Resposta a incidentes

A resposta a incidentes mantém a resiliência organizacional e minimiza o impacto nos negócios quando ocorrem incidentes de segurança, garantindo detecção rápida, contenção eficaz e recuperação abrangente, preservando evidências forenses. Alinhe sua abordagem com a estrutura NIST SP 800-61 que abrange as atividades de preparação, detecção e análise, contenção/erradicação/recuperação e pós-incidente. Recursos fracos ou ausentes levam a tempos de vida estendidos, danos amplificados, violações regulatórias e ataques repetidos.

Aqui estão os três pilares principais do domínio de segurança de Resposta a Incidentes.

Prepare-se para a resposta a incidentes: Estabeleça planos, procedimentos e funcionalidades antes que ocorram incidentes. Implemente ferramentas de segurança nativas de nuvem, incluindo plataformas de detecção de ameaças, soluções XDR (detecção e resposta estendidas), sistemas siem (gerenciamento de eventos e informações de segurança), infraestrutura de log centralizada e recursos de automação de fluxo de trabalho. Configure contatos de segurança, notificações e procedimentos de escalonamento para garantir a coordenação rápida dos stakeholders durante incidentes.

Controles relacionados:

IR-1: Preparação – atualizar o plano de resposta a incidentes e o processo de tratamento
IR-2: Preparação – notificação de incidente de instalação

Detectar, analisar e investigar incidentes: Implemente a geração de alertas de alta qualidade, a criação automatizada de incidentes e a investigação sistemática usando a análise de segurança de nuvem e a inteligência contra ameaças. Implante recursos unificados de detecção de ameaças em cargas de trabalho de nuvem com análise avançada, busca de ameaças e integração abrangente da fonte de dados, incluindo serviços de identidade, telemetria de rede e instantâneos do sistema. Priorize incidentes pela criticidade dos ativos, impacto nos negócios e severidade das ameaças.

Controles relacionados:

IR-3: Detecção e análise – criar incidentes com base em alertas de alta qualidade
IR-4: Detecção e análise – investigar um incidente
IR-5: Detecção e análise – priorizar incidentes

Conter, recuperar e aprender com incidentes: Automatize a resposta por meio da orquestração de segurança e da automação de fluxo de trabalho para contenção rápida e execução consistente. Realize as lições aprendidas nas revisões, mantenha evidências no armazenamento em nuvem imutável e melhore continuamente os recursos de resposta a incidentes.

Controles relacionados:

IR-6: Contenção, erradicação e recuperação – automatizar o tratamento de incidentes
IR-7: Atividade pós-incidente - conduzir lições aprendidas e reter evidências

IR-1: Preparação - atualizar o plano de resposta a incidentes e o processo de tratamento

Princípio de segurança

Desenvolva e mantenha planos abrangentes de resposta a incidentes especificamente adaptados para ambientes do Azure, incorporando o modelo de responsabilidade compartilhada, as funcionalidades de investigação nativa de nuvem e as ferramentas de resposta automatizadas. Teste regularmente os procedimentos de resposta por meio de exercícios de tabela e simulações para garantir a eficácia e a melhoria contínua.

Risco a mitigar

As organizações que operam sem planos abrangentes de resposta a incidentes enfrentam consequências devastadoras quando ocorrem incidentes de segurança, levando a interrupções prolongadas nos negócios, violações regulatórias e danos permanentes à confiança do cliente. Sem preparação sistemática de resposta a incidentes:

Resposta caótica à crise: A falta de procedimentos, funções e canais leva a confusão, atrasos e ação ineficaz, estendendo o tempo de vida e ampliando os danos.
Procedimentos específicos de nuvem inadequados: Os planos tradicionais perdem o modelo de responsabilidade compartilhada na nuvem, as ferramentas de investigação e a perícia na nuvem, causando uma resposta incompleta e perda de evidências.
Falta de coordenação entre as partes interessadas: A falta de protocolos de comunicação com provedores de serviços de nuvem, reguladores, clientes e equipes internas cria atrasos, violações e prejuízos à reputação.
Recursos de resposta não testados: As organizações descobrem lacunas em ferramentas, habilidades e procedimentos durante incidentes reais, em vez de ambientes de teste controlados, levando à contenção com falha e a tempos de recuperação estendidos.
Falhas de conformidade regulatória: As indústrias sujeitas aos requisitos de notificação de incidentes (HIPAA, PCI-DSS, GDPR, SOX) não podem atender aos cronogramas de relatório obrigatórios sem procedimentos de resposta documentados e testados.
Preservação inadequada de evidências: A falha ao estabelecer procedimentos adequados de coleta e retenção de evidências compromete a investigação forense, os procedimentos legais e os recursos de análise de causa raiz.

