Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Reagowanie na zdarzenia obejmuje mechanizmy kontroli w cyklu życia reagowania na zdarzenia — przygotowywanie, wykrywanie i analizowanie, zawieranie i działania po zdarzeniu, w tym korzystanie z usług platformy Azure, takich jak Microsoft Defender for Cloud i Sentinel w celu zautomatyzowania procesu reagowania na zdarzenia.
IR-1: Przygotowanie — aktualizowanie planu reagowania na zdarzenia i proces obsługi
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Zasada zabezpieczeń: Upewnij się, że Organizacja stosuje najlepsze rozwiązania branżowe w celu opracowania procesów i planów reagowania na zdarzenia zabezpieczeń na platformach w chmurze. Należy pamiętać o modelu wspólnej odpowiedzialności i wariancjach w usługach IaaS, PaaS i SaaS. Będzie to miało bezpośredni wpływ na współpracę z dostawcą usług w chmurze w zakresie reagowania na zdarzenia i obsługi działań, takich jak powiadamianie o zdarzeniach i klasyfikacja, zbieranie dowodów, badanie, eliminowanie i odzyskiwanie.
Regularnie testuj plan reagowania na zdarzenia i proces obsługi, aby upewnić się, że są aktualne.
Wskazówki dotyczące platformy Azure: Zaktualizuj proces reagowania na zdarzenia w organizacji, aby uwzględnić obsługę zdarzenia na platformie Azure. Na podstawie używanych usług platformy Azure i charakteru aplikacji dostosuj plan reagowania na zdarzenia i podręcznik, aby upewnić się, że mogą one służyć do reagowania na zdarzenie w środowisku chmury.
Implementacja i dodatkowy kontekst:
- Implementowanie zabezpieczeń w środowisku przedsiębiorstwa
- Przewodnik po dokumentacji dotyczącej reagowania na zdarzenia
- NIST SP800-61 Computer Security Incident Handling Guide
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-2: Przygotowanie — powiadomienie o zdarzeniu konfiguracji
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Zasada zabezpieczeń: Upewnij się, że alerty zabezpieczeń i powiadomienia o zdarzeniach z platformy dostawcy usług w chmurze i Twoich środowisk mogą być skutecznie odbierane przez prawidłowy kontakt w organizacji reagowania na zdarzenia.
Wskazówki dotyczące platformy Azure: Skonfiguruj informacje kontaktowe o zdarzeniach zabezpieczeń w usłudze Microsoft Defender for Cloud. Te informacje kontaktowe są używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że twoje dane zostały użyte przez bezprawną lub nieautoryzowaną stronę. Dostępne są również opcje dostosowywania alertu zdarzeń i powiadomień w różnych usługach platformy Azure w zależności od potrzeb związanych z reagowaniem na zdarzenia.
Implementacja i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-3: Wykrywanie i analiza — tworzenie zdarzeń na podstawie alertów wysokiej jakości
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10.8 |
Zasada zabezpieczeń: Upewnij się, że masz proces tworzenia alertów wysokiej jakości i mierzenia jakości alertów. Dzięki temu możesz wyciągać wnioski z poprzednich zdarzeń i ustalać priorytety alertów dla analityków, dzięki czemu nie marnują czasu na fałszywie dodatnie wyniki.
Alerty wysokiej jakości można tworzyć na podstawie doświadczeń z poprzednich zdarzeń, zweryfikowanych źródeł społeczności i narzędzi przeznaczonych do generowania i czyszczenia alertów przez łączenie i korelowanie różnych źródeł sygnałów.
Wskazówki dotyczące platformy Azure: Usługa Microsoft Defender for Cloud udostępnia alerty wysokiej jakości w wielu zasobach platformy Azure. Łącznik danych systemu Microsoft Defender dla Chmury umożliwia strumieniowe przesyłanie alertów do usługi Azure Sentinel. Usługa Azure Sentinel umożliwia tworzenie zaawansowanych reguł alertów w celu automatycznego generowania zdarzeń na potrzeby badania.
Wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji eksportu, aby ułatwić identyfikowanie zagrożeń dla zasobów platformy Azure. Eksportuj alerty i zalecenia ręcznie lub w ciągły sposób.
Implementacja i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-4: Wykrywanie i analiza — badanie zdarzenia
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| N/A | IR-4 | 12.10 |
Zasada zabezpieczeń: Upewnij się, że zespół ds. operacji zabezpieczeń może wykonywać zapytania dotyczące różnych źródeł danych i używać ich podczas badania potencjalnych zdarzeń, aby utworzyć pełny widok tego, co się stało. Należy zbierać różne dzienniki, aby śledzić działania potencjalnej osoby atakującej w ramach całego łańcucha zagrożeń, aby uniknąć efektu martwego pola. Należy również upewnić się, że szczegółowe informacje i wnioski są rejestrowane dla innych analityków i na potrzeby przyszłych badań.
Wskazówki dotyczące platformy Azure: Źródła danych do badania to scentralizowane źródła rejestrowania, które są już zbierane z usług objętych zakresem i działających systemów, ale mogą również obejmować:
- Dane sieciowe: użyj dzienników przepływów sieciowych grup zabezpieczeń, usługi Azure Network Watcher i usługi Azure Monitor, aby przechwycić dzienniki przepływu sieci i inne informacje analityczne.
