Security Control v3: Incidenthantering
Incidenthantering omfattar kontroller i livscykeln för incidenthantering – förberedelse, identifiering och analys, inneslutning och aktiviteter efter incident, inklusive användning av Azure-tjänster som Microsoft Defender för molnet och Sentinel för att automatisera incidenthanteringsprocessen.
IR-1: Förberedelse – uppdatera incidenthanteringsplan och hanteringsprocess
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10,8 |
Säkerhetsprincip: Se till att din organisation följer branschens bästa praxis för att utveckla processer och planer för att svara på säkerhetsincidenter på molnplattformarna. Tänk på modellen med delat ansvar och varianserna för IaaS-, PaaS- och SaaS-tjänster. Detta har en direkt inverkan på hur du samarbetar med din molnleverantör i incidenthanterings- och hanteringsaktiviteter, till exempel incidentavisering och sortering, insamling av bevis, undersökning, utrotning och återställning.
Testa regelbundet planen för incidenthantering och hanteringsprocessen för att säkerställa att de är uppdaterade.
Azure-vägledning: Uppdatera organisationens incidenthanteringsprocess så att den omfattar hantering av incidenter i Azure-plattformen. Baserat på de Azure-tjänster som används och din programkaraktär anpassar du planen för incidenthantering och spelboken för att säkerställa att de kan användas för att svara på incidenten i molnmiljön.
Implementering och ytterligare kontext:
- Implementera säkerhet i hela företagsmiljön
- Referensguide för incidentsvar
- NIST SP800-61 Guide för hantering av datorsäkerhetsincidenter
Intressenter för kundsäkerhet (läs mer):
IR-2: Förberedelse – konfigurera incidentavisering
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Säkerhetsprincip: Se till att säkerhetsaviseringar och incidentmeddelanden från molntjänstleverantörens plattform och dina miljöer kan tas emot av rätt kontakt i din incidenthanteringsorganisation.
Azure-vägledning: Konfigurera kontaktuppgifter för säkerhetsincidenter i Microsoft Defender för molnet. Microsoft använder de här kontaktuppgifterna till att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker obehörig åtkomst till dina data. Det finns även alternativ för att anpassa aviseringar och meddelanden vid incidenter i olika Azure-tjänster baserat på åtgärdsbehovet.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
IR-3: Identifiering och analys – skapa incidenter baserat på aviseringar av hög kvalitet
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10,8 |
Säkerhetsprincip: Se till att du har en process för att skapa aviseringar av hög kvalitet och mäta aviseringarnas kvalitet. På så sätt kan du dra lärdomar av tidigare incidenter och prioritera aviseringar för analytiker, så att de inte slösar tid på falska positiva identifieringar.
Du kan basera aviseringar av hög kvalitet på erfarenheter från tidigare incidenter, validerade community-källor och verktyg som utformats för att skapa och rensa aviseringar genom att sammanfoga och korrelera olika signalkällor.
Azure-vägledning: Microsoft Defender för molnet ger aviseringar av hög kvalitet för många Azure-tillgångar. Du kan använda Microsoft Defender för molnet dataanslutning för att strömma aviseringarna till Azure Sentinel. Med Azure Sentinel kan du skapa avancerade aviseringsregler för att generera incidenter automatiskt för en undersökning.
Exportera dina Microsoft Defender för molnet-aviseringar och rekommendationer med hjälp av exportfunktionen för att identifiera risker för Azure-resurser. Exportera aviseringar och rekommendationer antingen manuellt eller löpande.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
IR-4: Identifiering och analys – undersöka en incident
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| Ej tillämpligt | IR-4 | 12.10 |
Säkerhetsprincip: Se till att säkerhetsåtgärdsteamet kan fråga och använda olika datakällor när de undersöker potentiella incidenter för att skapa en fullständig vy över vad som hände. Diverse loggar bör samlas in för att spåra en potentiell angripares aktiviteter över hela händelsekedjan för att undvika att blinda fläckar. Du bör också se till att insikter och kunskaper fångas upp för andra analytiker och för framtida historiska referenser.
Azure-vägledning: Datakällorna för undersökning är de centraliserade loggningskällorna som redan samlas in från tjänsterna inom omfånget och system som körs, men som också kan innehålla:
- Nätverksdata: Använd flödesloggar för nätverkssäkerhetsgrupper, Azure Network Watcher och Azure Monitor för att samla in nätverksflödesloggar och annan analysinformation.
