Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Der am meisten up-to- Datum azure Security Benchmark ist hier verfügbar.
Die Reaktion auf Vorfälle umfasst Kontrollen im Lebenszyklus der Reaktion auf Vorfälle – Vorbereitung, Erkennung und Analyse, Eindämmung und Aktivitäten nach dem Vorfall. Dazu gehört die Verwendung von Azure-Diensten wie Azure Security Center und Sentinel zur Automatisierung des Vorfallreaktionsprozesses.
Informationen zur anwendbaren integrierten Azure-Richtlinie finden Sie unter Details der integrierten Initiative Azure Security Benchmark Regulatory Compliance: Incident Response
IR-1: Vorbereitung – Aktualisierung des Vorfallsreaktionsprozesses für Azure
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| IR-1 | 19 | IR-4, IR-8 |
Stellen Sie sicher, dass Ihre Organisation Über Prozesse zum Reagieren auf Sicherheitsvorfälle verfügt, diese Prozesse für Azure aktualisiert hat und sie regelmäßig ausübt, um die Bereitschaft sicherzustellen.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-2: Vorbereitung – Einrichtung von Vorfallbenachrichtigungen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| IR-2 | 19.5 | IR-4, IR-5, IR-6, IR-8 |
Richten Sie Kontaktinformationen zu Sicherheitsvorfällen im Azure Security Center ein. Diese Kontaktinformationen werden von Microsoft verwendet, um Sie zu kontaktieren, wenn das Microsoft Security Response Center (MSRC) feststellt, dass Auf Ihre Daten von einer rechtswidrigen oder nicht autorisierten Partei zugegriffen wurde. Sie haben auch Optionen zum Anpassen der Vorfallwarnung und -benachrichtigung in verschiedenen Azure-Diensten basierend auf Ihren Anforderungen an die Reaktion auf Vorfälle.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-3: Erkennung und Analyse – Erstellung von Vorfällen basierend auf qualitativ hochwertigen Alarmmeldungen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| IR-3 | 19,6 | IR-4, IR-5 |
Stellen Sie sicher, dass Sie über einen Prozess verfügen, um qualitativ hochwertige Warnungen zu erstellen und die Qualität von Warnungen zu messen. Auf diese Weise können Sie Lehren aus vergangenen Vorfällen ziehen und Warnungen für Analysten priorisieren, damit diese keine Zeit mit falsch positiven Ergebnissen verschwenden.
Qualitativ hochwertige Warnungen können basierend auf Erfahrungen aus früheren Vorfällen, validierten Communityquellen und Tools erstellt werden, die entwickelt wurden, um Warnungen zu generieren und zu bereinigen, indem verschiedene Signalquellen miteinander verknüpft und korreliert werden.
Azure Security Center bietet qualitativ hochwertige Warnungen über viele Azure-Ressourcen hinweg. Sie können den ASC-Datenconnector verwenden, um die Warnungen an Azure Sentinel zu streamen. Mit Azure Sentinel können Sie erweiterte Warnungsregeln erstellen, um Vorfälle automatisch für eine Untersuchung zu generieren.
Exportieren Sie Ihre Azure Security Center-Warnungen und Empfehlungen mithilfe des Exportfeatures, um Risiken für Azure-Ressourcen zu identifizieren. Exportieren Sie Warnungen und Empfehlungen entweder manuell oder kontinuierlich.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-4: Erkennung und Analyse – Untersuchen eines Vorfalls
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| IR-4 | 19 | IR-4 |
Stellen Sie sicher, dass Analysten verschiedene Datenquellen abfragen und verwenden können, während sie potenzielle Vorfälle untersuchen, um einen vollständigen Überblick darüber zu erhalten, was passiert ist. Verschiedene Protokolle sollten gesammelt werden, um die Aktivitäten eines potenziellen Angreifers über die KillChain hinweg nachzuverfolgen, um blinde Flecken zu vermeiden. Sie sollten auch sicherstellen, dass Erkenntnisse und Erkenntnisse für andere Analysten und für zukünftige historische Referenzen erfasst werden.
