你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全运营 (SecOps) 功能
云安全运营 (SecOps) 功能的主要目的是检测和响应对企业资产的主动攻击,以及从这些攻击中恢复。
随着 SecOps 的成熟,安全运营应:
- 对工具检测到的攻击做出反应性响应
- 主动寻找躲过被动检测的攻击
现代化
检测和响应威胁目前正在各个级别进行重要现代化。
- 提升到业务风险管理:SOC 正逐渐成为管理组织业务风险的关键组件
- 指标和目标:跟踪 SOC 有效性正在从“检测时间”演变为以下关键指标:
- 通过平均确认时间 (MTTA) 的响应性。
- 通过平均修正时间 (MTTR) 的修正速度。
- 技术演变:SOC 技术正在从 SIEM 中日志的静态分析的独占使用演变为添加专用工具和复杂分析技术的使用。 这提供对资产的深入见解,这些资产提供高质量的警报和调查体验,以补充 SIEM 的广度视图。 这两类工具都越来越多地使用 AI 和机器学习、行为分析和集成威胁情报来帮助发现可能成为恶意攻击者的异常行为并确定其优先级。
- 威胁搜寻:SOC 正在添加假设驱动的威胁搜寻功能,以主动识别高级攻击者并将嘈杂的警报移出一线分析师队列。
- 事件管理:规则正逐渐成为正式规则,以便与法律、通信和其他团队协调事件的非技术元素。 内部上下文集成:帮助确定 SOC 活动的优先级,例如用户帐户和设备的相对风险评分、数据和应用程序的敏感度,以及要密切保护的关键安全隔离边界。
有关详细信息,请参阅:
- 安全运营规则
- 安全运营最佳做法视频和幻灯片
- CISO 研讨会模块 4b:威胁防护策略
- 网络防御运营中心 (CDOC) 博客系列第 1 部分、第 2a 部分、第 2b 部分、第 3a 部分、第 3b 部分、第 3c 部分和第 3d 部分
- NIST 计算机安全事件处理指南
- 网络安全事件恢复的 NIST 指南
团队组成和关键关系
云安全运营中心通常由以下类型的角色决定。
- IT 运营(密切定期联系)
- 威胁情报
- 安全体系结构
- 内部风险计划
- 法律和人力资源
- 通信团队
- 风险组织(如果存在)
- 行业特定的协会、社区和供应商(发生事件之前)
后续步骤
查看安全体系结构的功能。