Bezpečnostní řízení V2: Reakce na incidenty

Poznámka

Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.

Reakce na incidenty se zabývá kontrolami životního cyklu reakce na incidenty – příprava, detekce a analýza, blokování a aktivity po incidentu. To zahrnuje použití služeb Azure, jako jsou Azure Security Center a Sentinel k automatizaci procesu reakce na incidenty.

Pokud chcete zobrazit příslušné integrované Azure Policy, přečtěte si podrobnosti o integrované iniciativě dodržování právních předpisů srovnávacích testů zabezpečení Azure: Reakce na incidenty

IR-1: Příprava – aktualizace procesu reakce na incidenty pro Azure

Azure ID	Id ovládacích prvků CIS v7.1	NIST SP 800-53 r4 ID
IR-1	19	IR-4, IR-8

Ujistěte se, že vaše organizace má procesy reakce na incidenty zabezpečení, aktualizovala tyto procesy pro Azure a pravidelně je provádí, aby byla zajištěna připravenost.

• Implementace zabezpečení v podnikovém prostředí

• Referenční příručka k reakcím na incidenty

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

• Operace zabezpečení

• Příprava na incidenty

• Analýza hrozeb

IR-2: Příprava – nastavení oznámení o incidentu

Azure ID	Id ovládacích prvků CIS v7.1	NIST SP 800-53 r4 ID
IR-2	19.5	IR-4, IR-5, IR-6, IR-8

Nastavení kontaktních informací o incidentu zabezpečení v Azure Security Center Tyto kontaktní informace používá společnost Microsoft k tomu, aby vás kontaktovala v případě, že služba MSRC (Microsoft Security Response Center) zjistí, že s vašimi daty někdo nezákonně nebo neoprávněně pracoval. Máte také možnost přizpůsobit upozornění na incidenty a oznámení o incidentech v různých službách Azure v závislosti na tom, jak potřebujete na incidenty reagovat.

• Jak nastavit kontakt zabezpečení pro Azure Security Center

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

• Operace zabezpečení

• Příprava na incidenty

IR-3: Detekce a analýza – vytvoření incidentů na základě upozornění s vysokou kvalitou

Azure ID	Id ovládacích prvků CIS v7.1	NIST SP 800-53 r4 ID
IR-3	19.6	IR-4, IR-5

Ujistěte se, že máte proces vytváření vysoce kvalitních výstrah a měření kvality výstrah. Díky tomu se můžete učit poznatky z minulých incidentů a určit prioritu upozornění pro analytiky, aby neztrácely čas na falešně pozitivní výsledky.

Vysoce kvalitní upozornění je možné vytvářet na základě zkušeností z minulých incidentů, ověřených komunitních zdrojů a nástrojů, které spojují a korelují signály z různorodých zdrojů a generují a mažou upozornění.

Azure Security Center nabízí vysoce kvalitní upozornění pro celou řadu prostředků Azure. Pomocí datového konektoru ASC můžete upozornění streamovat do služby Azure Sentinel. Azure Sentinel umožňuje vytvářet rozšířená pravidla upozornění, která automaticky generují incidenty pro účely šetření.

Pomocí funkce exportu můžete upozornění a doporučení služby Azure Security Center exportovat, abyste mohli lépe identifikovat rizika pro prostředky Azure. Upozornění a doporučení můžete exportovat ručně nebo průběžně a nepřetržitě.

• Konfigurace exportu

• Streamování upozornění do služby Azure Sentinel

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

• Operace zabezpečení

• Příprava na incidenty

• Analýza hrozeb

IR-4: Detekce a analýza – prozkoumání incidentu

Azure ID	Id ovládacích prvků CIS v7.1	NIST SP 800-53 r4 ID
IR-4	19	IR-4

Ujistěte se, že analytici můžou dotazovat a používat různé zdroje dat, protože prošetřují potenciální incidenty, aby vytvořili úplný přehled o tom, co se stalo. Aby se zabránilo slepým místům, měly by se shromažďovat různorodé protokoly, které umožní sledovat aktivity potenciálního útočníka v celém průběhu útoku. Měli byste také zajistit zaznamenávání přehledů a poznatků pro další analytiky a budoucí použití jako historické referenční informace.

