Udostępnij przez

Reagowania na incydenty

Reagowanie na zdarzenia utrzymuje odporność organizacji i minimalizuje wpływ na działalność biznesową w przypadku wystąpienia zdarzeń zabezpieczeń, zapewniając szybkie wykrywanie, skuteczne powstrzymanie i kompleksowe odzyskiwanie przy zachowaniu dowodów kryminalistycznych. Dostosuj swoje podejście do struktury NIST SP 800-61 obejmującej przygotowanie, wykrywanie i analizę, ograniczanie/eliminowanie/odzyskiwanie oraz działania po zdarzeniu. Słabe lub nieobecne możliwości prowadzą do wydłużenia czasu zamieszkania, wzmocnionych szkód, naruszeń regulacyjnych i powtarzających się ataków.

Poniżej przedstawiono trzy podstawowe filary domeny zabezpieczeń reagowania na zdarzenia.

Przygotowanie do reagowania na zdarzenia: Ustanów plany, procedury i możliwości przed wystąpieniem zdarzeń. Zaimplementuj natywne dla chmury narzędzia zabezpieczeń, w tym platformy wykrywania zagrożeń, rozwiązania do wykrywania rozszerzonego i reagowania (XDR), systemy zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), scentralizowaną infrastrukturę rejestrowania i możliwości automatyzacji przepływu pracy. Skonfiguruj kontakty zabezpieczeń, powiadomienia i procedury eskalacji, aby zapewnić szybką koordynację uczestników projektu podczas incydentów.

Powiązane kontrolki:

Wykrywanie, analizowanie i badanie zdarzeń: Zaimplementuj generowanie alertów wysokiej jakości, automatyczne tworzenie zdarzeń i systematyczne badanie przy użyciu analizy zabezpieczeń w chmurze i analizy zagrożeń. Wdrażanie ujednoliconych funkcji wykrywania zagrożeń w ramach obciążeń w chmurze za pomocą zaawansowanej analizy, wyszukiwania zagrożeń i kompleksowej integracji ze źródłem danych, w tym usług tożsamości, telemetrii sieciowej i migawek systemu. Określanie priorytetów zdarzeń według krytycznego znaczenia zasobów, wpływu na działalność biznesową i ważności zagrożenia.

Powiązane kontrolki:

Zawierać, odzyskiwać i uczyć się zdarzeń: Automatyzowanie reagowania za pomocą orkiestracji zabezpieczeń i automatyzacji przepływu pracy w celu szybkiego powstrzymania i spójnego wykonywania. Przeprowadź wyciągnięte przeglądy, zachowaj dowody w niezmiennym magazynie w chmurze i stale ulepszaj możliwości reagowania na zdarzenia.

Powiązane kontrolki:

IR-1: Przygotowanie — aktualizowanie planu reagowania na zdarzenia i proces obsługi

Zasada zabezpieczeń

Twórz i konserwuj kompleksowe plany reagowania na zdarzenia dostosowane specjalnie do środowisk platformy Azure, uwzględniając model wspólnej odpowiedzialności, możliwości badania natywne dla chmury i zautomatyzowane narzędzia do reagowania. Regularne testowanie procedur reagowania za pomocą ćwiczeń na tablecie i symulacji w celu zapewnienia skuteczności i ciągłego ulepszania.

Ryzyko w celu ograniczenia ryzyka

Organizacje działające bez kompleksowych planów reagowania na zdarzenia napotykają druzgocące konsekwencje w przypadku wystąpienia zdarzeń związanych z bezpieczeństwem, co prowadzi do długotrwałych zakłóceń w działalności biznesowej, naruszeń przepisów prawnych i stałego uszkodzenia zaufania klientów. Bez systematycznego przygotowania reagowania na zdarzenia:

  • Chaotyczna reakcja kryzysowa: Brak procedur, ról i kanałów prowadzi do nieporozumień, opóźnień i nieskutecznych działań — przedłużając czas zamieszkania i wzmacniające szkody.
  • Nieodpowiednie procedury specyficzne dla chmury: Tradycyjne plany przegapią model wspólnej odpowiedzialności chmury, narzędzia do badania i śledcze śledcze w chmurze, co powoduje niekompletną odpowiedź i utratę dowodów.
  • Brak koordynacji uczestników projektu: Brak protokołów komunikacyjnych z dostawcami usług w chmurze, organami regulacyjnymi, klientami i zespołami wewnętrznymi tworzą opóźnienia, naruszenia i szkody reputacji.
  • Możliwości nietestowanej odpowiedzi: Organizacje odkrywają luki w narzędziach, umiejętnościach i procedurach podczas rzeczywistych zdarzeń, a nie w kontrolowanych środowiskach testowych, co prowadzi do niepowodzenia i wydłużenia czasu odzyskiwania.
  • Błędy zgodności z przepisami: Branże podlegające wymaganiom dotyczącym powiadomień o zdarzeniach (HIPAA, PCI-DSS, RODO, SOX) nie mogą spełniać obowiązkowych terminów raportowania bez udokumentowanych, przetestowanych procedur reagowania.
  • Nieodpowiednie zachowanie dowodów: Brak ustalenia odpowiednich procedur zbierania dowodów i przechowywania narusza dochodzenie kryminalistyczne, postępowanie sądowe i możliwości analizy głównej przyczyny.

Nieodpowiednie przygotowanie wzmacnia wpływ, rozszerza odzyskiwanie i podważa uczenie się, aby zapobiec cyklowi.

MITRE ATT&CK

  • Uchylanie się od obrony (TA0005): osłabianie obrony (T1562) wykorzystujące luki w procedurach reagowania na zdarzenia w celu dłuższego działania bez wykrywania lub skutecznego powstrzymania.
  • Wpływ (TA0040): niszczenie danych (T1485) powoduje maksymalne szkody, gdy organizacje nie mają możliwości szybkiego reagowania na potrzeby przywracania kopii zapasowych i odzyskiwania systemu.
  • Kolekcja (TA0009): dane przygotowane do eksfiltracji (T1074) korzystające z opóźnionego wykrywania i reagowania na pełne operacje kradzieży danych.

IR-1.1: Opracowywanie planów reagowania na zdarzenia specyficzne dla platformy Azure

Ogólne plany reagowania na zdarzenia kończą się niepowodzeniem w środowiskach w chmurze, w których wspólne modele odpowiedzialności, zbieranie dowodów opartych na interfejsie API i wymagania współpracy dostawcy usług różnią się zasadniczo od tradycyjnej obsługi zdarzeń centrum danych. Procedury odpowiedzi specyficzne dla platformy Azure muszą dotyczyć natywnych dla chmury możliwości, takich jak migawki maszyn wirtualnych, dzienniki przepływu sieci i izolacja zasobów za pośrednictwem automatyzacji, a nie rozłączenia sieci fizycznej. Jasna dokumentacja procesów współpracy firmy Microsoft zapewnia zespołom ds. zabezpieczeń informacje o tym, kiedy i jak zaangażować pomoc techniczną platformy podczas incydentów wymagających pomocy dostawcy, zapobiegając opóźnionej reakcji na niepewnością co do procedur eskalacji.

Ustanów reagowanie na zdarzenia z obsługą chmury za pomocą planowania specyficznego dla platformy Azure:

Twórz kompleksowe plany reagowania na zdarzenia dotyczące środowisk platformy Azure, modelu wspólnej odpowiedzialności i możliwości zabezpieczeń natywnych dla chmury. Usługi Microsoft Defender for Cloud i Microsoft Sentinel zapewniają zintegrowane możliwości reagowania na zdarzenia.

Opracowywanie planu reagowania na zdarzenia platformy Azure:

Integracja z usługą Microsoft Defender for Cloud:

  • Konfiguracja kontaktu zabezpieczeń: Wyznaczone kontakty zabezpieczeń dla powiadomień o zdarzeniach z 24/7 dostępności i procedur eskalacji (Konfigurowanie kontaktów zabezpieczeń).
  • Mapowanie ważności alertu: Korelacja między ważnościami alertów usługi Defender for Cloud i poziomami klasyfikacji zdarzeń organizacyjnych (ważność alertu usługi Defender for Cloud).
  • Automatyczna integracja przepływu pracy: Zautomatyzowane tworzenie zdarzeń i przepływy pracy powiadomień przy użyciu usługi Logic Apps wyzwalane przez alerty zabezpieczeń o wysokiej ważności (automatyzacja przepływu pracy (wersja klasyczna)).
  • Szablony powiadomień regulacyjnych: Wstępnie skonfigurowane szablony powiadomień dla RODO, HIPAA, PCI-DSS i innych wymagań prawnych
  • Procedury eksportu dowodów: Systematyczne procedury eksportowania wyników zabezpieczeń, zaleceń i danych alertów dla dokumentacji incydentu (eksport ciągły).

IR-1.2: Ustanów strukturę zespołu reagowania na zdarzenia i szkolenie

Skuteczność reagowania na zdarzenia zależy krytycznie od wiedzy członków zespołu z technikami badania specyficznymi dla platformy Azure, możliwościami analizy dzienników i architekturami usług w chmurze, które różnią się od tradycyjnych umiejętności infrastruktury. Jasno zdefiniowane role zapobiegają lukom w odpowiedzialności i opóźnieniom podejmowania decyzji podczas zdarzeń wysokiego ciśnienia, gdy niejednoznaczność na temat urzędu powoduje paraliż odpowiedzi. Wyspecjalizowane szkolenia w narzędziach i procedurach badania natywnych dla chmury przekształcają ogólnych analityków zabezpieczeń w osoby reagujące na zdarzenia platformy Azure, które mogą szybko zbierać dowody i akcje powstrzymywania przy użyciu możliwości platformy.

Tworzenie możliwości reagowania na zdarzenia platformy Azure za pomocą wyspecjalizowanej struktury zespołu:

Ustanów dedykowane zespoły reagowania na zdarzenia z jasno zdefiniowanymi rolami, obowiązkami i uprawnieniami do podejmowania decyzji dla środowisk platformy Azure. Materiały szkoleniowe dla akademii zabezpieczeń firmy Microsoft i usługi Microsoft Defender for Cloud zapewniają specjalistyczne szkolenia dotyczące reagowania na zdarzenia w chmurze.

struktura zespołuAzure-Focused:

  • Analitycy zabezpieczeń w chmurze: Wyspecjalizowane w usługach zabezpieczeń platformy Azure, analizie dzienników i natywnych dla chmury technikach badania
  • Architekci rozwiązań platformy Azure: Zrozumienie konfiguracji usług platformy Azure, topologii sieci i wpływu zabezpieczeń architektury
  • Przedstawiciele praw i zgodności: Znajomość wymagań prawnych specyficznych dla chmury i procedur współpracy firmy Microsoft
  • Koordynatorzy ciągłości działania: Wiedza na temat odzyskiwania po awarii platformy Azure, przywracania kopii zapasowych i planowania ciągłości usług
  • Kontakty eskalacji zewnętrznej: Nawiązane relacje z pomocą techniczną firmy Microsoft, radcą prawnym i kontaktami z powiadomieniami prawnymi

Przykład implementacji

Organizacja opieki zdrowotnej wdrożyła kompleksowe przygotowanie reagowania na zdarzenia platformy Azure w celu spełnienia wymagań HIPAA i ochrony danych pacjentów za pomocą udokumentowanych procedur i wyszkolonych zespołów reagowania.

Wyzwanie: Organizacja opieki zdrowotnej nie ma procedur reagowania na zdarzenia specyficzne dla platformy Azure i ustrukturyzowanych przypisań zespołów, tworząc ryzyko opóźnienia reakcji podczas naruszeń danych pacjentów i potencjalnych naruszeń HIPAA z niejasnymi ścieżkami eskalacji.

Podejście do rozwiązania:

  • Opracowany plan reagowania na zdarzenia specyficzne dla platformy Azure obejmujący wymagania dotyczące powiadomień o naruszeniach zabezpieczeń HIPAA i procedury współpracy firmy Microsoft dotyczące zdarzeń dotyczących danych pacjentów
  • Ustanowiony zespół reagowania na zdarzenia z certyfikowanymi specjalistami ds. zabezpieczeń platformy Azure w badaniach usługi Microsoft Sentinel i śledczach na platformie Azure
  • Skonfigurowano kontakty zabezpieczeń usługi Microsoft Defender for Cloud z powiadomieniem 24/7 i automatycznym eskalacją do zespołów prawnych w przypadku naruszeń HIPAA
  • Zaimplementowano kwartalne ćwiczenia na tablecie przy użyciu scenariuszy symulacji ataków platformy Azure na potrzeby oprogramowania wymuszającego okup, eksfiltracji danych i zagrożeń wewnętrznych
  • Utworzono procedury zbierania dowodów dla usług platformy Azure, w tym automatyzację migawek maszyn wirtualnych, eksportowanie dzienników usługi Azure Monitor i zachowywanie inspekcji identyfikatora Entra firmy Microsoft
  • Ustanowiono przepływy pracy współpracy firmy Microsoft w celu zaangażowania pomocy technicznej firmy Microsoft podczas zdarzeń platformy Azure

Wynik: Osiągnięto kompleksową możliwość reagowania na zdarzenia zgodne ze standardem HIPAA z udokumentowanymi procedurami, wyszkolonymi zespołami i pokryciem odpowiedzi 24/7. Kwartalne ćwiczenia zweryfikowały skuteczność odpowiedzi i zidentyfikowały możliwości ciągłego ulepszania.

