Beveiligingsbeheer: Reactie op incidenten
Notitie
De meest recente Azure Security Benchmark is hier beschikbaar.
Beveilig de informatie van de organisatie, evenals de reputatie ervan, door een infrastructuur voor incidentrespons te ontwikkelen en te implementeren (bijvoorbeeld plannen, gedefinieerde rollen, training, communicatie, beheertoezicht) voor het snel detecteren van een aanval en vervolgens effectief het detecteren van de schade, het wissen van de aanwezigheid van de aanvaller en het herstellen van de integriteit van het netwerk en systemen.
10.1: Een handleiding voor het reageren op incidenten maken
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 10.1 | 19.1, 19.2, 19.3 | Klant |
Bouw een handleiding voor het reageren op incidenten uit voor uw organisatie. Zorg ervoor dat er schriftelijke responsplannen zijn waarin alle rollen van het personeel worden gedefinieerd, evenals alle fasen in het afhandelen/managen van incidenten, vanaf de detectie van het incident tot een evaluatie ervan achteraf.
Richtlijnen voor het bouwen van uw eigen proces voor het reageren op beveiligingsincidenten
Anatomie van een incident van Microsoft Security Response Center
10.2: Een beoordelings- en prioriteitsprocedure voor incidenten maken
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 10,2 | 19.8 | Klant |
Security Center wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Security Center is in de bevindingen of de analyse die wordt gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke intenties waren achter de activiteit die tot de waarschuwing heeft geleid.
Markeer bovendien duidelijk abonnementen (voor bijvoorbeeld productie, niet-prod) met behulp van tags en maak een naamgevingssysteem om Azure-resources duidelijk te identificeren en categoriseren, met name die gevoelige gegevens verwerken. Het is uw verantwoordelijkheid om prioriteit te geven aan het oplossen van waarschuwingen op basis van de ernst van de Azure-resources en -omgeving waarin het incident heeft plaatsgevonden.
10.3: Beveiligingsreactieprocedures testen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 10.3 | 19 | Klant |
Voer oefeningen uit om de reactiemogelijkheden van uw systemen te testen op regelmatige frequentie om uw Azure-resources te beschermen. Stel vast waar zich zwakke plekken en hiaten bevinden, en wijzig zo nodig het plan.
10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 10.4 | 19.5 | Klant |
Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te stellen als het Microsoft Security Response Center (MSRC) detecteert dat uw gegevens zijn geopend door een onrechtmatige of onbevoegde partij. Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.
10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 10.5 | 19.6 | Klant |
Exporteer uw Azure Security Center waarschuwingen en aanbevelingen met behulp van de functie Continue export om risico's voor Azure-resources te identificeren. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren. U kunt de Azure Security Center gegevensconnector gebruiken om de waarschuwingen te streamen naar Azure Sentinel.
10.6: Het antwoord op beveiligingswaarschuwingen automatiseren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 10.6 | 19 | Klant |
Gebruik de functie Werkstroomautomatisering in Azure Security Center om reacties automatisch te activeren via 'Logic Apps' voor beveiligingswaarschuwingen en aanbevelingen om uw Azure-resources te beveiligen.
Volgende stappen
- Zie de volgende beveiligingscontrole: penetratietests en rode teamoefeningen