iT邦幫忙

2024 iThome 鐵人賽

DAY 24
0
影片教學

資安 Vtuber 語野飛:陪你讀 NIST CSF 2.0 學資安治理系列 第 24

[資安 Vtuber 讀資安治理] Day24 NIST CSF 2.0 DE.AE 異常與事件(2/2)

  • 分享至 

  • xImage
  •  

Yes

知識內容

  • 異常與事件
    (DE.AE)

    • 分析異常、入侵指標和其他潛在的不利事件,以描述特徵並偵測資安事件
  • 子項目

    • DE.AE-06
      將不利事件的資訊
      提供給
      授權人員和工具

      • 目的

        • 確保相關的人員和系統能夠及時收到資訊

        • 了解潛在威脅能夠採取適當的行動與行為

      • 核心

        • 有效事件回應關鍵在於及時準確傳遞資訊
      • 措施

        • 使用資安軟體產生警報後進行傳送

          • 傳送

            • 資安營運中心 (SOC)

            • 事件應變人員

            • 事件應變工具

            • 其他授權人員

        • 相關人員可以隨時存取日誌分析結果

        • 建立組織事件回應事務跟蹤管理系統
          發生特定類型警報時
          在系統中自動建立和分配 Ticket

        • 當技術人員發現攻擊指標時
          手動在系統中建立和分配 Ticket

      • 例子

        • 當 SIEM 系統偵測到可疑的網路活動時,它會自動產生警報,並將警報資訊發送到 SOC 團隊
    • DE.AE-07
      將網路威脅情報和
      其他背景資訊
      整合到分析中

      • 目的

        • 透過結合威脅情報和其他背景資訊

        • 可以更準確地分析潛在的不利事件

        • 並更好地瞭解攻擊者的意圖和攻擊方法

      • 核心

        • 利用威脅情報和其他背景資訊提供給組織

        • 提供攻擊者、攻擊目標和攻擊方法的資訊

      • 措施

        • 提供資訊給偵測技術、流程和人員

          • 威脅情報

          • 資產清單

        • 從供應商、廠商和第三方安全公告中快速取得和分析組織技術的漏洞披露

      • 例子

        • 資安分析師將最新的勒索軟體威脅情報整合到 SIEM 系統中,以提高系統偵測和應對勒索軟體攻擊的能力
    • DE.AE-08
      當不利事件
      符合已定義事件標準
      就宣告事件

      • 目的

        • 明確定義事件的標準以便一致識別與宣告

        • 透過標準定義能避免誤判或漏判資安事件

      • 核心

        • 啟動合適事件回應流程在於準確識別事件
      • 措施

        • 將事件標準應用於已知和假設的特徵
          確定是否應宣告事件

        • 應用事件標準時將已知誤報納入考量

      • 例子

        • 組織定義的事件標準是:如果偵測到任何企圖未經授權存取敏感資料的行為,就視為事件並進行宣告。

小試身手

  • 以下哪一項是 DE.AE-06「將不利事件的資訊提供給授權人員和工具」的主要目標?

    • A) 自動化資安事件的回應措施

    • B) 收集和保存所有與事件相關的日誌資料

    • C) 確保相關人員和系統能夠及時收到準確的資訊

    • D) 對事件的嚴重程度進行初步評估

    • 答案

      • C

        • DE.AE-06 的目標是確保在事件發生時,正確的人員和系統能夠獲得需要採取行動的資訊。
  • 以下哪一項不是 DE.AE-07「將網路威脅情報和其他背景資訊整合到分析中」的措施?

    • A) 針對已知的惡意活動建立自動化阻擋規則

    • B) 將最新的漏洞資訊提供給資安人員

    • C) 將威脅情報整合到資安事件分析工具中

    • D) 使用資產清單來識別受影響的系統和資料

    • 答案

      • A

        • DE.AE-07 的重點是利用威脅情報和其他背景資訊,例如資產清單和漏洞披露,以便更好地分析潛在的不利事件。建立自動化阻擋規則則屬於防禦措施,而非分析措施。
  • DE.AE-08「當不利事件符合已定義事件標準就宣告事件」這個子項目強調的是什麼?

    • A) 事件的嚴重程度評估

    • B) 事件的初步調查和取證

    • C) 事件的及時通報和溝通

    • D) 事件的準確識別和宣告

    • 答案

      • D

        • DE.AE-08 的核心是確保組織能夠準確識別和宣告事件,以便啟動適當的事件回應措施。
  • 以下哪個例子最能說明 DE.AE-08「當不利事件符合已定義事件標準就宣告事件」的應用?

    • A) 資安人員發現系統中存在一個已知的漏洞,並立即進行修補

    • B) 公司網路遭受 DDoS 攻擊,導致網站無法存取,資安團隊根據預設的事件標準,將其判定為重大事件並進行通報

    • C) 資安系統偵測到可疑的登入行為,但經過分析後確認為誤報

    • D) 組織定期進行安全意識培訓,以提高員工對網路安全的認識

    • 答案

      • B

        • DE.AE-08 強調在預先定義的事件標準基礎上進行事件的識別和宣告,選項 B 中公司網路遭受攻擊後根據標準判定為重大事件並進行通報,最符合這一情境。
  • 以下哪一項是 DE.AE-06「將不利事件的資訊提供給授權人員和工具」的核心?

    • A) 促進及時有效的事件回應行動

    • B) 確保事件資訊的機密性和完整性

    • C) 為後續的事件調查和取證提供證據

    • D) 提升資安事件的自動化處理效率

    • 答案

      • A

        • DE.AE-06 強調將事件資訊傳遞給正確的人員和系統,以便於快速採取行動,其核心在於促進及時有效的事件回應。

上一篇
[資安 Vtuber 讀資安治理] Day23 NIST CSF 2.0 DE.AE 異常與事件 (1/2)
下一篇
[資安 Vtuber 讀資安治理] Day25 NIST CSF 2.0 RS 回應與 RS.MA 事件管理
系列文
資安 Vtuber 語野飛:陪你讀 NIST CSF 2.0 學資安治理30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言