A preparação inadequada amplifica o impacto, estende a recuperação e prejudica o aprendizado para evitar a recorrência.

MITRE ATT&CK

Evasão de Defesa (TA0005): prejudica as defesas (T1562) explorando lacunas em procedimentos de resposta a incidentes para operar por mais tempo sem detecção ou contenção efetiva.
Impacto (TA0040): destruição de dados (T1485) causando danos máximos quando as organizações não têm recursos de resposta rápida para restauração de backup e recuperação do sistema.
Coleção (TA0009): dados preparados para exfiltração (T1074) aproveitando a detecção e a resposta atrasadas para concluir operações de roubo de dados.

IR-1.1: Desenvolver planos de resposta a incidentes específicos do Azure

Os planos genéricos de resposta a incidentes falham em ambientes de nuvem em que os modelos de responsabilidade compartilhada, a coleta de evidências baseada em API e os requisitos de colaboração do provedor de serviços diferem fundamentalmente do tratamento tradicional de incidentes do datacenter. Os procedimentos de resposta específicos do Azure devem abordar recursos nativos de nuvem, como instantâneos de máquina virtual, registros de fluxo de rede e isolamento de recursos por meio da automação, em vez da desconexão física da rede. A documentação clara dos processos de colaboração da Microsoft garante que as equipes de segurança saibam quando e como envolver o suporte à plataforma durante incidentes que exigem assistência do fornecedor, evitando que a resposta atrasada seja de incerteza sobre procedimentos de escalonamento.

Estabeleça a resposta a incidentes com reconhecimento de nuvem por meio do planejamento específico do Azure:

Desenvolva planos abrangentes de resposta a incidentes que abordam ambientes do Azure, o modelo de responsabilidade compartilhada e os recursos de segurança nativa da nuvem. O Microsoft Defender para Nuvem e o Microsoft Sentinel fornecem recursos integrados de resposta a incidentes.

Desenvolvimento do plano de resposta a incidentes do Azure:

Integração do modelo de responsabilidade compartilhada: Desmarque a delineação das responsabilidades entre a Microsoft e o cliente para diferentes tipos de serviço (IaaS, PaaS, SaaS) em atividades de resposta a incidentes usando o modelo de responsabilidade compartilhada do Azure.
Recursos de investigação nativos do Azure: Aproveitando logs do Azure Monitor, logs de auditoria do Microsoft Entra ID, logs de entrada do Microsoft Entra ID, logs de fluxo do Grupo de Segurança de Rede e alertas do Microsoft Defender para Cloud para investigação abrangente de incidentes.
Coleta de Evidências Específicas para a Nuvem: Procedimentos para instantâneos de VM, despejos de memória, capturas de pacotes de rede e coleta de logs nos serviços do Azure
Procedimentos de colaboração da Microsoft: Processos estabelecidos para envolver o Suporte da Microsoft, a Equipe de Resposta de Segurança do Azure e o MSRC (Microsoft Security Response Center) quando necessário
Procedimentos de isolamento de recursos do Azure: Etapas específicas para isolar VMs comprometidas, contêineres, contas de armazenamento e outros recursos do Azure durante a contenção de incidentes (consulte Tratamento e isolamento de alertas do Defender para Nuvem).

Integração do Microsoft Defender para Nuvem:

Configuração do contato de segurança: Contatos de segurança designados para notificações de incidentes com disponibilidade 24/7 e procedimentos de escalonamento (configurar contatos de segurança).
Mapeamento de severidade de alerta: Correlação entre as severidades de alerta do Defender para Nuvem e os níveis de classificação de incidentes organizacionais (gravidade do alerta do Defender para Nuvem).
Integração automatizada de fluxo de trabalho: Fluxos de trabalho automatizados de criação e notificação de incidentes usando Aplicativos Lógicos disparados por alertas de segurança de alta severidade (automação de fluxo de trabalho (clássico)).
Modelos de notificação regulatória: Modelos de notificação pré-configurados para GDPR, HIPAA, PCI-DSS e outros requisitos regulatórios
Procedimentos de exportação de evidências: Procedimentos sistemáticos para exportar resultados de segurança, recomendações e dados de alerta para documentação de incidentes (exportação contínua).

