Реагирование на инциденты в системе управления безопасностью
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Защитите данные своей организации вместе с ее репутацией, разработав и реализовав инфраструктуру реагирования на инциденты (например, планы, определенные роли, обучение, обмен информацией, контроль управления), которая позволит вам быстро обнаруживать атаки, эффективно локализовать ущерб от них, блокировать злоумышленникам доступ к вашим сетям и системам и восстанавливать их целостность.
10.1. Создание руководства по реагированию на инциденты
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 10.1 | 19.1, 19.2, 19.3 | Customer |
Создайте руководство по реагированию на инциденты для вашей организации. Убедитесь в том, что имеются письменные планы реагирования на инциденты, которые определяют все действия персонала, а также этапы обработки инцидентов и управления ими для проверки после инцидента.
Руководство по созданию собственного процесса реагирования на инциденты безопасности
Анатомия инцидента Центра Майкрософт по реагированию на угрозы
10.2. Создание процедуры оценки инцидента и определения приоритетов
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 10,2 | 19,8 | Customer |
Центр безопасности назначает каждому оповещению серьезность, которая поможет определить, какие предупреждения следует расследовать первыми. Серьезность основывается на том, насколько уверен Центр безопасности в исследовании или аналитике, используемой для оповещения, а также на уровне достоверности злонамеренности события, приведшего к оповещению.
Кроме того, отметьте подписки понятными тегами (например, как "производственные" и "непроизводственные") и создайте систему именования для четкого обозначения и классификации ресурсов Azure, особенно тех, что обрабатывают конфиденциальные данные. Вы несете ответственность за назначение приоритета оповещениям, требующим действий по исправлению, в зависимости от важности ресурсов Azure и среды, в которой произошел инцидент.
10.3. Проверка процедур реагирования на угрозы
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 10.3 | 19 | Customer |
Выполняйте упражнения, чтобы периодически тестировать возможности ваших систем реагировать на угрозы для защиты ресурсов Azure. Выявите слабые точки и пробелов и пересмотрите план по мере необходимости.
10.4. Предоставление контактных сведений и настройка уведомлений по инцидентам безопасности
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 10.4 | 19.5 | Customer |
Корпорация Майкрософт будет использовать информацию об инциденте безопасности для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаружит, что к вашим данным был получен незаконный или несанкционированный доступ. Проверьте инциденты после факта обращения, чтобы убедиться, что проблемы устранены.
10.5. Включение оповещений системы безопасности в систему реагирования на инциденты
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 10.5 | 19.6 | Customer |
Экспортируйте оповещения и рекомендации Центра безопасности Azure с помощью функции непрерывного экспорта с целью выявления рисков для ресурсов Azure. Непрерывный экспорт позволяет экспортировать предупреждения и рекомендации как вручную, так и в постоянном, непрерывном режиме. Вы можете использовать соединитель данных Центра безопасности Azure для потоковой передачи оповещений в Azure Sentinel.
10.6. Автоматизация реагирования на оповещения системы безопасности
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 10.6 | 19 | Customer |
Используйте функцию автоматизации рабочих процессов в Центре безопасности Azure, чтобы с помощью Logic Apps автоматически запускать реагирование на оповещения и рекомендации системы безопасности для защиты ваших ресурсов Azure.