Säkerhetskontroll V2: Incidenthantering

Anteckning

Det senaste Azure Security Benchmark finns här.

Incidenthantering omfattar kontroller i livscykeln för incidenthantering – förberedelse, identifiering och analys, inneslutning och aktiviteter efter incident. Detta inkluderar användning av Azure-tjänster som Azure Security Center och Sentinel för att automatisera incidenthanteringsprocessen.

Information om det inbyggda Azure Policy finns i Information om det inbyggda initiativet För regelefterlevnad i Azure Security Benchmark: Incidenthantering

IR-1: Förberedelse – uppdatera processen för svar på incidenter i Azure

Azure-ID	CIS-kontroller v7.1 ID:n	NIST SP 800-53 r4 ID:n
IR-1	19	IR-4, IR-8

Se till att din organisation har processer för att svara på säkerhetsincidenter, har uppdaterat dessa processer för Azure och använder dem regelbundet för att säkerställa beredskap.

• Implementera säkerhet i hela företagsmiljön

• Referensguide för incidentsvar

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

• Säkerhetsåtgärder

• Incidentberedskap

• Hotinformation

IR-2: Förberedelse – konfigurera aviseringar vid incidenter

Azure-ID	CIS-kontroller v7.1 ID:n	NIST SP 800-53 r4 ID:n
IR-2	19.5	IR-4, IR-5, IR-6, IR-8

Konfigurera kontaktuppgifter för säkerhetsincidenter i Azure Security Center. Microsoft använder de här kontaktuppgifterna till att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker obehörig åtkomst till dina data. Det finns även alternativ för att anpassa aviseringar och meddelanden vid incidenter i olika Azure-tjänster baserat på åtgärdsbehovet.

• Konfigurera en säkerhetskontakt i Azure Security Center

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

• Säkerhetsåtgärder

• Incidentberedskap

IR-3: Identifiering och analys – skapa incidenter baserat på aviseringar av hög kvalitet

Azure-ID	CIS-kontroller v7.1 ID:n	NIST SP 800-53 r4 ID:n
IR-3	19.6	IR-4, IR-5

Se till att du har en process för att skapa aviseringar av hög kvalitet och mäta aviseringarnas kvalitet. På så sätt kan du dra lärdomar av tidigare incidenter och prioritera aviseringar för analytiker, så att de inte slösar tid på falska positiva identifieringar.

Aviseringar med hög kvalitet kan byggas utifrån erfarenhet från tidigare incidenter, validerade community-källor och verktyg som utformats för att generera och rensa aviseringar genom att slå samman och korrelera olika signalkällor.

Azure Security Center tillhandahåller aviseringar med hög kvalitet för flera olika typer av Azure-tillgångar. Du kan använda anslutningsprogrammet för ASC-data för att strömma aviseringarna till Azure Sentinel. Med Azure Sentinel kan du skapa avancerade aviseringsregler för att generera incidenter automatiskt för en undersökning.

Exportera dina Azure Security Center-aviseringar och -rekommendationer med hjälp av exportfunktionen för att identifiera risker med Azure-resurser. Exportera aviseringar och rekommendationer antingen manuellt eller löpande.

• Så här konfigurerar du export

• Så här strömmar du aviseringar till Azure Sentinel

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

• Säkerhetsåtgärder

• Incidentberedskap

• Hotinformation

IR-4: Identifiering och analys – undersöka en incident

Azure-ID	CIS-kontroller v7.1 ID:n	NIST SP 800-53 r4 ID:n
IR-4	19	IR-4

Se till att analytiker kan fråga och använda olika datakällor när de undersöker potentiella incidenter för att skapa en fullständig vy över vad som hände. Diverse loggar bör samlas in för att spåra en potentiell angripares aktiviteter över hela händelsekedjan för att undvika att blinda fläckar. Du bör också se till att insikter och kunskaper fångas upp för andra analytiker och för framtida historiska referenser.

Datakällorna för undersökningen innehåller de centraliserade loggningskällor som redan har samlats in från tjänster som omfattas och system som körs, men kan även innehålla:

• Nätverksdata – Använd nätverkssäkerhetsgruppers flödesloggar, Azure Network Watcher och Azure Monitor för att avbilda nätverksflödesloggar och annan analysinformation.

• Ögonblicksbilder av system som körs:

  • Använd funktionen för ögonblicksbilder på den virtuella Azure-datorn för att skapa en ögonblicksbild av det aktiva systemets disk.

  • Använd operativsystemets interna minnesdumpningsfunktion för att skapa en ögonblicksbild av det aktiva systemets minne.

  • Använd funktionen för ögonblicksbilder i Azure-tjänsterna eller din programvaras egna funktion för att skapa ögonblicksbilder av de system som körs.

Azure Sentinel tillhandahåller omfattande dataanalyser i praktiskt taget alla loggkällor och en ärendehanteringsportal för att hantera hela livscykeln för incidenter. Affärsinformation under en undersökning kan associeras med en incident för spårning och rapportering.

• Ögonblicksbild av en Windows-dators disk

• Ögonblicksbild av en Linux-dators disk

• Microsoft Azure har stöd för diagnostikinformation och insamling av minnesdumpar

• Undersöka incidenter med Azure Sentinel

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

• Säkerhetsåtgärder

• Incidentberedskap

• Hotinformation

IR-5: Identifiering och analys – prioritera incidenter

Azure-ID	CIS-kontroller v7.1 ID:n	NIST SP 800-53 r4 ID:n
IR-5	19,8	CA-2, IR-4

Ge kontext till analytiker som incidenter ska fokusera på först baserat på allvarlighetsgrad och tillgångskänslighet.

Azure Security Center tilldelar en allvarlighetsgrad till varje avisering för att hjälpa dig att prioritera vilka aviseringar som bör undersökas först. Allvarlighetsgraden baseras på hur tillförlitligt Security Center är i sökandet eller på den analys som användes för att utfärda aviseringen, samt konfidensnivån att det fanns en skadlig avsikt bakom den aktivitet som ledde till aviseringen.

Markera även resurser med taggar och skapa ett namngivningssystem för att identifiera och kategorisera Azure-resurser, i synnerhet sådana som används för bearbetning av känsliga data. Det är ditt ansvar att prioritera åtgärdandet av aviseringar baserat på allvarlighetsgraden för de Azure-resurser och den miljö där incidenten inträffade.

• Säkerhetsaviseringar i Azure Security Center

• Använda taggar för att organisera dina Azure-resurser

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

• Säkerhetsåtgärder

• Incidentberedskap

• Hotinformation

IR-6: Inneslutning, utrotning och återställning – automatisera hanteringen av incidenter

Azure-ID	CIS Controls v7.1 ID:n	NIST SP 800-53 r4 ID:n
IR-6	19	IR-4, IR-5, IR-6

Automatisera manuella repetitiva uppgifter för att påskynda svarstiden och minska analytikernas börda. Det tar längre tid att köra uppgifter manuellt, så att varje incident tar längre tid att hantera och analytikerna hinner med färre incidenter. Manuella uppgifter gör dessutom analytikern mer utmattad, vilket ökar risken för mänskliga fel som i sin tur orsakar fördröjningar, samt minskar analytikernas förmåga att fokusera på komplexa uppgifter på ett effektivt sätt. Använd automatiseringsfunktioner för arbetsflöde i Azure Security Center och Azure Sentinel för att automatiskt utlösa åtgärder eller köra en spelbok för att svara på inkommande säkerhetsaviseringar. Spelboken vidtar åtgärder som att skicka meddelanden, inaktivera konton och isolera problematiska nätverk.

• Konfigurera arbetsflödesautomation i Security Center

• Konfigurera automatiska svar på hot i Azure Security Center

• Konfigurera automatiska svar på hot i Azure Sentinel

Ansvar: Kund

Intressenter för kundsäkerhet (läs mer):

• Säkerhetsåtgärder

• Incidentberedskap

• Hotinformation