IR-1.2: Estabelecer a estrutura e o treinamento da equipe de resposta a incidentes

A eficácia da resposta a incidentes depende criticamente da experiência do membro da equipe com técnicas de investigação específicas do Azure, recursos de análise de log e arquiteturas de serviço de nuvem que diferem das habilidades de infraestrutura tradicionais. Funções claramente definidas impedem lacunas de responsabilidade e atrasos na tomada de decisões durante incidentes de alta pressão quando a ambiguidade sobre autoridade causa paralisia de resposta. O treinamento especializado em ferramentas e procedimentos de investigação nativos de nuvem transforma analistas gerais de segurança em respondentes de incidentes do Azure capazes de ações rápidas de coleta e contenção de evidências usando recursos de plataforma.

Crie a funcionalidade de resposta a incidentes do Azure por meio da estrutura de equipe especializada:

Estabeleça equipes de resposta a incidentes dedicadas com funções, responsabilidades e autoridade de tomada de decisão claramente definidas para ambientes do Azure. Os materiais de treinamento da Microsoft Security Academy e do Microsoft Defender para Nuvem fornecem treinamento especializado de resposta a incidentes na nuvem.

Equipe Focada em Azure:

Analistas de segurança de nuvem: Especializado em serviços de segurança do Azure, análise de logs e técnicas de investigação nativa de nuvem
Arquitetos de Soluções do Azure: Noções básicas sobre configurações de serviço do Azure, topologias de rede e implicações de segurança arquitetônica
Representantes legais e de conformidade: Conhecimento de requisitos regulatórios específicos da nuvem e procedimentos de colaboração da Microsoft
Coordenadores de Continuidade de Negócios: Experiência em recuperação de desastre do Azure, restauração de backup e planejamento de continuidade do serviço
Contatos de escalonamento externo: Relações estabelecidas com o Suporte da Microsoft, consultoria jurídica e contatos de notificação regulatória

Exemplo de implementação

Uma organização de saúde implementou uma preparação abrangente de resposta a incidentes do Azure para atender aos requisitos do HIPAA e proteger os dados dos pacientes com procedimentos documentados e equipes de resposta treinadas.

Desafio: A organização de saúde não tinha procedimentos de resposta a incidentes específicos do Azure e atribuições estruturadas de equipe, criando risco de resposta atrasada durante violações de dados de pacientes e possíveis violações hipaa com caminhos de escalonamento não claros.

Abordagem da solução:

Desenvolveu um plano de resposta a incidentes específico do Azure incorporando requisitos de notificação de violação do HIPAA e procedimentos de colaboração da Microsoft para incidentes de dados de pacientes
Equipe de resposta a incidentes estabelecida com especialistas em segurança do Azure certificados na investigação do Microsoft Sentinel e na perícia do Azure
Configurado Microsoft Defender para Nuvem para contatos de segurança com notificação 24 horas por dia, 7 dias por semana e escalonamento automatizado para equipes jurídicas em caso de violações HIPAA
Implementou exercícios de mesa redondas trimestrais usando cenários de Simulação de Ataque do Azure para ransomware, exfiltração de dados e ameaças internas
Foram criados procedimentos de coleta de evidências para serviços Azure, incluindo automação de imagem de VM, exportação de log do Azure Monitor e preservação de auditoria do Microsoft Entra ID
Fluxos de trabalho de colaboração da Microsoft estabelecidos para envolver o Suporte da Microsoft durante incidentes da plataforma do Azure

Resultado: Conseguiu uma funcionalidade abrangente de resposta a incidentes em conformidade com HIPAA com procedimentos documentados, equipes treinadas e cobertura de resposta 24/7. Os exercícios trimestrais validaram a eficácia da resposta e identificaram oportunidades de melhoria contínua.

Nível de criticidade

Deve ter.

Mapeamento de controle

NIST SP 800-53 Rev.5: IR-1, IR-1(1), IR-2, IR-2(1), CP-2, CP-2(1)
PCI-DSS v4: 12.10.1, 12.10.2
Controles CIS v8.1: 17.1, 17.2, 17.3
NIST CSF v2.0: PR.IP-9, PR.IP-10, RS.CO-1
ISO 27001:2022: A.5.24, A.5.25, A.5.26, A.5.27
SOC 2: CC9.1, A1.1

IR-2: preparação - configurar a notificação de incidentes

Azure Policy: Confira as definições de política internas do Azure: IR-2.

