Trace Id is missing

跳转至主内容

Microsoft 安全

Microsoft 安全

主页
合作伙伴
连络销售人员
开始免费试用

无结果

家庭版会审调查搜寻事件管理自动化

安全运营自我评估工具

安全运营成熟度自我评估将帮助你确定安全运营中心团队在攻击者攻击时进行检测、响应和恢复的准备情况。了解你的安全运营在安全成熟度模型中所处的阶段，并获取改进流程和工具的建议，以改善你的准备情况。

分流

评估警报、设置优先级并将事件路由给安全运营中心团队成员以进行解决。

调查

快速判定警报是指示实际攻击还是误报。

搜寻

更加专注于搜索逃避你的主要和自动防御的攻击者。

事件管理

通过技术、运营、通信、法律和治理功能协调响应。

自动化

节省分析师时间、提高响应速度并减少工作量。

终结点 • 第 1 个问题（共 5 个）

如何确定事件和威胁警报的优先级?

（选择所有适用项）

源的真阳性率

将威胁智能应用于相关事件

事件关键性 (高、中、低)

终结点 • 第 2 个问题（共 5 个）

在多大程度上使用自动化来调查和修正大量或重复的事件?

大多数情况下

有时

很少

无自动化

终结点 • 第 3 个问题（共 5 个）

你在多少个场景中使用基于云的工具来保护本地及多重云资源的安全?

许多情况下

少数情况下

完全没有

终结点 • 第 4 个问题（共 5 个）

是否拥有票据系统来管理安全事件，并衡量确认的时间和修正的时间?

是

是的，但它是手动完成的

否

终结点 • 第 5 个问题（共 5 个）

如何管理警报疲劳?

（选择所有适用项）

筛选低质量警报，并通过威胁搜寻解决

授权有机会的离班时间，如学习活动、与其他团队的人员交流，以及跟随其他 SecOps 角色

投资 SOAR 或其他自动化技术

Group of people sitting in a conference room

建议

根据你的回答，你正处于优化安全运营阶段。

获取有关如何优化安全运营中心成熟度的详细信息。

Group of people sitting in a conference room

建议

根据你的回答，你正处于高级安全运营阶段。

获取有关如何进入安全运营中心成熟度最佳阶段的详细信息。

Group of people sitting in a conference room

建议

根据你的回答，你正处于基本安全运营阶段。

获取有关如何进入安全运营中心成熟度高级阶段的详细信息。

以下资源和建议可能对该阶段会有帮助。

威胁警报优先级

威胁警报的优先级对成功至关重要。根据来源的真阳性率来评分为最佳实践。探索安全性领导的关键见解和最佳做法，以使你的安全性操作成熟起来。了解详细信息

自动化

自动化有助于将你和运营团队从繁琐的任务中解脱出来，这样即可专注于关键威胁，以提高工作效率，并减少倦怠。
了解如何在 Microsoft Defender for Endpoint 中配置自动化

充分使用基于云的工具

基于云的工具帮助查阅整个组织在云端的威胁情况。转向基于云的 SIEM 可以减少内部 SIEM 解决方案所带来的挑战。了解详细信息

通过票据管理安全事件

拥有票据系统有助于团队更高效地工作以及更成功地对抗威胁。了解详细信息

管理警报疲劳

管理警报疲劳对于平稳运行安全业务至关重要。如果还没有优先级系统，团队可能最终会因调查假阳性而让严重威胁通过，这则可能会导致倦怠。Azure Sentinel 通过机器学习减少警报疲劳。了解详细信息

通过电子邮件发送结果

终结点 • 第 1 个问题（共 10 个）

分析师在事件调查中使用了多少安全工具 (例如，供应商产品或门户以及自定义工具或脚本)

<10

10-20

20+

终结点 • 第 2 个问题（共 10 个）

是否使用 SIEM 或其他工具来合并和关联所有数据源?

所有数据源

部分数据源

无 SIEM

终结点 • 第 3 个问题（共 10 个）

是否在检测和调查中使用操作分析法 (例如，用户实体和行为分析法，或 UEBA)?

是

不一致地

否

终结点 • 第 4 个问题（共 10 个）

是否使用侧重于标识的检测和调查工具?

是

不一致地

否

终结点 • 第 5 个问题（共 10 个）

是否使用侧重于终结点的检测和调查工具?

