微软安全运营架构解读

这篇具有很好参考价值的文章主要介绍了微软安全运营架构解读。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

微软安全安全架构解读-安全运营篇

微软在其网络安全架构中对安全运营部分基于自身实践提出了安全运营架构,微软认为安全运营的主要挑战是安全运营工具的竖井,需要通过工具和数据进行集成,并提出了微软的安全运营架构和安全运行模型。

竖井是安全运营的挑战

安全运营架构,安全,安全运营,microsoft,安全
安全运营在尝试跨系统跟踪攻击者时,经常面临内部的诸多障碍,由于企业IT产业复杂和资源类型繁多,安全工具的孤岛化,放大了这种复杂性。因为攻击者通常遵循生产用户在企业中访问资源的路径来完成攻击任务,攻击者则不会受到这种复杂性的影响,而防御者通常受限于孤立的工具,且缺乏对企业整个环境的可视性,很难迅速跟踪这些攻击者。

虽然安全运营使用不同工具执行分析工作,来加强团队之间的协作,但因为工具在设计时并没有考虑作为单个系统运行,通常整合这些孤岛难度很大,主要的挑战包括不同工具以不同类型的竖井和对象(如端点、电子邮件)为中心,不同对象使用的格式和标识符也不同,同的工具有通常有不同的偏差,使得它们之间的数据难以集成。

工具和数据的集成

安全运营架构,安全,安全运营,microsoft,安全
微软做了大量的安全运营的集成工作,将自身的工具集本地化集成到产品工程中来优化分析师使用体验。

  • 从功能较强的云扩展检测工具开始,提供 API 接口供集成的工具之间互相通信,确保数据集成符合安全和隐私法规以及客户合同。

  • 统一实体的信誉数据,为端点、IP 地址、电子邮件等物品及其各种属性启用统一的语言定义,统一每个工具的信誉数据

  • 统一语义和意义,确保各种术语的使用保持一致

  • 自动化保护和补救行动 ,确保自动化运行于所有的系统

  • 单一门户体验,整合成单一的Microsoft 365 Defender门户

微软安全运营参考架构

安全运营架构,安全,安全运营,microsoft,安全

安全运营以人为中心

微软认为安全运营是技术性的领域,首先是以人为中心,需要技术进行赋能,这些现代安全运营技术能帮助扩展人类的技能和经验,尤其在多云及混合的环境下面对高级的安全攻击。

微软提供了三类顾问或外包专家协助:

  • 微软威胁专家,内置于 Microsoft 365 Defender 中的托管威狩猎服务,为安全操作中心 (SOC) 提供专家级别的监控和分析,帮助确保您特环境中的关键威胁不会错过。
  • 微软事件响应和恢复服务,微软的检测和响应团队 (DART)和客户支持为事件响应、恢复和搜索(现场和远程)提供帮助。
  • 合作伙伴 / 托管检测和响应,Microsoft 与业内顶级专家合作,建立这些 Microsoft 安全运营能力的专业知识,以便合作伙伴能够为客户提供建议并直接支持客户。

XDR作为基础的安全运营工具

  • XDR工具能极大提高安全运营效率
    微软认为XDR扩展检测和响应工具的引入,能给安全运营工作的效率和效果带来了极大的提升,XDR工具一方面提供了针对特定资产类型的深度可视化,也提供了增强的检测、响应和恢复能力,能为SIEM提供高质量的警报,降低误报率。使安全分析师可以关注真实的风险调查中,减少检查误报和维护查询的时间。

  • 安全自动化(SOAR)和集成
    加强安全运营能力的另一个关键要素是采用安全编排、自动化和修复(SOAR)技术将工具集成在一起。以减少分析师的人工活动和不必要的控制台切换,使用机器响应提高响应时间和速度;可扩展安全运营的规模,以适应不断增长的攻击量和企业多云/混合环境的复杂性。微软提供了以下工具集成实现安全自动化:

  • Azure Sentinel和SIEM的现代化

    Azure Sentinel是一种基于云的SIEM,通过横跨XDR工具和任意的日志/数据源获得完整的可视性。除了传统的静态分析功能,还集成了 SOAR、ML、UEBA、威胁情报和安全数据湖的方法,以改进威胁检测、调查和威胁狩猎流程。Azure Sentinel还利用 Azure 数据资源管理器以更低的成本存档大量数据。

安全运营重要指标

通常严重的网络攻击与攻击人员的攻击接近实时发生,所以,安全运营的成功指标应重点关注攻击者在环境中的驻留时间上,主要从3个指标衡量:

