Security Control v3: Reakce na incidenty
Reakce na incidenty se zabývá kontrolami životního cyklu reakce na incidenty – příprava, detekce a analýza, omezování a aktivity po incidentu, včetně použití služeb Azure, jako jsou Microsoft Defender for Cloud a Sentinel k automatizaci procesu reakce na incidenty.
IR-1: Příprava – aktualizace plánu reakce na incidenty a zpracování procesu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10,8 |
Princip zabezpečení: Ujistěte se, že vaše organizace dodržuje osvědčené postupy pro vývoj procesů a plánů reakce na incidenty zabezpečení na cloudových platformách. Mějte na paměti model sdílené odpovědnosti a odchylky napříč službami IaaS, PaaS a SaaS. To bude mít přímý dopad na to, jak spolupracovat s vaším poskytovatelem cloudu v reakci na incidenty a zpracovávat aktivity, jako je oznámení o incidentu a třídění, shromažďování důkazů, vyšetřování, vymýcení a obnovení.
Pravidelně otestujte plán reakce na incidenty a proces zpracování, abyste měli jistotu, že jsou aktuální.
Doprovodné materiály k Azure: Aktualizujte proces reakce na incidenty vaší organizace tak, aby zahrnoval zpracování incidentu na platformě Azure. Na základě používaných služeb Azure a povahy vaší aplikace si přizpůsobte plán reakce na incidenty a playbook, aby se zajistilo, že se dají použít k reakci na incident v cloudovém prostředí.
Implementace a další kontext:
- Implementace zabezpečení v podnikovém prostředí
- Referenční příručka k reakcím na incidenty
- Průvodce zpracováním incidentů zabezpečení počítače NIST SP800-61
Účastníci zabezpečení zákazníků (další informace):
IR-2: Příprava – nastavení oznámení incidentu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Princip zabezpečení: Ujistěte se, že výstrahy zabezpečení a oznámení incidentu z platformy poskytovatele cloudových služeb a vaše prostředí můžou být přijaty správným kontaktem ve vaší organizaci reakce na incidenty.
Doprovodné materiály k Azure: Nastavení kontaktních informací o incidentu zabezpečení v Microsoft Defender for Cloud Tyto kontaktní informace používá společnost Microsoft k tomu, aby vás kontaktovala v případě, že služba MSRC (Microsoft Security Response Center) zjistí, že s vašimi daty někdo nezákonně nebo neoprávněně pracoval. Máte také možnost přizpůsobit upozornění na incidenty a oznámení o incidentech v různých službách Azure v závislosti na tom, jak potřebujete na incidenty reagovat.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
IR-3: Detekce a analýza – vytváření incidentů na základě vysoce kvalitních výstrah
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10,8 |
Princip zabezpečení: Ujistěte se, že máte proces vytváření vysoce kvalitních upozornění a měření kvality výstrah. To vám umožní učit se poznatky z minulých incidentů a určit prioritu výstrah pro analytiky, takže neztrácejí čas na falešně pozitivní výsledky.
Vysoce kvalitní upozornění se dají vytvářet na základě zkušeností z minulých incidentů, ověřených zdrojů komunity a nástrojů určených k vygenerování a vyčištění upozornění spojením a sladěním různých zdrojů signálu.
Pokyny k Azure: Microsoft Defender for Cloud poskytuje vysoce kvalitní výstrahy napříč mnoha prostředky Azure. Pomocí datového konektoru Microsoft Defender for Cloud můžete streamovat výstrahy do služby Azure Sentinel. Azure Sentinel umožňuje vytvářet rozšířená pravidla upozornění, která automaticky generují incidenty pro účely šetření.
Exportujte upozornění Microsoft Defender for Cloud a doporučení pomocí funkce exportu, která vám pomůžou identifikovat rizika pro prostředky Azure. Upozornění a doporučení můžete exportovat ručně nebo průběžně a nepřetržitě.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
IR-4: Detekce a analýza – vyšetřování incidentu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| – | IR-4 | 12.10 |
Princip zabezpečení: Zajistěte, aby tým operací zabezpečení mohl dotazovat a používat různé zdroje dat při vyšetřování potenciálních incidentů, a vytvořit tak úplný přehled o tom, co se stalo. Aby se zabránilo slepým místům, měly by se shromažďovat různorodé protokoly, které umožní sledovat aktivity potenciálního útočníka v celém průběhu útoku. Měli byste také zajistit zaznamenávání přehledů a poznatků pro další analytiky a budoucí použití jako historické referenční informace.
Doprovodné materiály k Azure: Zdroje dat pro šetření jsou centralizované zdroje protokolování, které se už shromažďují ze služeb v oboru a spuštěných systémů, ale můžou zahrnovat také:
- Síťová data: Pomocí protokolů toku skupin zabezpečení sítě, Azure Network Watcher a Azure Monitoru zachyťte protokoly toku sítě a další analytické informace.