是

不一致地

否

终结点 • 第 6 个问题（共 10 个）

是否使用侧重于电子邮件和数据的检测和调查工具?

是

不一致地

否

终结点 • 第 7 个问题（共 10 个）

是否使用侧重于 SaaS 应用的检测和调查工具?

是

不一致地

否

终结点 • 第 8 个问题（共 10 个）

是否使用侧重于云基础结构的检测和调查工具，如虚拟机、物联网 (IoT) 和操作技术 (OT)?

是

不一致地

否

终结点 • 第 9 个问题（共 10 个）

是否使用 MITRE ATT&CK 或其他框架来跟踪和分析事件?

是

不一致地

否

终结点 • 第 10 个问题（共 10 个）

调查或搜寻团队是否检查分流队列中的案件以确定趋势、根原因和其他见解?

是

不一致地

否

Two people are discussing.

建议

根据你的回答，你正处于优化安全运营阶段。

关键资源:

了解合并的安全堆栈如何降低风险和成本。
详细了解安全运营 (SecOps) 功能。

获取有关如何优化安全运营中心成熟度的详细信息。

Two people are discussing.

建议

根据你的回答，你正处于高级安全运营阶段。

关键资源:

了解合并的安全堆栈如何降低风险和成本。
详细了解安全运营 (SecOps) 功能。

获取有关如何进入安全运营中心成熟度最佳阶段的详细信息。

Two people are discussing.

建议

根据你的回答，你正处于基本安全运营阶段。

关键资源:

了解合并的安全堆栈如何降低风险和成本。
详细了解安全运营 (SecOps) 功能。

获取有关如何进入安全运营中心成熟度高级阶段的详细信息。

以下资源和建议可能对该阶段会有帮助。

集成安全性工具

使用跨领域的智能、自动化和集成安全性解决方案可以帮助 SecOps 防御者将看似不同的警报联系起来，并领先于攻击者。探索联合 SIEM 和 XDR 解决方案如何帮助阻止高级攻击。了解详细信息
使安全操作中心现代化以更好地确保远程工作人员安全。了解详细信息。

使用 SIEM 来整合数据源

SIEM (如 Azure Sentinel) 提供了威胁环境的鸟瞰图，并捕获了所有的威胁数据，以帮助你变得更加积极主动来避免错过任何事件。什么是 Azure Sentinel?
详细了解 Microsoft 网络安全参考体系结构。

Microsoft 安全操作的最佳实践

机器学习和行为分析是最佳实践，可以帮助你快速识别具有高置信度的异常事件。了解详细信息

数据访问管理

了解能够访问数据的人员以及他们的访问类型非常重要。使用基于识别的框架是降低风险和提升工作效率的最佳实践。了解详细信息

终结点管理

了解从传统边界以外访问数据的人员以及这些设备是否运行状况良好是一种最佳实践。Microsoft Defender for Endpoint 可以通过该步骤指南来帮助你。了解详细信息
了解如何部署 Microsoft Defender for Endpoint

电子邮件和数据检测

恶意操作者可以通过被盗用的商业电子邮件进入你的环境中。能够检测和阻止诸如网络钓鱼等威胁的解决方案可以帮助避免让终端用户承担安全性任务。了解详细信息

SaaS 应用检测

保护能够访问你的敏感数据的基于云的解决方案非常重要。

云基础结构检测

随着包括 IoT 和存储、容器以及云基础结构的其他组件在内的外围的扩展，对环境中这些扩展设置的监控和检测非常重要。

跟踪和分析事件

MITRE ATT&CK® 是一个全球通用的、基于现实世界观察的对手战术和技术知识库。拥有像 MITRE ATT&CK 这样的框架可以帮助你开发能够帮助主动形成防御措施的特定威胁模型和方法。

文档和审阅

若要获得见解并积极应对威胁，则记录调查文档非常重要。

通过电子邮件发送结果

终结点 • 第 1 个问题（共 4 个）

是否将主动搜寻威胁作为安全战略的一部分?

是

不一致地

否

终结点 • 第 2 个问题（共 4 个）

是否使用 Jupyter 笔记本等自动搜寻程序?

是

不一致地

否

终结点 • 第 3 个问题（共 4 个）

是否有流程和工具来帮助检测和管理内部威胁?

是

是的，但不要一直遵循它们

否

终结点 • 第 4 个问题（共 4 个）

你的搜寻团队是否抽出时间来完善警报，以提高分流 (1 级) 团队的真阳性率?