Princípio de segurança

Estabeleça sistemas abrangentes de notificação de incidentes com gatilhos automatizados, listas de contatos de partes interessadas apropriadas e integração com os serviços de segurança da Microsoft para garantir a comunicação rápida, precisa e compatível de incidentes entre todas as partes necessárias.

Risco a mitigar

Sistemas inadequados de notificação de incidentes criam atrasos críticos que ampliam o impacto de incidentes de segurança, violam requisitos regulatórios e minam a confiança das partes interessadas. Sem a infraestrutura de notificação adequada:

Reconhecimento de partes interessadas atrasada: Executivos, equipes jurídicas e respondentes permanecem inconscientes, impedindo decisões oportunas e alocação de recursos.
Violações regulatórias: Os prazos de notificação não cumpridos (o RGPD 72 horas, o HIPAA 60 dias, o PCI-DSS imediato) resultam em multas e sanções. (Referências: RGPD Artigos 33/34, Regra de Notificação de Violação hipaa, PCI-DSS).
Colaboração ineficaz do provedor de nuvem: A falha ao configurar corretamente os contatos de segurança de nuvem impede a colaboração com as equipes de resposta de segurança do provedor de nuvem durante incidentes no nível da plataforma ou quando a assistência do provedor é necessária.
Erosão da confiança do cliente: A notificação de cliente atrasada ou inadequada durante incidentes envolvendo dados pessoais ou interrupções de serviço prejudica as relações e cria exposição legal.
Esforços de resposta não coordenados: A falta de gatilhos de notificação automatizados e procedimentos de escalonamento resulta em esforços de resposta fragmentados com várias equipes trabalhando sem coordenação ou consciência situacional.
Coordenação de resposta atrasada: A notificação lenta para equipes forenses, advogados e respondentes técnicos atrasa ações críticas de contenção, procedimentos de preservação de evidências e medidas defensivas coordenadas.

Os sistemas de notificação inválida agravam os danos, impedindo a resposta rápida, a coordenação e a conformidade regulatória.

MITRE ATT&CK

Comando e controle (TA0011): protocolo de camada de aplicativo (T1071) que mantém canais de comando e controle por mais tempo quando notificações atrasadas de partes interessadas impedem ações coordenadas de contenção ao nível da rede.
Exfiltração (TA0010): exfiltração no canal C2 (T1041) concluindo o roubo de dados durante atrasos de notificação e escalonamento antes que a coordenação entre equipes habilite o bloqueio efetivo.
Impacto (TA0040): dados criptografados para impacto (T1486) espalhando ransomware por vários sistemas enquanto a notificação atrasada impede o isolamento rápido e a coordenação de recuperação de backup.

IR-2.1: Configurar informações de contato de segurança da Microsoft

Incidentes de segurança que exigem a intervenção no nível da plataforma da Microsoft falham quando informações de contato desatualizadas ou incorretas impedem a notificação do provedor, atrasando as ações críticas de resposta que somente o fornecedor de nuvem pode executar. Contatos de segurança 24/7 acessível verificados permitem que a Microsoft notifique imediatamente os clientes sobre vulnerabilidades de plataforma, interrupções de serviço ou padrões de comprometimento detectados que exigem resposta coordenada. Os métodos de comunicação multicanais e os contatos de backup garantem que as notificações de incidentes atinjam a equipe apropriada, independentemente da disponibilidade de contato primário, diferenças de fuso horário ou falhas de infraestrutura de comunicação.

Habilite a colaboração da Microsoft por meio de contatos de segurança verificados:

Configure informações de contato de segurança no Microsoft Defender para Nuvem e estabeleça um gerenciamento abrangente de contatos para que a Microsoft possa alcançar a equipe apropriada durante incidentes que exigem colaboração ou resposta em nível de plataforma.

