Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
El estándar de seguridad de Azure más up-toactualizado está disponible aquí.
La respuesta a incidentes cubre los controles del ciclo de vida de respuesta a incidentes: preparación, detección y análisis, contención y actividades posteriores al incidente. Esto incluye el uso de servicios de Azure como Azure Security Center y Sentinel para automatizar el proceso de respuesta a incidentes.
Para ver la instancia de Azure Policy integrada aplicable, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Azure Security Benchmark: Respuesta a incidentes.
IR-1: Preparación: actualización del proceso de respuesta a incidentes para Azure
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IR-1 | 19 | IR-4, IR-8 |
Asegúrese de que su organización tiene procesos para responder a incidentes de seguridad, ha actualizado estos procesos para Azure y los está realizando periódicamente para garantizar la preparación.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
IR-2: Preparación: notificación de incidentes de instalación
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IR-2 | 19.5 | IR-4, IR-5, IR-6, IR-8 |
Configure la información de contacto de incidentes de seguridad en Azure Security Center. Microsoft usa esta información de contacto para ponerse en contacto con usted si el Centro de respuesta de seguridad de Microsoft (MSRC) detecta que un usuario ilegal o no autorizado ha accedido a sus datos. También tiene opciones para personalizar las alertas y notificaciones de incidentes en diferentes servicios de Azure en función de las necesidades de respuesta a incidentes.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
IR-3: Detección y análisis: creación de incidentes basados en alertas de alta calidad
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IR-3 | 19,6 | IR-4, IR-5 |
Asegúrese de que tiene un proceso para crear alertas de alta calidad y medir la calidad de las alertas. Esto le permite aprender de incidentes anteriores y clasificar las alertas para los analistas, de modo que no pierdan tiempo con falsos positivos.
Las alertas de alta calidad se pueden crear en función de la experiencia de incidentes anteriores, los orígenes de la comunidad validados y las herramientas diseñadas para generar y limpiar alertas mediante la fusión y correlación de diversos orígenes de señal.
Azure Security Center proporciona alertas de alta calidad en muchos recursos de Azure. Puede usar el conector de datos de ASC para transmitir las alertas a Azure Sentinel. Azure Sentinel permite crear reglas de alerta avanzadas para generar incidentes automáticamente para una investigación.
Exporte las alertas y recomendaciones de Azure Security Center mediante la característica de exportación para ayudar a identificar riesgos para los recursos de Azure. Exporte alertas y recomendaciones manualmente o de forma continua.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
IR-4: Detección y análisis: investigación de un incidente
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IR-4 | 19 | IR-4 |
Asegúrese de que los analistas pueden consultar y usar diversos orígenes de datos a medida que investigan posibles incidentes, para crear una vista completa de lo que ha ocurrido. Se deben recopilar diversos registros para realizar un seguimiento de las actividades de un posible atacante en la cadena de eliminación para evitar puntos ciegos. También debe asegurarse de que se capturan detalles y aprendizajes para otros analistas y para futuras referencias históricas.
Las fuentes de datos para la investigación incluyen los registros centralizados que ya se recopilan de los servicios dentro del ámbito y los sistemas en ejecución, pero también pueden incluir:
Datos de red: use los registros de flujo de los grupos de seguridad de red, Azure Network Watcher y Azure Monitor para capturar registros de flujo de red y otra información de análisis.
Instantáneas de sistemas en ejecución:
Use la funcionalidad de instantánea de la máquina virtual de Azure para crear una instantánea del disco del sistema en ejecución.
Use la funcionalidad de volcado de memoria nativa del sistema operativo para crear una instantánea de la memoria del sistema en ejecución.
Use la característica de instantánea de los servicios de Azure o la propia funcionalidad de su software para crear instantáneas de los sistemas en ejecución.
Azure Sentinel proporciona análisis de datos exhaustivos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar el ciclo de vida completo de los incidentes. La información de inteligencia durante una investigación se puede asociar a un incidente con fines de seguimiento e informes.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
IR-5: Detección y análisis: priorizar incidentes
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IR-5 | 19,8 | CA-2, IR-4 |
Proporcione contexto a los analistas sobre en qué incidentes deben centrarse primero, basándose en la gravedad de la alerta y la sensibilidad de los activos.
Azure Security Center asigna una gravedad a cada alerta para ayudarle a priorizar las alertas que se deben investigar primero. La gravedad se basa en la confianza que tiene Security Center en la búsqueda o el análisis usado para emitir la alerta, así como en el nivel de confianza que había una intención malintencionada detrás de la actividad que llevó a la alerta.
Además, marque los recursos mediante etiquetas y cree un sistema de nomenclatura para identificar y clasificar los recursos de Azure, especialmente aquellos que procesan datos confidenciales. Es su responsabilidad priorizar la corrección de alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
IR-6: Contención, erradicación y recuperación: automatización del control de incidentes
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IR-6 | 19 | IR-4, IR-5, IR-6 |
Automatice las tareas repetitivas manuales para acelerar el tiempo de respuesta y reducir la carga de los analistas. Las tareas manuales tardan más tiempo en ejecutarse, lo que ralentiza cada incidente y reduce el número de incidentes que un analista puede manejar. Las tareas manuales también aumentan la fatiga del analista, lo que aumenta el riesgo de error humano que provoca retrasos y degrada la capacidad de los analistas de centrarse eficazmente en tareas complejas. Use las características de automatización de flujos de trabajo en Azure Security Center y Azure Sentinel para desencadenar automáticamente acciones o ejecutar un cuaderno de estrategias para responder a las alertas de seguridad entrantes. El cuaderno de estrategias realiza acciones, como enviar notificaciones, deshabilitar cuentas y aislar redes problemáticas.
Configuración de la automatización del flujo de trabajo en Security Center
Configuración de respuestas de amenazas automatizadas en Azure Security Center
Configuración de respuestas automatizadas a amenazas en Azure Sentinel
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):