Operace zabezpečení v Azure
Odpovědností týmu operací zabezpečení (také označované jako Security Operations Center (SOC) nebo SecOps) je rychle detekovat potenciální útoky, stanovovat jejich prioritu a určit jejich prioritu. Tyto operace pomáhají eliminovat falešně pozitivní výsledky a zaměřit se na skutečné útoky, což snižuje střední dobu pro nápravu skutečných incidentů. Tým Centrálních bezpečnostních operací monitoruje telemetrická data související se zabezpečením a prověřuje porušení zabezpečení. Je důležité, aby všechny aktivity komunikace, vyšetřování a proaování byly v souladu s aplikačním týmem.
Tady je několik obecných osvědčených postupů pro provádění operací zabezpečení:
V rámci provozu dodržujte funkce architektury kyberbezpečnosti NIST.
- Detekuje přítomnost adversaries v systému.
- Reagovat rychlým zkoumáním, jestli se jedná o skutečný útok, nebo o falešně alarm.
- Obnovte důvěrnost, integritu a dostupnost úlohy během útoku a po útoku.
Informace o této rozhraní najdete v tématu NIST Cybersecurity Framework.
Rychle potvrdit výstrahu. Zjištěná adversary nesmí být ignorována, zatímco ochránci zabezpečení pořkují falešně pozitivní výsledky.
Zkrátit čas na nápravu detekované adversary. Zkrátit dobu příležitosti k provedení útoku a dosažení citlivých systémů.
Upřednostňujte investice do zabezpečení do systémů, které mají vysokou vnitřní hodnotu. Například účty správce.
Aktivně proaktivně pro Tímto úsilím se zkrátí doba, kterou může v prostředí provozovat vysoce kvalifikovaná adversary. Máte například dostatek dovedností, abyste se vyhnout reaktivním upozorněním.
Informace o metrikách, které tým SOC Microsoftu používá, najdete v tématu Microsoft SOC.
nástroje
Tady jsou některé nástroje Azure, které tým SOC může použít k prošetření a nápravě incidentů.
| Nástroj | Účel |
|---|---|
| Azure Sentinel | Centralizované Security Information and Event Management (SIEM), které vám povedou k získání přehledu o protokolech na úrovni celého podniku. |
| Azure Security Center | Generování výstrah. Jako odpověď na výstrahu použijte playbook zabezpečení. |
| Azure Monitor | Protokoly událostí z aplikací a služeb Azure. |
| Skupina zabezpečení sítě Azure (NSG) | Přehled o síťových aktivitách |
| Azure Information Protection | Zabezpečte e-maily, dokumenty a citlivá data, která sdílíte mimo vaši společnost. |
Postupy šetření by měly používat nativní nástroje s hlubokou znalostí o typu assetu, jako jsou řešení detekce a reakce koncových bodů (EDR), nástroje identit a Azure Sentinel.
Další informace o monitorovacích nástrojích najdete v tématu Nástroje pro monitorování zabezpečení v Azure.
Přiřazení kontaktu pro oznámení incidentu
Výstrahy zabezpečení musí oslovit ty správné lidi ve vaší organizaci. Zřídíte určený kontaktní bod pro příjem oznámení o incidentech Azure od Microsoftu nebo od Azure Security Center. Ve většině případů taková oznámení indikují, že je váš prostředek ohrožený nebo napadá jiného zákazníka. To umožňuje provoznímu týmu zabezpečení rychle reagovat na potenciální rizika zabezpečení a napravovat je.
To umožňuje provoznímu týmu zabezpečení rychle reagovat na potenciální rizika zabezpečení a napravovat je.
Ujistěte se, že kontaktní informace správce na portálu pro registraci Azure obsahují kontaktní informace, které budou oznamovat operace zabezpečení přímo nebo rychle interním procesem.
