安全性控制 v3:事件回應
事件回應涵蓋事件回應生命週期中的控制項 - 準備、偵測和分析、內含專案和事件後活動,包括使用 azure 服務,例如適用於雲端的 Microsoft Defender和 Sentinel 來自動化事件回應程式。
IR-1:準備 - 更新事件回應計畫和處理常式
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4、IR-8 | 10.8 |
安全性準則: 請確定您的組織遵循業界最佳做法來開發流程和計畫,以回應雲端平臺上的安全性事件。 請留意 IaaS、PaaS 和 SaaS 服務的共用責任模型和差異。 這會直接影響您如何與雲端提供者共同作業,以處理事件回應和處理活動,例如事件通知和分級、辨識項收集、調查、修復和復原。
定期測試事件回應計畫和處理常式,以確保事件回應計畫是最新的。
Azure 指引: 更新貴組織的事件回應程式,以在 Azure 平臺中包含事件的處理。 根據所使用的 Azure 服務和應用程式本質,自訂事件回應計畫和劇本,以確保它們可用來回應雲端環境中的事件。
實作和其他內容:
- 在企業環境中實作安全性 (機器翻譯)
- 事件回應參考指南 (英文)
- NIST SP800-61 電腦安全性性事件處理指南
客戶安全性專案關係人 (深入瞭解) :
IR-2:準備 - 設定事件通知
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4、IR-8、IR-5、IR-6 | 12.10 |
安全性準則: 請確定來自雲端服務提供者平臺的安全性警示和事件通知,而且您的環境可以透過事件回應組織中的正確連絡人來接收。
Azure 指引:在 適用於雲端的 Microsoft Defender 中設定安全性事件連絡資訊。 當 Microsoft 安全回應中心 (MSRC) 發現您的資料已遭非法或未經授權的合作對象存取時,Microsoft 會使用此連絡人資訊來與您連絡。 您也可以選擇根據事件回應需求,在不同的 Azure 服務中自訂事件警示和通知。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IR-3:偵測和分析 - 根據高品質警示建立事件
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 17.9 | IR-4、IR-5、IR-7 | 10.8 |
安全性準則: 請確定您有建立高品質警示並測量警示品質的程式。 這可讓您瞭解過去事件的課程,並排定分析師的警示優先順序,因此不會浪費時間誤判。
您可以根據過去事件的經驗、已驗證的社區來源,以及設計成透過融合和相互關聯不同信號來源以產生和清除警示的工具,來建置高品質警示。
Azure 指引:適用於雲端的 Microsoft Defender提供許多 Azure 資產的高品質警示。 您可以使用適用於雲端的 Microsoft Defender資料連線器,將警示串流至 Azure Sentinel。 Azure Sentinel 可讓您建立進階警示規則,以自動產生事件供調查之用。
使用匯出功能匯出您的適用於雲端的 Microsoft Defender警示和建議,以協助識別 Azure 資源的風險。 以手動或持續不斷的方式匯出警示和建議。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IR-4:偵測和分析 - 調查事件
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| N/A | IR-4 | 12.10 |
安全性準則: 確保安全性作業小組可以在調查潛在事件時查詢和使用各種資料來源,以建置發生狀況的完整檢視。 您應收集各種記錄,以追蹤整個攻擊鏈中潛在攻擊者的活動,而避免產生盲點。 您也應確實獲取深入解析和知識,以供其他分析師和未來的歷程記錄參考使用。
Azure 指引: 調查的資料來源是已從範圍內服務和執行中系統收集的集中式記錄來源,但也可以包括:
- 網路資料:使用網路安全性群組的流量記錄、Azure 網路監看員和 Azure 監視器來擷取網路流量記錄和其他分析資訊。
- 執行中系統的快照集:) Azure 虛擬機器的快照集功能,以建立執行中系統磁片的快照集。 b) 作業系統的原生記憶體傾印功能,以建立執行中系統記憶體的快照集。 c) Azure 服務或軟體本身功能的快照集功能,以建立執行中系統的快照集。
Azure Sentinel 可讓您對絕大多數的記錄來源進行廣泛的資料分析,並提供案例管理入口網站來管理事件的完整生命週期。 調查期間的情報資訊可以與事件相關聯,以供追蹤和報告之用。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IR-5:偵測和分析 - 設定事件的優先順序
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
安全性準則: 提供安全性作業小組的內容,以根據組織事件回應計畫中定義的警示嚴重性和資產敏感度,協助他們判斷應該先專注于哪些事件。
Azure 指引:適用於雲端的 Microsoft Defender為每個警示指派嚴重性,以協助您優先調查哪些警示。 嚴重性是根據尋找或用來發出警示的分析適用於雲端的 Microsoft Defender信賴度,以及導致警示之活動背後的惡意意圖信賴等級。
此外,請使用標籤來標示資源,並建立命名系統以識別及分類 Azure 資源,尤其是處理敏感資料的資源。 您需負責根據發生事件的 Azure 資源和環境的重要性,設定警示的補救優先順序。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IR-6:內含專案、消除和復原 - 將事件處理自動化
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| N/A | IR-4、IR-5、IR-6 | 12.10 |
安全性準則: 將手動、重複的工作自動化,以加速回應時間,並減少分析師的負擔。 手動工作需要較長的時間來執行,進而降低每個事件的速度,以及減少分析師可以處理的事件數目。 手動工作也會增加分析師的苦氣,這會增加人為錯誤的風險,導致延遲並降低分析師有效地專注于複雜工作的能力。
Azure 指引:使用 適用於雲端的 Microsoft Defender 和 Azure Sentinel 中的工作流程自動化功能,自動觸發動作或執行劇本來回應傳入的安全性警示。 劇本會採取動作,例如傳送通知、停用帳戶,以及隔離有問題的網路。
實作和其他內容:
- 在 適用於雲端的 Microsoft Defender 中設定工作流程自動化
- 在 適用於雲端的 Microsoft Defender 中設定自動化威脅回應
- 在 Azure Sentinel 中設定自動化威脅回應
客戶安全性專案關係人 (深入瞭解) :
IR-7:事件後活動 - 進行學習課程並保留辨識項
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
安全性準則: 在組織定期和/或重大事件之後進行學習課程,以改善事件回應和處理的未來功能。
根據事件的本質,保留事件處理標準中定義的事件相關辨識項,以進行進一步分析或法律動作。
Azure 指引: 使用所學習活動的結果來更新事件回應計畫、劇本 (,例如 Azure Sentinel 劇本) ,並將結果重新納入您的環境 (,例如記錄和威脅偵測,以解決任何記錄差距區域) ,以改善您在 Azure 中偵測、回應和處理事件的未來功能。
保留「偵測和分析 - 調查事件步驟」期間收集的辨識項,例如系統記錄、網路流量傾印,以及在儲存體中執行系統快照集,例如Azure 儲存體帳戶以進行保留。
實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :