Controllo sicurezza V2: Risposta agli eventi imprevisti
Nota
Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.
La risposta agli eventi imprevisti copre i controlli nel ciclo di vita della risposta agli eventi imprevisti: preparazione, rilevamento e analisi, contenimento e attività post-evento imprevisto. Ciò include l'uso di servizi di Azure come Centro sicurezza di Azure e Sentinel per automatizzare il processo di risposta agli eventi imprevisti.
Per visualizzare le Criteri di Azure predefinite applicabili, vedere Dettagli dell'iniziativa predefinita conformità alle normative di Azure Security Benchmark: Risposta agli eventi imprevisti
IR-1: Preparazione: aggiornare il processo di risposta agli eventi imprevisti per Azure
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| IR-1 | 19 | IR-4, IR-8 |
Assicurarsi che l'organizzazione disponga di processi per rispondere agli eventi imprevisti di sicurezza, ha aggiornato questi processi per Azure ed è regolarmente in esercizio per garantire la conformità.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
IR-2: Preparazione: configurare la notifica dell'evento imprevisto
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| IR-2 | 19.5 | IR-4, IR-5, IR-6, IR-8 |
Configurare le informazioni di contatto sugli eventi imprevisti di sicurezza in Centro sicurezza di Azure. Le informazioni di contatto consentono a Microsoft di contattare l'utente se Microsoft Security Response Center (MSRC) rileva che è stato eseguito l'accesso ai dati da parte di utenti non autorizzati. Sono disponibili anche opzioni per personalizzare gli avvisi e le notifiche degli eventi imprevisti in diversi servizi di Azure in base alle esigenze di risposta agli eventi imprevisti.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
IR-3: Rilevamento e analisi: creare eventi imprevisti basati su avvisi di alta qualità
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| IR-3 | 19.6 | IR-4, IR-5 |
Assicurarsi di avere un processo per creare avvisi di alta qualità e misurare la qualità degli avvisi. In questo modo è possibile imparare lezioni dagli eventi imprevisti precedenti e assegnare priorità agli avvisi per gli analisti, in modo da non perdere tempo sui falsi positivi.
Gli avvisi di alta qualità possono essere creati in base all'esperienza degli eventi imprevisti passati, alle origini di community convalidate e a strumenti progettati per generare e pulire gli avvisi fondendo e correlando diverse origini dei segnali.
Il Centro sicurezza di Azure offre avvisi di alta qualità per molte risorse di Azure. È possibile usare il connettore dati del Centro sicurezza di Azure per trasmettere gli avvisi ad Azure Sentinel. Azure Sentinel consente di creare regole di avviso avanzate per generare automaticamente eventi imprevisti per un'analisi.
Esportare gli avvisi e le raccomandazioni del Centro sicurezza di Azure usando la funzionalità di esportazione per contribuire a individuare i rischi per le risorse di Azure. È possibile esportare avvisi e raccomandazioni manualmente o in modo continuativo.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
IR-4: Rilevamento e analisi: esaminare un evento imprevisto
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| IR-4 | 19 | IR-4 |
Assicurarsi che gli analisti possano eseguire query e usare origini dati diverse durante l'analisi di potenziali eventi imprevisti, per creare una visualizzazione completa di ciò che è successo. È necessario raccogliere vari log per tenere traccia delle attività di un possibile utente malintenzionato attraverso la kill chain per evitare punti ciechi. Assicurarsi anche che le informazioni dettagliate e le nozioni apprese vengano acquisite per poter essere sfruttate da altri analisti e per riferimenti cronologici futuri.
Le origini dati per l'analisi includono le origini di registrazione centralizzate che sono già state raccolte dai servizi inclusi nell'ambito e dai sistemi in esecuzione, ma possono includere anche:
Dati di rete: usare i log dei flussi dei gruppi di sicurezza di rete, Azure Network Watcher e Monitoraggio di Azure per acquisire i log dei flussi di rete e altre informazioni di analisi.
Snapshot dei sistemi in esecuzione:
Usare la funzionalità snapshot macchina virtuale di Azure per creare uno snapshot del disco del sistema in esecuzione.
Usare la funzionalità di dump della memoria nativa del sistema operativo per creare uno snapshot della memoria del sistema in esecuzione.
Usare la funzionalità snapshot dei servizi di Azure o la funzionalità del software in uso per creare snapshot dei sistemi in esecuzione.
Azure Sentinel fornisce analisi approfondite dei dati in qualsiasi origine di log e un portale di gestione dei casi per gestire l'intero ciclo di vita degli eventi imprevisti. Le informazioni di intelligence durante un'analisi possono essere associate a un evento imprevisto a scopo di rilevamento e creazione di report.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
IR-5: Rilevamento e analisi: assegnare la priorità agli eventi imprevisti
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| IR-5 | 19.8 | CA-2, IR-4 |
Fornire contesto agli analisti su cui si concentrano gli eventi imprevisti in base alla gravità degli avvisi e alla riservatezza degli asset.
il Centro sicurezza di Azure assegna un livello di gravità a ogni avviso per facilitare la classificazione in ordine di priorità in base agli avvisi che devono essere analizzati per primi. Il livello di gravità è basato sul grado di attendibilità del Centro sicurezza nell'individuazione o nell'analisi usata per emettere l'avviso, nonché sul grado di attendibilità con cui si ritiene che vi sia un intento dannoso dietro l'attività che ha generato l'avviso.
Contrassegnare inoltre le risorse tramite tag e creare un sistema di denominazione per identificare e classificare le risorse di Azure, in particolare quelle che elaborano i dati sensibili. È responsabilità dell'utente classificare in ordine di priorità la correzione degli avvisi in base alla criticità delle risorse e dell'ambiente di Azure in cui si è verificato l'evento imprevisto.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
IR-6: Contenimento, eliminazione e ripristino: automatizzare la gestione degli eventi imprevisti
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| IR-6 | 19 | IR-4, IR-5, IR-6 |
Automatizzare le attività ripetitive manuali per velocizzare il tempo di risposta e ridurre il carico per gli analisti. L'esecuzione delle attività manuali richiede più tempo, rallentando ogni evento imprevisto e riducendo il numero di eventi imprevisti che un analista può gestire. Le attività manuali rendono inoltre il lavoro degli analisti più faticoso, aumentando il rischio di errori umani che causano ritardi e compromettendo la capacità degli analisti di concentrarsi in modo efficace sulle attività complesse. Usare le funzionalità di automazione dei flussi di lavoro nel Centro sicurezza di Azure e in Azure Sentinel per attivare automaticamente le azioni o eseguire un playbook per rispondere agli avvisi di sicurezza in ingresso. Il playbook esegue azioni come l'invio di notifiche, la disabilitazione degli account e l'isolamento delle reti problematiche.
Configurare l'automazione dei flussi di lavoro nel Centro sicurezza
Configurare le risposte automatiche alle minacce nel Centro sicurezza di Azure
Configurare le risposte automatiche alle minacce in Azure Sentinel
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):