  • 衡量响应效率的平均响应时间-MTTA,度量人员在接收到告警后,花费多久响应并开始检测。

  • 衡量效果的平均修复时间MTTR,度量一个安全事件从分析到移除花费了多久。

  • 告警的质量,度量警报的质量能确保分析师不浪费在误报的警报上,因此组织还应进行积极的威胁狩猎,用高级分析师搜索低质量的警报,以主动搜寻未被检测到的攻击威胁。

安全运营模型

安全运营架构,安全,安全运营,microsoft,安全
微软也提出了安全运营分层处理的模型,阐述不同层级组织、工具、工作内容的主要差异,据此可构建合理的安全运营流程。

微软认为有效的安全运营专注于管理环境中主动攻击者的风险,运营活动主要分为三类:反应式的事件活动(称为"热门"路径) 、主动狩猎和告警调整活动(称为"冷"路径)、关键的支持功能。每个安全运营活动由多个不同的职能组成,每个职能/团队都有一个主要的重点领域,并且还必须与其他功能和外部团队密切合作才能有效。上图的模型描绘了配备人员齐全的团队的完整模型,但在较小的组织中,这些功能通常被合并为单个角色或团队,或由 IT 运营(用于技术角色)执行。

  • 自动化处理

    从处理反应性警报开始 ,通过自动化对已知攻击事件类型进行近实时解决,这些攻击是组织多次看到的明确定义的攻击。

  • 分类筛选(第1层)

    该团队属于一线分析人员,专注于快速修补大量已知事件类型,这些事件类型仍然需要分析人员进行快速的人工判断。通常的任务是审批批准自动修复工作流程,并识别需要升级或需要调查团队(2层)检查的异常情况。

  • 调查和事件管理(第2层)

    该团队为分类筛选(第1层)问题的升级点,主要监控任务包括:触发更复杂的攻击者行为的警报、与关键业务资产相关的特殊案例警报,以及持续攻击活动的监控。

    该团队对更复杂、较低数量的攻击(通常是由人类攻击者进行的多阶段攻击)进行更深入的调查。该团队将新的/不熟悉的警报类型用于记录分类团队和自动化流程,通常包括 Azure Defender 在云托管应用程序、VM、容器和 Kubernetes、SQL 数据库等上生成的警报。该层事件管理团队负责管理安全事件的技术方面,包括与其他团队(如沟通、法律、领导和其他业务利益相关者)的协调。

  • 狩猎和事件管理(第3层)

    这是一个多学科的团队,专注于识别可能在被动的检测中未发现的攻击者。狩猎团队主动寻找未发现的威胁,协助升级和高级取证进行反应性调查,并改进警报和自动化。这些团队的运行方式更多的是假设驱动的模型,而不是被动警报的模型。该层的事件管理团队主要处理影响业务的重大事件。

不同层级团队分工协同

  • 分类筛选团队分析师(第1层)得到的如恶意软件警报等大多数案例都提供了快速修复的方法,但通过分析师具体分析后,可能需要高级的修复方式,升级到调查分析员(第2层),后者可能会利用Azure Sentinel或其他SIEM获得更广泛的深入调查,着手进行补救和结案。最后,狩猎分析师(第3层)可能会在审查已关闭的事件中注意到该案例,再进一步挖掘出共性或异常的情况,比如:检测可能适合于自动修复的、多个相似的事件可能有通常的根本原因、其他潜在的流程/工具和告警的改善等。

总结

结合以上安全运营的架构的分析,微软认为安全运营需要重要解决的是主动攻击者的风险,而目前的安全运营主要依靠采集数据到进行SIEM的分析是不够的,因为采集的数据缺少检测、缺少一致性的语言定义,也缺少在安全运营各资产相关安全保护的工具之间统一的术语,这就造成了安全工具的竖井,竖井的产生也造成了跨工具追踪攻击者的困难。XDR也正是为了解决这一问题而产生,微软统一了基本覆盖企业所有各类资产的XDR控制台,实现了数据的共享和集成,在通过安全自动化平台,以减轻安全运营的人工工作量,提高安全运营的效率和效果。

微软安全架构参考材料:aka.ms/MCRA文章来源地址https://www.toymoban.com/news/detail-536338.html

到了这里,关于微软安全运营架构解读的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 探索 PlanetIX:解读区块链游戏运营的奥秘