Poziom krytyczny

Musi mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: IR-1, IR-1(1), IR-2, IR-2(1), CP-2, CP-2(1)
  • PCI-DSS 4: 12.10.1, 12.10.2
  • Kontrolki CIS w wersji 8.1: 17.1, 17.2, 17.3
  • NIST CSF v2.0: PR. IP-9, żądanie ściągnięcia. IP-10, RS. CO-1
  • ISO 27001:2022: A.5.24, A.5.25, A.5.26, A.5.27
  • SOC 2: CC9.1, A1.1

IR-2: Przygotowanie — powiadomienie o zdarzeniu konfiguracji

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: IR-2.

Zasada zabezpieczeń

Ustanów kompleksowe systemy powiadomień o zdarzeniach z automatycznym wyzwalaniem, odpowiednie listy kontaktów uczestników projektu oraz integrację z usługami zabezpieczeń firmy Microsoft, aby zapewnić szybką, dokładną i zgodną komunikację z incydentami we wszystkich wymaganych podmiotach.

Ryzyko w celu ograniczenia ryzyka

Nieodpowiednie systemy powiadomień o zdarzeniach tworzą krytyczne opóźnienia, które wzmacniają wpływ zdarzenia zabezpieczeń, naruszają wymagania prawne i podważają zaufanie uczestników projektu. Bez odpowiedniej infrastruktury powiadomień:

  • Opóźniona świadomość uczestników projektu: Kierownictwo, zespoły prawne i osoby reagujące pozostają nieświadome, uniemożliwiając terminowe decyzje i alokację zasobów.
  • Naruszenia przepisów prawnych: Nieodebrane terminy powiadomień (RODO 72-godzinne, HIPAA 60-dniowe, PCI-DSS natychmiastowe) wywołują grzywny i sankcje. (Dokumentacja: RODO art. 33/34, zasada powiadamiania o naruszeniu przepisów HIPAA, PCI-DSS).
  • Nieskuteczna współpraca dostawcy usług w chmurze: Niepowodzenie prawidłowego konfigurowania kontaktów zabezpieczeń w chmurze uniemożliwia współpracę z zespołami reagowania na zabezpieczenia dostawcy usług w chmurze podczas zdarzeń na poziomie platformy lub gdy wymagana jest pomoc dostawcy.
  • Erozja zaufania klientów: Opóźnione lub nieodpowiednie powiadomienie klienta podczas incydentów obejmujących dane osobowe lub przerwy w działaniu usług szkody relacje i tworzy ekspozycję prawną.
  • Niezordowane działania odpowiedzi: Brak automatycznych wyzwalaczy powiadomień i procedur eskalacji skutkuje fragmentacją wysiłków związanych z reagowaniem z wieloma zespołami pracującymi bez koordynacji ani świadomości sytuacyjnej.
  • Opóźniona koordynacja odpowiedzi: Powolne powiadamianie zespołów kryminalistycznych, radców prawnych i ratowników technicznych opóźnia krytyczne działania zawierające, procedury konserwacyjne dowodów i skoordynowane środki obronne.

Słabe uszkodzenia systemów powiadomień złożone, uniemożliwiając szybkie reagowanie, koordynację i zgodność z przepisami.

MITRE ATT&CK

  • Sterowanie i kontrola (TA0011): protokół warstwy aplikacji (T1071) utrzymujący kanały poleceń i kontroli dłużej, gdy opóźnione powiadomienie uczestnika projektu zapobiega skoordynowanym akcjom powstrzymywania na poziomie sieci.
  • Eksfiltracja (TA0010): eksfiltracja przez kanał C2 (T1041) kończenie kradzieży danych podczas powiadomień i opóźnień eskalacji, zanim koordynacja między zespołami umożliwia skuteczne blokowanie.
  • Wpływ (TA0040): dane zaszyfrowane pod kątem wpływu (T1486) rozprzestrzeniają oprogramowanie wymuszające okup w wielu systemach, podczas gdy opóźnione powiadomienie zapobiega szybkiej izolacji i koordynacji odzyskiwania kopii zapasowych.

IR-2.1: Konfigurowanie informacji kontaktowych zabezpieczeń firmy Microsoft

Zdarzenia zabezpieczeń wymagające interwencji na poziomie platformy firmy Microsoft kończą się niepowodzeniem, gdy nieaktualne lub nieprawidłowe informacje kontaktowe uniemożliwiają powiadomienie dostawcy, opóźniając krytyczne akcje reagowania tylko na dostawcę chmury. Zweryfikowane kontakty z zabezpieczeniami 24/7 umożliwiają firmie Microsoft natychmiastowe powiadamianie klientów o lukach w zabezpieczeniach platformy, zakłóceniach usług lub wykrytych wzorcach zabezpieczeń wymagających skoordynowanej reakcji. Metody komunikacji obejmujące wiele kanałów i kontakty kopii zapasowych zapewniają, że powiadomienia o zdarzeniach docierają do odpowiednich pracowników niezależnie od dostępności kontaktu podstawowego, różnic w strefie czasowej lub awarii infrastruktury komunikacji.

Włącz współpracę firmy Microsoft za pośrednictwem zweryfikowanych kontaktów zabezpieczeń:

Skonfiguruj informacje kontaktowe zabezpieczeń w usłudze Microsoft Defender for Cloud i ustanów kompleksowe zarządzanie kontaktami, aby firma Microsoft mogła uzyskać dostęp do odpowiedniego personelu podczas incydentów wymagających współpracy lub reagowania na poziomie platformy.

Kontakty zabezpieczeń usługi Microsoft Defender for Cloud:

  • Podstawowy kontakt zabezpieczeń: 24/7 dostępny przedstawiciel zespołu ds. zabezpieczeń z urzędem reagowania na zdarzenia i możliwością podejmowania decyzji
  • Konfiguracja kontaktu pomocniczego: Tworzenie kopii zapasowych kontaktów z dystrybucją geograficzną dla organizacji globalnych zapewniających pokrycie w różnych strefach czasowych
  • Role-Based przypisanie kontaktu: Oddzielne kontakty dla różnych typów zdarzeń, w tym naruszenia danych, luki w zabezpieczeniach platformy i przerwy w działaniu usługi
  • Procedury weryfikacji kontaktu: Regularne testowanie informacji kontaktowych za pośrednictwem ćwiczeń współpracy firmy Microsoft i przeglądania szczegółowego powiadomień
  • Komunikacja wielokanałowa: Metody poczty e-mail, wiadomości SMS i kontaktów telefonicznych z przejrzystymi procedurami eskalacji, gdy kontakty podstawowe są niedostępne

Integracja z usługą Microsoft Defender for Cloud:

  • Powiadomienia wyzwalane przez alerty: Automatyczne generowanie powiadomień dla alertów o wysokiej i krytycznej ważności z dostosowywalnymi progami i kryteriami filtrowania
  • konfiguracjaSubscription-Level: Konfiguracja kontaktu zabezpieczeń na odpowiednich poziomach zakresu, w tym grupy zarządzania, subskrypcje i grupy zasobów
  • Dostosowywanie powiadomień: Niestandardowe szablony powiadomień, w tym poziomy ważności zdarzenia, zasoby, których dotyczy problem, i instrukcje początkowej odpowiedzi
  • Integracja z systemami biletów: Automatyczne tworzenie biletów w usłudze Azure DevOps lub innych platformach ITSM na potrzeby śledzenia zdarzeń i zarządzania przepływami pracy

IR-2.2: Implementowanie zautomatyzowanych przepływów pracy powiadomień

Ręczne procesy powiadamiania wprowadzają krytyczne opóźnienia podczas zdarzeń zabezpieczeń, gdy minuty mają znaczenie dla skuteczności ograniczania, a ludzkie wąskie gardła w identyfikacji uczestników projektu i komunikacji uniemożliwiają szybką mobilizację reakcji. Zautomatyzowane przepływy pracy eliminują opóźnienie powiadomień, natychmiast rozsyłając alerty do odpowiednich pracowników w oparciu o charakterystykę zdarzenia, ważność i wymagania prawne bez ręcznego określania. Eskalacja oparta na ważności zapewnia świadomość przywództwa krytycznych zdarzeń podczas filtrowania rutynowych alertów, zachowując uwagę kadry kierowniczej na prawdziwe zdarzenia wpływające na działalność biznesową, a nie zalewając przywództwo hałasem bezpieczeństwa.

Przyspieszanie mobilizacji zdarzeń za pomocą automatyzacji powiadomień:

Zaimplementuj podręczniki usługi Azure Logic Apps i Microsoft Sentinel , aby zautomatyzować przepływy pracy powiadomień o zdarzeniach z ukierunkowaniem uczestników projektu, eskalacją opartą na ważności i wyzwalaczami zgodności z przepisami.

Automatyczna implementacja powiadomień:

  • Automatyzacja przepływu pracy usługi Logic Apps: Wyzwalane przepływy pracy powiadomień na podstawie ważności alertu zabezpieczeń, typów zasobów, których dotyczy problem, i oceny wpływu na działalność biznesową
  • Integracja podręcznika usługi Microsoft Sentinel: Zautomatyzowane podręczniki do badania i powiadomień z możliwościami wzbogacania i logiką determinacji uczestników projektu (zobacz Podręczniki usługi Sentinel).
  • Konfiguracja macierzy uczestników projektu: Kierowanie powiadomień opartych na rolach, w tym zespołów ds. zabezpieczeń, doradców prawnych, kierownictwa wykonawczego i funkcjonariuszy ds. zgodności
  • Severity-Based eskalacji: Zautomatyzowane procedury eskalacji z wyzwalaczami opartymi na czasie zapewniającym odpowiednie zaangażowanie kierownictwa w zdarzenia krytyczne
  • Szablony powiadomień regulacyjnych: Wstępnie skonfigurowane szablony powiadomień dla RODO, HIPAA, PCI-DSS i innych wymagań prawnych z automatycznymi warunkami wyzwalacza

Integracja usług Azure Monitor i Event Hub:

  • Niestandardowe reguły alertów: Konfigurowalne reguły alertów dla określonych zdarzeń zabezpieczeń przy użyciu zautomatyzowanych przepływów pracy powiadomień i osób docelowych uczestników projektu
  • Przesyłanie strumieniowe centrum zdarzeń: Przesyłanie strumieniowe zdarzeń w czasie rzeczywistym do systemów zewnętrznych, w tym platform SIEM, narzędzi SOAR i platform komunikacyjnych
  • Integracja aplikacji Teams i poczty e-mail: Powiadomienia kanału i listy dystrybucyjne wiadomości e-mail w usłudze Microsoft Teams z zaawansowanymi przyciskami formatowania i akcji
  • Integracja systemu zewnętrznego: Integracja oparta na interfejsie API z platformami powiadomień klientów, stronami stanu i systemami zarządzania komunikacją

Przykład implementacji

Firma zajmująca się usługami finansowymi wdrożyła kompleksowe powiadomienie o zdarzeniach zewnętrznych i wewnętrznych, aby spełnić wymagania dotyczące zgodności SOX i zapewnić szybką komunikację uczestników projektu podczas incydentów bezpieczeństwa wpływających na systemy handlowe i dane klientów.

Wyzwanie: Firma zajmująca się usługami finansowymi nie ma zautomatyzowanego powiadamiania uczestników projektu podczas incydentów dotyczących zabezpieczeń wpływających na systemy handlowe, co stwarza ryzyko opóźnienia raportowania regulacyjnego do SEC/FINRA i potencjalnych naruszeń zgodności SOX z ręcznymi procesami powiadamiania podatnymi na błędy.

