Kontrol Keamanan V2: Respons Insiden

Catatan

Tolok Ukur Keamanan Azure terbaru tersedia di sini.

Respons Insiden mencakup kontrol dalam siklus hidup respons insiden - persiapan, deteksi dan analisis, penahanan, dan aktivitas pasca-insiden. Ini termasuk menggunakan layanan Azure seperti Azure Security Center dan Sentinel untuk mengotomatiskan proses respons insiden.

Untuk melihat Azure Policy bawaan yang berlaku, lihat Detail inisiatif bawaan Kepatuhan Terhadap Peraturan Azure Security Benchmark: Respons Insiden

IR-1: Persiapan – perbarui proses respons insiden untuk Azure

Azure ID	CIS Controls v7.1 ID(s)	ID NIST SP 800-53 r4
IR-1	19	IR-4, IR-8

Pastikan organisasi Anda memiliki proses untuk menanggapi insiden keamanan, telah memperbarui proses ini untuk Azure, dan secara teratur menggunakannya untuk memastikan kesiapan.

• Menerapkan keamanan di seluruh lingkungan enterprise

• Panduan referensi respons insiden

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Operasi keamanan

• Persiapan insiden

• Inteligensi ancaman

IR-2: Persiapan – pemberitahuan insiden pengaturan

Azure ID	CIS Controls v7.1 ID(s)	ID NIST SP 800-53 r4
IR-2	19.5	IR-4, IR-5, IR-6, IR-8

Siapkan informasi kontak insiden keamanan di Azure Security Center. Informasi kontak ini digunakan oleh Microsoft untuk menghubungi Anda jika Microsoft Security Response Center (MSRC) menemukan bahwa data Anda telah diakses oleh pihak yang melanggar hukum atau tidak sah. Anda juga memiliki opsi untuk menyesuaikan pemberitahuan dan pemberitahuan insiden pada berbagai layanan Azure berdasarkan kebutuhan respons insiden.

• Cara mengatur kontak keamanan Azure Security Center

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Operasi keamanan

• Persiapan insiden

IR-3: Deteksi dan analisis - membuat insiden berdasarkan pemberitahuan berkualitas tinggi

Azure ID	CIS Controls v7.1 ID(s)	ID NIST SP 800-53 r4
IR-3	19.6	IR-4, IR-5

Pastikan Anda memiliki proses untuk membuat peringatan berkualitas tinggi dan mengukur kualitas pemberitahuan. Ini memungkinkan Anda belajar dari insiden masa lalu dan memprioritaskan pemberitahuan untuk analis, sehingga mereka tidak membuang waktu pada positif palsu.

Pemberitahuan berkualitas tinggi dapat dibangun berdasarkan pengalaman dari insiden masa lalu, sumber komunitas yang divalidasi, dan alat yang dirancang untuk menghasilkan dan membersihkan pemberitahuan dengan menyatukan dan menghubungkan sumber sinyal yang beragam.

Azure Security Center menyediakan pemberitahuan berkualitas tinggi di banyak aset Azure. Anda dapat menggunakan konektor data ASC untuk melakukan streaming pemberitahuan ke Azure Sentinel. Azure Sentinel memungkinkan Anda membuat aturan pemberitahuan tingkat lanjut guna menghasilkan insiden secara otomatis untuk penyelidikan.

Ekspor pemberitahuan dan rekomendasi Azure Security Center Anda menggunakan fitur ekspor untuk membantu mengidentifikasi risiko pada sumber daya Azure. Ekspor pemberitahuan dan rekomendasi baik secara manual maupun secara berkelanjutan.

• Cara mengonfigurasi ekspor

• Cara mengalirkan pemberitahuan ke Azure Sentinel

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Operasi keamanan

• Persiapan insiden

• Inteligensi ancaman

IR-4: Deteksi dan analisis - menyelidiki insiden

Azure ID	CIS Controls v7.1 ID(s)	ID NIST SP 800-53 r4
IR-4	19	IR-4

Pastikan analis dapat mengkueri dan menggunakan sumber data yang beragam saat mereka menyelidiki potensi insiden, untuk membangun tampilan penuh tentang apa yang terjadi. Log yang beragam harus dikumpulkan untuk melacak aktivitas penyerang potensial di seluruh rantai pembunuhan untuk menghindari titik buta (blind spot). Anda juga harus memastikan wawasan dan pembelajaran diambil untuk analis lain dan untuk referensi riwayat di masa depan.

