Контроль безопасности версии 3. Реагирование на инциденты

Эта область охватывает аспекты управления в жизненном цикле реагирования на инциденты, к которому относятся подготовка, обнаружение и анализ, локализация и действия после инцидента. Она также включает автоматизацию процесса реагирования с помощью Microsoft Defender для облака, Sentinel и других служб Azure.

IR-1: подготовка — обновление плана реагирования на инциденты и процесса их обработки

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
17.4, 17.7 IR-4, IR-8 10,8

Принцип безопасности. Убедитесь, что ваша организация соответствует отраслевым рекомендациям по разработке процессов и планов для реагирования на инциденты безопасности на облачных платформах. Не забудьте учесть модель совместной ответственности и отличия служб IaaS, PaaS и SaaS. Это напрямую повлияет на способ взаимодействия с поставщиком облачных служб в рамках мероприятий по реагированию на инциденты и их обработки, таких как уведомление об инциденте и его рассмотрение, сбор доказательств, исследование, устранение и восстановление.

Регулярно тестируйте план реагирования на инциденты и процесс их обработки, чтобы обеспечить их актуальность.

Руководство по Azure. Обновите процесс реагирования на инциденты своей организации, чтобы включить обработку инцидента на платформе Azure. Учитывая используемые службы Azure и характер вашего приложения, настройте сборник схем и план реагирования на инциденты таким образом, чтобы их можно было использовать для реагирования на инцидент в облачной среде.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

IR-2: подготовка — настройка уведомлений об инцидентах

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
17.1, 17.3, 17.6 IR-4, IR-8, IR-5, IR-6 12.10

Принцип безопасности. Убедитесь, что оповещения системы безопасности и уведомления об инцидентах, поступающие от платформы поставщика облачных служб и из ваших сред, могут быть получены подходящим контактным лицом в организации по реагированию на инциденты.

Руководство по Azure. Настройте информацию о контактном лице по инцидентам безопасности в Microsoft Defender для облака. Эта контактная информация используется корпорацией Майкрософт для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаруживает, что доступ к данным был осуществлен незаконно или неавторизованным лицом. Вы также можете настроить оповещения и уведомления об инцидентах в разных службах Azure в зависимости от потребностей реагирования на инциденты.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

IR-3: обнаружение и анализ — создание инцидентов на основе высококачественных оповещений

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
17.9 IR-4, IR-5, IR-7 10,8

Принцип безопасности. Убедитесь, что у вас есть рабочий процесс для создания высококачественных оповещений и оценки их качества. Это позволяет извлечь уроки из прошлых инцидентов и определить приоритет оповещений для аналитиков, чтобы они не тратили время на ложноположительные результаты.

Высококачественные оповещения можно создавать на основе опыта прошлых инцидентов, проверенных источников сообщества и средств, предназначенных для создания и очистки оповещений путем отказа и корреляции различных источников сигналов.

Руководство по Azure. Microsoft Defender для облака предоставляет высококачественные оповещения для многих ресурсов Azure. Для потоковой передачи оповещений в Azure Sentinel можно использовать соединитель данных Microsoft Defender для облака. Azure Sentinel позволяет создавать дополнительные правила оповещений, чтобы автоматически генерировать инциденты для исследования.

Экспортируйте оповещения и рекомендации Microsoft Defender для облака с помощью функции экспорта, чтобы выявить риски для ресурсов Azure. Экспортируйте оповещения и рекомендации как вручную, так и в постоянном, непрерывном режиме.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

IR-4: обнаружение и анализ — исследование инцидента

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
Н/Д IR-4 12.10

Принцип безопасности. Убедитесь, что группа по обеспечению безопасности может запрашивать и использовать различные источники данных при исследовании потенциальных инцидентов, чтобы сформировать полное представление о произошедшем. Чтобы избежать неясностей при отслеживании действий потенциального злоумышленника на этапе нарушения безопасности, необходимо собрать данные из различных журналов. Кроме того, следует убедиться, что аналитические сведения и результаты изучения записываются для других аналитиков и для хронологической справки в будущем.

