Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Initiative Secure Future Initiative (SFI) ist eine mehrjährige, cross-Microsoft-Initiative, um die Art und Weise zu sichern, in der Microsoft produkte und Dienste entwickelt, erstellt, testet und betreibt. SFI baut auf:
- Eine Reihe von Sicherheitsprinzipien, die die Art und Weise leiten, wie wir Innovationen im Sicherheitsdesign entwickeln, diese Innovationen als sichere Vorgaben und Standards in Microsoft-Produkten implementieren und interne sowie externe Sicherheitsleitlinien bereitstellen. Erfahren Sie mehr.
- Eine Reihe priorisierter Sicherheitspfeiler und -ziele. Erfahren Sie mehr.
In diesem Artikel wird die SFI-Säule "Überwachen und Erkennen von Bedrohungen" zusammengefasst.
Bevor du anfängst
- Erfahren Sie mehr über die SFI-Säulen.
- Überprüfen und verfolgen Sie die neuesten Fortschritte bei den Pfeilerzielen im SFI What's New-Artikel.
- Säulenziele entsprechen den Zero Trust-Prinzipien und den NIST CSF-Funktionen und -Kategorien.
- Hier erhalten Sie eine Liste der NIST-Kategorien und Akronyme , die Ihnen beim Überprüfen der Tabelle in diesem Artikel helfen sollen.
Säule und Ziele
Ziel dieser Säule ist es, Sicherheitsbedrohungen kontinuierlich zu überwachen und schnell zu erkennen. Der Fokus liegt auf proaktiver, intelligenzgesteuerter Erkennung, um das Verhalten von Angreifern frühzeitig zu erfassen und eine schnelle koordinierte Untersuchung in allen Geschäftsfeldern zu ermöglichen.
Die Microsoft-Ziele und die Zero Trust/NIST-Zuordnung für diese Säule sind in der folgenden Tabelle zusammengefasst.
| Objektiv | Zero Trust | NIST-Zuordnung |
|---|---|---|
|
1. Zentrale Telemetrie- und Infrastrukturnachverfolgung Verwalten Sie einen aktuellen Ressourcenbestand über die Microsoft-Produktionsinfrastruktur und -dienste hinweg. |
Explizit überprüfen: Bestandsbestände und relevante Protokolle liefern die faktenbezogene Basis, die erforderlich ist, um kontinuierlich zu überprüfen, was vorhanden ist und was überwacht werden soll. Genaue Bestände verhindern, dass Ressourcen unsichtbar bleiben, und gewährleisten, dass Entscheidungen auf korrekten und aktuellen Ressourcen basieren. Gehen Sie von Sicherheitsverletzungen aus: Ressourcen mit hoher Auswirkung werden für die Überwachung priorisiert, da eine Kompromittierung als möglich und wirkungsvoll angenommen wird. |
ID-AM-01 (Inventare der von der Organisation verwalteten Hardware werden geführt). Durch die Aufrechterhaltung eines vollständigen Inventars der physischen Infrastruktur wird sichergestellt, dass Verteidiger wissen, welche Produktionsressourcen überwacht und geschützt werden müssen. ID-AM-02 (Inventare von Software, Diensten und Systemen, die von der Organisation verwaltet werden). Software- und Dienstinventaren ermöglichen eine umfassende Telemetriesammlung in produktionsübergreifenden Umgebungen. ID-AM-05 (Ressourcen werden basierend auf Klassifizierung, Kritischität, Ressourcen und Auswirkungen auf die Mission priorisiert). Bei der Ressourcenpriorisierung wird sichergestellt, dass die Überwachung und der Schutz auf die kritischsten Produktionskomponenten ausgerichtet sind. PR.PS-04 (Protokolldatensätze werden generiert und für die kontinuierliche Überwachung zur Verfügung gestellt). Mit dem Asset-Logging können Produktionssysteme die für die Bedrohungserkennung erforderliche Telemetrie generieren. |
|
2. Aufbewahrungsstandards für Sicherheitsprotokolle Bewahren Sie Sicherheitsprotokolle mindestens zwei Jahre lang auf, und stellen Sie sechs Monate geeignete Protokolle zur Verfügung. |
Explizit überprüfen: Aufbewahrungsprotokolle ermöglichen die Überprüfung historischer Aktivitäten und untersuchungsgenauigkeit. Sie können überprüfen, wer was und wann getan hat, und anomales oder schädliches Verhalten überprüfen. Annehmen von Sicherheitsverletzungen: Lange Aufbewahrung unterstützt die Untersuchung von gemischten oder dauerhaften Angriffsszenarien, auch wenn Angreifer erste Kontrollen umgehen. Externe Abhängigkeiten werden mit der Erwartung überwacht, dass sie Risiken darstellen könnten. |