Podejście do rozwiązania:

  • Skonfigurowano kontakty zabezpieczeń usługi Microsoft Defender for Cloud z podstawowymi i pomocniczymi kontaktami zapewniającymi zasięg 24/7 w globalnych centrach handlowych
  • Zaimplementowano przepływy pracy usługi Azure Logic Apps na potrzeby zautomatyzowanych powiadomień zewnętrznych, w tym raportowania zdarzeń SEC, powiadamiania o naruszeniu zabezpieczeń FINRA i komunikacji z danymi klientów za pomocą wstępnie zatwierdzonych szablonów
  • Utworzono podręczniki usługi Microsoft Sentinel z macierzą uczestników projektu na potrzeby wewnętrznych powiadomień do zespołów prawnych, urzędników ds. zgodności i kadry kierowniczej oraz powiadomień zewnętrznych do organów regulacyjnych, klientów, których dotyczy problem, i partnerów biznesowych
  • Ustanowiono szablony powiadomień regulacyjnych dla formularzy SEC Formularz 8-K, powiadomienia o naruszeniu zabezpieczeń prokuratora generalnego i PCI-DSS powiadomienia na temat automatycznego wyzwalacza w oparciu o ważność zdarzenia i ujawnienie danych
  • Skonfigurowano przepływy pracy powiadomień klienta z automatycznym generowaniem wiadomości e-mail na potrzeby powiadomień o naruszeniu danych spełniających wymagania dotyczące przepisów prawa stanowego z zatwierdzeniami przeglądu prawnego
  • Zaimplementowano integrację systemu biletów z automatycznym tworzeniem biletów na potrzeby wewnętrznej koordynacji odpowiedzi i śledzenia zewnętrznych uczestników projektu na potrzeby terminów dokumentacji regulacyjnej

Wynik: Znacznie skrócony czas powiadamiania o zdarzeniach dzięki zautomatyzowanemu raportowaniu regulacyjnemu zapewniającemu zgodność z normą SOX. Wstępnie zatwierdzone szablony i zautomatyzowane przepływy pracy wyeliminowały błędy ręczne w komunikacji uczestników projektu i zapewniły spójne procedury dokumentacji regulacyjnej.

Poziom krytyczny

Musi mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: IR-2, IR-2(1), IR-2(2), IR-4(2), IR-6
  • PCI-DSS 4: 12.10.1, 12.10.3
  • Kontrolki CIS w wersji 8.1: 17.4, 17.5
  • NIST CSF v2.0: RS. CO-1, RS. CO-2, RS. CO-3, RS. CO-4
  • ISO 27001:2022: A.5.24, A.5.26, A.5.28
  • SOC 2: CC9.1, A1.1

IR-3: Wykrywanie i analiza — tworzenie zdarzeń na podstawie alertów wysokiej jakości

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: IR-3.

Zasada zabezpieczeń

Zaimplementuj generowanie alertów wysokiej jakości za pomocą zaawansowanej analizy, integracji analizy zagrożeń i ciągłego dostrajania w celu zminimalizowania wyników fałszywie dodatnich przy jednoczesnym zapewnieniu kompleksowego pokrycia rzeczywistych zagrożeń bezpieczeństwa. Ustanów zautomatyzowane przepływy pracy tworzenia zdarzeń przy użyciu odpowiednich procedur wzbogacania i eskalacji.

Ryzyko w celu ograniczenia ryzyka

Niska jakość alertów powoduje nieefektywność operacyjną, która podważa efektywność operacji zabezpieczeń, co prowadzi do nieodebranych zagrożeń, wypalenia analityka i obniżonej wydajności reagowania na zdarzenia. Bez generowania alertów wysokiej jakości:

  • Zmęczenie alertami z wyników fałszywie dodatnich: Analitycy stają się przytłoczeni, co prowadzi do zmniejszenia uwagi, nieodebranych prawdziwych zagrożeń i opóźnionej reakcji.
  • Krytyczne zagrożenia pochowane w hałasie: Zdarzenia o wysokim priorytecie znikają w ilości alertów, uniemożliwiając szybkie wykrywanie i reagowanie.
  • Nieefektywna alokacja zasobów: Zespoły ds. zabezpieczeń tracą czas na badanie fałszywych alarmów i alertów o niskim priorytcie zamiast skupiać się na prawdziwych zagrożeniach wymagających natychmiastowej uwagi i wykwalifikowanych analiz.
  • Opóźnione wykrywanie zagrożeń i reagowanie na nie: Niski współczynnik sygnału do szumu wydłuża średni czas wykrywania (MTTD) i czasu średniego reagowania (MTTR), umożliwiając atakującym więcej czasu na osiągnięcie celów i spowodowanie uszkodzenia.
  • Niewystarczająca integracja analizy zagrożeń: Alerty nie zawierają informacji kontekstowych, korelacji analizy zagrożeń i oceniania ryzyka, zapobiegając właściwej priorytetyzacji i efektywnemu planowaniu odpowiedzi.
  • Niespójne tworzenie zdarzeń: Procesy tworzenia zdarzeń ręcznych lub ad hoc powodują nieodebrane eskalacje, niespójną dokumentację i brak ustandaryzowanych procedur reagowania.

Alerty o niskiej jakości podważają wykrywanie, priorytetyzację i eskalację do zespołów reagowania.

MITRE ATT&CK

  • Uchylanie się od obrony (TA0005): maskowanie (T1036) mieszanie złośliwych działań z normalnymi operacjami w celu uniknięcia wykrywania przez słabo dostrojone systemy alertów.
  • Trwałość (TA0003): prawidłowe konta (T1078) przy użyciu wiarygodnych poświadczeń do wykonywania złośliwych działań, które mogą nie wyzwalać dobrze skonfigurowanych alertów dotyczących nietypowego zachowania.
  • Kolekcja (TA0009): automatyczna kolekcja (T1119) prowadzenie systematycznego zbierania danych w dłuższych okresach, gdy zmęczenie alertami uniemożliwia wykrywanie subtelnych anomalii.

IR-3.1: Konfigurowanie usługi Microsoft Defender XDR na potrzeby ujednoliconego wykrywania zagrożeń

Izolowane sygnały zabezpieczeń od poszczególnych produktów generują przytłaczające ilości alertów bez ujawniania pełnych narracji ataków, zmuszając analityków do ręcznego korelowania rozłączonych zdarzeń, podczas gdy przeciwnicy postępują przez łańcuchy ataków. Rozszerzone wykrywanie i reagowanie przekształca pofragmentowane alerty w ujednolicone zdarzenia, korelując sygnały między punktami końcowymi, tożsamościami, pocztą e-mail i aplikacjami w chmurze, aby uwidocznić pełne scenariusze ataku, których wykrywanie pojedynczego produktu nie może zidentyfikować. Zautomatyzowane badanie i korygowanie reaguje na zagrożenia z szybkością maszyny, a nie na tempo analizy ograniczonej przez człowieka, zawierające ataki w ciągu kilku minut zamiast godzin, podczas gdy analitycy badają złożone przypadki.

Wykrywanie skoordynowanych ataków za pośrednictwem korelacji sygnałów międzyplatformowych:

Zaimplementuj trasę XDR usługi Microsoft Defender (rozszerzone wykrywanie i reagowanie) jako podstawową ujednoliconą platformę zabezpieczeń, która umożliwia kompleksowe wykrywanie zagrożeń w ramach obciążeń platformy Microsoft 365, w tym punktów końcowych, tożsamości, poczty e-mail i aplikacji w chmurze. Usługa Defender XDR automatycznie koreluje alerty z wielu źródeł do ujednoliconych zdarzeń w celu usprawnionego badania i reagowania.

Podstawowe możliwości usługi Microsoft Defender XDR:

  • Ujednolicone zarządzanie zdarzeniami: Automatyczna korelacja alertów w usłudze Microsoft Defender dla punktów końcowych, tożsamości, platformy Microsoft 365 i aplikacji w chmurze w ramach pojedynczych zdarzeń z pełną wizualizacją scenariusza ataku
  • Zautomatyzowane badanie i reagowanie (AIR): Zautomatyzowane badanie oparte na sztucznej inteligencji badające alerty i podejmujące natychmiastowe działania korygujące w celu rozwiązania naruszeń z konfigurowalnymi poziomami automatyzacji
  • Zaawansowane wyszukiwanie zagrożeń: Wyszukiwanie zagrożeń opartych na zapytaniach przy użyciu języka Kusto Query Language (KQL) w celu proaktywnego sprawdzania danych pierwotnych do 30 dni we wszystkich sygnałach zabezpieczeń platformy Microsoft 365 (Zaawansowane wyszukiwanie zagrożeń).
  • Korelacja sygnału między produktami: Udostępnianie informacji w czasie rzeczywistym między produktami defender w celu zatrzymania progresji ataku, w tym automatycznego blokowania złośliwego pliku w wiadomości e-mail, punktach końcowych i narzędziach do współpracy
  • Zakłócenia ataków: Automatyczne ograniczanie bezpieczeństwa aktywnych ataków z prędkością maszyny przy użyciu sygnałów korelacji zdarzeń i ciągłych badań bezpieczeństwa firmy Microsoft

Wykrywanie zagrożeń i generowanie alertów:

  • Analiza behawioralna: Wykrywanie nietypowych wzorców zachowań użytkowników i urządzeń opartych na uczeniu maszynowym wskazujących zagrożenia naruszenia lub zagrożenia wewnętrzne
  • Integracja analizy zagrożeń: Automatyczne wzbogacanie za pomocą analizy zagrożeń firmy Microsoft, w tym znanej infrastruktury atakującej, sygnatur złośliwego oprogramowania i przypisywania kampanii
  • Reguły wykrywania niestandardowego: Tworzenie reguł wykrywania elastycznego przy użyciu zapytań KQL dla wzorców zagrożeń specyficznych dla organizacji i wymagań logiki biznesowej
  • Możliwości oszustwa: Wdrażanie zasobów decoy wykrywających ruch poprzeczny obsługiwany przez człowieka w atakach związanych z oprogramowaniem wymuszającym okup i atakami na naruszenia zabezpieczeń poczty e-mail w firmie
  • Ocenianie ryzyka w czasie rzeczywistym: Dynamiczna ocena ryzyka dla użytkowników, urządzeń i logów umożliwiających podejmowanie decyzji dotyczących dostępu opartego na ryzyku dzięki integracji z dostępem warunkowym firmy Microsoft Entra

Integracja z usługą Microsoft Sentinel:

  • Ujednolicona platforma SecOps: Dwukierunkowa integracja umożliwiająca usłudze Microsoft Sentinel pozyskiwanie zdarzeń i alertów usługi Defender XDR przy zachowaniu zaawansowanych funkcji SIEM i SOAR
  • Łącznik XDR usługi Microsoft Defender: Natywny łącznik synchronizuje zdarzenia, alerty i zaawansowane dane wyszukiwania zagrożeń w usłudze Microsoft Sentinel na potrzeby korelacji międzyplatformowej
  • Pokrycie hybrydowe i wielochmurowe: Rozszerzanie możliwości wykrywania poza platformą Microsoft 365 na platformę Azure, środowiska lokalne i środowiska innych firm za pośrednictwem integracji usługi Sentinel
  • Ujednolicona kolejka zdarzeń: Pojedyncze okienko wyświetlania i zarządzania zdarzeniami zarówno z usługi Defender XDR, jak i Sentinel z spójnymi przepływami pracy badania
  • Analiza międzyplatformowa: Korelacja zagrożeń platformy Microsoft 365 ze zdarzeniami zabezpieczeń infrastruktury, alertami obciążeń w chmurze i sygnałami zabezpieczeń innych firm

IR-3.2: Konfigurowanie zaawansowanego alertu usługi Microsoft Defender for Cloud

Usługa Defender XDR wykrywa zaawansowane ataki, ale optymalizacja jakości alertów wymaga dostrajania konfiguracji w celu zminimalizowania wyników fałszywie dodatnich przy zachowaniu kompleksowego pokrycia zagrożeń w infrastrukturze i obciążeniach platformy Azure. Zaawansowane alerty dzięki analizie opartej na sztucznej inteligencji identyfikują prawdziwe zagrożenia przed łagodnymi działaniami operacyjnymi, zapobiegając zmęczeniu alertów, które powodują, że analitycy przegapią krytyczne ostrzeżenia wśród szumu. Integracja z platformami zarządzania zdarzeniami przekształca nieprzetworzone alerty w zdarzenia zabezpieczeń z możliwością działania przy użyciu odpowiedniego routingu uczestników projektu i orkiestracji odpowiedzi.

Optymalizowanie wykrywania zagrożeń infrastruktury platformy Azure za pomocą zaawansowanych alertów:

Zaimplementuj usługę Microsoft Defender for Cloud z zaawansowanymi alertami i odpowiednim dostrajaniem, aby wygenerować alerty zabezpieczeń wysokiej jakości dla infrastruktury i obciążeń platformy Azure z minimalnymi fałszywie dodatnimi wartościami. Usługa Defender for Cloud zapewnia wykrywanie zagrożeń opartych na sztucznej inteligencji w zasobach platformy Azure przy użyciu ciągłego uczenia.

