Beveiligingsbewerkingen in Azure
De verantwoordelijkheid van het beveiligingsbewerkingsteam (ook wel Security Operations Center (SOC) of SecOps genoemd, is om potentiƫle aanvallen snel te detecteren, te prioriteren en te trimaneren. Deze bewerkingen helpen bij het elimineren van fout-positieven en richten zich op echte aanvallen, waardoor de gemiddelde tijd voor het herstellen van echte incidenten wordt verkort. Het centrale SecOps-team bewaakt telemetriegegevens met betrekking tot beveiliging en onderzoekt beveiligingsschending. Het is belangrijk dat alle communicatie-, onderzoek- en opsporingsactiviteiten zijn afgestemd op het toepassingsteam.
Hier volgen enkele algemene best practices voor het uitvoeren van beveiligingsbewerkingen:
Volg de functies van het NIST Cybersecurity Framework als onderdeel van bewerkingen.
- De aanwezigheid van aanvallers in het systeem detecteren.
- Reageer door snel te onderzoeken of het een werkelijke aanval of een onwaar alarm is.
- Herstel en herstel de vertrouwelijkheid, integriteit en beschikbaarheid van de workload tijdens en na een aanval.
Zie NIST Cybersecurity Framework voor meer informatie over het framework.
Een waarschuwing snel bevestigen. Een gedetecteerde aanvaller mag niet worden genegeerd terwijl defenders fout-positieven opsyten.
Verminder de tijd die nodig is om een gedetecteerde aanvaller te herstellen. Verminder de kans om gevoelige systemen uit te voeren en aan te vallen.
Geef prioriteit aan investeringen in beveiliging in systemen met een hoge intrinsieke waarde. Bijvoorbeeld beheerdersaccounts.
Proactief zoeken naar aanvallers naarmate uw systeem zich verder ontwikkeld. Deze inspanning vermindert de tijd die een ervaren aanvaller kan gebruiken in de omgeving. Bijvoorbeeld, ervaren genoeg om reactieve waarschuwingen te ontwijken.
Zie Microsoft SOC voor informatie over de metrische gegevens die het SOC-team van Microsoft gebruikt.
Hulpprogramma's
Hier ziet u enkele Azure-hulpprogramma's die een SOC-team kan gebruiken om incidenten te onderzoeken en op te verhelpen.
| Hulpprogramma | Doel |
|---|---|
| Azure Sentinel | Gecentraliseerde Security Information and Event Management (SIEM) om bedrijfsbrede zichtbaarheid in logboeken te krijgen. |
| Azure Security Center | Genereren van waarschuwingen. Gebruik een beveiligings-playbook als reactie op een waarschuwing. |
| Azure Monitor | Gebeurtenislogboeken van toepassings- en Azure-services. |
| Azure Network Security Group (NSG) | Zichtbaarheid van netwerkactiviteiten. |
| Azure Information Protection | Beveilig e-mail, documenten en gevoelige gegevens die u buiten uw bedrijf deelt. |
Onderzoeksprocedures moeten gebruikmaken van native hulpprogramma's met een diepgaande kennis van het assettype, zoals een oplossing voor eindpuntdetectie en -respons (EDR), identiteitshulpprogramma's en Azure Sentinel.
Zie Hulpprogramma's voor beveiligingsbewaking in Azure voor meer informatie over bewakingshulpprogramma's.
Contactpersoon voor incidentmeldingen toewijzen
Beveiligingswaarschuwingen moeten de juiste personen in uw organisatie bereiken. Stel een aangewezen contactpunt in voor het ontvangen van Azure-incidentmeldingen van Microsoft en, of Azure Security Center. In de meeste gevallen geven dergelijke meldingen aan dat uw resource is gecompromitteerd of een andere klant aanvalt. Hierdoor kan uw beveiligingsteam snel reageren op mogelijke beveiligingsrisico's en deze verhelpen.
Hierdoor kan uw beveiligingsteam snel reageren op mogelijke beveiligingsrisico's en deze verhelpen.
Zorg ervoor dat de contactgegevens van de beheerder in de Azure-inschrijvingsportal contactgegevens bevatten die beveiligingsbewerkingen rechtstreeks of snel via een intern proces melden.
Meer informatie
Voor meer informatie over het tot stand brengen van een aangewezen contactpersoon voor het ontvangen van Azure-incidentmeldingen van Microsoft, verwijzen wij u naar de volgende artikelen:
Reageren op incidenten
Wordt de beveiligingsstatus van workloads effectief gecontroleerd door de organisatie, met een centraal SecOps-team dat telemetriegegevens over beveiliging in de gaten houdt en mogelijke beveiligingsschending onderzoekt? Communicatie-, onderzoek- en opsporingsactiviteiten moeten worden afgestemd op de toepassingsteam(s).
Zijn operationele processen voor incidentrespons gedefinieerd en getest?
Acties die worden uitgevoerd tijdens een incident- en responsonderzoek, kunnen van invloed zijn op de beschikbaarheid of prestaties van toepassingen. Definieer deze processen en stem deze af met het verantwoordelijke (en in de meeste gevallen centrale) SecOps-team. De impact van een dergelijk onderzoek op de toepassing moet worden geanalyseerd.
Zijn er hulpprogramma's waarmee reagerende incidenten snel inzicht kunnen krijgen in de toepassing en onderdelen om een onderzoek uit te kunnen gaan?
Incident responders maken deel uit van een centraal SecOps-team en moeten inzicht hebben in de beveiligingsinzichten van een toepassing. Beveiligings-playbook in Azure Sentinel kan helpen om de beveiligingsconcepten te begrijpen en de gebruikelijke onderzoeksactiviteiten te behandelen.
Voorgestelde actie
U kunt Azure Defender (Azure Security Center) gebruiken om beveiligingsgebeurtenissen te bewaken en automatisch te worden gewaarschuwd.
Meer informatie
Beveiligingswaarschuwingen en incidenten in Azure Security Center
Hybride bedrijfsweergave
Hulpprogramma's en processen voor beveiligingsbewerkingen moeten zijn ontworpen voor aanvallen op cloud- en on-premises activa. Aanvallers beperken hun acties niet tot een bepaalde omgeving wanneer ze gericht zijn op een organisatie. Ze vallen resources aan op elk platform met behulp van elke beschikbare methode. Ze kunnen draaien tussen cloud- en on-premises resources met behulp van identiteit of andere middelen. Deze bedrijfsbrede weergave stelt SecOps in staat om snel aanvallen te detecteren, te reageren en te herstellen, waardoor het risico van de organisatie wordt verkleind.
Gebruikmaken van native detecties en besturingselementen
Gebruik Azure-beveiligingsdetecties en -besturingselementen in plaats van aangepaste functies te maken voor het weergeven en analyseren van gebeurtenislogboeken. Azure-services worden bijgewerkt met nieuwe functies en hebben de mogelijkheid om fout-positief te detecteren met een hogere nauwkeurigheid.
Door logboeken van de netwerkapparaten en zelfs onbewerkt netwerkverkeer zelf te integreren, krijgt u meer inzicht in mogelijke beveiligingsrisico's die via de kabel stromen.
Als u een uniforme weergave in de hele onderneming wilt krijgen, geeft u de logboeken die zijn verzameld via systeemeigen detecties (zoals Azure Monitor) op in een gecentraliseerde SIEM-oplossing (Security Information and Event Management), zoals Azure Sentinel. Vermijd het gebruik van ge generaliseerde hulpprogramma's en query's voor logboekanalyse. Maak Azure Monitor Log Analytics-werkruimte om logboeken op te slaan. U kunt ook logboeken controleren en query's uitvoeren op logboekgegevens. Deze hulpprogramma's kunnen waarschuwingen van hoge kwaliteit bieden.
De moderne machine learning op basis van analyseplatforms ondersteunen de opname van extreem grote hoeveelheden informatie en kunnen zeer snel grote gegevenssets analyseren. Bovendien kunnen deze oplossingen worden afgestemd om fout-positieve waarschuwingen aanzienlijk te verminderen.
Voorbeelden van netwerklogboeken die zichtbaarheid bieden zijn:
- Logboeken van beveiligingsgroep - stroomlogboeken en diagnostische logboeken
- WAF-logboeken (Web Application Firewall)
- Tikken van virtuele netwerken en hun equivalenten
- Azure Network Watcher
Voorgestelde acties
Integreer logboekgegevens van netwerkapparaat in geavanceerde SIEM-oplossingen of andere analyseplatforms.
Lees meer
Verbeterde netwerkzichtbaarheid inschakelen