Руководство по Azure. К источникам данных для исследования относятся централизованные источники ведения журналов, данные которых собраны из соответствующих служб и работающих систем. Кроме того, к этим источникам можно отнести следующие ресурсы:

  • Сетевые данные. Используйте журналы потоков для групп безопасности сети, службу "Наблюдатель за сетями Azure" и Azure Monitor для сбора данных журналов сетевых потоков и других аналитических сведений.
  • Моментальные снимки работающих систем. а) Используйте возможности работы с моментальными снимками виртуальной машины Azure для создания моментального снимка диска работающей системы. б) Используйте возможности дампа внутренней памяти операционной системы для создания моментального снимка памяти работающей системы. в) Используйте функцию моментальных снимков служб Azure или возможность собственного программного обеспечения, чтобы создать моментальные снимки работающих систем.

Azure Sentinel предоставляет широкие возможности аналитики данных на любом виртуальном источнике журнала и на портале управления обращениями, чтобы контролировать полный жизненный цикл инцидентов. Сведения об анализе во время исследования можно связать с инцидентом с целью отслеживания и ведения отчетности.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

IR-5: обнаружение и анализ — определение приоритетов инцидентов

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
17.4, 17.9 IR-4 12.10

Принцип безопасности. Укажите контекст для групп обеспечения безопасности, чтобы помочь им определить, какие инциденты должны быть обработаны первыми, используя серьезность оповещений и конфиденциальность ресурсов, которые определяются в плане реагирования на инциденты вашей организации.

Руководство по Azure. Microsoft Defender для облака присваивает каждому оповещению уровень серьезности, что помогает назначить приоритет оповещениям, которые следует изучать первыми. Серьезность основывается на том, насколько Microsoft Defender для облака уверен в результате или аналитике, используемой для оповещения, а также на уровне достоверности злонамеренности события, приведшего к оповещению.

Кроме того, пометьте ресурсы и создайте систему именования, чтобы определить и классифицировать ресурсы Azure, особенно обрабатывающие конфиденциальные данные. Вы несете ответственность за назначение приоритета оповещениям, требующим действий по исправлению, в зависимости от важности ресурсов Azure и среды, в которой произошел инцидент.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

IR-6: автономность, удаление и восстановление — автоматизация обработки инцидентов

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
Н/Д IR-4, IR-5, IR-6 12.10

Принцип безопасности. Автоматизируйте выполнение ручных повторяющихся задач, чтобы сократить время отклика и снизить нагрузку на аналитиков. Задачи, выполняемые вручную, выполняются дольше, замедляя обработку каждого инцидента и уменьшая количество инцидентов, которые может обработать аналитик. Задачи, выполняемые вручную, также увеличивают усталость аналитика, что повышает риск возникновения ошибки, вызванной человеческим фактором, и снижает способность аналитиков эффективно сосредоточиться на сложных задачах.

Руководство по Azure. Используйте функции автоматизации рабочих процессов в Microsoft Defender для облака и Azure Sentinel, чтобы автоматически активировать действия или запустить сборник схем для реагирования на входящие оповещения системы безопасности. Сборник схем отправляет уведомления, отключает учетные записи и изолирует проблемные сети.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):

IR-7: действия после инцидента — анализ полученного опыта и сохранение свидетельств

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
17.8 IR-4 12.10

Принцип безопасности. Периодически и (или) после серьезных инцидентов проводите в организации анализ полученного опыта, чтобы улучшить возможности реагирования на инциденты и их обработки в будущем.

Основываясь на характере инцидента, сохраните связанное с инцидентом свидетельство в течение срока, указанного в стандарте обработки инцидентов, для дальнейшего анализа или юридических действий.

Руководство по Azure. Используйте результат анализа полученного опыта, чтобы обновить план реагирования на инциденты, сборник схем (например, сборник схем Azure Sentinel) и учесть сделанные выводы в своих средах (например, использовать ведение журнала и обнаружение угроз для решения проблем с ведением журнала), это поможет улучшить возможности обнаружения, обработки инцидентов и реагирования на них в Azure в будущем.

Сохраните свидетельства, собранные на этапе "Обнаружение и анализ — исследование инцидента", включая системные журналы, дамп сетевого трафика и создание системного моментального снимка в хранилище, например учетную запись службы хранилища Azure.

Реализация и дополнительный контекст:

Составляющие безопасности клиентов (подробнее):