Controle de segurança: resposta a incidentes
Observação
A versão mais recente do Azure Security Benchmark está disponível aqui.
Proteja as informações da organização, bem como sua reputação, desenvolvendo e implementando uma infraestrutura de resposta a incidentes (por exemplo, planos, funções definidas, treinamento, comunicações, supervisão de gerenciamento) para detectar rapidamente um ataque e, em seguida, conter efetivamente os danos, erradicar a presença do invasor e restaurar a integridade da rede e dos sistemas.
10.1: criar um guia de resposta a incidentes
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 10.1 | 19.1, 19.2, 19.3 | Cliente |
crie um guia de resposta a incidentes para sua organização. Verifique se há planos de resposta a incidentes escritos que definem todas as funções de pessoal, bem como as fases de tratamento/gerenciamento de incidentes, desde a detecção até a revisão após o incidente.
Orientação sobre como criar seu processo de resposta a incidentes de segurança
Anatomia de um incidente do Microsoft Security Response Center
10.2: criar um procedimento de pontuação e priorização de incidentes
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 10,2 | 19,8 | Cliente |
a Central de Segurança atribui uma severidade a cada alerta para ajudar você a priorizar quais alertas devem ser investigados primeiro. A severidade se baseia na confiança que a Central de Segurança tem na constatação ou na análise usada para emitir o alerta, bem como no nível de confiança de que houve uma ação mal-intencionada por trás da atividade que levou ao alerta.
Adicionalmente, marque claramente as assinaturas (por ex., produção, não produção) usando marcas e crie um sistema de nomenclatura para identificar e categorizar com clareza os recursos do Azure, em especial aqueles que processam dados confidenciais. É sua responsabilidade priorizar a correção de alertas com base na criticalidade dos recursos do Azure e do ambiente em que o incidente ocorreu.
10.3: testar procedimentos de resposta de segurança
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 10,3 | 19 | Cliente |
Conduza regularmente exercícios para testar os recursos de resposta a incidentes de seus sistemas para ajudar a proteger seus recursos do Azure. Identifique pontos fracos e lacunas e revise o plano conforme necessário.
- Publicação do NIST - Guia para testar, treinar e exercitar programas para planos de TI e capacidades
10.4: fornecer detalhes de contato do incidente de segurança e configurar notificações de alerta para incidentes de segurança
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 10.4 | 19.5 | Cliente |
As informações de contato do incidente serão usadas pela Microsoft para contatá-lo se o MSRC (Microsoft Security Response Center) descobrir que seus dados foram acessados por uma pessoa não autorizada ou ilegal. Examine os incidentes após o fato para garantir que os problemas sejam resolvidos.
10.5: incorporar alertas de segurança em seu sistema de resposta a incidentes
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 10,5 | 19.6 | Cliente |
Exporte seus alertas e recomendações da Central de Segurança do Azure usando o recurso de exportação contínua para ajudar a identificar riscos para os recursos do Azure. A exportação contínua permite exportar alertas e recomendações de forma manual ou contínua. Você pode usar o conector de dados da Central de Segurança do Azure para transmitir os alertas do Azure Sentinel.
10.6: automatizar a resposta a alertas de segurança
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 10.6 | 19 | Cliente |
Use o recurso de automação de fluxo de trabalho na Central de Segurança do Azure para disparar automaticamente respostas por meio de "Aplicativos Lógicos" com base em alertas de segurança e recomendações a fim de proteger seus recursos do Azure.
Próximas etapas
- Veja o próximo controle de segurança: testes de penetração e exercícios de equipe vermelhos