Zaawansowana konfiguracja alertów:

  • Włączanie planu usługi Defender: Włącz odpowiednie plany usługi Defender, w tym defender for Servers, Defender for App Service, Defender for Storage, Defender for Containers i Defender for Key Vault na podstawie typów obciążeń
  • Integracja analizy zagrożeń: Automatyczna korelacja z kanałami informacyjnymi analizy zagrożeń firmy Microsoft, sygnaturami ataków globalnych i znanymi złośliwymi wskaźnikami w celu zwiększenia dokładności wykrywania
  • Analiza behawioralna uczenia maszynowego: Analiza behawioralna oparta na sztucznej inteligencji wykrywa nietypowe działania, takie jak nietypowe wzorce logowania, eskalacje uprawnień i anomalie dostępu do danych
  • Niestandardowe reguły pomijania alertów: Inteligentne pomijanie alertów dla znanych wyników fałszywie dodatnich przy zachowaniu pokrycia prawdziwych zagrożeń przy regularnym przeglądzie i weryfikacji
  • Kalibracja ważności alertu: Prawidłowe przypisanie ważności alertu na podstawie rzeczywistego wpływu na działalność biznesową, krytycznego znaczenia zasobów i poziomów ufności analizy zagrożeń
  • Integracja z usługą Defender XDR: Automatyczne przekazywanie alertów usługi Defender for Cloud do portalu Usługi Microsoft Defender XDR w celu uzyskania ujednoliconej korelacji zdarzeń zabezpieczeń platformy Microsoft 365

Integracja z usługą Azure Sentinel:

  • Łącznik danych usługi Azure Sentinel: Łącznik natywny do przesyłania strumieniowego alertów usługi Defender for Cloud do usługi Microsoft Sentinel w celu uzyskania zaawansowanych możliwości korelacji i badania
  • Wzbogacanie alertów w usłudze Sentinel: Automatyczne wzbogacanie alertów usługi Defender z dodatkowym kontekstem, w tym analizą zachowań użytkowników, analizą zagrożeń i powiązanymi zdarzeniami zabezpieczeń
  • Korelacja między obciążeniami: Korelacja alertów w wielu obciążeniach i usługach platformy Azure w celu identyfikowania skoordynowanych ataków i złożonych wzorców zagrożeń
  • Reguły analizy niestandardowej: Zaawansowane reguły analizy opartej na języku KQL dla wzorców wykrywania zagrożeń specyficznych dla organizacji i korelacji logiki biznesowej
  • Integracja wyszukiwania zagrożeń: Integracja alertów usługi Defender z funkcjami wyszukiwania zagrożeń w usłudze Microsoft Sentinel na potrzeby proaktywnego badania zagrożeń

IR-3.3: Implementowanie automatycznego tworzenia i wzbogacania zdarzeń

Alerty zabezpieczeń generowane, ale nie przekształcane w zarządzane zdarzenia, tworzą rozłączone przepływy pracy badania, w których kontekst krytyczny, przypisania uczestników projektu i śledzenie odpowiedzi pozostają procesami ręcznymi podatnymi na błędy ludzkie i opóźnienia. Automatyczne tworzenie zdarzeń konsoliduje powiązane alerty w ujednolicone przypadki z inteligentnym wzbogacaniem, które dodaje analizę zagrożeń, kontekst użytkownika i krytyczność zasobów przed przeglądem analityka. Automatyzacja klasyfikacji i przypisywanie uczestników projektu zapewniają natychmiastowe kierowanie zdarzeń do odpowiednich zespołów w oparciu o cechy zagrożenia i wpływ na działalność biznesową, a nie oczekiwanie na ręczne decyzje dotyczące klasyfikacji.

Przekształć alerty w zdarzenia z możliwością działania za pomocą automatyzacji:

Zaimplementuj automatyczne tworzenie zdarzeń usługi Microsoft Sentinel z inteligentnym wzbogaceniem, klasyfikacją i przypisaniem uczestników projektu w celu zapewnienia spójnego zarządzania i skuteczności reagowania.

Automatyczne tworzenie zdarzeń:

  • Konfiguracja reguły analizy: Kompleksowe reguły analizy dotyczące konwertowania alertów wysokiej jakości na zdarzenia z odpowiednimi poziomami ważności i kryteriami klasyfikacji
  • Logika grupowania zdarzeń: Inteligentne grupowanie powiązanych alertów w pojedyncze zdarzenia, aby zapobiec fragmentacji i zapewnić kompleksowy zakres badania
  • Mapowanie i wzbogacanie jednostek: Automatyczne wyodrębnianie i mapowanie jednostek (użytkowników, hostów, adresów IP, plików) z wzbogacaniem danych analizy zagrożeń i danych historycznych
  • Ocena ważności i priorytetyzacja: Automatyczne ocenianie ważności na podstawie wielu czynników, w tym krytycznej zawartości, poziomów ryzyka użytkownika i wyrafinowania technik ataków
  • Przypisanie właściciela i eskalacja: Automatyczne przypisywanie zdarzeń do odpowiednich zespołów reagowania z procedurami eskalacji dla niezaznaczonych zdarzeń krytycznych

Zarządzanie zdarzeniami w usłudze Microsoft Sentinel:

  • Tworzenie osi czasu zdarzenia: Automatyczne generowanie osi czasu zdarzeń z powiązanymi alertami, działaniami użytkowników i zdarzeniami systemowymi w celu kompleksowego kontekstu badania
  • Automatyzacja zbierania dowodów: Zautomatyzowane zbieranie odpowiednich dowodów, w tym dzienników systemowych, działań użytkowników, przepływów sieciowych i skrótów plików na potrzeby pomocy technicznej dotyczącej badania
  • Integracja narzędzi współpracy: Integracja z usługą Microsoft Teams, usługą ServiceNow i innymi platformami współpracy w celu zapewnienia bezproblemowej komunikacji i koordynacji zdarzeń
  • Śledzenie umów SLA i metryk: Zautomatyzowane śledzenie umów SLA dotyczących reagowania na zdarzenia, w tym czas potwierdzenia, czas badania i czas rozwiązania
  • Automatyzacja podręcznika: Wyzwalane wykonywanie podręcznika dla typowych typów zdarzeń, w tym automatyczne zawieranie, zbieranie dowodów i powiadamianie uczestników projektu

Przykład implementacji

Organizacja wdrożyła zaawansowane tworzenie alertów i zautomatyzowanych zdarzeń, aby zwiększyć dokładność wykrywania zagrożeń i zapewnić szybką reakcję na zdarzenia zabezpieczeń, zmniejszając fałszywie dodatnie wskaźniki przy zachowaniu kompleksowego pokrycia.

Wyzwanie: Organizacja doświadczyła wysokich wyników fałszywie dodatnich z alertów zabezpieczeń powodujących zmęczenie alertów i opóźnione reagowanie na prawdziwe zagrożenia, a ręczne procesy tworzenia zdarzeń tworzą niespójny zakres badania i nieodebrane zdarzenia zabezpieczeń.

Podejście do rozwiązania:

  • Włączono kompleksową ochronę usługi Microsoft Defender dla chmury, w tym usługę Defender dla serwerów, magazynu i usługi Key Vault z dostosowanymi progami alertów
  • Skonfigurowano reguły analizy usługi Microsoft Sentinel z wzorcami zagrożeń specyficznymi dla organizacji, w tym nieautoryzowanym dostępem do danych, nietypowymi zapytaniami bazy danych i nietypowymi wzorcami uwierzytelniania
  • Zaimplementowano automatyczne tworzenie zdarzeń przy użyciu inteligentnego grupowania zmniejszającego liczbę zdarzeń przy jednoczesnym zapewnieniu kompleksowego zakresu badania powiązanych zdarzeń zabezpieczeń
  • Wzbogacenie jednostek wdrożonych automatycznie koreluje konta użytkowników z grupami identyfikatorów Entra firmy Microsoft , poziomami uprzywilejowanego dostępu i historycznymi zdarzeniami zabezpieczeń
  • Utworzono zautomatyzowane podręczniki do badania zdarzeń, w tym zbieranie dowodów, powiadamianie uczestników projektu i przepływy pracy raportowania przepisów
  • Ustanowiono czasy reagowania na zdarzenia dotyczące monitorowania umowy SLA z automatycznym eskalacją dla opóźnionych odpowiedzi

Wynik: Znacznie zmniejszono współczynniki wyników fałszywie dodatnich poprzez dostrajanie alertów przy zachowaniu kompleksowego pokrycia zagrożeń. Automatyczne tworzenie zdarzeń znacznie skróciło czas badania dzięki inteligentnemu grupowaniu alertów i wzbogacaniu jednostek, co poprawia wydajność badania.

Poziom krytyczny

Musi mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: SI-4, SI-4(1), SI-4(2), SI-4(4), IR-4(1), IR-5
  • PCI-DSS 4: 5.3.2, 10.6.1, 10.6.2, 11.5.1
  • Kontrolki CIS w wersji 8.1: 8.11, 13.1, 13.2, 17.4
  • NIST CSF v2.0: DE. CM-1, DE. CM-4, DE. CM-7, DE. AE-1, DE. AE-2
  • ISO 27001:2022: A.8.16, A.5.24, A.5.26
  • SOC 2: CC7.2, CC7.3

IR-4: Wykrywanie i analiza — badanie zdarzenia

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: IR-4.

Zasada zabezpieczeń

Zaimplementuj kompleksowe możliwości badania zdarzeń przy użyciu natywnych usług zabezpieczeń platformy Azure, narzędzi śledczych i systematycznej procedury badania, aby zapewnić pełne zrozumienie zakresu ataków, zachowywanie dowodów i skuteczne planowanie zawierania.

Ryzyko w celu ograniczenia ryzyka

Nieodpowiednie możliwości badania zdarzeń uniemożliwiają organizacjom zrozumienie zakresu ataków, identyfikowanie głównych przyczyn i wdrażanie skutecznych środków zawierających, co pozwala osobom atakującym zachować trwałość i kontynuować złośliwe działania. Bez kompleksowych możliwości badania:

  • Niepełny zakres ataku: Ograniczony wgląd w progresję, przenoszenie boczne i dostęp do danych zapobiega zawieraniu i umożliwia ukryte przyczółki.
  • Nieznane ujawnienie danych: Brak identyfikacji dostępu, modyfikacji lub eksfiltracji danych powoduje naruszenie zgodności i uniemożliwia dokładne powiadomienie o naruszeniu zabezpieczeń.
  • Nieodebrane mechanizmy trwałości ataków: Nieodpowiednie badanie nie może zidentyfikować backdoorów, zaplanowanych zadań, modyfikacji rejestru lub innych mechanizmów trwałości, co pozwala osobom atakującym odzyskać dostęp po początkowych działaniach korygujących.
  • Zniszczenie dowodów i manipulowanie: Brak odpowiednich procedur zachowywania dowodów pozwala na zastąpienie, zmodyfikowanie lub usunięcie krytycznych dowodów kryminalistycznych podczas dochodzenia, naruszenie postępowania sądowego i analiza głównej przyczyny.
  • Dłuższy czas zamieszkania i uszkodzenia: Nieskuteczne badanie przedłuża obecność osoby atakującej w środowisku, zwiększając narażenie na dane, uszkodzenia systemu i wpływ na działalność biznesową, jednocześnie podważając zaufanie do mechanizmów kontroli zabezpieczeń.
  • Zdarzenia cykliczne z niekompletnego korygowania: Brak identyfikowania wszystkich wektorów ataków i punktów wejścia powoduje ponowne skompilowanie tych samych luk w zabezpieczeniach i ścieżek ataków.

Słabe możliwości badania powodują złożone uszkodzenia, uniemożliwiając reakcję, umożliwiając ciągłą aktywność atakującą i podważając naukę.

MITRE ATT&CK

  • Uchylanie się od obrony (TA0005): usunięcie wskaźnika (T1070) usuwając dzienniki i dowody, aby zapobiec dochodzeniu i analizie metod ataku i zakresu.
  • Uchylanie się od obrony (TA0005): usunięcie pliku (T1070.004) usunięcie złośliwych plików i artefaktów przed zbieraniem śledczego może zachować dowody.
  • Trwałość (TA0003): ukryte pliki i katalogi (T1564.001) ukrywające backdoors i mechanizmy trwałości przed powierzchownych wysiłków dochodzeniowych.
  • Odnajdywanie (TA0007): odnajdywanie informacji o systemie (T1082) w celu zrozumienia możliwości badania i uniknięcia mechanizmów wykrywania.