- Migawki uruchomionych systemów: a) zdolność do tworzenia migawek maszyny wirtualnej na platformie Azure, aby utworzyć migawkę dysku uruchomionego systemu. b) Natywna funkcja zrzutu pamięci w systemie operacyjnym służąca do tworzenia migawki pamięci uruchomionego systemu. c) Funkcja migawki usług platformy Azure lub możliwości własnego oprogramowania do utworzenia migawek uruchomionych systemów.
Usługa Azure Sentinel zapewnia obszerną analizę danych w praktycznie dowolnym źródle dziennika i portalu zarządzania przypadkami w celu zarządzania pełnym cyklem życia zdarzeń. Informacje wywiadowcze podczas badania mogą być skojarzone z incydentem na potrzeby śledzenia i raportowania.
Implementacja i dodatkowy kontekst:
- Zrób migawkę dysku maszyny z systemem Windows
- Utwórz migawkę dysku maszyny z systemem Linux
- Microsoft Azure Support diagnostic information and memory dump collection (Obsługa informacji diagnostycznych i zbierania zrzutów pamięci na platformie Microsoft Azure)
- Badanie zdarzeń za pomocą usługi Azure Sentinel
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-5: Wykrywanie i analiza — określanie priorytetów zdarzeń
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Zasada zabezpieczeń: Zapewnij kontekst zespołom ds. operacji zabezpieczeń, aby pomóc im określić, na których zdarzeniach należy najpierw skoncentrować, na podstawie ważności alertu i poufności zasobów zdefiniowanych w planie reagowania na zdarzenia w organizacji.
Wskazówki dotyczące platformy Azure: Usługa Microsoft Defender for Cloud przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Poziom zagrożenia opiera się na tym, jak pewny jest Microsoft Defender dla Chmury w odniesieniu do wykrycia lub analizy, która posłużyła do wystawienia alertu, a także na poziomie pewności co do złośliwych intencji stojących za działaniem, które doprowadziło do alertu.
Ponadto oznaczanie zasobów przy użyciu tagów i tworzenie systemu nazewnictwa w celu identyfikowania i kategoryzowania zasobów platformy Azure, zwłaszcza tych, które przetwarzają poufne dane. Twoim zadaniem jest ustalenie priorytetów korygowania alertów w oparciu o krytyczne znaczenie zasobów i środowiska platformy Azure, w którym wystąpiło zdarzenie.
Implementacja i dodatkowy kontekst:
- Alerty zabezpieczeń w usłudze Microsoft Defender for Cloud
- Organizowanie zasobów platformy Azure przy użyciu tagów
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-6: Ograniczanie, eliminowanie i odzyskiwanie — automatyzowanie obsługi zdarzeń
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| N/A | IR-4, IR-5, IR-6 | 12.10 |
Zasada zabezpieczeń: Zautomatyzuj ręczne, powtarzalne zadania, aby przyspieszyć czas odpowiedzi i zmniejszyć obciążenie analityków. Wykonywanie ręcznych zadań trwa dłużej, spowalniając każde zdarzenie i zmniejszając liczbę zdarzeń, które może obsłużyć analityk. Zadania ręczne zwiększają również zmęczenie analityków, co zwiększa ryzyko błędu ludzkiego, który powoduje opóźnienia i obniża zdolność analityków do efektywnego skupienia się na złożonych zadaniach.
Wskazówki dotyczące platformy Azure: Funkcje automatyzacji przepływu pracy w usługach Microsoft Defender for Cloud i Azure Sentinel umożliwiają automatyczne wyzwalanie akcji lub uruchamianie podręcznika w celu reagowania na przychodzące alerty zabezpieczeń. Podręcznik wykonuje akcje, takie jak wysyłanie powiadomień, wyłączanie kont i izolowanie problematycznych sieci.
Implementacja i dodatkowy kontekst:
- Konfigurowanie automatyzacji przepływu pracy w usłudze Microsoft Defender for Cloud
- Konfigurowanie automatycznych odpowiedzi na zagrożenia w usłudze Microsoft Defender for Cloud
- Konfigurowanie automatycznych odpowiedzi na zagrożenia w usłudze Azure Sentinel
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-7: Aktywność po zdarzeniu — analizowanie wyciągniętych wniosków i zachowanie dowodów
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Zasada zabezpieczeń: Przeprowadzaj analizę wniosków w Twojej organizacji okresowo i/lub po poważnych incydentach, aby poprawić przyszłe możliwości reagowania na incydenty i zarządzania nimi.
Na podstawie charakteru zdarzenia zachowaj dowody związane z incydentem przez okres zdefiniowany w standardzie obsługi zdarzeń w celu dalszej analizy lub działań prawnych.
Wskazówki dotyczące platformy Azure: Wykorzystaj wyniki z aktywności związanej z wyciąganiem wniosków, aby zaktualizować plan reagowania na incydenty, podręcznik (taki jak podręcznik usługi Azure Sentinel) i ponownie uwzględnić wyniki w swoich środowiskach (jak rejestrowanie i wykrywanie zagrożeń, aby rozwiązać wszelkie braki w rejestrowaniu). Dzięki temu możesz poprawić swoje przyszłe możliwości w zakresie wykrywania, reagowania i obsługi incydentów na platformie Azure.
Zachowaj zebrane dowody podczas "wykrywanie i analiza - zbadanie zdarzenia", takie jak dzienniki systemowe, zrzut ruchu sieciowego oraz migawka uruchomionego systemu, w magazynie, takim jak konto Azure Storage, w celu przechowywania.
Implementacja i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):