PR.PS-04 (Protokolldatensätze werden generiert und für die kontinuierliche Überwachung zur Verfügung gestellt). Durch eine konsistente Protokollgenerierung wird sichergestellt, dass Daten im Laufe der Zeit aufbewahrt und analysiert werden können. DE. CM-01 (Netzwerke und Netzwerkdienste werden überwacht, um potenziell nachteilige Ereignisse zu finden). Netzwerkprotokolle, die im Laufe der Zeit aufbewahrt werden, unterstützen die Erkennung von Mustern und die verzögerte Bedrohungserkennung. DE. CM-02 (Die physische Umgebung wird überwacht, um potenziell nachteilige Ereignisse zu finden). Physische Zugriffsprotokolle tragen zu einer langfristigen Korrelation von Cyber- und physischen Bedrohungen bei. DE. CM-03 (Personalaktivität und Technologienutzung werden überwacht, um potenziell nachteilige Ereignisse zu finden). Benutzer- und Systemaktivitätsprotokolle stellen Nachweise für insider- und anmeldeinformationsbasierte Bedrohungserkennung bereit. DE. CM-06 (Aktivitäten und Dienste des externen Dienstanbieters werden überwacht, um potenziell nachteilige Ereignisse zu finden). Beibehaltene Aktivitätsprotokolle von Drittanbietern unterstützen die Erkennung und Verantwortlichkeit von Supply-Chain-Bedrohungen. DE. CM-09 (Computerhardware und Software, Laufzeitumgebungen und deren Daten werden überwacht, um potenziell nachteilige Ereignisse zu finden). Die Aufbewahrung von Endpunkt- und Laufzeit-Telemetrie ermöglicht die forensische Untersuchung und Bedrohungssuche. |
|
3. Zentraler Zugriff auf Sicherheitsprotokolle Bewahren Sie Sicherheitsprotokolle mindestens zwei Jahre lang auf, und stellen Sie sechs Monate geeignete Protokolle zur Verfügung. |
Explizit überprüfen: Die zentrale Sichtbarkeit ermöglicht die Überprüfung in der gesamten Umgebung. Gehen Sie von Sicherheitsverletzungen aus: Eine Korrelation mit mehreren Quellen ist erforderlich, wenn Angreifer über Systeme hinweg arbeiten. |
PR.PS-04 (Protokolldatensätze werden generiert und für die kontinuierliche Überwachung zur Verfügung gestellt) Die Zentralisierung erfordert, dass Protokolle konsistent generiert und von Produktionssystemen zugänglich sind. DE. AE-03 (Informationen werden aus mehreren Quellen korreliert) Der zentralisierte Zugriff ermöglicht die Korrelation über Netzwerk-, Identitäts-, Endpunkt- und Cloudtelemetrie hinweg. |
|
4. Schnelle Anomalieerkennung und Reaktion Erkennen Sie Angriffe schnell, und minimieren Sie die Zeit, in der Angreifer Zugriff auf interne Ressourcen haben. |
Explizit überprüfen: Erkennungsentscheidungen werden für analysierte, validierte Nachweise getroffen. Die Kategorisierung von Ereignissen stellt sicher, dass Entscheidungen wiederholbar sind. Gehen Sie von Sicherheitsverletzungen aus: Eine Korrelation mit mehreren Quellen ist erforderlich, wenn Angreifer über Systeme hinweg arbeiten. |
DE. AE-02 (Potenziell nachteilige Ereignisse werden analysiert, um die zugehörigen Aktivitäten besser zu verstehen). Die Analyse wandelt Rohsignale in umsetzbare Kompromittierungsindikatoren um. DE. AE-03 (Informationen werden aus mehreren Quellen korreliert). Die Korrelation beschleunigt die Erkennung komplexer domänenübergreifender Angriffe. DE.AE-04 (Die geschätzten Auswirkungen und das Ausmaß nachteiliger Ereignisse sind verstanden). Das Verständnis von Umfang und Auswirkung bedeutet eine schnellere Priorisierung von Reaktionsaktionen. DE. AE-06 (Negative Ereignisse werden basierend auf etablierten Klassifizierungen kategorisiert). Die Klassifizierung unterstützt eine konsistente Triage und Eskalation während aktiver Bedrohungen. DE. AE-07 (Ereignisse werden analysiert, um die Ermittlung der Ursache von Cybersicherheitsvorfällen zu unterstützen). Die Ursachenanalyse ermöglicht dauerhafte Korrekturen und Prävention. RS. CO-02 (Interne und externe Interessenträger werden über Vorfälle informiert). Benachrichtigungen stellen eine schnelle Koordinierung sicher, sobald Anomalien bestätigt werden. RS.MI-01 (Vorfälle sind enthalten, beseitigt und entschärft gemäß den Reaktionsplänen) Erkannte Anomalien führen direkt zu Entschärfungs- und Eindämmungsmaßnahmen. RS. MI-02 (Vorfallreaktionsaktivitäten werden nachverfolgt und kommuniziert). Durch die Nachverfolgung wird sichergestellt, dass Reaktionsaktionen koordiniert, überwacht und effektiv sind. |
Nächste Schritte
- Überprüfen Sie die neuesten Fortschritte bei den Pfeilerzielen in What's New.
- Erfahren Sie mehr über die Einführung bewährter Microsoft-SFI-Methoden.