Contatos de segurança do Microsoft Defender para Nuvem:

Contato de segurança principal: representante da equipe de segurança 24/7 acessível com autoridade de resposta a incidentes e capacidade de tomada de decisão
Configuração de contato secundário: Fazer backup de contatos com distribuição geográfica para organizações globais, garantindo a cobertura entre fusos horários
Atribuição de Contatos Baseada em Função: Contatos separados para diferentes tipos de incidentes, incluindo violações de dados, vulnerabilidades da plataforma e interrupções de serviço
Procedimentos de verificação de contato: Testes regulares de informações de contato por meio de exercícios de colaboração da Microsoft e exercícios de notificação
Comunicação de vários canais: Métodos de contato por email, SMS e telefone com procedimentos de escalonamento claros quando os contatos primários não estão disponíveis

Integração do Microsoft Defender para Nuvem:

Notificações disparadas por alerta: Geração automática de notificação para alertas de severidade alta e crítica com limites personalizáveis e critérios de filtragem
Configuração em nível de assinatura: Configuração de contato de segurança nos níveis de escopo apropriados, incluindo grupos de gerenciamento, assinaturas e grupos de recursos
Personalização de notificação: Modelos de notificação personalizados, incluindo níveis de severidade de incidentes, recursos afetados e instruções de resposta iniciais
Integração com sistemas de tíquetes: Criação automatizada de tíquetes no Azure DevOps ou em outras plataformas ITSM para acompanhamento de incidentes e gerenciamento de fluxo de trabalho

IR-2.2: implementar fluxos de trabalho de notificação automatizados

Os processos de notificação manual introduzem atrasos críticos durante incidentes de segurança quando os minutos importam para a eficácia da contenção, com gargalos humanos na identificação e comunicação das partes interessadas impedindo a rápida mobilização de resposta. Os fluxos de trabalho automatizados eliminam a latência de notificação roteando alertas instantaneamente para a equipe apropriada com base em características de incidentes, gravidade e requisitos regulatórios sem determinação manual. A escalada baseada em severidade assegura que a liderança esteja ciente de incidentes críticos enquanto filtra alertas rotineiros, concentrando a atenção executiva em eventos genuínos que impactam os negócios, em vez de sobrecarregar a liderança com excesso de informações de segurança.

Acelere a mobilização de incidentes por meio da automação de notificações:

Implemente os Aplicativos Lógicos do Azure e os Guias Estratégicos do Microsoft Sentinel para automatizar fluxos de trabalho de notificação de incidentes com direcionamento de partes interessadas, escalonamento baseado em severidade e gatilhos de conformidade regulatória.

Implementação de notificação automatizada:

Automação do fluxo de trabalho dos Aplicativos Lógicos: Fluxos de trabalho de notificação disparados com base na gravidade do alerta de segurança, nos tipos de recursos afetados e na avaliação do impacto nos negócios
Integração de guias estratégicos do Microsoft Sentinel: Guias estratégicos automatizados de investigação e notificação com funcionalidades de enriquecimento e lógica de determinação de partes interessadas (consulte guias estratégicos do Sentinel).
Configuração da matriz de partes interessadas: Notificação direcionada com base em funções, incluindo equipes de segurança, consultor jurídico, liderança executiva e oficiais de conformidade
Escalonamento Baseado em Severidade: Procedimentos automatizados de escalonamento com gatilhos temporais, garantindo o envolvimento apropriado da liderança para incidentes críticos
Modelos de notificação regulatória: Modelos de notificação pré-configurados para GDPR, HIPAA, PCI-DSS e outros requisitos regulatórios com condições de gatilho automatizadas

Integração do Azure Monitor e do Hub de Eventos:

Regras de alerta personalizadas: Regras de alerta configuráveis para eventos de segurança específicos com fluxos de trabalho de notificação automatizados e direcionamento de stakeholders
Streaming do Hub de Eventos: Streaming de eventos em tempo real para sistemas externos, incluindo plataformas SIEM, ferramentas SOAR e plataformas de comunicação
Integração de equipes e email: Notificações de canal do Microsoft Teams e listas de distribuição de email com formatação avançada e botões acionáveis
Integração externa do sistema: Integração baseada em API com plataformas de notificação do cliente, páginas de status e sistemas de gerenciamento de comunicação

Exemplo de implementação

Uma empresa de serviços financeiros implementou uma notificação abrangente de incidentes externos e internos para atender aos requisitos de conformidade do SOX e garantir a comunicação rápida das partes interessadas durante incidentes de segurança que afetam sistemas comerciais e dados do cliente.

Desafio: A empresa de serviços financeiros não tinha notificação automatizada de stakeholders durante incidentes de segurança que afetavam sistemas comerciais, criando risco de atraso de relatórios regulatórios para SEC/FINRA e possíveis violações de conformidade do SOX com processos manuais de notificação propensos a erros.

