Controllo sicurezza v3: Risposta agli eventi imprevisti

La risposta agli eventi imprevisti copre i controlli nel ciclo di vita della risposta agli eventi imprevisti: preparazione, rilevamento e analisi, contenimento e attività post-evento imprevisto, tra cui l'uso di servizi di Azure come Microsoft Defender per Cloud e Sentinel per automatizzare il processo di risposta agli eventi imprevisti.

IR-1: Preparazione - Aggiornare il piano di risposta agli eventi imprevisti e il processo di gestione

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
17.4, 17.7 IR-4, IR-8 10.8

Principio di sicurezza: Assicurarsi che l'organizzazione segue le procedure consigliate del settore per sviluppare processi e piani per rispondere agli eventi imprevisti di sicurezza sulle piattaforme cloud. Tenere presente il modello di responsabilità condivisa e le varianza tra i servizi IaaS, PaaS e SaaS. Ciò avrà un impatto diretto sul modo in cui si collabora con il provider di servizi cloud nella risposta agli eventi imprevisti e nelle attività di gestione, ad esempio la notifica degli eventi imprevisti e la valutazione, la raccolta di prove, l'indagine, l'eradicazione e il ripristino.

Testare regolarmente il piano di risposta agli eventi imprevisti e il processo di gestione per assicurarsi che siano aggiornati.

Linee guida di Azure: Aggiornare il processo di risposta agli eventi imprevisti dell'organizzazione per includere la gestione degli eventi imprevisti nella piattaforma Azure. In base ai servizi di Azure usati e alla natura dell'applicazione, personalizzare il piano di risposta agli eventi imprevisti e il playbook per garantire che possano essere usati per rispondere all'evento imprevisto nell'ambiente cloud.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (altre informazioni):

IR-2: Preparazione - Notifica degli eventi imprevisti di installazione

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
17.1, 17.3, 17.6 IR-4, IR-8, IR-5, IR-6 12.10

Principio di sicurezza: Assicurarsi che gli avvisi di sicurezza e la notifica degli eventi imprevisti dalla piattaforma del provider di servizi cloud e gli ambienti possano essere ricevuti dal contatto corretto nell'organizzazione di risposta agli eventi imprevisti.

Linee guida di Azure: Configurare le informazioni di contatto sugli eventi imprevisti di sicurezza in Microsoft Defender for Cloud. Le informazioni di contatto consentono a Microsoft di contattare l'utente se Microsoft Security Response Center (MSRC) rileva che è stato eseguito l'accesso ai dati da parte di utenti non autorizzati. Sono disponibili anche opzioni per personalizzare gli avvisi e le notifiche degli eventi imprevisti in diversi servizi di Azure in base alle esigenze di risposta agli eventi imprevisti.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (altre informazioni):

IR-3: Rilevamento e analisi : creare eventi imprevisti basati su avvisi di alta qualità

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
17.9 IR-4, IR-5, IR-7 10.8

Principio di sicurezza: Assicurarsi di avere un processo per creare avvisi di alta qualità e misurare la qualità degli avvisi. In questo modo è possibile imparare lezioni dagli eventi imprevisti precedenti e assegnare priorità agli avvisi per gli analisti, in modo da non perdere tempo sui falsi positivi.

Gli avvisi di alta qualità possono essere creati in base all'esperienza degli eventi imprevisti passati, a origini della community convalidate e a strumenti progettati per generare e pulire gli avvisi unendo e correlando diverse origini dei segnali.

Linee guida di Azure: Microsoft Defender for Cloud offre avvisi di alta qualità in molti asset di Azure. È possibile usare il connettore dati Microsoft Defender for Cloud per trasmettere gli avvisi ad Azure Sentinel. Azure Sentinel consente di creare regole di avviso avanzate per generare automaticamente eventi imprevisti per un'analisi.

Esportare gli avvisi e le raccomandazioni di Microsoft Defender for Cloud usando la funzionalità di esportazione per identificare i rischi nelle risorse di Azure. È possibile esportare avvisi e raccomandazioni manualmente o in modo continuativo.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (altre informazioni):

IR-4: Rilevamento e analisi - Analizzare un evento imprevisto

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
N/D IR-4 12.10

Principio di sicurezza: Assicurarsi che il team dell'operazione di sicurezza possa eseguire query e usare origini dati diverse durante l'analisi di potenziali eventi imprevisti, per creare una visualizzazione completa di ciò che è successo. È necessario raccogliere vari log per tenere traccia delle attività di un possibile utente malintenzionato attraverso la kill chain per evitare punti ciechi. Assicurarsi anche che le informazioni dettagliate e le nozioni apprese vengano acquisite per poter essere sfruttate da altri analisti e per riferimenti cronologici futuri.