IR-4.1: Implementowanie kompleksowej zbierania i analizy dzienników

Badanie zdarzeń kończy się niepowodzeniem bez kompleksowego rejestrowania zdarzeń uwierzytelniania, ruchu sieciowego, zmian konfiguracji i działań aplikacji, które ujawniają metody atakujące i zakres naruszenia zabezpieczeń infrastruktury. Scentralizowana analiza dzienników za pośrednictwem usług Azure Monitor i Microsoft Sentinel przekształca rozproszone rejestrowanie w ujednoliconą funkcję badania, umożliwiając wykonywanie zapytań w wielu źródłach dzienników w celu konstruowania pełnych osi czasu ataków. Zaawansowane możliwości zapytań i analiza korelacji identyfikują wzorce niewidoczne w poszczególnych źródłach dzienników, ujawniając zaawansowane ataki, które unikają wykrywania pojedynczego źródła.

Włącz kompleksowe badanie śledcze za pomocą scentralizowanego rejestrowania:

Zaimplementuj kompleksowe zbieranie dzienników w usługach i obciążeniach platformy Azure za pomocą scentralizowanej analizy za pośrednictwem usług Azure Monitor, Microsoft Sentinel i Azure Log Analytics w celu efektywnego badania i śledczego.

Strategia zbierania dzienników platformy Azure:

  • Dzienniki inspekcji i logowania identyfikatora Entra firmy Microsoft: Ukończ rejestrowanie uwierzytelniania i autoryzacji przy użyciu analizy ryzyka, oceny zasad dostępu warunkowego i śledzenia operacji uprzywilejowanych
  • Dzienniki aktywności platformy Azure: Kompleksowe operacje płaszczyzny sterowania, w tym modyfikacje zasobów, zmiany zasad i działania administracyjne we wszystkich usługach platformy Azure (dziennik aktywności platformy Azure).
  • Dzienniki przepływu sieciowej grupy zabezpieczeń: Analiza ruchu sieciowego z mapowaniem źródła/miejsca docelowego, analizą protokołu i identyfikacją wzorca połączenia na potrzeby wykrywania ruchu bocznego (dzienniki przepływu sieciowej grupy zabezpieczeń).
  • Wdrażanie agenta usługi Azure Monitor: Systematyczne wdrażanie agenta usługi Azure Monitor na wszystkich maszynach wirtualnych i zestawach skalowania maszyn wirtualnych na potrzeby kompleksowego rejestrowania na poziomie systemu
  • Dzienniki aplikacji i usługi: Niestandardowe rejestrowanie aplikacji z formatami ustrukturyzowanymi, identyfikatorami korelacji i kategoryzacji zdarzeń zabezpieczeń na potrzeby badania logiki biznesowej
  • Integracja danych XDR w usłudze Microsoft Defender: Automatyczne zbieranie punktów końcowych, tożsamości, poczty e-mail i sygnałów aplikacji w chmurze ze środowiska platformy Microsoft 365 w celu uzyskania ujednoliconej korelacji zagrożeń

Możliwości badania usługi Microsoft Sentinel:

  • Analiza zachowania jednostek: Analiza sztucznej inteligencji dotycząca zachowania użytkowników i jednostek przy użyciu wykrywania anomalii i oceniania ryzyka na potrzeby priorytetyzacji badania
  • Wykres badania: Interfejs badania wizualnego przedstawiający relacje jednostek, osie czasu ataków i korelację dowodów na potrzeby kompleksowej analizy zdarzeń
  • Skoroszyty wyszukiwania zagrożeń: Wstępnie utworzone skoroszyty do systematycznego wyszukiwania zagrożeń za pomocą zapytań KQL, wizualizacji i przepływów pracy badania
  • Mapowanie struktury MITRE ATT&CK: Automatyczne mapowanie wykrytych działań na techniki MITRE ATT&CK na potrzeby rozpoznawania wzorców ataków i analizy luk w zabezpieczeniach
  • Badanie między obszarami roboczymi: Możliwości badania w wielu obszarach roboczych usługi Log Analytics dla środowisk przedsiębiorstwa na dużą skalę

IR-4.2: Ustanawianie możliwości zachowania dowodów i śledczego

Opóźnienia zbierania dowodów i niewłaściwa obsługa naruszenia integralności kryminalistycznej, co sprawia, że ustalenia dochodzenia są niedopuszczalne w postępowaniu sądowym, umożliwiając atakującym pokrycie śladów poprzez zniszczenie dowodów. Automatyczne zachowywanie dowodów przy użyciu migawek maszyn wirtualnych, kopii zapasowych dysków i zrzutów pamięci przechwytuje stan systemu natychmiast po wykryciu incydentu przed wystąpieniem naruszenia. Niezmienny magazyn z zasadami archiwizacji ze względów prawnych zapewnia integralność dowodów w trakcie dochodzenia i potencjalnego postępowania prawnego, utrzymując łańcuch nadzoru wymagany do zapewnienia zgodności z przepisami i ścigania.

Zachowaj dowody kryminalistyczne za pomocą zautomatyzowanej kolekcji:

Zaimplementuj systematyczne zachowywanie dowodów przy użyciu migawek maszyn wirtualnych platformy Azure, usługi Azure Disk Backup, zbierania zrzutów pamięci i niezmiennego magazynu w celu zapewnienia integralności śledczej i obsługi postępowania sądowego.

Automatyzacja zbierania dowodów:

  • Automatyzacja migawek maszyn wirtualnych platformy Azure: Automatyzacja szablonów programu PowerShell i usługi ARM do tworzenia migawek maszyn wirtualnych do punktu w czasie podczas reagowania na zdarzenia przy użyciu zasad tagowania metadanych i przechowywania (tworzenie migawki).
  • Integracja usługi Azure Disk Backup: Automatyczne tworzenie kopii zapasowych wyzwalanych podczas zdarzeń przy użyciu zasad archiwizacji ze względów prawnych i długoterminowego przechowywania w magazynach usługi Azure Backup (omówienie usługi Azure Backup).
  • Kolekcja zrzutów pamięci: Systematyczne zbieranie zrzutów pamięci przy użyciu rozszerzeń platformy Azure i komunikacji zdalnej programu PowerShell w celu zachowania nietrwałych dowodów
  • Eksportowanie i zachowywanie dziennika: Automatyczny eksport dzienników usługi Azure Monitor, dzienników identyfikatorów entra firmy Microsoft i dzienników zdarzeń zabezpieczeń do niezmiennej usługi Azure Storage z zasadami archiwizacji ze względów prawnych (niezmienny magazyn dla obiektów blob).
  • Przechwytywanie pakietów sieciowych: Automatyzacja przechwytywania pakietów usługi Azure Network Watcher wyzwalana przez zdarzenia zabezpieczeń na potrzeby analizy śledczej sieci (przechwytywanie pakietów).

Integracja narzędzi do analizy śledczej:

  • Integracja z usługą Microsoft Defender for Cloud: Automatyczne zbieranie dowodów wyzwalanych przez alerty o wysokiej ważności z korelacją z osiami czasu badania
  • Obsługa narzędzi kryminalistycznych innych firm: Integracja z narzędziami kryminalistycznymi innych firm za pośrednictwem instalowania i bezpiecznego transferu dowodów w usłudze Azure Storage
  • Łańcuch procedur nadzoru: Zautomatyzowany łańcuch dokumentacji nadzoru z użyciem skrótów kryptograficznych, podpisów cyfrowych i rejestrowania dostępu w celu uzyskania wymagań dotyczących dowodów prawnych
  • Zasady przechowywania dowodów: Automatyczne wymuszanie zasad przechowywania z wymaganiami dotyczącymi zgodności dla różnych typów zdarzeń i struktur regulacyjnych
  • Replikacja dowodów między regionami: Replikacja dowodów geograficznych na potrzeby odzyskiwania po awarii i wymagań jurysdykcji przy użyciu szyfrowania i kontroli dostępu

Przykład implementacji

Organizacja usług finansowych wdrożyła kompleksowe możliwości badania zdarzeń w celu wspierania wymagań regulacyjnych SEC i ochrony przed zaawansowanymi atakami dotyczącymi oszustw finansowych, zapewniając pełne zbieranie dowodów kryminalistycznych i możliwości analizy.

Wyzwanie: Organizacja usług finansowych nie ma kompleksowych możliwości kryminalistycznych do badania zaawansowanych ataków finansowych, a ręczne procesy zbierania dowodów stwarzają ryzyko utraty dowodów i niezdolności do spełnienia terminów dochodzenia SEC wymagających pełnej dokumentacji zakresu ataków.

Podejście do rozwiązania:

  • Wdrożono usługę Microsoft Defender dla punktu końcowego na wszystkich maszynach wirtualnych z funkcjami monitorowania zachowania i analizy skryptów wykrywających złośliwe działania programu PowerShell, iniekcji procesów i kradzieży poświadczeń
  • Skonfigurowano usługę Microsoft Sentinel z analizą zachowań jednostek wykrywającą nietypowe wzorce handlowe, nieautoryzowany dostęp do systemu i podejrzane transakcje finansowe
  • Zaimplementowano zautomatyzowane procedury migawek maszyn wirtualnych wyzwalane przez krytyczne alerty zabezpieczeń przechwytujące pełny stan systemu w ciągu 5 minut na potrzeby zachowania śledczego
  • Ustanowiono niezmienną usługę Azure Storage z zasadami archiwizacji ze względów prawnych zapewniających integralność dowodów dla wymagań dochodzeniowych SEC i pomocy technicznej dotyczącej sporów sądowych
  • Utworzono zaawansowane zapytania wyszukiwania zagrożeń w usłudze Microsoft Defender dla wzorców oszustw finansowych, w tym aktywności po godzinach handlu, nietypowych wzorców dostępu do danych i nieprawidłowego użycia konta uprzywilejowanego w punktach końcowych, tożsamościach i aplikacjach w chmurze
  • Wdrożono usługę Azure Network Watcher z automatycznym przechwytywaniem pakietów w przypadku podejrzanych zdarzeń handlowych poufnych zapewniających pełne możliwości śledcze sieci

Wynik: Osiągnięto kompleksowe możliwości badania kryminalistycznego z automatycznym zachowywaniem dowodów zapewniającym zgodność sec. Znacznie skrócony czas badania dzięki zaawansowanym zapytaniom wyszukiwania zagrożeń i analizie zachowań jednostek, co umożliwia szybką identyfikację zakresu ataków i kompletną dokumentację łańcucha dowodów.

Poziom krytyczny

Musi mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: IR-4, IR-4(1), IR-4(4), AU-6, AU-6(1), AU-6(3), AU-7
  • PCI-DSS 4: 10.6.1, 10.6.2, 10.6.3, 12.10.4, 12.10.5
  • Kontrolki CIS w wersji 8.1: 8.2 , 8.5, 8.11, 13.2, 17.4
  • NIST CSF v2.0: DE. AE-2, DE. AE-3, RS. AN-1, RS. AN-2, RS. AN-3
  • ISO 27001:2022: A.5.24, A.5.25, A.5.28, A.8.16
  • SOC 2: CC7.2, CC7.4, A1.2

IR-5: Wykrywanie i analiza — określanie priorytetów zdarzeń

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: IR-5.

Zasada zabezpieczeń

Zaimplementuj systematyczne określanie priorytetów zdarzeń na podstawie krytycznego znaczenia zasobów, wpływu na działalność biznesową, ważności zagrożeń i wymagań prawnych przy użyciu zautomatyzowanego oceniania i klasyfikacji, aby zapewnić odpowiednią alokację zasobów i czas odpowiedzi.

Ryzyko w celu ograniczenia ryzyka

Słaba priorytetyzacja zdarzeń prowadzi do nieprawidłowego przydzielenia zasobów zabezpieczeń, opóźnionej reakcji na krytyczne zagrożenia i zwiększonego wpływu biznesowego na zdarzenia zabezpieczeń. Bez systematycznej priorytetyzacji:

  • Opóźniona krytyczna odpowiedź na zagrożenia: Zdarzenia o dużym wpływie otrzymują niewystarczającą uwagę, podczas gdy zasoby koncentrują się na zdarzeniach o niższym priorytecie.
  • Wyczerpanie zasobów dla zdarzeń o niskim priorytcie: Zespoły badają drobne zdarzenia, podczas gdy zaawansowane ataki postępują w systemach o wysokiej wartości.
  • Wzmocnienie wpływu na działalność biznesową: Brak świadomości krytycznej pod względem zasobów powoduje wydłużenie przestoju dla systemów generowania przychodów przy jednoczesnym skoncentrowaniu się na niekrytycznych problemach z infrastrukturą.
  • Eskalacja naruszenia przepisów: Incydenty obejmujące dane osobowe (PII), chronione informacje o zdrowiu (PHI) lub dane finansowe otrzymują nieodpowiednie priorytetyzację, co prowadzi do nieodebranych terminów powiadomień i naruszeń zgodności.
  • Nieskuteczna komunikacja uczestników projektu: Brak jasnych kryteriów priorytetyzacji uniemożliwia odpowiednie powiadomienie wykonawcze i alokację zasobów dla zdarzeń wymagających zaangażowania kierownictwa wyższego szczebla.
  • Progresja ataku podczas błędnego zapisywania: Zaawansowani atakujący wykorzystują luki priorytetyzacji w celu przeprowadzenia eksfiltracji danych i przenoszenia danych, podczas gdy zespoły ds. zabezpieczeń koncentrują się na taktykach przekierowania lub zdarzeniach o niższym priorycie.

