Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Le benchmark de sécurité Azure le plus up-toest disponible ici.
La réponse aux incidents couvre les contrôles du cycle de vie de la réponse aux incidents : préparation, détection et analyse, confinement et activités post-incident. Cela inclut l’utilisation de services Azure tels qu’Azure Security Center et Sentinel pour automatiser le processus de réponse aux incidents.
Pour voir la politique Azure intégrée applicable, consultez les détails de l'initiative intégrée de conformité réglementaire du benchmark de sécurité Azure : réponse aux incidents
IR-1 : Préparation – Mettre à jour le processus de réponse aux incidents pour Azure
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| IR-1 | 19 | IR-4, IR-8 |
Assurez-vous que votre organisation dispose de processus pour répondre aux incidents de sécurité, a mis à jour ces processus pour Azure et qu’il les exerce régulièrement pour garantir la préparation.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
IR-2 : Préparation – Configurer la notification d’incident
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| IR-2 | 19.5 | IR-4, IR-5, IR-6, IR-8 |
Configurez les informations de contact des incidents de sécurité dans Azure Security Center. Ces informations de contact sont utilisées par Microsoft pour vous contacter si microsoft Security Response Center (MSRC) découvre que vos données ont été consultées par un tiers illégal ou non autorisé. Vous avez également des options pour personnaliser l’alerte d’incident et la notification dans différents services Azure en fonction de vos besoins en réponse aux incidents.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
IR-3 : Détection et analyse : créer des incidents basés sur des alertes de haute qualité
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| IR-3 | 19,6 | IR-4, IR-5 |
Assurez-vous que vous disposez d’un processus pour créer des alertes de haute qualité et mesurer la qualité des alertes. Cela vous permet de tirer les leçons des incidents passés et de classer par ordre de priorité les alertes pour les analystes, afin qu’ils ne perdent pas de temps sur les faux positifs.
Les alertes de haute qualité peuvent être basées sur l’expérience des incidents passés, des sources de communauté validées et des outils conçus pour générer et nettoyer des alertes en fusant et en corrélant diverses sources de signal.
Azure Security Center fournit des alertes de haute qualité sur de nombreuses ressources Azure. Vous pouvez utiliser le connecteur de données ASC pour diffuser en continu les alertes vers Azure Sentinel. Azure Sentinel vous permet de créer des règles d’alerte avancées pour générer automatiquement des incidents pour une investigation.
Exportez vos alertes et recommandations Azure Security Center à l’aide de la fonctionnalité d’exportation pour identifier les risques liés aux ressources Azure. Exportez des alertes et des recommandations manuellement ou en continu.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
IR-4 : Détection et analyse : examiner un incident
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| IR-4 | 19 | IR-4 |
Assurez-vous que les analystes peuvent interroger et utiliser diverses sources de données quand ils examinent les incidents potentiels, afin de créer une vue complète de ce qui s’est passé. Divers journaux d’activité doivent être collectés pour suivre les activités d’un attaquant potentiel sur la chaîne de destruction afin d’éviter les taches aveugles. Vous devez également vous assurer que les insights et les apprentissages sont capturés pour d’autres analystes et pour une référence historique future.
Les sources de données à examiner incluent les sources de journalisation centralisées qui sont déjà collectées à partir des services concernés et des systèmes en cours d’exécution, mais peuvent également inclure :
Données réseau : utilisez les journaux de flux des groupes de sécurité réseau, Azure Network Watcher et Azure Monitor pour capturer les journaux de flux réseau et d’autres informations analytiques.
Captures instantanées des systèmes en cours d’exécution :
Utilisez la fonctionnalité d’instantané de la machine virtuelle Azure pour créer un instantané du disque du système en cours d’exécution.
Utilisez la fonctionnalité de vidage de mémoire native du système d’exploitation pour créer un instantané de la mémoire du système en cours d’exécution.
Utilisez la fonctionnalité d’instantané des services Azure ou de votre logiciel pour créer des captures instantanées des systèmes en cours d’exécution.
Azure Sentinel fournit une analyse de données étendue sur pratiquement toutes les sources de logs et un portail de gestion des incidents pour gérer le cycle de vie complet des incidents. Les informations de renseignement pendant une enquête peuvent être associées à un incident à des fins de suivi et de création de rapports.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
IR-5 : Détection et analyse : hiérarchiser les incidents
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| IR-5 | 19,8 | CA-2, IR-4 |
Donnez aux analystes un contexte sur les incidents à traiter en priorité, basé sur la gravité des alertes et la sensibilité des actifs.
Azure Security Center affecte une gravité à chaque alerte pour vous aider à hiérarchiser les alertes à examiner en premier. La gravité est basée sur le niveau de confiance que le Security Center a dans le résultat ou l'analyse utilisée pour émettre l'alerte, ainsi que le niveau de confiance dans le fait qu'il y avait une intention malveillante derrière l'activité ayant conduit à l'alerte.
En outre, marquez les ressources à l’aide de balises et créez un système d’affectation de noms pour identifier et classer les ressources Azure, en particulier celles qui traitent des données sensibles. Il vous incombe de hiérarchiser la correction des alertes en fonction de la criticité des ressources et de l’environnement Azure où l’incident s’est produit.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
IR-6 : Confinement, éradication et récupération – automatiser la gestion des incidents
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| IR-6 | 19 | IR-4, IR-5, IR-6 |
Automatisez les tâches répétitives manuelles pour accélérer le temps de réponse et réduire la charge des analystes. Les tâches manuelles prennent plus de temps pour s’exécuter, ralentir chaque incident et réduire le nombre d’incidents qu’un analyste peut gérer. Les tâches manuelles augmentent également la fatigue des analystes, ce qui augmente le risque d’erreur humaine qui provoque des retards et dégrade la capacité des analystes à se concentrer efficacement sur des tâches complexes. Utilisez des fonctionnalités d’automatisation de flux de travail dans Azure Security Center et Azure Sentinel pour déclencher automatiquement des actions ou exécuter un playbook pour répondre aux alertes de sécurité entrantes. Le playbook prend des mesures, telles que l’envoi de notifications, la désactivation des comptes et l’isolation des réseaux problématiques.
Configurer l’automatisation des flux de travail dans Security Center
Configurer des réponses automatisées aux menaces dans Azure Security Center
Configurer des réponses automatisées aux menaces dans Azure Sentinel
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :