安全操作(SecOps)是零信任的基础,因为它不仅可确保防止威胁,而且确保持续检测、调查和响应它们。 在零信任模型中,组织应假定已发生入侵,因此强大的 SecOps 能力对于遏制攻击、降低影响并保持韧性至关重要。
SecOps 支柱指南侧重于在整个环境中收集和关联安全信号、检测和分析威胁、协调和自动执行响应操作、主动搜寻威胁以及持续改进安全操作。
研讨会实施
SecOps 研讨会涵盖表中汇总的实现区域。
| Area | 详细信息 |
|---|---|
| 集中安全数据和遥测 | 将标识、设备、网络、数据和基础结构中的日志和信号集成到集中式平台中,以统一可见性。 确保在整个环境中全面涵盖安全相关事件。 |
| 识别风险暴露并优先安排风险修复 | 分析整个环境中的攻击路径、配置错误和安全风险。 使用曝光管理功能确定修正的优先级,并减少潜在攻击的可能性和影响。 |
| 检测威胁并生成高质量的警报 | 使用检测规则、行为分析和威胁智能来识别潜在的泄露。 生成高置信度警报并持续优化检测逻辑,以提高信号质量并减少误报。 |
| 将警报关联到事件中并设置响应优先级 | 将相关警报关联到事件中,通常通过自动关联,并根据风险、严重性和潜在影响应用优先级。 为分诊和事件管理提供一种结构化方法。 |
| 调查和响应事件 | 执行结构化调查工作流,以了解事件的范围和影响。 通过隔离设备或禁用帐户等操作遏制威胁,并确保采用统一的修复流程。 |
| 自动化响应和编排 | 使用自动化工具和工作流协调、标准化和加速整个环境中的响应操作。 在适当的时候启用自动遏制和修正,以减少响应时间并限制攻击者的移动。 |
| 主动搜寻威胁 | 分析收集的遥测数据,以识别可能逃避自动检测的异常活动、攻击者技术和泄露指标。 根据调查结果、威胁情报和不断演变的对手行为,持续优化搜寻假设和检测策略。 |
| 利用威胁情报 | 整合内部和外部威胁情报,以丰富检测和调查。 使用指示器和上下文数据改进对攻击者行为的了解,并增强检测覆盖率。 |
| 持续优化和优化检测 | 查看和优化警报、抑制规则和检测逻辑,以减少噪音并提高运营效率。 确保 SecOps 侧重于高价值且可操作的信号。 |
| 跨域关联信号,实现完全攻击可见性 | 合并标识、设备、网络、数据和基础结构信号,以检测复杂的多阶段攻击链。 使用跨域可见性来提高调查深度和响应有效性。 |
| 持续改进 SecOps 流程 | 根据事件学习和不断演变的威胁,持续改进检测策略和响应过程。 整合来自事件、威胁搜寻和暴露分析的反馈,以推动正在进行的运营改进。 |
后续步骤
开始 SecOps 研讨会。