是

不一致地

否

Three people are discussing at their desk.

建议

根据你的回答，你正处于优化安全运营阶段。

关键资源:

详细了解 Microsoft 365 中的内部风险管理。

获取有关如何优化安全运营中心成熟度的详细信息。

Three people are discussing at their desk.

建议

根据你的回答，你正处于高级安全运营阶段。

关键资源:

详细了解 Microsoft 365 中的内部风险管理。

获取有关如何进入安全运营中心成熟度最佳阶段的详细信息。

Three people are discussing at their desk.

建议

根据你的回答，你正处于基本安全运营阶段。

关键资源:

详细了解 Microsoft 365 中的内部风险管理。

获取有关如何进入安全运营中心成熟度高级阶段的详细信息。

以下资源和建议可能对该阶段会有帮助。

主动搜寻威胁

在威胁发生之前识别它们。确定的对手可以找到绕过自动检测的方法，所以有一个积极主动的策略非常重要。通过加快操作时间来减少内部风险的影响。了解详细信息
查看 Microsoft SOC 如何进行威胁搜索

自动搜寻

使用自动搜寻程序可以帮助提高生产效率和减少数量。

内部威胁

随着员工、供应商和承包商从无数个终结点访问企业网络，风险从业者能够快速识别组织内部发生的风险并采取修正措施，这比以往任何时候都更加重要。
了解内部威胁监控
内部风险管理入门

完善搜寻过程

从威胁搜寻团队收集的见解可以帮助完善和提高分流警报系统的准确性。了解详细信息

通过电子邮件发送结果

终结点 • 第 1 个问题（共 5 个）

团队是否有处理重大安全事件的危机管理流程?

是的，我们拥有专用团队。

是的，我们始终遵循临时流程 (例如，基于 FEMA 事件指挥系统的流程，或 ICS)。

不，我们做临时报告。

终结点 • 第 2 个问题（共 5 个）

该流程是否包含引入具有深入事件响应、威胁智能或技术平台专长的供应商团队的规定?

是的，拥有明确的参与触发器。

是的，但我们并未一直遵循它。

不，我们拥有临时流程。

终结点 • 第 3 个问题（共 5 个）

该流程是否涉及行政领导，包括法律团队和监管机构?

是

不一致地

否

终结点 • 第 4 个问题（共 5 个）

该流程是否包括通信和公共关系团队?

是

不一致地

否

终结点 • 第 5 个问题（共 5 个）

团队是否定期进行练习，以实践和完善该流程?

是

不一致地

否

Woman working on her touch screen laptop

建议

根据你的回答，你正处于优化安全运营阶段。

关键资源:

详细了解 Microsoft 365 中的内部风险管理。

获取有关如何优化安全运营中心成熟度的详细信息。

Woman working on her touch screen laptop

建议

根据你的回答，你正处于高级安全运营阶段。

关键资源:

详细了解 Microsoft 365 中的内部风险管理。

获取有关如何进入安全运营中心成熟度最佳阶段的详细信息。

Woman working on her touch screen laptop

建议

根据你的回答，你正处于基本安全运营阶段。

关键资源:

详细了解 Microsoft 365 中的内部风险管理。

获取有关如何进入安全运营中心成熟度高级阶段的详细信息。

以下资源和建议可能对该阶段会有帮助。

事件响应

危机应对中会议记录很重要。即使已拥有临时流程，确保快速修正和事件管理也很重要。
获取“事件响应参考指南”
了解如何防止从勒索软件到敲诈的网络安全攻击的信息。

事件修正

敏捷性和灵活性对于修正和事件管理非常重要。了解和评估团队技能和经验所在，也有助于确定所需要的供应商团队和技术。了解详细信息

减轻影响

安全是组织中每个人的职责。其他商业利益相关者的见解可以为减轻安全漏洞的影响提供具体指导。
观看 CISO 聚焦系列
详细了解云安全

通信和公共关系

流程应该包括一旦发生违规事件时的公共关系和沟通计划，以便准备好支持客户并降低违规事件的影响。了解如何运行高效安全操作。

业精于勤

实践确保你能在违规事件发生前发现差距和需要改进的地方。测试作业实践，以确保准备好应对违规事件。

通过电子邮件发送结果

终结点 • 第 1 个问题（共 4 个）

是否有供应商提供的或供应商维护的自动化，以减少分析员的调查和补救工作负载?

