Control de seguridad V2: Respuesta a los incidentes
Nota
La versión más actualizada de Azure Security Benchmark está disponible aquí.
La respuesta a los incidentes cubre los controles del ciclo de vida de respuesta a los incidentes: actividades de preparación, detección y análisis, contención y posteriores a incidentes. Esto incluye el uso de servicios de Azure como Azure Security Center y Sentinel para automatizar el proceso de respuesta a los incidentes.
Para ver la instancia de Azure Policy integrada aplicable, vea Detalles de la iniciativa integrada de cumplimiento normativo de Azure Security Benchmark: Respuesta a los incidentes.
IR-1: Preparación: actualización del proceso de respuesta a incidentes para Azure
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| IR-1 | 19 | IR-4, IR-8 |
Asegúrese de que la organización tenga procesos para responder a incidentes de seguridad, que haya actualizado estos procesos para Azure y que los ejercite regularmente para garantizar su disponibilidad.
Responsabilidad: Customer
Partes interesadas de seguridad del cliente (Más información):
IR-2: Preparación: notificación de incidentes de configuración
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| IR-2 | 19.5 | IR-4, IR-5, IR-6, IR-8 |
Configure la información de contacto en caso de incidentes de seguridad en Azure Security Center. Microsoft utilizará esta información para ponerse en contacto con usted si el Centro de respuestas de seguridad de Microsoft (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a sus datos. También hay opciones para personalizar la alerta y notificación de incidentes en diferentes servicios de Azure en función de sus necesidades de respuesta a incidentes.
Responsabilidad: Customer
Partes interesadas de seguridad del cliente (Más información):
IR-3: Detección y análisis: creación de incidentes en función de alertas de alta calidad
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| IR-3 | 19.6 | IR-4, IR-5 |
Asegúrese de que cuenta con un proceso para crear alertas de alta calidad y medir la calidad de las alertas. Esto le permite aprender de incidentes anteriores y clasificar las alertas para los analistas, de modo que no pierdan tiempo con falsos positivos.
Las alertas de alta calidad se pueden crear en función de la experiencia de pasados incidentes, información validada procedente de la comunidad y herramientas diseñadas para generar y limpiar alertas mediante la fusión y correlación de diversos orígenes de la señal.
Azure Security Center proporciona alertas de alta calidad en muchos recursos de Azure. Puede usar el conector de datos de ASC para enviar las alertas a Azure Sentinel. Azure Sentinel le permite crear reglas de alerta avanzadas con el fin de generar automáticamente incidentes para investigar.
Exporte las alertas y recomendaciones de Azure Security Center mediante la característica de exportación para ayudar a identificar riesgos en los recursos de Azure. Esta exportación puede hacerse de forma manual o de modo continuo.
Responsabilidad: Customer
Partes interesadas de seguridad del cliente (Más información):
IR-4: Detección y análisis: investigación de incidentes
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| IR-4 | 19 | IR-4 |
Asegúrese de que los analistas pueden consultar y usar diversos orígenes de datos a medida que investigan posibles incidentes, para conseguir una visión global de lo que ha sucedido. Se deben recopilar diversos registros para realizar un seguimiento de las actividades de un posible atacante en la cadena de eliminación para evitar puntos ciegos. También debe asegurarse de que se capturan detalles y aprendizajes para otros analistas y para futuras referencias históricas.
Los orígenes de datos para la investigación incluyen los orígenes de registro centralizados que ya se recopilan de los servicios en el ámbito y los sistemas en ejecución, pero también pueden incluir:
Datos de red: use registros de flujo de grupos de seguridad de red, Azure Network Watcher y Azure Monitor para capturar registros de flujo de red y otra información de análisis.
Instantáneas de sistemas en ejecución:
Use la funcionalidad de instantáneas de la máquina virtual de Azure para crear una instantánea del disco del sistema en ejecución.
Use la funcionalidad de volcado de la memoria nativa del sistema operativo para crear una instantánea de la memoria del sistema en ejecución.
Use la característica de instantánea de los servicios de Azure o la propia funcionalidad del software para crear instantáneas de los sistemas en ejecución.
Azure Sentinel proporciona amplios análisis de datos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar todo el ciclo de vida de los incidentes. La información de inteligencia durante una investigación puede asociarse a un incidente con fines de seguimiento e informes.
Responsabilidad: Customer
Partes interesadas de seguridad del cliente (Más información):
IR-5: Detección y análisis: clasificar incidentes
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| IR-5 | 19,8 | CA-2, IR-4 |
Proporcione contexto a los analistas sobre los incidentes en los que deberán centrarse en primer lugar en función de la gravedad de la alerta y la confidencialidad de los recursos.
Azure Security Center asigna una gravedad a cada alerta para ayudarle a priorizar aquellas que se deben investigar en primer lugar. La gravedad se basa en la confianza que tiene Security Center en el hallazgo o en el análisis utilizados para emitir la alerta, así como en el nivel de confianza de que ha habido un intento malintencionado detrás de la actividad que ha provocado la alerta.
Adicionalmente, marque los recursos con etiquetas y cree un sistema de nomenclatura para identificar y clasificar los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.
Responsabilidad: Customer
Partes interesadas de seguridad del cliente (Más información):
IR-6: Contención, erradicación y recuperación: automatización del control de incidentes
| Identificador de Azure | Identificadores de CIS Controls v7.1 | Identificadores de NIST SP 800-53 r4 |
|---|---|---|
| IR-6 | 19 | IR-4, IR-5, IR-6 |
Automatice las tareas repetitivas manuales para acelerar el tiempo de respuesta y reducir la carga de los analistas. Las tareas manuales tardan más tiempo en ejecutarse, lo que ralentiza cada incidente y reduce el número de incidentes que un analista puede manejar. Las tareas manuales también aumentan la fatiga del analista, lo que aumenta el riesgo del error humano que produce retrasos y reduce la capacidad de los analistas de centrarse de manera efectiva en tareas complejas. Use las características de automatización de flujo de trabajo de Azure Security Center y Azure Sentinel para desencadenar acciones automáticamente o ejecutar un cuaderno de estrategias para responder a las alertas de seguridad entrantes. El cuaderno de estrategias lleva a cabo acciones, como el envío de notificaciones, la deshabilitación de cuentas y el aislamiento de redes problemáticas.
Configuración de la automatización de flujos de trabajo en Security Center
Configuración de respuestas automatizadas frente a amenazas en Azure Security Center
Configuración de respuestas automatizadas frente a amenazas en Azure Sentinel
Responsabilidad: Customer
Partes interesadas de seguridad del cliente (Más información):