Mezi zdroje dat pro vyšetřování patří centrální zdroje protokolování, ve kterých se již shromažďují protokoly ze služeb v příslušném oboru a spuštěných systémů, ale můžou mezi ně patřit také:

• Síťová data – S využitím protokolů toků skupin zabezpečení sítě a služeb Azure Network Watcher a Azure Monitor můžete zachytávat protokoly toků sítě a další analytické informace.

• Snímky spuštěných systémů:

  • S využitím funkce vytváření snímků virtuálního počítače Azure můžete vytvořit snímek disku spuštěného systému.

  • S využitím nativní funkce výpisu paměti operačního systému můžete vytvořit snímek paměti spuštěného systému.

  • S využitím funkce vytváření snímků služeb Azure nebo vlastních funkcí vašeho softwaru můžete vytvářet snímky spuštěných systémů.

Azure Sentinel nabízí rozsáhlé analýzy dat z prakticky jakéhokoli zdroje protokolů a portál pro správu případů, na kterém můžete spravovat celý životní cyklus incidentů. Analytické informace zjištěné během vyšetřování je možné přidružovat k incidentům pro účely sledování a generování sestav.

• Snímek disku počítače s Windows

• Snímek disku počítače s Linuxem

• Shromažďování výpisu paměti a diagnostických informací ze strany podpory Microsoft Azure

• Vyšetřování incidentů s využitím služby Azure Sentinel

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

• Operace zabezpečení

• Příprava na incidenty

• Analýza hrozeb

IR-5: Detekce a analýza – stanovení priorit incidentů

Azure ID	Id ovládacích prvků CIS v7.1	NIST SP 800-53 r4 ID
IR-5	19.8	CA-2, IR-4

Uveďte kontext analytikům, na kterých se incidenty mají zaměřit na první na základě závažnosti výstrahy a citlivosti aktiv.

Azure Security Center jednotlivým upozorněním přiřazuje závažnost, která vám pomůže určit, jaká upozornění by se měla vyšetřit jako první. Závažnost vychází z míry důvěry služby Security Center v závěr nebo analýzu, na základě kterých se upozornění vygenerovalo, a také z úrovně spolehlivosti, že za aktivitou, která vedla k upozornění, byl škodlivý záměr.

Kromě toho můžete prostředky označit pomocí značek a vytvořit systém vytváření názvů, který vám pomůže identifikovat a kategorizovat prostředky Azure, zejména prostředky zpracovávající citlivá data. Je vaší zodpovědností určit prioritu nápravy upozornění v závislosti na důležitosti prostředků Azure a prostředí, ve kterém k incidentu došlo.

• Výstrahy zabezpečení ve službě Azure Security Center

• Používání značek k uspořádání prostředků Azure

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

• Operace zabezpečení

• Příprava na incidenty

• Analýza hrozeb

IR-6: Zadržení, zničení a obnovení – automatizace zpracování incidentů

Azure ID	Ovládací prvky CIS v7.1 ID	NIST SP 800-53 r4 ID
IR-6	19	IR-4, IR-5, IR-6

Automatizujte ruční opakující se úlohy, které urychlují dobu odezvy a snižují zatížení analytiků. Ruční provádění úloh trvá déle, což zpomaluje jednotlivé incidenty a snižuje počet incidentů, které může analytik zvládnout. Ruční úlohy také analytiky více unavují, což zvyšuje riziko zpoždění v důsledku lidských chyb a snižuje schopnost analytiků efektivně se soustředit na složité úlohy. S využitím funkcí automatizace pracovních postupů ve službách Azure Security Center a Azure Sentinel můžete v reakci na příchozí upozornění zabezpečení automaticky aktivovat akce nebo spouštět playbooky. Playbook provádí akce, jako jsou odesílání oznámení, zakazování účtů nebo izolace problematických sítí.

• Konfigurace automatizace pracovních postupů ve službě Security Center

• Nastavení automatizovaných reakcí na hrozby ve službě Azure Security Center

• Nastavení automatizovaných reakcí na hrozby ve službě Azure Sentinel

Odpovědnost: Zákazník

Účastníci zabezpečení zákazníků (další informace):

• Operace zabezpečení

• Příprava na incidenty

• Analýza hrozeb