Další informace
Další informace o vytvoření určeného kontaktního bodu pro příjem oznámení o incidentech Azure od Microsoftu najdete v následujících článcích:
Reakce na incidenty
Monitoruje organizace efektivně postoj k zabezpečení napříč úlohami, kdy centrální tým SecOps monitoruje telemetrická data související se zabezpečením a zkoumá možná porušení zabezpečení? Aktivity komunikace, vyšetřování a proaování musí být v souladu s aplikačními týmy.
Jsou definovány a otestovány provozní procesy reakce na incidenty?
Akce prováděné během incidentu a vyšetřování reakcí mohou mít vliv na dostupnost nebo výkon aplikace. Definujte tyto procesy a srovnejte je s zodpovědným (a ve většině případů centrálním) týmem SecOps. Dopad takového šetření na aplikaci je třeba analyzovat.
Existují nástroje, které pomáhají reagujícím na incidenty rychle porozumět aplikaci a komponentě, aby je prošetření?
Reagující na incidenty jsou součástí centrálního týmu SecOps a potřebují porozumět přehledům o zabezpečení aplikace. Playbook zabezpečení v Azure Sentinel vám může pomoct pochopit koncepty zabezpečení a pokrýt typické aktivity šetření.
Navrhovaná akce
Zvažte použití Azure Defender (Azure Security Center) k monitorování událostí souvisejících se zabezpečením a automatickému upozorníní.
Další informace
Výstrahy zabezpečení a incidenty v Azure Security Center
Zobrazení Hybridní podnik
Nástroje a procesy operací zabezpečení by měly být navržené pro útoky na cloudové a místní prostředky. Útočníci neomezují své akce na konkrétní prostředí při cílení na organizaci. Útoky na prostředky na libovolné platformě používají libovolnou dostupnou metodu. Mohou přechádovat mezi cloudovými a místními prostředky pomocí identity nebo jiných prostředků. Toto zobrazení na úrovni celého podniku umožní SecOps rychle detekovat útoky, reagovat na ně a zotavit se z něj, což snižuje riziko organizace.
Využití nativních detekcí a ovládacích prvků
Místo vytváření vlastních funkcí pro zobrazení a analýzu protokolů událostí použijte detekce a ovládací prvky zabezpečení Azure. Služby Azure se aktualizují novými funkcemi a mají možnost detekovat falešně pozitivní výsledky s vyšší rychlostí přesnosti.
Integrace protokolů ze síťových zařízení a dokonce i samotného hrubého síťového provozu zajistí lepší přehled o potenciálních bezpečnostních hrozbách, které procháznou přenosem.
Pokud chcete získat jednotné zobrazení v rámci celého podniku, informačního kanálu protokolů shromážděných prostřednictvím nativních detekcí (například Azure Monitor) do centralizovaného řešení správy akcí a informací o zabezpečení (SIEM), jako je Azure Sentinel. Vyhněte se používání generalizovaných nástrojů a dotazů pro analýzu protokolů. V Azure Monitor vytvořte pracovní prostor služby Log Analytics pro ukládání protokolů. Můžete také zkontrolovat protokoly a provádět dotazy na data protokolů. Tyto nástroje mohou nabízet vysoce kvalitní výstrahy.
Moderní analytické platformy založené na strojových učení podporují příjem extrémně velkého množství informací a mohou velmi rychle analyzovat velké datové sady. Kromě toho je možné tato řešení vyladit tak, aby významně snížila počet falešně pozitivních upozornění.
Mezi příklady síťových protokolů, které poskytují viditelnost, patří:
- Protokoly skupin zabezpečení – protokoly toků a diagnostické protokoly
- Protokoly firewallu webových aplikací
- Klepnutí na virtuální síť a jejich ekvivalenty
- Azure Network Watcher
Navrhované akce
Integrujte informace protokolu síťových zařízení do pokročilých řešení SIEM nebo jiných analytických platforem.
Další informace
Povolení rozšířené viditelnosti sítě