- Snímky spuštěných systémů: a) Schopnost snímku virtuálního počítače Azure vytvořit snímek disku se spuštěným systémem. b) Schopnost nativního výpisu paměti operačního systému vytvořit snímek paměti spuštěného systému. c) Funkce snímků služeb Azure nebo vlastní funkce vašeho softwaru k vytvoření snímků spuštěných systémů.
Azure Sentinel nabízí rozsáhlé analýzy dat z prakticky jakéhokoli zdroje protokolů a portál pro správu případů, na kterém můžete spravovat celý životní cyklus incidentů. Analytické informace zjištěné během vyšetřování je možné přidružovat k incidentům pro účely sledování a generování sestav.
Implementace a další kontext:
- Snímek disku počítače s Windows
- Snímek disku počítače s Linuxem
- Shromažďování výpisu paměti a diagnostických informací ze strany podpory Microsoft Azure
- Vyšetřování incidentů s využitím služby Azure Sentinel
Účastníci zabezpečení zákazníků (další informace):
IR-5: Detekce a analýza – stanovení priorit incidentů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Princip zabezpečení: Poskytněte kontextu týmům operací zabezpečení, které jim pomohou určit, na které incidenty by se měly nejprve zaměřit na základě závažnosti výstrahy a citlivosti prostředku definovaného v plánu reakce na incidenty vaší organizace.
Pokyny k Azure: Microsoft Defender for Cloud každému upozornění přiřadí závažnost, která vám pomůže určit prioritu výstrah, které by se měly prošetřit jako první. Závažnost je založená na tom, jak je jistota Microsoft Defender for Cloud při hledání nebo analýze použité k vydání výstrahy, a také na úrovni spolehlivosti, že za aktivitou, která vedla k upozornění, došlo ke škodlivému záměru.
Kromě toho můžete prostředky označit pomocí značek a vytvořit systém vytváření názvů, který vám pomůže identifikovat a kategorizovat prostředky Azure, zejména prostředky zpracovávající citlivá data. Je vaší zodpovědností určit prioritu nápravy upozornění v závislosti na důležitosti prostředků Azure a prostředí, ve kterém k incidentu došlo.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):
IR-6: Omezení, eradikace a zotavení – automatizace zpracování incidentů
| Ovládací prvky CIS v8 ID | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| – | IR-4, IR-5, IR-6 | 12.10 |
Princip zabezpečení: Automatizujte ruční, opakující se úlohy, abyste urychlili dobu odezvy a snížili zatížení analytiků. Ruční provádění úloh trvá déle, což zpomaluje jednotlivé incidenty a snižuje počet incidentů, které může analytik zvládnout. Ruční úlohy také zvyšují únavu analytiků, což zvyšuje riziko lidské chyby, která způsobuje zpoždění a snižuje schopnost analytiků se efektivně zaměřit na složité úkoly.
Pokyny k Azure: Pomocí funkcí automatizace pracovních postupů v Microsoft Defender for Cloud a Azure Sentinelu můžete automaticky aktivovat akce nebo spustit playbook pro reakci na příchozí výstrahy zabezpečení. Playbook provádí akce, jako jsou odesílání oznámení, zakazování účtů nebo izolace problematických sítí.
Implementace a další kontext:
- Konfigurace automatizace pracovního postupu v Microsoft Defender for Cloud
- Nastavení automatizovaných odpovědí na hrozby v Microsoft Defender for Cloud
- Nastavení automatizovaných reakcí na hrozby ve službě Azure Sentinel
Účastníci zabezpečení zákazníků (další informace):
IR-7: Aktivita po incidentu – výuka se naučila a zachovala důkazy
| Ovládací prvky CIS v8 ID | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Princip zabezpečení: Pravidelně a/nebo po hlavních incidentech proveďte lekce získané ve vaší organizaci, abyste zlepšili budoucí možnosti reakce na incidenty a zpracování.
Na základě povahy incidentu si uchovávejte důkazy související s incidentem po dobu definovanou ve standardu zpracování incidentů pro další analýzu nebo právní akce.
Pokyny k Azure: Pomocí výsledku získané aktivity můžete aktualizovat plán reakce na incidenty, playbook (jako je playbook Azure Sentinel) a znovu ohlašovat zjištění do vašich prostředí (jako je protokolování a detekce hrozeb, abyste vyřešili všechny oblasti mezer v protokolování), abyste vylepšili budoucí možnosti zjišťování, reakce a zpracování incidentu v Azure.
Uchovávejte důkazy shromážděné během "detekce a analýzy – prozkoumejte krok incidentu", jako jsou systémové protokoly, výpis síťového provozu a spuštění snímku systému v úložišti, jako je Azure Storage účet pro uchovávání informací.
Implementace a další kontext:
Účastníci zabezpečení zákazníků (další informace):