Linee guida di Azure: Le origini dati per l'analisi sono le origini di registrazione centralizzate già raccolte dai servizi nell'ambito e dai sistemi in esecuzione, ma possono anche includere:

  • Dati di rete: usare i log dei flussi dei gruppi di sicurezza di rete, i Network Watcher di Azure e Monitoraggio di Azure per acquisire i log del flusso di rete e altre informazioni di analisi.
  • Snapshot dei sistemi in esecuzione: a) Funzionalità snapshot di macchine virtuali di Azure per creare uno snapshot del disco del sistema in esecuzione. b) Funzionalità di dump della memoria nativa del sistema operativo per creare uno snapshot della memoria del sistema in esecuzione. c) Funzionalità snapshot dei servizi di Azure o della propria funzionalità del software per creare snapshot dei sistemi in esecuzione.

Azure Sentinel fornisce analisi approfondite dei dati in qualsiasi origine di log e un portale di gestione dei casi per gestire l'intero ciclo di vita degli eventi imprevisti. Le informazioni di intelligence durante un'analisi possono essere associate a un evento imprevisto a scopo di rilevamento e creazione di report.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (altre informazioni):

IR-5: Rilevamento e analisi - priorità degli eventi imprevisti

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
17.4, 17.9 IR-4 12.10

Principio di sicurezza: Fornire un contesto ai team delle operazioni di sicurezza per aiutarli a determinare quali eventi imprevisti devono essere incentrati, in base alla gravità degli avvisi e alla riservatezza degli asset definiti nel piano di risposta agli eventi imprevisti dell'organizzazione.

Linee guida di Azure: Microsoft Defender for Cloud assegna una gravità a ogni avviso per facilitare la priorità degli avvisi da analizzare prima. La gravità si basa sul modo in cui Microsoft Defender for Cloud si basa sulla ricerca o sull'analisi usata per inviare l'avviso, nonché sul livello di attendibilità che si è verificato un intento dannoso dietro l'attività che ha portato all'avviso.

Contrassegnare inoltre le risorse tramite tag e creare un sistema di denominazione per identificare e classificare le risorse di Azure, in particolare quelle che elaborano i dati sensibili. È responsabilità dell'utente classificare in ordine di priorità la correzione degli avvisi in base alla criticità delle risorse e dell'ambiente di Azure in cui si è verificato l'evento imprevisto.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

IR-6: contenimento, eliminazione e ripristino: automatizzare la gestione degli eventi imprevisti

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
N/D IR-4, IR-5, IR-6 12.10

Principio di sicurezza: Automatizzare le attività manuali e ripetitive per velocizzare il tempo di risposta e ridurre il carico degli analisti. L'esecuzione delle attività manuali richiede più tempo, rallentando ogni evento imprevisto e riducendo il numero di eventi imprevisti che un analista può gestire. Le attività manuali aumentano anche l'affaticamento degli analisti, che aumenta il rischio di errori umani che causa ritardi e riduce la capacità degli analisti di concentrarsi efficacemente su attività complesse.

Linee guida di Azure: Usare le funzionalità di automazione del flusso di lavoro in Microsoft Defender for Cloud e Azure Sentinel per attivare automaticamente azioni o eseguire un playbook per rispondere agli avvisi di sicurezza in ingresso. Il playbook esegue azioni come l'invio di notifiche, la disabilitazione degli account e l'isolamento delle reti problematiche.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):

IR-7: Attività post-evento imprevisto - Lezione di condotta appresa e conservazione delle prove

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
17.8 IR-4 12.10

Principio di sicurezza: Eseguire le lezioni apprese nell'organizzazione periodicamente e/o dopo eventi imprevisti gravi, per migliorare le funzionalità future nella risposta e nella gestione degli eventi imprevisti.

In base alla natura dell'evento imprevisto, conservare le prove correlate all'evento imprevisto per il periodo definito nello standard di gestione degli eventi imprevisti per ulteriori analisi o azioni legali.

Linee guida di Azure: Usare il risultato dell'attività appresa della lezione per aggiornare il piano di risposta agli eventi imprevisti, il playbook (ad esempio il playbook di Azure Sentinel) e reinserire i risultati negli ambienti (ad esempio la registrazione e il rilevamento delle minacce per risolvere eventuali aree di gap di registrazione) per migliorare le funzionalità future nel rilevare, rispondere e gestire l'evento imprevisto in Azure.

Conservare le prove raccolte durante il "Rilevamento e analisi- analizzare un passaggio relativo a un evento imprevisto", ad esempio i log di sistema, il dump del traffico di rete e l'esecuzione di snapshot di sistema nell'archiviazione, ad esempio Archiviazione di Azure account per la conservazione.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):