- Ögonblicksbilder av system som körs: a) Den virtuella Azure-datorns ögonblicksbildsfunktion för att skapa en ögonblicksbild av det system som körs på disken. b) Operativsystemets interna minnesdumpfunktion för att skapa en ögonblicksbild av det system som körs minne. c) Ögonblicksbildsfunktionen i Azure-tjänsterna eller programvarans egen funktion för att skapa ögonblicksbilder av de system som körs.
Azure Sentinel tillhandahåller omfattande dataanalyser i praktiskt taget alla loggkällor och en ärendehanteringsportal för att hantera hela livscykeln för incidenter. Affärsinformation under en undersökning kan associeras med en incident för spårning och rapportering.
Implementering och ytterligare kontext:
- Ögonblicksbild av en Windows-dators disk
- Ögonblicksbild av en Linux-dators disk
- Microsoft Azure har stöd för diagnostikinformation och insamling av minnesdumpar
- Undersöka incidenter med Azure Sentinel
Intressenter för kundsäkerhet (läs mer):
IR-5: Identifiering och analys – prioritera incidenter
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Säkerhetsprincip: Ge säkerhetsåtgärdsteam kontext för att hjälpa dem att avgöra vilka incidenter som först bör fokuseras på, baserat på allvarlighetsgrad och tillgångskänslighet som definieras i organisationens incidenthanteringsplan.
Azure-vägledning: Microsoft Defender för molnet tilldelar en allvarlighetsgrad till varje avisering som hjälper dig att prioritera vilka aviseringar som ska undersökas först. Allvarlighetsgraden baseras på hur säker Microsoft Defender för molnet är i sökningen eller den analys som används för att utfärda aviseringen, samt konfidensnivån att det fanns skadlig avsikt bakom aktiviteten som ledde till aviseringen.
Markera även resurser med taggar och skapa ett namngivningssystem för att identifiera och kategorisera Azure-resurser, i synnerhet sådana som används för bearbetning av känsliga data. Det är ditt ansvar att prioritera åtgärdandet av aviseringar baserat på allvarlighetsgraden för de Azure-resurser och den miljö där incidenten inträffade.
Implementering och ytterligare kontext:
- Säkerhetsaviseringar i Microsoft Defender för molnet
- Använda taggar för att organisera dina Azure-resurser
Intressenter för kundsäkerhet (läs mer):
IR-6: Inneslutning, utrotning och återställning – automatisera incidenthanteringen
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| Ej tillämpligt | IR-4, IR-5, IR-6 | 12.10 |
Säkerhetsprincip: Automatisera manuella, repetitiva uppgifter för att påskynda svarstiden och minska analytikernas börda. Det tar längre tid att köra uppgifter manuellt, så att varje incident tar längre tid att hantera och analytikerna hinner med färre incidenter. Manuella uppgifter ökar också analytikertröttheten, vilket ökar risken för mänskliga fel som orsakar förseningar och försämrar analytikernas förmåga att effektivt fokusera på komplexa uppgifter.
Azure-vägledning: Använd funktioner för arbetsflödesautomatisering i Microsoft Defender för molnet och Azure Sentinel för att automatiskt utlösa åtgärder eller köra en spelbok för att svara på inkommande säkerhetsaviseringar. Spelboken vidtar åtgärder som att skicka meddelanden, inaktivera konton och isolera problematiska nätverk.
Implementering och ytterligare kontext:
- Konfigurera arbetsflödesautomatisering i Microsoft Defender för molnet
- Konfigurera automatiska hotsvar i Microsoft Defender för molnet
- Konfigurera automatiska svar på hot i Azure Sentinel
Intressenter för kundsäkerhet (läs mer):
IR-7: Aktivitet efter incident – utför lärdomar och behåller bevis
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Säkerhetsprincip: Gör en lektion i din organisation med jämna mellanrum och/eller efter större incidenter för att förbättra din framtida kapacitet vid incidenthantering.
Baserat på incidentens art behåller du bevis relaterade till incidenten för den period som definieras i incidenthanteringsstandarden för ytterligare analys eller rättsliga åtgärder.
Azure-vägledning: Använd resultatet från den lärdomarade aktiviteten för att uppdatera din incidenthanteringsplan, spelbok (till exempel Azure Sentinel-spelbok) och återskapa resultat i dina miljöer (till exempel loggning och hotidentifiering för att åtgärda eventuella loggningsluckor) för att förbättra din framtida förmåga att identifiera, svara och hantera incidenten i Azure.
Behåll de bevis som samlas in under "Identifiering och analys – undersök ett incidentsteg", till exempel systemloggar, nätverkstrafikdump och körning av systemögonblicksbild i lagring, till exempel Azure Storage konto för kvarhållning.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):