    作者: daniel@footprint.network 熊市之中,PlanetIX 成长为最强的 Web3 游戏,在 Polygon 网络上独占鳌头。而其开发团队深度使用了 Footprint Analtics 的零代码数据分析平台和-GameFi 的数据 API 来提升用户的游戏体验。  近日,Footprint 与 PlanetIX 的 CMO Melly 一同讨论了 GameFi 的现状和未来,以

    2024年02月09日
    浏览(50)
  • javamail微软邮箱imap协议使用oauth2.0认证--微软邮箱中国版(21v世纪互联运营的微软邮箱)

    使用微软国际版的看:javamail微软邮箱imap协议使用oauth2.0认证–微软邮箱国际版 imap协议使用oauth2.0身份认证,必须先对帐号进行授权,授权方式可以看我之前的文章:微软邮箱oath2协议下,使用imap协议时对账号授权,如果不进行授权,即使认证通过了,但是获取邮件相关文件

    2024年04月12日
    浏览(41)
  • 由世纪互联运营的Microsoft Teams携创新功能正式发布,夯实“企业数字中枢”

    2023 年 4 月 18 日,北京—— 今日,微软宣布由世纪互联运营的Microsoft Teams推出一系列创新功能,围绕企业数字核心能力,赋能数字化协作空间、智能化协作体验、整合生产力工具和工作流、安全合规、构建团队文化等五大落地场景,这将进一步帮助中国市场客户构建以Teams为

    2024年02月05日
    浏览(46)
  • 【微软产品介绍】 Microsoft Office 套件

    Microsoft Office 套件是当今最为流行和广泛应用的办公软件套件之一。它包含了一系列强大的工具和功能,以满足个人、学生和企业在办公场景中的各种需求。无论是处理文字、数据分析、幻灯片演示,还是管理电子邮件和数据库,Microsoft Office 套件都提供了一站式的解决方案。

    2024年02月12日
    浏览(43)
  • 微软云 (Microsoft Cloud) 技术概述

    本篇是一个概述,无论从事技术的你处在什么样的位置,都可以进行了解。特别地如果你是企业IT领导者,你可能不需要知道公司使用的技术的每个细节。 然而,你确实需要在全局上有一定的了解。 你的员工应该使用什么技术?这些技术如何结合在一起? 最重要的是,什么样

    2024年02月12日
    浏览(38)
  • MacOS 微软办公套件 Microsoft Office

    Microsoft Corporation 包含新版 Mac 版 Word、Excel、PowerPoint、Outlook 和 OneNote。 ➤ 前往下载 ⇲ Mac 自带的3件套虽然也很好用,但很多人对微软的 office 使用的较为熟练,所以该套件现在也可以在 mac 上轻松使用了,并且体验比 windows 还要好,赞赞~ Office for Mac 的发行说明 附带 Microso

    2024年02月11日
    浏览(43)
  • 【Azure】微软 Azure 基础解析(三)描述云计算运营中的 CapEx 与 OpEx,如何区分 CapEx 与 OpEx

    本系列博文还在更新中,收录在专栏:「Azure探秘:构建云计算世界」 专栏中。 本系列文章列表如下: 【Azure】微软 Azure 基础解析(三)云计算运营中的 CapEx 与 OpEx,如何区分 CapEx 与 OpEx 【Azure】微软 Azure 基础解析(四)Azure核心体系结构组件之数据中心、区域与区域对、

    2024年02月08日
    浏览(73)
  • 微软商店 Microsoft Store或者Microsoft ToDo连接不上网络解决方法

    最近几个月发现微软商店打开不了,错误码显示为“代码: 0x80131500”,网络连接正常但是加载不出来页面,还有Microsoft ToDo也无法同步,今天下定决心去把他给调好。 在网上搜索了许多的博客,最终大致确定有三种原因: 没开Microsoft store的wlan使用权限 UWP应用自身特性导致

    2024年02月04日
    浏览(92)
  • 如何在 微软Microsoft 官网 下载 office365

    百度 office 365 登录账号 点击下载

    2024年02月16日
    浏览(81)
  • 微软商店Microsoft Store无法安装Ubuntu

    相信很多人在用微软商店下载linux先行版如Ubuntu都会报错而无法下载,而官网下都则是一个完整的镜像,不能在window上运行。在这里我以Ubuntu给大家列出两个解决方法。 方法一:         第一个方法是通过修改host来解决Microsoft  Store不稳定问题。来自B站的一位up主的视频。具

    2024年02月11日
    浏览(53)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包