Kontrola zabezpieczeń: reagowanie na zdarzenia
Uwaga
Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.
Chroń informacje organizacji, a także jej reputację, opracowując i wdrażając infrastrukturę reagowania na zdarzenia (np. plany, zdefiniowane role, szkolenia, komunikację, nadzór nad zarządzaniem), aby szybko odkryć atak, a następnie skutecznie zawierać szkody, wyeliminować obecność osoby atakującej i przywrócić integralność sieci i systemów.
10.1: Tworzenie przewodnika reagowania na zdarzenia
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 10.1 | 19.1, 19.2, 19.3 | Klient |
Utwórz przewodnik reagowania na zdarzenia dla organizacji. Upewnij się, że istnieją zarejestrowane plany reakcji na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń/zarządzania od wykrywania do oceny po zdarzeniu.
10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 10,2 | 19,8 | Klient |
Usługa Security Center przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Ważność zależy od tego, jak pewna pewność, że usługa Security Center znajduje się w znalezieniu lub analityce używanej do wystawiania alertu, a także na poziomie ufności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziło do alertu.
Ponadto wyraźnie oznacz subskrypcje (np. produkcyjne, nieprodowe) przy użyciu tagów i tworzą system nazewnictwa w celu wyraźnego identyfikowania i kategoryzowania zasobów platformy Azure, zwłaszcza tych, które przetwarzają poufne dane. Odpowiedzialność za korygowanie alertów w oparciu o krytyczne znaczenie zasobów platformy Azure i środowisko, w którym wystąpiło zdarzenie, leży po stronie użytkownika.
10.3: Testowanie procedur reagowania na zabezpieczenia
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 10,3 | 19 | Klient |
Przeprowadź ćwiczenia, aby przetestować możliwości reagowania na zdarzenia w systemach w regularnych odstępach czasu, aby ułatwić ochronę zasobów platformy Azure. Zidentyfikuj słabe punkty i przerwy oraz popraw plan zgodnie z wymaganiami.
10.4: Podaj szczegóły kontaktu dotyczącego zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 10.4 | 19.5 | Klient |
Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że twoje dane zostały użyte przez osobę niezgodną z prawem lub nieautoryzowaną. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.
10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 10.5 | 19.6 | Klient |
Wyeksportuj alerty Azure Security Center i zalecenia przy użyciu funkcji eksportu ciągłego, aby ułatwić identyfikowanie zagrożeń dla zasobów platformy Azure. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w sposób ciągły. Możesz użyć łącznika danych Azure Security Center do przesyłania strumieniowego alertów do usługi Azure Sentinel.
10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 10.6 | 19 | Klient |
Funkcja automatyzacji przepływu pracy w Azure Security Center umożliwia automatyczne wyzwalanie odpowiedzi za pośrednictwem usługi "Logic Apps" dotyczących alertów zabezpieczeń i zaleceń w celu ochrony zasobów platformy Azure.
Następne kroki
- Zobacz następną kontrolę zabezpieczeń: testy penetracyjne i ćwiczenia zespołu czerwonego