Nieodpowiednia priorytetyzacja uniemożliwia odpowiednią alokację zasobów i czas odpowiedzi na podstawie ryzyka biznesowego.

MITRE ATT&CK

  • Uchylanie się od obrony (TA0005): maskowanie (T1036) tworzenie wielu alertów o niskim priorytekcie w celu przeciążenia zespołów ds. zabezpieczeń podczas prowadzenia działań o wysokim znaczeniu w systemach o krytycznym znaczeniu dla działania firmy.
  • Wpływ (TA0040): dane szyfrowane pod kątem wpływu (T1486) przeznaczone dla systemów o wysokiej wartości, podczas gdy zespoły ds. zabezpieczeń są rozpraszane przez incydenty o niższym priorytecie.
  • Ruch poprzeczny (TA0008): usługi zdalne (T1021) postępują przez sieci o wysokiej wartości, a luki priorytetyzacji uniemożliwiają odpowiednie skupienie się na krytycznym naruszeniu zasobów.

IR-5.1: Implementowanie oceny krytycznych zasobów i wpływu na działalność biznesową

Priorytetyzacja incydentów bez kontekstu biznesowego traktuje wszystkie zdarzenia zabezpieczeń w równym stopniu, przytłaczające zespoły reagowania z alertami, podczas gdy krytyczne zdarzenia wpływające na działalność biznesową otrzymują niewystarczającą uwagę ze względu na nieodróżniające się znaczenie. Klasyfikacja zasobów oparta na krytycznym znaczeniu biznesowym, zależnościach przychodów i zakresie regulacyjnym umożliwia priorytetyzację opartą na ryzyku, która koncentruje się na ograniczonych zasobach reagowania na zdarzenia wpływające na systemy krytyczne dla organizacji. Automatyczne ocenianie wpływu na działalność biznesową przekształca subiektywną priorytetyzacja w podejmowanie decyzji opartych na danych, zapewniając, że zdarzenia zagrażające szkodom finansowym, operacyjnym lub reputacji otrzymują natychmiastową eskalację.

Włącz priorytetyzację incydentów opartych na ryzyku za pomocą analizy wpływu na działalność biznesową:

Zaimplementuj kompleksową klasyfikację zasobów i ocenę wpływu na działalność biznesową przy użyciu tagów zasobów platformy Azure, spisu zasobów usługi Microsoft Defender dla chmury i oceniania wpływu biznesowego na priorytetyzację zdarzeń opartych na ryzyku.

Klasyfikacja i tagowanie zasobów:

  • Tagowanie zasobów opartych na krytycznym znaczeniu: Systematyczne tagowanie zasobów platformy Azure z poziomami krytycznymi (Krytyczne, Wysokie, Średnie, Niskie) na podstawie oceny wpływu na działalność biznesową i zależności przychodu
  • Integracja klasyfikacji danych: Integracja z klasyfikacją danych usługi Microsoft Purview w celu automatycznej priorytetyzacji zdarzeń obejmujących kategorie danych poufnych
  • Mapowanie funkcji biznesowych: Tagowanie zasobów przy użyciu skojarzeń funkcji biznesowych, które umożliwiają szybką ocenę wpływu na zdarzenia wpływające na określone możliwości biznesowe
  • Identyfikacja zakresu regulacyjnego: Oznaczanie zasobów podlegających określonym wymaganiom prawnym (PCI-DSS, HIPAA, SOX) w celu uzyskania odpowiednich procedur eskalacji i powiadamiania o zdarzeniach
  • Informacje o właścicielach i kontaktach: Tagowanie zasobów przy użyciu kontaktów właściciela firmy i informacji o pomocy technicznej na potrzeby szybkiego powiadamiania uczestników projektu podczas incydentów

Integracja z usługą Microsoft Defender for Cloud:

  • Spis zasobów i ocena ryzyka: Kompleksowy spis zasobów z oceną stanu zabezpieczeń i oceną luk w zabezpieczeniach na potrzeby priorytetyzacji opartej na ryzyku
  • Korelacja wpływu na działalność biznesową: Korelacja alertów zabezpieczeń z tagami krytycznymi zasobów na potrzeby automatycznego dostosowywania ważności zdarzenia i oceniania priorytetów
  • Mapowanie zgodności z przepisami: Integracja z ocenami zgodności na potrzeby automatycznej eskalacji zdarzeń wpływających na zasoby regulowane przez zgodność
  • Analiza powierzchni ataków: Widoczność obszaru podatnego na ataki z priorytetyzacji zdarzeń obejmujących zasoby uwidocznione przez Internet lub zasoby o wysokich uprawnieniach
  • Priorytetyzacja zaleceń dotyczących zabezpieczeń: Priorytetyzacja zaleceń dotyczących zabezpieczeń oparta na ryzyku z uwzględnieniem wpływu na działalność biznesową i wskazówki dotyczące osi czasu korygowania

IR-5.2: Konfigurowanie automatycznego oceniania i eskalacji ważności

Klasyfikacje ważności zdarzeń statycznych ignorują kontekst biznesowy i czynniki środowiskowe, co powoduje, że krytyczne zdarzenia wpływające na działalność biznesową otrzymują niewystarczającą uwagę, podczas gdy alerty o niskim wpływie zużywają nieproporcjonalne zasoby odpowiedzi. Automatyczne ocenianie ważności uwzględnia krytyczne znaczenie zasobów, zakres regulacyjny, populacje użytkowników, których dotyczy problem, oraz wskaźniki zagrożeń, aby obliczyć dynamiczne oceny priorytetów odzwierciedlające rzeczywiste ryzyko biznesowe, a nie ogólne kategorie alertów. Eskalacja oparta na czasie zapewnia automatyczne wyzwolenie lub nierozwiązane krytyczne zdarzenia, co uniemożliwia zatrzymanie zdarzeń krytycznych w kolejkach, a analitycy obsługują rutynowe przypadki.

Oblicz priorytet zdarzenia opartego na ryzyku za pomocą zautomatyzowanego oceniania:

Zaimplementuj automatyczne ocenianie ważności usługi Microsoft Sentinel przy użyciu niestandardowych reguł analizy i przepływów pracy eskalacji na potrzeby odpowiedniej priorytetyzacji i alokacji zasobów na podstawie wielu czynników ryzyka.

Automatyczne ocenianie ważności:

  • Ocenianie ryzyka wieloskładnikowego: Kompleksowy algorytm oceniania uwzględniający krytyczne znaczenie zasobów, czułość danych, pewność analizy zagrożeń i potencjalny wpływ na działalność biznesową
  • Ocenianie ryzyka jednostki usługi Microsoft Sentinel: Ocenianie ryzyka jednostki opartej na sztucznej inteligencji dla użytkowników, urządzeń i adresów IP przy użyciu analizy zachowania historycznego i wykrywania anomalii
  • Integracja analizy zagrożeń: Automatyczne dostosowanie ważności na podstawie źródeł danych analizy zagrożeń, znanej infrastruktury atakującej i przypisywania kampanii
  • Ocena wpływu zgodności: Automatyczna eskalacja ważności dla zdarzeń obejmujących dane chronione przez przepisy z odpowiednimi przepływami pracy powiadomień
  • Reguły eskalacji oparte na czasie: Zautomatyzowane procedury eskalacji dla niezaznaczonych zdarzeń z progami czasu odpowiadającymi ważnościom i powiadomieniem uczestników projektu

Przepływy pracy eskalacji i powiadomień:

  • Wyzwalacze powiadomień kadry kierowniczej: Automatyczne powiadomienie wykonawcze dotyczące krytycznych zdarzeń obejmujących systemy krytyczne dla działania firmy lub potencjalne naruszenia przepisów
  • Integracja zespołu prawnego: Automatyczne powiadomienie zespołu prawnego dotyczące zdarzeń dotyczących naruszeń danych, własności intelektualnej lub problemów ze zgodnością z przepisami

Przykład implementacji

Organizacja wdrożyła kompleksową priorytetyzację zdarzeń w celu ochrony poufnych danych i zapewnienia ciągłości działania, umożliwiając odpowiednią alokację zasobów na podstawie wpływu na działalność biznesową i wymagań prawnych.

Wyzwanie: Organizacja zmagała się z odpowiednią alokacją zasobów podczas równoczesnych zdarzeń zabezpieczeń, przy ręcznych procesach priorytetyzacji powodujących opóźnioną reakcję na krytyczne zdarzenia systemu biznesowego i niespójną eskalację do kadry kierowniczej w przypadku zdarzeń o dużym wpływie.

Podejście do rozwiązania:

  • Zaimplementowano strategię tagowania zasobów platformy Azure klasyfikując wszystkie zasoby według krytycznej kondycji biznesowej z krytycznymi systemami biznesowymi oznaczonymi jako "Krytyczne" i inne niż podstawowe systemy jako "Niskie"
  • Skonfigurowano usługę Microsoft Sentinel przy użyciu niestandardowych algorytmów oceniania ważenia zakresu regulacyjnego, wpływu biznesowego i poufności danych na potrzeby priorytetyzacji incydentów
  • Wdrożone zautomatyzowane przepływy pracy eskalacji natychmiast powiadamiające kierownictwo i zespoły prawne o zdarzeniach obejmujących dane regulowane lub krytyczne systemy biznesowe
  • Utworzono automatyzację oceny wpływu biznesowego , obliczając potencjalny wpływ biznesowy na podstawie systemów dotkniętych i historycznych danych operacyjnych
  • Ustanowiono procedury eskalacji oparte na czasie z 15-minutowym powiadomieniem wykonawczym dotyczącym krytycznych zdarzeń i 4-godzinną eskalacją dla niezaznaczonych zdarzeń o wysokim priorytecie
  • Zintegrowane alerty ochrony przed utratą danych usługi Microsoft Purview z priorytetyzacji incydentów zapewniające automatyczną eskalację zdarzeń obejmujących dane poufne

Wynik: Ulepszona alokacja zasobów reagowania na zdarzenia dzięki automatycznej priorytetyzacji zapewniającej natychmiastowe odebranie krytycznych zdarzeń. Znacznie skrócił czas powiadamiania kierownictwa o krytycznym zdarzeniu, eliminując niepotrzebne eskalacje zdarzeń o niskim priorytecie.

Poziom krytyczny

Powinien mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: IR-4(2), IR-4(4), IR-5, RA-2, RA-3
  • PCI-DSS 4: 12.5.1, 12.10.5
  • Kontrolki CIS w wersji 8.1: 1.1 , 1.2, 17.4, 17.5
  • NIST CSF v2.0: DE. AE-1, RS. AN-1, RS. AN-5
  • ISO 27001:2022: A.5.24, A.5.27, A.8.8
  • SOC 2: CC7.3, A1.1

IR-6: Ograniczanie, eliminowanie i odzyskiwanie — automatyzowanie obsługi zdarzeń

Zasada zabezpieczeń

Zaimplementuj kompleksową automatyzację reagowania na zdarzenia za pomocą podręczników usługi Microsoft Sentinel, usług Logic Apps i Power Automate, aby umożliwić szybkie zawieranie, spójne procedury reagowania i skalowalną obsługę zdarzeń, która odpowiada szybkości automatycznych ataków.

Ryzyko w celu ograniczenia ryzyka

Ręczne procesy reagowania na zdarzenia tworzą niebezpieczne opóźnienia, które umożliwiają osobom atakującym maksymalne uszkodzenie, ustanowienie trwałego dostępu i ukończenie celów, podczas gdy zespoły ds. zabezpieczeń zmagają się z czasochłonnymi procedurami ręcznymi. Bez automatyzacji:

  • Czasy odpowiedzi rozszerzonej: Ręczne zawieranie trwa kilka godzin lub dni, podczas gdy automatyczne ataki zakończą cele w ciągu kilku minut.
  • Błąd człowieka pod presją: Procedury ręczne powodują błędy, w tym niekompletne powstrzymanie, zniszczenie dowodów i nieprawidłowe odzyskiwanie.
  • Niespójna reakcja między zdarzeniami: Procesy ręczne prowadzą do zmian jakości odpowiedzi, nieodebranych kroków i niekompletnego korygowania w zależności od doświadczenia analityka i dostępności podczas zdarzeń.
  • Wypalenie analityka i wyczerpanie zasobów: Powtarzające się zadania ręczne podczas reagowania na zdarzenia zużywają czas analityka i energię, zmniejszając pojemność złożonych działań związanych z badaniem i strategicznymi działaniami w zakresie wyszukiwania zagrożeń.
  • Ograniczenia skalowalności podczas powszechnych zdarzeń: Organizacje nie mogą skutecznie reagować na wiele jednoczesnych zdarzeń ani ataków na dużą skalę podczas polegania na procedurach ręcznych wymagających uwagi poszczególnych analityków.
  • Opóźnione powstrzymanie zezwalające na wzmocnienie uszkodzeń: Ręczne procedury izolacji trwa zbyt długo, aby zapobiec ruchowi bocznemu, eksfiltracji danych i naruszeniu bezpieczeństwa systemu w szybkich atakach, takich jak oprogramowanie wymuszające okup.

