Kontrol Keamanan v3: Respons insiden
Respons Insiden mencakup kontrol dalam siklus hidup respons insiden - persiapan, deteksi dan analisis, penahanan, dan aktivitas pasca-insiden, termasuk menggunakan layanan Azure seperti Microsoft Defender untuk Cloud dan Sentinel untuk mengotomatiskan proses respons insiden.
IR-1: Persiapan - memperbarui rencana respons insiden dan proses penanganan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Prinsip Keamanan: Memastikan organisasi Anda mengikuti praktik terbaik industri untuk mengembangkan proses dan rencana untuk menanggapi insiden keamanan di platform cloud. Berhati-hatilah dengan model tanggung jawab bersama beserta varians di seluruh layanan IaaS, PaaS dan SaaS. Hal ini akan berdampak langsung pada bagaimana Anda berkolaborasi dengan penyedia cloud Anda dalam aktivitas respons dan penanganan insiden, seperti pemberitahuan insiden dan triase, pengumpulan bukti, penyelidikan, pemberantasan, dan pemulihan.
Secara rutin menguji rencana respons insiden dan proses penanganan untuk memastikan mereka up to date.
Panduan Azure: Memperbarui proses respons insiden organisasi Anda untuk menyertakan penanganan insiden di platform Azure. Berdasarkan layanan Azure yang digunakan dan sifat aplikasi Anda, kustomisasikan rencana respons insiden dan playbook untuk memastikan mereka dapat digunakan untuk merespons insiden di lingkungan cloud.
Implementasi dan konteks tambahan:
- Menerapkan keamanan di seluruh lingkungan perusahaan
- Panduan referensi respons insiden
- NIST SP800-61 Panduan Penanganan Insiden Keamanan Komputer
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
IR-2: Persiapan - menyiapkan notifikasi insiden
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Prinsip Keamanan: Memastikan peringatan keamanan dan pemberitahuan insiden dari platform penyedia layanan cloud dan lingkungan Anda dapat diterima melalui kontak yang benar di organisasi respons insiden Anda.
Panduan Azure: Menyiapkan informasi kontak insiden keamanan di Microsoft Defender untuk Cloud. Informasi kontak ini digunakan oleh Microsoft untuk menghubungi Anda jika Microsoft Security Response Center (MSRC) menemukan bahwa data Anda telah diakses oleh pihak yang melanggar hukum atau tidak berwenang. Anda juga memiliki opsi untuk menyesuaikan pemberitahuan dan pemberitahuan insiden pada berbagai layanan Azure berdasarkan kebutuhan respons insiden.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
IR-3: Deteksi dan analisis - membuat insiden berdasarkan peringatan kualitas tinggi
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10.8 |
Prinsip Keamanan: Memastikan Anda memiliki proses untuk membuat peringatan berkualitas tinggi dan mengukur kualitas peringatan. Ini memungkinkan Anda belajar dari insiden masa lalu dan memprioritaskan pemberitahuan untuk analis, sehingga mereka tidak membuang waktu pada positif palsu.
Pemberitahuan berkualitas tinggi dapat dibangun berdasarkan pengalaman dari insiden di masa lalu, sumber komunitas yang divalidasi, dan alat yang dirancang untuk menghasilkan dan membersihkan pemberitahuan dengan menyatukan dan menghubungkan beragam sumber sinyal.
Panduan Azure: Microsoft Defender untuk Cloud menyediakan peringatan berkualitas tinggi di berbagai aset Azure. Anda dapat menggunakan konektor data Microsoft Defender untuk Cloud untuk melakukan streaming peringatan ke Azure Sentinel. Azure Sentinel memungkinkan Anda membuat aturan pemberitahuan tingkat lanjut guna menghasilkan insiden secara otomatis untuk penyelidikan.
Ekspor peringatan dan rekomendasi Microsoft Defender untuk Cloud Anda menggunakan fitur ekspor guna membantu mengidentifikasi risiko ke sumber daya Azure. Ekspor pemberitahuan dan rekomendasi baik secara manual maupun secara berkelanjutan.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
IR-4: Deteksi dan analisis - menyelidiki insiden
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| T/A | IR-4 | 12.10 |
Prinsip Keamanan: Memastikan tim operasi keamanan dapat mengkueri dan menggunakan berbagai sumber data saat menyelidiki potensi insiden, untuk membangun tampilan penuh dari apa yang terjadi. Log yang beragam harus dikumpulkan untuk melacak aktivitas penyerang potensial di seluruh rantai pembunuhan untuk menghindari titik buta. Anda juga harus memastikan wawasan dan pembelajaran diambil untuk analis lain dan untuk referensi riwayat di masa depan.
Panduan Azure: Sumber data untuk investigasi adalah sumber pengelogan terpusat yang sudah dikumpulkan dari layanan dalam cakupan dan sistem yang berjalan, tetapi juga dapat mencakup:
- Data jaringan: Menggunakan log alur kelompok keamanan jaringan, Azure Network Watcher, dan Azure Monitor untuk mengambil log alur jaringan dan informasi analitik lainnya.
- Snapshot sistem yang berjalan: a) Kemampuan snapshot mesin virtual Azure, untuk membuat snapshot dari disk sistem yang berjalan. b) Kemampuan cadangan memori asli sistem operasi, untuk membuat snapshot dari memori sistem yang berjalan. c) Fitur snapshot layanan Azure atau kemampuan perangkat lunak Anda sendiri, untuk membuat snapshot dari sistem yang berjalan.
Azure Sentinel memberikan analitik data yang luas di hampir semua sumber log dan portal manajemen kasus untuk mengelola siklus hidup lengkap dari insiden. Informasi kecerdasan selama penyelidikan dapat dikaitkan dengan insiden untuk tujuan pelacakan dan pelaporan.
Implementasi dan konteks tambahan:
- Menyalin bayangan disk komputer Windows
- Menyalin bayangan disk komputer Linux
- Informasi diagnostik Dukungan Microsoft Azure dan kumpulan cadangan memori
- Menyelidiki insiden dengan Azure Sentinel
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
IR-5: Deteksi dan analisis – memprioritaskan insiden
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Prinsip Keamanan: Memberikan konteks pada tim operasi keamanan untuk membantu mereka menentukan insiden mana yang harus difokuskan terlebih dahulu, berdasarkan tingkat keparahan peringatan dan sensitivitas aset yang ditentukan dalam rencana respons insiden organisasi Anda.
Panduan Azure: Microsoft Defender untuk Cloud menetapkan tingkat keparahan untuk setiap peringatan guna membantu Anda memprioritaskan peringatan mana yang harus diselidiki terlebih dahulu. Tingkat keparahan didasarkan pada seberapa yakin Microsoft Defender untuk Cloud dalam temuan atau analitik yang digunakan untuk mengeluarkan peringatan sekaligus tingkat keyakinan bahwa terdapat niat jahat di balik aktivitas yang mengarah pada peringatan tersebut.
Selain itu, tandai sumber daya menggunakan tag dan buat sistem penamaan untuk mengidentifikasi dan mengategorikan sumber daya Azure, terutama data sensitif pemrosesan ini. Anda bertanggung jawab untuk memprioritaskan remediasi pemberitahuan berdasarkan tingkat kepentingan sumber daya dan lingkungan Azure tempat insiden terjadi.
Implementasi dan konteks tambahan:
- Peringatan keamanan di Microsoft Defender for Cloud
- Menggunakan tag untuk mengatur sumber daya Azure Anda
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
IR-6: Penahanan, pemberantasan, dan pemulihan - mengotomatiskan penanganan insiden
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| T/A | IR-4, IR-5, IR-6 | 12.10 |
Prinsip Keamanan: Mengotomatiskan tugas berulang manual untuk mempercepat waktu respons dan mengurangi beban analis. Tugas manual membutuhkan waktu lebih lama untuk dijalankan, memperlambat setiap insiden, dan mengurangi banyaknya insiden yang dapat ditangani analis. Tugas manual juga meningkatkan kelelahan analis, yang meningkatkan risiko kesalahan manusia yang menyebabkan keterlambatan dan menurunkan kemampuan analis untuk berfokus secara efektif pada tugas yang kompleks.
Panduan Azure: Menggunakan fitur otomatisasi alur kerja di Microsoft Defender untuk Cloud dan Azure Sentinel untuk memicu tindakan secara otomatis atau menjalankan playbook untuk merespons peringatan keamanan yang masuk. Playbook mengambil tindakan, seperti mengirim pemberitahuan, menonaktifkan akun, dan mengisolasi jaringan bermasalah.
Implementasi dan konteks tambahan:
- Mengonfigurasi otomatisasi alur kerja di Microsoft Defender untuk Cloud
- Menyiapkan respons ancaman otomatis di Microsoft Defender untuk Cloud
- Menyiapkan respons ancaman otomatis di Azure Sentinel
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):
IR-7: Aktivitas pasca-insiden - melaksanakan pelajaran yang dipelajari dan mempertahankan bukti
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Prinsip Keamanan: Melaksanakan pelajaran yang dipelajari dalam organisasi Anda secara berkala dan/atau setelah insiden besar, untuk meningkatkan kemampuan masa depan Anda dalam respons dan penanganan insiden.
Berdasarkan sifat insiden, mempertahankan bukti yang terkait dengan insiden untuk periode yang ditentukan dalam standar penanganan insiden untuk analisis lebih lanjut atau tindakan hukum.
Azure Guidance: Menggunakan hasil dari aktivitas yang dipelajari pelajaran untuk memperbarui rencana respons insiden, playbook (seperti playbook Azure Sentinel) dan memasukkan kembali temuan ke lingkungan Anda (seperti pengelogan dan deteksi ancaman untuk menangani area celah pengelogan) untuk meningkatkan kemampuan masa depan Anda dalam mendeteksi, merespons, dan menangani insiden di Azure.
Simpan bukti yang dikumpulkan selama "Deteksi dan analisis - menyelidiki langkah insiden" seperti log sistem, cadangan lalu lintas jaringan, dan menjalankan snapshot sistem dalam penyimpanan seperti akun Azure Storage untuk retensi.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):