Abordagem da solução:

Contatos de segurança do Microsoft Defender para Nuvem configurados com contatos primários e secundários fornecendo cobertura 24/7 em centros de negociação globais
Implementou fluxos de trabalho dos Aplicativos Lógicos do Azure para notificações externas automatizadas, incluindo relatórios de incidentes da SEC, notificação de violação finra e comunicação de violação de dados do cliente com modelos pré-aprovados
Criou Playbooks do Microsoft Sentinel com matriz de stakeholders para notificações internas para equipes jurídicas, oficiais de conformidade e executivos, além de notificações externas a reguladores, clientes afetados e parceiros de negócios
Modelos de notificação regulatória definidos para arquivos SEC Form 8-K, notificações de violação do procurador-geral do estado e notificação do adquirente PCI-DSS com condições automáticas de ativação baseadas na gravidade do incidente e exposição de dados
Fluxos de trabalho configurados para notificação do cliente com geração automatizada de e-mails para notificações de violação de dados, atendendo aos requisitos da lei estadual, com aprovações após revisão legal.
Implementação da integração do sistema de tíquetes com a criação automatizada de tíquetes para coordenação de resposta interna e acompanhamento externo de stakeholders para prazos de arquivamento regulatório

Resultado: Redução substancial do tempo de notificação de incidentes com relatórios regulatórios automatizados garantindo a conformidade do SOX. Modelos pré-aprovados e fluxos de trabalho automatizados eliminaram erros manuais na comunicação dos stakeholders e garantiram procedimentos de arquivamento regulatório consistentes.

Nível de criticidade

Deve ter.

Mapeamento de controle

NIST SP 800-53 Rev.5: IR-2, IR-2(1), IR-2(2), IR-4(2), IR-6
PCI-DSS v4: 12.10.1, 12.10.3
Controles CIS v8.1: 17.4, 17.5
NIST CSF v2.0: RS.CO-1, RS.CO-2, RS.CO-3, RS.CO-4
ISO 27001:2022: A.5.24, A.5.26, A.5.28
SOC 2: CC9.1, A1.1

IR-3: detecção e análise - criar incidentes com base em alertas de alta qualidade

Azure Policy: Confira as definições de política internas do Azure: IR-3.

Princípio de segurança

Implemente a geração de alertas de alta qualidade por meio de análise avançada, integração de inteligência contra ameaças e ajuste contínuo para minimizar falsos positivos, garantindo uma cobertura abrangente de ameaças genuínas à segurança. Estabeleça fluxos de trabalho automatizados de criação de incidentes com procedimentos apropriados de enriquecimento e escalonamento.

Risco a mitigar

A baixa qualidade do alerta cria ineficiência operacional que prejudica a eficácia das operações de segurança, levando a ameaças perdidas, burnout de analistas e recursos de resposta a incidentes degradados. Sem geração de alertas de alta qualidade:

Alerta de fadiga de falsos positivos: Os analistas ficam sobrecarregados, levando à diminuição da atenção, às ameaças genuínas perdidas e à resposta atrasada.
Ameaças críticas enterradas em ruído: Incidentes de alta prioridade desaparecem no volume de alertas, impedindo a detecção e a resposta oportunas.
Alocação de recursos ineficiente: As equipes de segurança perdem tempo investigando falsos positivos e alertas de baixa prioridade em vez de se concentrar em ameaças genuínas que exigem atenção imediata e análise qualificada.
Detecção e resposta de ameaças atrasadas: A baixa taxa de sinal para ruído estende o tempo médio para detectar (MTTD) e o MTTR (tempo médio para responder), permitindo aos invasores mais tempo para alcançar objetivos e causar danos.
Integração inadequada de inteligência contra ameaças: Os alertas não têm informações contextuais, correlação de inteligência contra ameaças e pontuação de risco, impedindo a priorização adequada e o planejamento de resposta eficaz.
Criação de incidente inconsistente: Processos manuais ou ad hoc de criação de incidentes resultam em escalonamentos perdidos, documentação inconsistente e falta de procedimentos de resposta padronizados.

Alertas de baixa qualidade prejudicam a detecção, a priorização e o escalonamento das equipes de resposta.