是的，在多种能力方面

是的，在单一能力方面

否

终结点 • 第 2 个问题（共 4 个）

可以在不同的工具之间协调自动化操作吗?

是

不一致地

否

终结点 • 第 3 个问题（共 4 个）

如果在不同的工具之间协调自动化操作，你是否与所有或大多数工具进行本机连接，或是基于自定义脚本?

是的，它可以连接到大多数或所有工具。

有时需要自定义脚本。

不，我们总使用自定义脚本。

终结点 • 第 4 个问题（共 4 个）

是否使用社区提供的自动化?

是

不一致地

否

Woman working on her laptop

建议

根据你的回答，你正处于优化安全运营阶段。

关键资源:

Azure Sentinel - SOC 流程框架工作手册。立即获取。
Azure Sentinel 中的安全协调、自动化”和响应 (SOAR)。了解详细信息。
无缝安全访问指南：改进用户体验和加强安全性。了解详细信息。
采用使用零信任的主动保护。了解详细信息。
Microsoft Azure Active Directory 零信任部署指南。立即获取。

获取有关如何优化安全运营中心成熟度的详细信息。

Woman working on her laptop

建议

根据你的回答，你正处于高级安全运营阶段。

关键资源:

Azure Sentinel - SOC 流程框架工作手册。立即获取。
Azure Sentinel 中的安全协调、自动化”和响应 (SOAR)。了解详细信息。
无缝安全访问指南：改进用户体验和加强安全性。了解详细信息。
采用使用零信任的主动保护。了解详细信息。
Microsoft Azure Active Directory 零信任部署指南。立即获取。

获取有关如何进入安全运营中心成熟度最佳阶段的详细信息。

Woman working on her laptop

建议

根据你的回答，你正处于基本安全运营阶段。

关键资源:

Azure Sentinel - SOC 流程框架工作手册。立即获取。
Azure Sentinel 中的安全协调、自动化”和响应 (SOAR)。了解详细信息。
无缝安全访问指南：改进用户体验和加强安全性。了解详细信息。
采用使用零信任的主动保护。了解详细信息。
Microsoft Azure Active Directory 零信任部署指南。立即获取。

获取有关如何进入安全运营中心成熟度高级阶段的详细信息。

以下资源和建议可能对该阶段会有帮助。

管理分析员工作负荷

供应商的自动化支持可以帮助团队管理其工作负载。考虑用一种综合方法保护数字财产，以提高 SOC 效率。了解详细信息
探索安全运营团队如何适应不断变化的网络威胁环境

协调自动化行动

在所有工具中集成自动化操作可提高生产力，并帮助增加不遗漏任何威胁的可能性。查阅更多关于综合安全堆叠如何帮助降低风险和成本。了解详细信息

连接自动化行动

连接和集成工具和流程可以帮助减少威胁监测计划中的差距，并帮助你跟上不断变化的网络安全威胁形势。

社区提供的自动化

考虑使用社区提供的增加了威胁模式识别，并可以通过消除对自定义自动化工具的需求来节省时间的自动化。

通过电子邮件发送结果

返回到选项卡

关注 Microsoft 安全

新增内容

Surface Pro
Surface Laptop
Surface Pro 9
Surface Laptop 5
Microsoft Copilot
Microsoft 365
探索 Microsoft 产品
Windows 11 应用程序

Microsoft Store

帐户个人资料
下载中心
订单跟踪

教育

Microsoft 教育版
教育设备
Microsoft Teams 教育版
Microsoft 365 教育版
Office 教育版
教育工作者培训和开发
面向学生和家长的优惠
面向学生的 Azure

企业

Microsoft Cloud
Microsoft 安全
Azure
Dynamics 365
Microsoft 365
Microsoft Advertising
Microsoft 365 Copilot
Microsoft Teams

开发人员与 IT

开发人员中心
文档
Microsoft Learn
Microsoft 技术社区
Azure 市场
AppSource
Microsoft Power Platform
Visual Studio

公司

招贤纳士
关于 Microsoft
公司新闻
Microsoft 隐私
投资人
可持续发展

中文(中国) 你的隐私选择

你的隐私选择

消费者健康隐私

与 Microsoft 联系
隐私
管理 Cookie
使用条款
商标
关于我们的广告
京ICP备09042378号-6
© Microsoft 2024