Sumber data untuk investigasi mencakup sumber pengelogan terpusat yang sudah dikumpulkan dari layanan dalam cakupan dan sistem yang berjalan, tetapi juga dapat mencakup:

• Data jaringan – menggunakan log alur kelompok keamanan jaringan, Azure Network Watcher, dan Azure Monitor untuk mengambil log alur jaringan dan informasi analitik lainnya.

• Rekam jepret dari sistem yang berjalan:

  • Gunakan kemampuan rekam jepret komputer virtual Azure untuk membuat salinan bayangan dari disk sistem yang sedang berjalan.

  • Gunakan kemampuan cadangan memori asli sistem operasi untuk membuat rekam jepret dari memori sistem yang sedang berjalan.

  • Gunakan fitur salinan bayangan dari layanan Azure atau kemampuan perangkat lunak Anda sendiri untuk membuat salinan bayangan dari sistem yang sedang berjalan.

Azure Sentinel memberikan analitik data yang luas di hampir semua sumber log dan portal manajemen kasus untuk mengelola siklus hidup lengkap dari insiden. Informasi kecerdasan selama penyelidikan dapat dikaitkan dengan insiden untuk tujuan pelacakan dan pelaporan.

• Menyalin bayangan disk komputer Windows

• Menyalin bayangan disk komputer Linux

• Informasi diagnostik Dukungan Microsoft Azure dan kumpulan cadangan memori

• Menyelidiki insiden dengan Azure Sentinel

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Operasi keamanan

• Persiapan insiden

• Inteligensi ancaman

IR-5: Deteksi dan analisis – memprioritaskan insiden

Azure ID	CIS Controls v7.1 ID(s)	ID NIST SP 800-53 r4
IR-5	19.8	CA-2, IR-4

Berikan konteks kepada analis tentang insiden mana yang harus difokuskan terlebih dahulu berdasarkan tingkat keparahan pemberitahuan dan sensitivitas aset.

Azure Security Center menetapkan tingkat keparahan untuk setiap pemberitahuan guna membantu Anda memprioritaskan pemberitahuan mana yang harus diselidiki terlebih dahulu. Tingkat keparahan didasarkan pada seberapa yakin Security Center dalam temuan atau analitik yang digunakan untuk mengeluarkan pemberitahuan serta tingkat keyakinan bahwa terdapat niat jahat di balik aktivitas yang mengarah pada pemberitahuan.

Selain itu, tandai sumber daya menggunakan tag dan buat sistem penamaan untuk mengidentifikasi dan mengategorikan sumber daya Azure, terutama data sensitif pemrosesan tersebut. Anda bertanggung jawab untuk memprioritaskan remediasi pemberitahuan berdasarkan tingkat kepentingan sumber daya dan lingkungan Azure tempat insiden terjadi.

• Peringatan Keamanan di Azure Security Center

• Menggunakan tag untuk mengatur sumber daya Azure Anda

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Operasi keamanan

• Persiapan insiden

• Inteligensi ancaman

IR-6: Penahanan, pemberantasan, dan pemulihan – mengotomatiskan penanganan insiden

Azure ID	CIS Controls v7.1 ID(s)	ID NIST SP 800-53 r4
IR-6	19	IR-4, IR-5, IR-6

Otomatiskan tugas berulang manual untuk mempercepat waktu respons dan mengurangi beban analis. Tugas manual membutuhkan waktu lebih lama untuk dijalankan, memperlambat setiap insiden, dan mengurangi banyaknya insiden yang dapat ditangani analis. Tugas manual juga meningkatkan kelelahan analis, sehingga meningkatkan risiko kesalahan manusia yang menyebabkan penundaan, dan menurunkan kemampuan analis untuk fokus secara efektif pada tugas yang kompleks. Gunakan fitur otomatisasi alur kerja di Azure Security Center dan Azure Sentinel untuk memicu tindakan secara otomatis atau menjalankan playbook guna merespons pemberitahuan keamanan yang masuk. Playbook mengambil tindakan, seperti mengirim pemberitahuan, menonaktifkan akun, dan mengisolasi jaringan bermasalah.

• Mengonfigurasi otomatisasi alur kerja di Security Center

• Menyiapkan respons ancaman otomatis di Azure Security Center

• Menyiapkan respons ancaman otomatis di Azure Sentinel

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

• Operasi keamanan

• Persiapan insiden

• Inteligensi ancaman