Säkerhetsåtgärder i Azure
Åtgärder som utförs under en incident- och svarsundersökning kan påverka programmets tillgänglighet eller prestanda. Definiera dessa processer och anpassa dem till det ansvariga (och i de flesta fall centrala) SecOps-teamet. Effekten av en sådan undersökning på programmet måste analyseras.
Finns det verktyg som hjälper incidenthanteringsarbetare att snabbt förstå vilka program och komponenter som ska undersökas?
Incidentarbetare är en del av ett centralt SecOps-team och behöver förstå säkerhetsinsikter i ett program. Säkerhetsspelboken i Microsoft Sentinel kan hjälpa dig att förstå säkerhetsbegreppen och ta upp vanliga undersökningsaktiviteter.
Föreslagen åtgärd
Överväg att använda Microsoft Defender för molnet för att övervaka säkerhetsrelaterade händelser och få aviseringar automatiskt.
Läs mer
Säkerhetsaviseringar och incidenter i Microsoft Defender för molnet
Hybrid enterprise-vy
Verktyg och processer för säkerhetsåtgärder bör utformas för attacker på molnbaserade och lokala tillgångar. Angripare begränsar inte sina åtgärder till en viss miljö när de riktar in sig på en organisation. De attackerar resurser på alla plattformar med valfri tillgänglig metod. De kan pivotera mellan molnresurser och lokala resurser med hjälp av identiteter eller andra metoder. Den här företagsomfattande vyn gör det möjligt för SecOps att snabbt identifiera, svara på och återställa från attacker, vilket minskar organisationens risk.
Utnyttja inbyggda identifieringar och kontroller
Använd Säkerhetsidentifiering och kontroller i Azure i stället för att skapa anpassade funktioner för att visa och analysera händelseloggar. Azure-tjänsterna uppdateras med nya funktioner och kan identifiera falska positiva identifieringar med högre noggrannhet.
Integreringen av loggar från nätverksenheterna, och även själva rånätverkstrafiken, ger bättre insyn i potentiella säkerhetshot som flödar via kabel.
För att få en enhetlig vy över hela företaget matar du in loggarna som samlats in via interna identifieringar (till exempel Azure Monitor) i en centraliserad lösning för säkerhetsinformation och händelsehantering (SIEM) som Microsoft Sentinel. Undvik att använda generaliserade logganalysverktyg och frågor. I Azure Monitor du Log Analytics-arbetsyta för att lagra loggar. Du kan också granska loggar och köra frågor på loggdata. Dessa verktyg kan erbjuda aviseringar av hög kvalitet.
De moderna maskininlärningsbaserade analysplattformarna stöder inmatning av extremt stora mängder information och kan analysera stora datamängder mycket snabbt. Dessutom kan dessa lösningar justeras för att avsevärt minska falska positiva aviseringar.
Exempel på nätverksloggar som ger synlighet är:
- Säkerhetsgrupploggar – flödesloggar och diagnostikloggar
- Loggar från brandväggen för webbaserade program
- Virtuella nätverkstryckningar och deras motsvarigheter
- Azure Network Watcher
Föreslagna åtgärder
Integrera nätverksenhetslogginformation i avancerade SIEM-lösningar eller andra analysplattformar.
Läs mer
Aktivera förbättrad nätverkssynlighet
Nästa steg
- Modellering av säkerhetshälsa
- Säkerhetsverktyg
- Säkerhetsloggar och granskningar
- Söka efter identitets-, nätverks- och datarisker
Ansvaret för säkerhetsåtgärdsteamet (även kallat Security Operations Center (SOC) eller SecOps) är att snabbt identifiera, prioritera och prioritera potentiella attacker. Dessa åtgärder hjälper till att eliminera falska positiva resultat och fokusera på verkliga attacker, vilket minskar den genomsnittliga tiden för att åtgärda verkliga incidenter. Det centrala SecOps-teamet övervakar säkerhetsrelaterade telemetridata och undersöker säkerhetsöverträdelser. Det är viktigt att all kommunikation, undersökning och jakt ligger i linje med programteamet.
Här är några allmänna metodtips för att utföra säkerhetsåtgärder:
Följ NIST Cybersecurity Framework-funktionerna som en del av driften.
Identifiera förekomsten av angripare i systemet.
Svara genom att snabbt undersöka om det är en faktisk attack eller ett falskt larm.
Återställa sekretess, integritet och tillgänglighet för arbetsbelastningen under och efter en attack.
Information om ramverket finns i NIST Cybersecurity Framework.
Bekräfta en avisering snabbt. En angripare som har identifierats får inte ignoreras medan en angripare besöker falska positiva resultat.
Minska tiden för att åtgärda en upptäckt angripare. Minska deras möjlighet att utföra och angripa och nå känsliga system.
Prioritera säkerhetsinvesteringar i system som har högt inbyggda värde. Till exempel administratörskonton.
Jaga proaktivt efter angripare när systemet mognar. Det här arbetet minskar den tid som en angripare med högre kompetens kan arbeta i miljön. Till exempel tillräckligt bra för att undvika reaktiva aviseringar.
Information om de mått som Microsofts SOC-team använder finns i Microsoft SOC.
Verktyg
Här är några Azure-verktyg som ett SOC-team kan använda för att undersöka och åtgärda incidenter.
| Verktyg | Syfte |
|---|---|
| Microsoft Sentinel | Centraliserad säkerhetsinformation och händelsehantering (SIEM) för att få insyn i loggar i hela företaget. |
| Microsoft Defender for Cloud | Aviseringsgenerering. Använd säkerhetsspelbok som svar på en avisering. |
| Azure Monitor | Händelseloggar från program och Azure-tjänster. |
| Azure-nätverkssäkerhetsgrupp (NSG) | Insyn i nätverksaktiviteter. |
| Azure Information Protection | Skydda e-post, dokument och känsliga data som du delar utanför företaget. |
Undersökningsmetoder bör använda inbyggda verktyg med djup kunskap om tillgångstypen, till exempel en lösning för slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt), identitetsverktyg och Microsoft Sentinel.
Mer information om övervakningsverktyg finns i Säkerhetsövervakningsverktyg i Azure.
Tilldela incidentmeddelandekontakt
Säkerhetsaviseringar måste nå rätt personer i din organisation. Upprätta en angiven kontaktpunkt för att ta emot azure-incidentmeddelanden från Microsoft och, eller Azure Defender för molnet. I de flesta fall indikerar sådana meddelanden att din resurs har komprometterats eller angriper en annan kund. Detta gör att ditt säkerhetsteam snabbt kan reagera på potentiella säkerhetsrisker och åtgärda dem.
Detta gör att ditt säkerhetsteam snabbt kan reagera på potentiella säkerhetsrisker och åtgärda dem.
Se till att administratörens kontaktinformation i Azure-registreringsportalen innehåller kontaktinformation som meddelar säkerhetsåtgärder direkt eller snabbt via en intern process.
Läs mer
Mer information om hur du upprättar en angiven kontaktpunkt för att ta emot Azure-incidentmeddelanden från Microsoft finns i följande artiklar:
Incidenthantering
Övervakar organisationen säkerhetsstatusen i arbetsbelastningar på ett effektivt sätt, med ett centralt SecOps-team som övervakar säkerhetsrelaterade telemetridata och undersöker möjliga säkerhetsöverträdelser? Kommunikations-, undersöknings- och jaktaktiviteter måste anpassas till programteamen.
Definieras och testas operativa processer för incidenter?