Odpowiedź ręczna nie może być zgodna z szybkością i skalowaniem zautomatyzowanego ataku.

MITRE ATT&CK

  • Ruch poprzeczny (TA0008): wykorzystanie usług zdalnych (T1210) postępuje szybko za pośrednictwem sieci, podczas gdy procedury ręcznej zawierania opóźnia się w związku z postępem ataku.
  • Wpływ (TA0040): dane zaszyfrowane pod kątem wpływu (T1486) wdrażając oprogramowanie wymuszające okup w wielu systemach, podczas gdy ręczne wysiłki izolacji nie mogą być skalowane w celu dopasowania do szybkości ataku.
  • Eksfiltracja (TA0010): automatyczna eksfiltracja (T1020) kończenie operacji kradzieży danych podczas rozszerzonych ręcznych czasów odpowiedzi.

IR-6.1: Wdrażanie podręczników zautomatyzowanej odpowiedzi usługi Microsoft Sentinel

Ręczne akcje reagowania na zdarzenia wprowadzają krytyczne opóźnienia, które umożliwiają przeciwnikom postępy w łańcuchach ataków, podczas gdy analitycy wykonują procedury zawierające procedury, z ograniczoną przez człowieka szybkością reagowania, umożliwiając atakującym osiągnięcie celów przed skutecznym wdrożeniem środków zaradczych. Zautomatyzowane podręczniki wykonują akcje zawierania, badania i odzyskiwania z szybkością maszyny — izolowanie naruszonych systemów, wyłączanie kont z naruszeniem i blokowanie złośliwej infrastruktury w ciągu kilku sekund, a nie godzin odpowiedzi opartej na człowieku. Ustandaryzowane zautomatyzowane procedury zapewniają spójną jakość odpowiedzi niezależnie od poziomu doświadczenia analityka lub woluminu zdarzeń, eliminując zmienność powodującą pominięte kroki powstrzymywania podczas reagowania na zdarzenia wysokiego ciśnienia.

Wykonaj spójną szybką reakcję dzięki automatyzacji:

Zaimplementuj podręczniki usługi Microsoft Sentinel z integracją usługi Azure Logic Apps , aby zautomatyzować typowe akcje reagowania na zdarzenia, w tym zawieranie, badanie i odzyskiwanie. Podręczniki zapewniają spójną, szybką reakcję na dużą skalę.

Podstawowe kategorie podręczników:

  • Podręczniki odpowiedzi na konto użytkownika: Automatyczne wyłączanie konta użytkownika, resetowanie hasła, kończenie sesji i odwoływanie uprawnień z przepływami pracy zatwierdzania w celu zapobiegania fałszywie dodatnim
  • Podręczniki izolacji urządzeń: Automatyczna izolacja maszyny wirtualnej za pośrednictwem modyfikacji sieciowej grupy zabezpieczeń, wdrożenia reguły usługi Azure Firewall i segmentacji sieci wirtualnej
  • Podręczniki odpowiedzi na złośliwe oprogramowanie: Automatyczna kwarantanna plików, blokowanie skrótów w usłudze Azure Defender i wdrażanie podpisów w usłudze Windows Defender w całej organizacji
  • Podręczniki ochrony danych: Automatyczne przeglądanie klasyfikacji danych, odwoływanie dostępu i rotacja kluczy szyfrowania dla zdarzeń obejmujących ujawnienie danych
  • Podręczniki komunikacji i powiadomień: Zautomatyzowane powiadomienia uczestników projektu, komunikacja z klientami i raportowanie regulacyjne przy użyciu szablonowych przepływów pracy obsługi komunikatów i zatwierdzania

Możliwości integracji:

  • Integracja identyfikatora Entra firmy Microsoft: Zautomatyzowane zarządzanie kontami użytkowników, modyfikowanie zasad dostępu warunkowego i akcje zarządzania tożsamościami uprzywilejowanym za pośrednictwem interfejsu API programu Microsoft Graph
  • Integracja z usługą Microsoft Defender: Zautomatyzowane wyszukiwanie zagrożeń, wskaźnik blokowania naruszenia (IoC) i implementacja zaleceń dotyczących zabezpieczeń na platformach Defender
  • Zarządzanie zasobami platformy Azure: Automatyczna izolacja zasobów, zmiany konfiguracji i wyzwalanie kopii zapasowej za pośrednictwem interfejsów API usługi Azure Resource Manager
  • Integracja SOAR innej firmy: Integracja z usługami ServiceNow, Phantom i innymi platformami orkiestracji zabezpieczeń, automatyzacji i odpowiedzi za pośrednictwem interfejsów API REST
  • Zatwierdzenie i walidacja ludzka: Konfigurowalne przepływy pracy zatwierdzania dla akcji automatycznych o dużym wpływie z procedurami przekroczenia limitu czasu i mechanizmami eskalacji

IR-6.2: Implementowanie zautomatyzowanych procedur powstrzymywania i izolacji

Opóźnienia ograniczania umożliwiają przeciwnikom ustanawianie mechanizmów trwałości, eksfiltracji danych lub wdrażanie oprogramowania wymuszającego okup, podczas gdy ręczne procedury izolacji postępują przez łańcuchy zatwierdzania i zmiany konfiguracji, a postęp ataków często przewyższa możliwości ludzkiej reakcji. Automatyczne ograniczanie przez izolację sieci, wyłączanie konta i kwarantannę systemu są wykonywane w ciągu kilku sekund od wykrycia, przerywając łańcuchy ataków przed osiągnięciem celów przez osoby atakujące. Wstępnie autoryzowana automatyzacja zawierania usuwa wąskie gardła decyzji człowieka w krytycznych oknach odpowiedzi, gdy minuty opóźnienia określają różnicę wyniku zdarzenia między zawartymi włamaniami a pomyślnym naruszeniem danych.

Zapobiegaj postępowi ataków dzięki natychmiastowemu automatycznemu powstrzymywaniu:

Wdróż automatyczną izolację sieci, wyłączanie konta i kwarantannę systemu przy użyciu usługi Azure Automation (elementy Runbook: omówienie usługi Azure Automation), Azure Policy (omówienie usługi Azure Policy) i microsoft Defender w celu szybkiego powstrzymania postępu ataków.

Automatyzacja izolacji sieci:

  • Automatyzacja sieciowej grupy zabezpieczeń platformy Azure: Automatyczne modyfikowanie reguł sieciowej grupy zabezpieczeń w celu odizolowania zagrożonych maszyn wirtualnych przy jednoczesnym zachowaniu dostępu do badania (Zarządzanie sieciowymi grupami zabezpieczeń).
  • Wdrażanie reguły usługi Azure Firewall: Szybkie wdrażanie reguł usługi Azure Firewall blokujących złośliwe adresy IP, domeny i wzorce komunikacji identyfikowane podczas zdarzeń przy użyciu usługi Azure Firewall.
  • Izolacja sieci wirtualnej: Automatyczna segmentacja sieci wirtualnej i izolacja podsieci, aby zapobiec ruchowi bocznemu podczas aktywnych zdarzeń
  • Aktualizacje modułu równoważenia obciążenia i usługi Traffic Manager: Automatyczne usuwanie naruszonych zasobów z pul modułu równoważenia obciążenia i routingu ruchu, aby zapobiec wpływowi klientów
  • Izolacja usługi ExpressRoute i sieci VPN: Automatyczne modyfikowanie zasad routingu w celu odizolowania naruszonych segmentów sieci od środowisk lokalnych

Automatyzacja kontroli dostępu i kont:

  • Dostęp warunkowy firmy Microsoft Entra: Wdrożenie zasad automatycznego dostępu warunkowego blokuje dostęp z kont, urządzeń lub lokalizacji z naruszonymi zabezpieczeniami (omówienie dostępu warunkowego).
  • Privileged Identity Management: Automatyczne odwoływanie uprzywilejowanych przypisań dostępu i dostępu just in time dla kont z naruszonymi uprawnieniami (omówienie usługi PIM).

Przykład implementacji

Organizacja wdrożyła kompleksową automatyzację reagowania na zdarzenia, aby skrócić czas odpowiedzi od godzin do minut przy zachowaniu zgodności z przepisami.

Wyzwanie: Organizacja doświadczyła opóźnionego reagowania na zdarzenia z ręcznymi procesami powstrzymywania, które zajmują wiele godzin, umożliwiając osobie atakującej przenoszenie boczne, z niespójnymi procedurami reagowania, tworząc luki w dokumentacji zgodności z przepisami i śladami inspekcji.

Podejście do rozwiązania:

  • Wdrożone podręczniki usługi Microsoft Sentinel na potrzeby automatycznego zawieszenia konta użytkownika i izolacji urządzeń wyzwalanych przez alerty zabezpieczeń o wysokiej pewności
  • Zaimplementowano elementy Runbook usługi Azure Automation na potrzeby szybkiej izolacji maszyn wirtualnych zachowujących dowody kryminalistyczne, jednocześnie uniemożliwiając przenoszenie boczne do krytycznych systemów
  • Utworzono przepływy pracy usługi Logic Apps na potrzeby zautomatyzowanego powiadamiania uczestników projektu, w tym zespołów prawnych, funkcjonariuszy ds. zgodności i kadry kierowniczej z procedurami eskalacji odpowiednich dla ważności
  • Skonfigurowano usługę Azure Policy na potrzeby zautomatyzowanego korygowania zgodności, zapewniając izolowane systemy zachowują konfiguracje zabezpieczeń podczas procedur reagowania na zdarzenia
  • Ustanowione przepływy pracy zatwierdzania dla akcji automatyzacji o dużym wpływie z wymaganiami autoryzacji dwuosobowej dla akcji wpływających na systemy produkcyjne
  • Zintegrowany przepływ pracy z zautomatyzowanymi procedurami tworzenia, przypisywania i eskalacji biletów, zapewniając kompleksową dokumentację zdarzeń i ślady inspekcji

Wynik: Znacznie skrócony czas reagowania na zdarzenia z automatycznym powstrzymywaniem zgodnym z szybkością automatycznych ataków. Zautomatyzowane podręczniki zapewniły spójne procedury reagowania z kompletnymi śladami inspekcji obsługującymi zgodność z przepisami, podczas gdy dwuosobowe systemy produkcyjne chronione autoryzacją przed błędami automatyzacji.

Poziom krytyczny

Powinien mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: IR-4(1), IR-4(4), IR-5(1), IR-8
  • PCI-DSS 4: 12.10.4, 12.10.6
  • Kontrolki CIS w wersji 8.1: 17.4, 17.6, 17.7
  • NIST CSF v2.0: RS. RP-1, RS. MI-1, RS. MI-2, RS. MI-3
  • ISO 27001:2022: A.5.24, A.5.25, A.5.26
  • SOC 2: CC7.3, CC7.4, CC9.1

IR-7: Aktywność po incydencie — wyciąganie wniosków i zachowywanie dowodów

Zasada zabezpieczeń

Ustanów systematyczne działania po zdarzeniu, w tym kompleksowe wyciągnięte procesy, przechowywanie dowodów z niezmiennym magazynem i ciągłe ulepszanie możliwości reagowania na zdarzenia w oparciu o rzeczywiste środowisko zdarzeń i zmieniający się krajobraz zagrożeń.

Ryzyko w celu ograniczenia ryzyka

Brak systematycznego wykonywania działań po zdarzeniu stwarza nieodebrane możliwości uczenia się organizacji, naruszeń zgodności z przepisami i powtarzających się zdarzeń zabezpieczeń, których można zapobiec dzięki odpowiednim procesom wyciągniętym z lekcji. Bez kompleksowych procedur po zdarzeniu:

  • Zdarzenia cykliczne: Brak identyfikowania i korygowania podstawowych luk prowadzi do powtarzających się ataków przez te same luki w zabezpieczeniach.
  • Zniszczenie dowodów: Brak przechowywania niszczy dowody kryminalistyczne potrzebne do działania prawnego, roszczeń ubezpieczeniowych i zgodności z przepisami.
  • Nieodebrane zobowiązania dotyczące zgodności z przepisami: Branże z wymaganiami dotyczącymi przechowywania dowodów (HIPAA, SOX, PCI-DSS, RODO) stoją w obliczu znacznych kar, gdy dowody nie są prawidłowo zachowywane dla terminów upoważnionych.
  • Nieskuteczne ulepszenia kontroli zabezpieczeń: Brak systematycznych lekcji poznanych procesów zapobiega identyfikacji luk w zabezpieczeniach, co prowadzi do dalszego narażenia na podobne ataki i luki w zabezpieczeniach.
  • Możliwości reagowania na zdarzenia o obniżonej wydajności: Zespoły nie mogą poprawić procedur odpowiedzi, narzędzi i szkoleń w oparciu o rzeczywiste środowisko zdarzenia, co skutkuje powtarzającymi się nieefektywnościami i opóźnieniami reakcji.
  • Utrata wiedzy organizacyjnej: Poszczególne środowiska zdarzeń nie są przechwytywane i udostępniane w całej organizacji, uniemożliwiając uczenie się organizacji i opracowywanie możliwości.

Błędy po zdarzeniu uniemożliwiają adaptację organizacji i zapewniają ciągłą lukę w zabezpieczeniach w celu zapobiegania atakom.

MITRE ATT&CK

  • Trwałość (TA0003): manipulowanie kontami (T1098) ponowne tworzenie dostępu za pośrednictwem tych samych wektorów ataków, gdy organizacje nie mogą rozwiązywać głównych przyczyn zidentyfikowanych podczas analizy po zdarzeniu.
  • Dostęp początkowy (TA0001): wielokrotne wykorzystanie aplikacji publicznej (T1190) wielokrotnie wykorzystującej te same luki w zabezpieczeniach, gdy analiza po zdarzeniu nie może zidentyfikować i skorygować luki w zabezpieczeniach systemowych.
  • Uchylanie się od obrony (TA0005): usunięcie wskaźnika (T1070) wykorzystujące nieodpowiednie przechowywanie dowodów, aby zapobiec przypisywaniu autorstwa i przyszłemu wykrywaniu podobnych wzorców ataku.

IR-7.1: Implementowanie systematycznych lekcji poznanych procesów

Organizacje nie przechwytują lekcji wyciągniętych z zdarzeń zabezpieczeń powtarzalnych niepowodzeń, brakuje możliwości wzmocnienia obrony na podstawie rzeczywistych wzorców ataków obserwowanych podczas rzeczywistych scenariuszy naruszenia, a nie teoretycznych zagrożeń. Systematyczne przeglądy po zdarzeniu przekształcają zdarzenia zabezpieczeń w uczenie organizacyjne, które napędzają mierzalne ulepszenia zabezpieczeń dzięki ulepszeniom kontroli, udoskonaleniom procesów i aktualizacjom trenowania poinformowanym przez rzeczywiste techniki przeciwników. Analiza głównej przyczyny ze strukturą identyfikuje podstawowe słabości zabezpieczeń, a nie rozwiązywanie problemów z objawami powierzchni, zapobiegając cyklowi przez zmiany architektury, które eliminują całe klasy ataków.

Przekształcanie zdarzeń w ulepszenia zabezpieczeń poprzez systematyczne uczenie się:

Organizacje muszą ustanowić kompleksowe wnioski wyciągnięte procedury po zdarzeniach zabezpieczeń przy użyciu śledzenia zdarzeń usługi Microsoft Sentinel, zarządzania elementami roboczymi usługi Azure DevOps oraz ustrukturyzowanych procesów ulepszania wiedzy i zwiększania bezpieczeństwa.

Wyciągnięliśmy wnioski z platformy:

  • Spotkania przeglądu po zdarzeniu: Systematyczne spotkania przeglądowe w ciągu 72 godzin od zamknięcia incydentu obejmującego wszystkich uczestników projektu, w tym osoby reagujące na elementy techniczne, właścicieli firm i kierownictwo wyższego szczebla
  • Metodologia analizy głównej przyczyny: Analiza głównej przyczyny ze strukturą przy użyciu technik, takich jak pięć przyczyn, diagramy ryb i analiza osi czasu w celu zidentyfikowania podstawowych przyczyn poza bezpośrednimi objawami
  • Ocena luk w zabezpieczeniach: Kompleksowa ocena skuteczności kontroli zabezpieczeń podczas zdarzeń, w tym możliwości wykrywania, procedur reagowania i mechanizmów zapobiegania
  • Oś czasu i analiza decyzji: Szczegółowa analiza osi czasu zdarzeń, punktów decyzyjnych i skuteczności reagowania na potrzeby identyfikowania ulepszeń procesów i potrzeb szkoleniowych
  • Zbieranie opinii uczestników projektu: Systematyczne zbieranie opinii od wszystkich uczestników zdarzenia, w tym użytkowników, klientów i partnerów zewnętrznych dotkniętych incydentem

Śledzenie implementacji ulepszeń:

  • Integracja usługi Azure DevOps: Tworzenie elementów roboczych w celu zidentyfikowania ulepszeń z przypisanymi właścicielami, terminami i śledzeniem postępu za pośrednictwem usługi Azure DevOps Boards
  • Integracja planu zabezpieczeń: Integracja wniosków wyciągniętych z informacji na temat organizacyjnych planów zabezpieczeń i strategicznych procesów planowania
  • Metryki i programowanie kluczowych wskaźników wydajności: Opracowywanie kluczowych wskaźników wydajności (KPI) w oparciu o wnioski wyciągnięte w celu mierzenia skuteczności poprawy i nasycenia reagowania na zdarzenia
  • Aktualizacje szkoleń i świadomości: Systematyczne aktualizacje szkoleń dotyczących świadomości zabezpieczeń, procedur reagowania na zdarzenia i dokumentacji technicznej w oparciu o zdobyte wnioski
  • Ulepszenia ćwiczenia na tableop: Integracja lekcji poznanych scenariuszy z ćwiczeniami na tablecie i programami szkoleniowymi reagowania na zdarzenia

IR-7.2: Ustanawianie przechowywania dowodów i niezmiennego magazynu

Modyfikacja lub usunięcie dowodów po naruszeniu integralności śledczej, co sprawia, że wyniki dochodzenia są niedopuszczalne w postępowaniu sądowym, pozwalając przeciwnikom domagać się naruszenia dowodów w strategiach obrony. Niezmienny magazyn z zasadami przechowywania na podstawie czasu i archiwizacją ze względów prawnych zapewnia zachowanie dowodów w okresach przechowywania przepisów i postępowaniach prawnych, zapobiegając przedwczesnemu usunięciu lub nieautoryzowanej modyfikacji. Łańcuch dokumentacji nadzoru z weryfikacją kryptograficzną zapewnia dowód prawny, że dowody pozostały niezachwiane od zbierania poprzez analizę, spełniające standardy dowodowe wymagane do ścigania i działań egzekwowania przepisów prawnych.

Zapewnij integralność dowodów kryminalistycznych poprzez niezmienne zachowanie:

Organizacje powinny wdrożyć niezmienne zasady przechowywania usługi Azure Storage, procedury archiwizacji ze względów prawnych i zarządzanie dowodami opartymi na zgodności , aby zapewnić odpowiednie zachowanie dowodów na potrzeby postępowania prawnego, wymagań prawnych i przyszłej analizy zdarzeń.

Niezmienny magazyn dowodów:

  • Niezmienne zasady usługi Azure Blob Storage: Zasady przechowywania opartego na czasie i archiwizacji ze względów prawnych uniemożliwiające modyfikację lub usunięcie dowodów w wymaganych okresach przechowywania
  • Klasyfikacja i przechowywanie dowodów: Systematyczne klasyfikowanie typów dowodów z odpowiednimi okresami przechowywania na podstawie wymagań regulacyjnych i zagadnień prawnych; korzystaj z usługi Microsoft Purview na potrzeby klasyfikacji danych, etykietowania poufności i zasad przechowywania/cyklu życia w celu dostosowania obsługi dowodów do ładu organizacyjnego (Microsoft Purview).
  • Dokumentacja łańcucha nadzoru: Zautomatyzowany łańcuch śledzenia nadzoru przy użyciu skrótów kryptograficznych, podpisów cyfrowych i rejestrowania dostępu w celu uzyskania wymagań dotyczących dowodów prawnych
  • Replikacja dowodów między regionami: Replikacja dowodów geograficznych na potrzeby odzyskiwania po awarii i wymagań jurysdykcji przy użyciu szyfrowania i kontroli dostępu
  • Wyszukiwanie i pobieranie dowodów: Systematyczne indeksowanie dowodów i możliwości wyszukiwania umożliwiające szybkie pobieranie postępowania sądowego i przyszłej analizy incydentów

Zgodność i wymagania prawne:

  • Mapowanie przechowywania przepisów: Mapowanie wymagań dotyczących przechowywania dowodów w odpowiednich przepisach (np. przechowywanie dokumentacji HIPAA przez 6 lat; Istotne zapisy SOX często 7 lat; PCI-DSS przechowywanie dzienników co najmniej 1 rok z 3 miesiącami natychmiast dostępnymi). Uwaga: RODO nie określa stałego okresu przechowywania dowodów wieloletnich — stosuje zasady minimalizacji danych i ograniczeń celu; zachować tylko tak długo, jak to konieczne w przypadku raportowania regulacyjnego, obrony prawnej i operacji zabezpieczeń, z udokumentowanymi uzasadnieniemi. Źródła: HIPAA, SOX, PCI-DSS, RODO.
  • Automatyzacja archiwizacji ze względów prawnych: Automatyczna implementacja archiwizacji ze względów prawnych wyzwalana przez spory sądowe, badanie regulacyjne lub inne wymagania prawne z nieokreślonym przechowywaniem

Przykład implementacji

Organizacja opieki zdrowotnej wdrożyła kompleksowe działania po zdarzeniu, aby spełnić wymagania HIPAA z systematycznym przechowywaniem dowodów i wyciągniętymi procesami.

Wyzwanie: Organizacja opieki zdrowotnej nie ma systematycznego procesu przeglądu po zdarzeniu tworzenia cyklicznych zdarzeń z nieuprzybranych głównych przyczyn, z ręcznymi procedurami przechowywania dowodów, tworząc ryzyko naruszeń zgodności HIPAA i niezdolność do spełnienia wymagań badania OCR dla 6-letniego przechowywania.

Podejście do rozwiązania:

  • Ustalone wnioski ustrukturyzowane wyciągnięte w ciągu 48 godzin od zamknięcia incydentu obejmującego personel kliniczny, zespoły IT, oficerów ochrony prywatności i wyższego szczebla kierownictwa
  • Zaimplementowano niezmienne przechowywanie usługi Azure Storage z 6-letnimi zasadami przechowywania na potrzeby zgodności z przepisami HIPAA i zautomatyzowanymi wyzwalaczami archiwizacji ze względów prawnych na potrzeby potencjalnych sporów sądowych
  • Utworzono szablony elementów roboczych usługi Azure DevOps do śledzenia implementacji ulepszeń z przypisanymi właścicielami i cyklami przeglądu kwartalnych
  • Wdrożono łańcuch automatyzacji nadzoru przy użyciu skrótów kryptograficznych i podpisów cyfrowych zapewniających integralność dowodów dla dochodzeń OCR i postępowań prawnych
  • Opracowano metryki dojrzałości reagowania na zdarzenia śledzące średni czas wykrywania, skuteczności zawierania i cykliczne wzorce zdarzeń na potrzeby ciągłego ulepszania
  • Zintegrowane wnioski wyciągnięte z wyników comiesięcznych szkoleń dotyczących świadomości bezpieczeństwa i kwartalnych ćwiczeń dotyczących tabletów reagowania na zdarzenia

Wynik: Osiągnięte ciągłe ulepszanie reagowania na zdarzenia dzięki zmniejszeniu liczby cyklicznych zdarzeń poprzez systematyczne korygowanie głównych przyczyn. Niezmienny magazyn z automatycznym archiwizacją prawną zapewniał zgodność z przepisami HIPAA z kompletnym łańcuchem dowodów nadzoru wspierającym dochodzenia OCR i postępowaniami sądowymi.

Poziom krytyczny

Powinien mieć.

Mapowanie kontrolek

  • NIST SP 800-53 Rev.5: IR-4(4), IR-4(5), IR-4(10), CP-9(8), AU-11
  • PCI-DSS 4: 10.5.1, 12.10.7
  • Kontrolki CIS w wersji 8.1: 8.3 , 17.8, 17.9
  • NIST CSF v2.0: RS. RP-1, RS. IM-1, RS. Im-2
  • ISO 27001:2022: A.5.24, A.5.28, A.8.13
  • SOC 2: CC9.1, A1.2, A1.3
  • Last updated on