安全性控制:事件回應
注意
這裡 提供最新的Azure 安全性效能評定。
藉由開發和實作事件回應基礎結構 (來保護組織的資訊及其信譽,例如計畫、定義的角色、訓練、通訊、管理監督) ,以快速探索攻擊,然後有效地包含損害、清除攻擊者的存在,以及還原網路和系統的完整性。
10.1:建立事件回應指南
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 10.1 | 19.1, 19.2, 19.3 | 客戶 |
為您的組織建置事件回應指南。 請確定有書面的事件回應計畫,其中定義人員的所有角色,以及從偵測到事件後檢討的事件處理/管理階段。
10.2:建立事件評分和優先順序程序
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 10.2 | 19.8 | 客戶 |
資訊安全中心會將嚴重性指派給每個警示,以協助您優先調查哪些警示。 嚴重性的依據,在於資訊安全中心對於據以發出警示的發現結果或分析結果有多少信心,以及認定導致警示的活動背後存在惡意意圖的把握程度。
此外,使用標記清楚標示訂用帳戶 (例如生產、非生產) ,並建立命名系統來清楚識別和分類 Azure 資源,特別是處理敏感性資料的訂用帳戶。 您需負責根據發生事件的 Azure 資源和環境的重要性,設定警示的補救優先順序。
10.3:測試安全性回應程序
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 10.3 | 19 | 客戶 |
進行練習,以定期測試系統的事件回應功能,以協助保護您的 Azure 資源。 找出弱點和落差,並視需要修訂計畫。
10.4:提供安全性事件連絡人詳細資料,並設定安全性事件的警示通知
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 10.4 | 19.5 | 客戶 |
如果 Microsoft 安全性回應中心 (MSRC) 發現您的資料已由非法或未經授權的合作物件存取,Microsoft 將會使用安全性事件連絡資訊來與您連絡。 事後檢討事件,確保問題已解決。
10.5:將安全性警示併入事件回應系統
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 10.5 | 19.6 | 客戶 |
使用持續匯出功能匯出您的Azure 資訊安全中心警示和建議,以協助識別 Azure 資源的風險。 「連續匯出」可讓您以手動或持續不斷的方式來匯出警示和建議。 您可使用 Azure 資訊安全中心的資料連接器,將警示串流至 Azure Sentinel。
10.6:自動回應安全性警示
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 10.6 | 19 | 客戶 |
使用 Azure 資訊安全中心 中的工作流程自動化功能,透過安全性警示和建議的「Logic Apps」來自動觸發回應,以保護您的 Azure 資源。
下一步
- 請參閱下一個安全性控制: 滲透測試和 Red Team 練習