normaliser et accélérer les actions de réponse dans l’environnement. Activez l’endiguement et la correction automatisés, le cas échéant, pour réduire le temps de réponse et limiter le déplacement des attaquants. |
| Recherchez les menaces de manière proactive | Analysez les données de télémétrie collectées pour identifier les activités anormales, les techniques de l’attaquant et les indicateurs de compromission susceptibles d’échapper à la détection automatisée. Affinez continuellement les hypothèses de chasse et les stratégies de détection basées sur les résultats d’investigation, le renseignement sur les menaces et l’évolution du comportement des adversaires. |
| Tirer parti du renseignement sur les menaces | Incorporez des renseignements internes et externes sur les menaces pour enrichir les détections et les enquêtes. Utilisez des indicateurs et des données contextuelles pour améliorer la compréhension du comportement de l’attaquant et améliorer la couverture de détection. |
| Ajuster et optimiser en continu les détections | Examinez et affinez les alertes, les règles de suppression et la logique de détection pour réduire le bruit et améliorer l’efficacité opérationnelle. Assurez-vous que SecOps se concentre sur les signaux actionnables à valeur élevée. |
| Mettre en corrélation les signaux entre les domaines pour une visibilité complète des attaques | Combinez les signaux d’identité, d’appareil, de réseau, de données et d’infrastructure pour détecter des chaînes d’attaque complexes et multi-étapes. Utilisez la visibilité inter-domaines pour améliorer la profondeur d’investigation et l’efficacité de la réponse. |
| Améliorer continuellement les processus SecOps | Améliorez continuellement les stratégies de détection et les processus de réponse en fonction des apprentissages des incidents et de l’évolution des menaces. Incorporez les commentaires des incidents, de la chasse aux menaces et de l’analyse de l’exposition pour stimuler les améliorations opérationnelles en cours. |
Étapes suivantes
Commencez l’atelier SecOps.