Beveiligingsbeheer V2: Reactie op incidenten
Notitie
De meest recente Azure Security Benchmark is hier beschikbaar.
Incidentrespons omvat controles in de levenscyclus van de reactie op incidenten: voorbereiding, detectie en analyse, insluiting en post-incidentactiviteiten. Dit omvat het gebruik van Azure-services zoals Azure Security Center en Sentinel om het reactieproces voor incidenten te automatiseren.
Als u de toepasselijke ingebouwde Azure Policy wilt zien, raadpleegt u details van het ingebouwde initiatief naleving van regelgeving in Azure Security Benchmark: Reactie op incidenten
IR-1: Voorbereiding: responsproces voor incidenten bijwerken voor Azure
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IR-1 | 19 | IR-4, IR-8 |
Zorg ervoor dat uw organisatie processen heeft om te reageren op beveiligingsincidenten, deze processen voor Azure heeft bijgewerkt en regelmatig oefent om de gereedheid te garanderen.
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
IR-2: Voorbereiding: melding van incidenten instellen
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IR-2 | 19.5 | IR-4, IR-5, IR-6, IR-8 |
Contactgegevens voor beveiligingsincidenten instellen in Azure Security Center. Deze contactgegevens worden door Microsoft gebruikt om contact met u op te nemen als het Microsoft Security Response Center (MSRC) vaststelt dat een niet-geautoriseerde partij toegang tot uw gegevens heeft gekregen. Er zijn ook opties waarmee u incidentwaarschuwingen en -meldingen in verschillende Azure-Services kunt aanpassen aan de hand van wat u als incidentrespons nodig acht.
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
IR-3: Detectie en analyse: incidenten maken op basis van waarschuwingen van hoge kwaliteit
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IR-3 | 19.6 | IR-4, IR-5 |
Zorg ervoor dat u een proces hebt om waarschuwingen van hoge kwaliteit te maken en de kwaliteit van waarschuwingen te meten. Zo kunt u lessen leren uit eerdere incidenten en waarschuwingen prioriteren voor analisten, zodat ze geen tijd verspillen aan fout-positieven.
Waarschuwingen van hoge kwaliteit kunnen worden samengesteld op basis van ervaringen met eerdere incidenten, gevalideerde communitybronnen, en tools die zijn ontworpen om waarschuwingen te genereren en op te schonen door verschillende signaalbronnen samen te voegen en te correleren.
Azure Security Center biedt waarschuwingen van hoge kwaliteit voor diverse Azure-assets. U kunt de ASC-dataconnector gebruiken om de waarschuwingen te streamen naar Azure Sentinel. Met Azure Sentinel kunt u geavanceerde waarschuwingsregels opstellen om automatisch incidenten te genereren voor onderzoek.
Exporteer de waarschuwingen en aanbevelingen van Azure Security Center met behulp van de exportfunctie om zo beter risico's voor Azure-resources te kunnen identificeren. U kunt waarschuwingen en aanbevelingen handmatig exporteren of doorlopend.
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
IR-4: Detectie en analyse: een incident onderzoeken
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IR-4 | 19 | IR-4 |
Zorg ervoor dat analisten diverse gegevensbronnen kunnen opvragen en gebruiken tijdens het onderzoeken van mogelijke incidenten, om een volledig overzicht te maken van wat er is gebeurd. Er moeten verschillende logboeken worden verzameld om de activiteiten van een mogelijke aanvaller in de kill chain te volgen om zo blinde vlekken te voorkomen. U moet er ook voor zorgen dat inzichten en resultaten worden vastgelegd voor andere analisten, zodat deze kunnen worden geraadpleegd als historische naslaginformatie.
De gegevensbronnen voor onderzoek zijn niet alleen de gecentraliseerde logboekbronnen die al worden verzameld door de services binnen het bereik en de actieve systemen, maar kunnen ook de volgende zijn:
Netwerkgegevens: gebruik stroomlogboeken van netwerkbeveiligingsgroepen, Azure Network Watcher en Azure Monitor om logboeken van netwerkstromen en andere analysegegevens vast te leggen.
Momentopnamen van actieve systemen:
Gebruik de functie voor het maken van momentopnamen van virtuele machines van Azure om een momentopname of snapshot te maken van de schijf van het actieve systeem.
Gebruik de voorziening van het besturingssysteem voor het maken van geheugendumps om een momentopname te maken van het geheugen van het actieve systeem.
Gebruik de momentopnamefunctie van de Azure-services of van uw software om momentopnamen van de actieve systemen te maken.
Azure Sentinel biedt uitgebreide voorzieningen voor gegevensanalyse voor vrijwel elke logboekbron en een portal voor dossierbeheer om de volledige levenscyclus van incidenten te beheren. Informatie die wordt verzameld tijdens een onderzoek kan worden gekoppeld aan een incident voor tracerings- en rapportagedoeleinden.
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
IR-5: Detectie en analyse: prioriteiten toekennen aan incidenten
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IR-5 | 19.8 | CA-2, IR-4 |
Geef context aan analisten waarop incidenten zich eerst moeten richten op basis van de ernst van de waarschuwing en de gevoeligheid van activa.
Azure Security Center wijst aan elke waarschuwing een ernst toe om u te helpen bepalen welke waarschuwingen het eerst moeten worden onderzocht. De ernst is gebaseerd op hoeveel vertrouwen Security Center heeft in de zoekactie of de analysefunctie die is gebruikt om de waarschuwing te genereren, evenals in welke mate kan worden aangetoond dat er sprake is van schadelijke opzet achter de activiteit die tot de waarschuwing heeft geleid.
Daarnaast kunt u resources markeren met behulp van tags en een naamgevingssysteem opzetten om Azure-resources te identificeren en categoriseren, met name voor resources die gevoelige gegevens verwerken. Het is uw verantwoordelijkheid om prioriteit te geven aan het oplossen van waarschuwingen op basis van de ernst van de Azure-resources en -omgeving waarin het incident heeft plaatsgevonden.
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
IR-6: Insluiting, uitschakeling en herstel: het afhandelen van incidenten automatiseren
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| IR-6 | 19 | IR-4, IR-5, IR-6 |
Automatiseer handmatige terugkerende taken om de reactietijd te versnellen en de belasting van analisten te verminderen. Het uitvoeren van handmatige taken duurt langer, waardoor elk incident trager gaat en het aantal incidenten dat een analist kan afhandelen, kleiner wordt. Daarnaast raken analisten sneller vermoeid door handmatige taken, met als gevolg dat het risico van menselijke fouten toeneemt en analisten zich minder goed kunnen concentreren. Gebruik voorzieningen voor de automatisering van werkstromen in Azure Security Center en Azure Sentinel om automatisch acties te activeren of een playbook uit te voeren in reactie op binnenkomende beveiligingswaarschuwingen. Het playbook voert acties uit, zoals het verzenden van meldingen, het uitschakelen van accounts en het isoleren van problematische netwerken.
Geautomatiseerde bedreigingsreacties instellen in Azure Security Center
Geautomatiseerde bedreigingsreacties instellen in Azure Sentinel
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):