Zu den Untersuchungsquellen gehören die bereits aus den In-Scope-Diensten und laufenden Systemen gesammelten zentralisierten Protokollierungsquellen, es können jedoch auch folgende Quellen umfasst sein:
Netzwerkdaten – Verwenden Sie die Ablaufprotokolle von Netzwerksicherheitsgruppen, Azure Network Watcher und Azure Monitor, um Netzwerkflussprotokolle und andere Analyseinformationen zu erfassen.
Momentaufnahmen laufender Systeme:
Verwenden Sie die Snapshot-Funktion des virtuellen Azure-Computers, um eine Momentaufnahme des Datenträgers des ausgeführten Systems zu erstellen.
Verwenden Sie die systemeigene Speicherabbildfunktion des Betriebssystems, um eine Momentaufnahme des Arbeitsspeichers des ausgeführten Systems zu erstellen.
Verwenden Sie das Snapshot-Feature der Azure-Dienste oder der eigenen Funktion Ihrer Software, um Momentaufnahmen der ausgeführten Systeme zu erstellen.
Azure Sentinel bietet umfassende Datenanalysen in praktisch jeder Protokollquelle und einem Fallverwaltungsportal, um den gesamten Lebenszyklus von Vorfällen zu verwalten. Intelligence-Informationen während einer Untersuchung können einem Vorfall zur Nachverfolgung und Berichterstellung zugeordnet werden.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-5: Erkennung und Analyse – Priorisieren von Vorfällen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| IR-5 | 19,8 | CA-2, IR-4 |
Liefern Sie den Analysten Kontext, auf welche Vorfälle sie sich zuerst konzentrieren sollen, basierend auf Warnungsschweregrad und Sensibilität der Ressourcen.
Azure Security Center weist jeder Warnung einen Schweregrad zu, damit Sie zuerst priorisieren können, welche Warnungen untersucht werden sollten. Der Schweregrad basiert darauf, wie sicher das Security Center in der Erkennung oder der Analyse ist, die zur Ausgabe der Warnung verwendet wird, sowie auf der Konfidenzstufe bezüglich der böswilligen Absicht hinter der Aktivität, die zu der Warnung geführt hat.
Markieren Sie darüber hinaus Ressourcen mithilfe von Tags, und erstellen Sie ein Benennungssystem zum Identifizieren und Kategorisieren von Azure-Ressourcen, insbesondere bei der Verarbeitung vertraulicher Daten. Es liegt in Ihrer Verantwortung, die Behebung von Warnungen basierend auf der Kritischität der Azure-Ressourcen und -Umgebung zu priorisieren, in der der Vorfall aufgetreten ist.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-6: Eindämmung, Beseitigung und Wiederherstellung – Automatisieren der Behandlung von Vorfällen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| IR-6 | 19 | IR-4, IR-5, IR-6 |
Automatisieren Sie manuelle sich wiederholende Aufgaben, um die Reaktionszeit zu beschleunigen und den Aufwand für Analysten zu verringern. Manuelle Aufgaben dauern länger, um jeden Vorfall zu verlangsamen und zu verringern, wie viele Vorfälle ein Analyst verarbeiten kann. Manuelle Aufgaben tragen auch zur Ermüdung der Analysten bei, erhöhen das Risiko menschlicher Fehler, die Verzögerungen verursachen, und beeinträchtigen die Fähigkeit der Analysten, sich effektiv auf komplexe Aufgaben zu konzentrieren. Verwenden Sie Workflowautomatisierungsfeatures im Azure Security Center und Azure Sentinel, um Aktionen automatisch auszulösen oder ein Playbook auszuführen, um auf eingehende Sicherheitswarnungen zu reagieren. Das Playbook führt Aktionen aus, z. B. das Senden von Benachrichtigungen, das Deaktivieren von Konten und das Isolieren problematischer Netzwerke.
Konfigurieren der Workflowautomatisierung im Security Center
Einrichten automatisierter Bedrohungsantworten im Azure Security Center
Einrichten automatisierter Bedrohungsantworten in Azure Sentinel
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):