Säkerhetskontroll: Incidenthantering

Anteckning

Det senaste Azure Security Benchmark finns här.

Skydda organisationens information, liksom dess rykte, genom att utveckla och implementera en infrastruktur för incidenthantering (t.ex. planer, definierade roller, utbildning, kommunikation, hanteringstillsyn) för att snabbt upptäcka en attack och sedan effektivt begränsa skadan, utrota angriparens närvaro och återställa integriteten i nätverket och systemen.

10.1: Skapa en guide för incidenthantering

Azure-ID	CIS-ID:n	Ansvar
10.1	19.1, 19.2, 19.3	Kund

Skapa en guide för incidenthantering för din organisation. Se till att det finns skriftliga planer för incidentsvar som definierar alla personalroller och faser i incidenthanteringen, från identifiering till granskning efter incidenten.

• Vägledning för att skapa en egen process för att hantera säkerhetsincidenter

• Microsoft Security Response Centers uppbyggnad av en incident

• Använd NIST:s guide för hantering av datorsäkerhetsincidenter för att hjälpa dig att skapa en egen plan för incidenthantering

10.2: Skapa en incidentbedömnings- och prioriteringsprocedur

Azure-ID	CIS-ID:n	Ansvar
10,2	19,8	Kund

Security Center tilldelar en allvarlighetsgrad till varje avisering som hjälper dig att prioritera vilka aviseringar som ska undersökas först. Allvarlighetsgraden baseras på hur säker Security Center är på att hitta eller analys som används för att utfärda aviseringen samt konfidensnivån att det fanns en skadlig avsikt bakom aktiviteten som ledde till aviseringen.

Markera dessutom tydligt prenumerationer (t.ex. produktion, icke-prod) med hjälp av taggar och skapa ett namngivningssystem för att tydligt identifiera och kategorisera Azure-resurser, särskilt de som bearbetar känsliga data. Det är ditt ansvar att prioritera åtgärdandet av aviseringar baserat på allvarlighetsgraden för de Azure-resurser och den miljö där incidenten inträffade.

• Säkerhetsaviseringar i Azure Security Center

• Använda taggar för att organisera dina Azure-resurser

10.3: Testa procedurer för säkerhetshantering

Azure-ID	CIS-ID:n	Ansvar
10,3	19	Kund

Utför övningar för att testa systemens incidenthanteringsfunktioner regelbundet för att skydda dina Azure-resurser. Identifiera svaga punkter och luckor, och ändra planen efter behov.

• NIST:s publikation – Guide till test-, tränings- och övningsprogram för IT-planer och funktioner

10.4: Ange kontaktuppgifter för säkerhetsincidenter och konfigurera aviseringsaviseringar för säkerhetsincidenter

Azure-ID	CIS-ID:n	Ansvar
10.4	19.5	Kund

Kontaktinformation om säkerhetsincidenter kommer att användas av Microsoft för att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker att dina data har använts av en otillåten eller obehörig part. Granska incidenter i efterhand för att se till att problemen är lösta.

• Så här ställer du in Azure Security Center säkerhetskontakt

10.5: Införliva säkerhetsaviseringar i ditt incidenthanteringssystem

Azure-ID	CIS-ID:n	Ansvar
10.5	19.6	Kund

Exportera dina Azure Security Center-aviseringar och rekommendationer med funktionen Kontinuerlig export för att identifiera risker för Azure-resurser. Med kontinuerlig export kan du exportera aviseringar och rekommendationer antingen manuellt eller kontinuerligt. Du kan använda Azure Security Center dataanslutning för att strömma aviseringarna till Azure Sentinel.

• Så här konfigurerar du kontinuerlig export

• Så här strömmar du aviseringar till Azure Sentinel

10.6: Automatisera svaret på säkerhetsaviseringar

Azure-ID	CIS-ID:n	Ansvar
10.6	19	Kund

Använd funktionen Arbetsflödesautomation i Azure Security Center för att automatiskt utlösa svar via "Logic Apps" för säkerhetsaviseringar och rekommendationer för att skydda dina Azure-resurser.

• Så här konfigurerar du arbetsflödesautomation och Logic Apps

Nästa steg

• Se nästa säkerhetskontroll: Intrångstester och red team-övningar