MITRE ATT&CK

Evasão de Defesa (TA0005): mascaramento (T1036) mesclando atividades mal-intencionadas com operações normais para evitar a detecção por sistemas de alertas mal ajustados.
Persistência (TA0003): contas válidas (T1078) usando credenciais legítimas para executar atividades maliciosas que podem não acionar alertas bem configurados de comportamento anômalo.
Coleção (TA0009): coleção automatizada (T1119) que realiza a coleta sistemática de dados em longos períodos quando a fadiga do alerta impede a detecção de anomalias sutis.

IR-3.1: Configurar o Microsoft Defender XDR para detecção unificada de ameaças

Sinais de segurança isolados de produtos individuais geram volumes de alertas avassaladores sem revelar narrativas de ataque completas, forçando os analistas a correlacionar manualmente eventos desconectados enquanto os adversários progridem através de cadeias de ataque. A detecção e a resposta estendidas transformam alertas fragmentados em incidentes unificados, correlacionando sinais entre terminais, identidades, email e aplicativos de nuvem para revelar narrativas completas de ataques que a detecção de produto único não pode identificar. A investigação e a correção automatizadas respondem a ameaças à velocidade do computador em vez de ao ritmo de análise limitada por humanos, contendo ataques em poucos minutos, em vez de horas, enquanto analistas investigam casos complexos.

Detectar ataques coordenados por meio da correlação de sinal entre plataformas:

Implemente o Microsoft Defender XDR (Detecção e Resposta Estendida) como a principal plataforma de segurança unificada para detecção abrangente de ameaças em cargas de trabalho do Microsoft 365, incluindo pontos de extremidade, identidades, email e aplicativos de nuvem. O Defender XDR correlaciona automaticamente alertas de várias fontes em incidentes unificados para investigação e resposta simplificadas.

Funcionalidades principais do Microsoft Defender XDR:

Gerenciamento unificado de incidentes: Correlação automática de alertas no Microsoft Defender de Endpoint, Identidade, Microsoft 365 e Aplicativos em Nuvem em incidentes únicos agregados com visualização completa da narrativa de ataque
Investigação e resposta automatizadas (AIR): Investigação automatizada alimentada por IA examinando alertas e tomando ações de correção imediata para resolver violações com níveis de automação configuráveis
Busca avançada: Busca de ameaças baseada em consulta usando KQL (Linguagem de Consulta Kusto) para inspecionar proativamente até 30 dias de dados brutos em todos os sinais de segurança do Microsoft 365 (Busca Avançada).
Correlação de Sinal Entre Produtos do Defender: Compartilhamento de informações em tempo real entre os produtos do Defender para interromper a progressão de ataques, incluindo o bloqueio automático de arquivos maliciosos em todo o e-mail, dispositivos e ferramentas de colaboração.
Interrupção do ataque: Contenção automática de alta confiança de ataques ativos em velocidade de máquina usando sinais de correlação de incidentes e pesquisa contínua de segurança da Microsoft

Detecção de ameaças e geração de alertas:

Análise comportamental: Detecção alimentada pelo aprendizado de máquina de padrões de comportamento de usuário e dispositivo anômalos indicando comprometimento ou ameaças internas
Integração de Inteligência contra Ameaças: Enriquecimento automático com inteligência contra ameaças da Microsoft, incluindo infraestrutura de invasor conhecida, assinaturas de malware e atribuição de campanha
Regras de detecção personalizadas: Criação de regra de detecção flexível usando consultas KQL para padrões de ameaça específicos da organização e requisitos de lógica de negócios
Funcionalidades de engano: Implantação de ativos de isca detectando movimentação lateral operada por humanos em ataques de ransomware e comprometimento de email empresarial
Pontuação de risco em tempo real: Avaliação dinâmica de risco para usuários, dispositivos e entradas que permitem decisões de acesso baseadas em risco por meio da integração com o Microsoft Entra Conditional Access

Integração com o Microsoft Sentinel:

Plataforma SecOps unificada: Integração bidirecional que permite ao Microsoft Sentinel ingerir incidentes e alertas do Defender XDR, mantendo recursos avançados de SIEM e SOAR
Conector XDR do Microsoft Defender: Conector nativo que sincroniza incidentes, alertas e dados de caça avançada com o Microsoft Sentinel para correlação entre plataformas.
Cobertura híbrida e multinuvem: Estender os recursos de detecção além do Microsoft 365 para o Azure, ambientes locais e de terceiros por meio da integração do Sentinel
Fila unificada de incidentes: Interface única para visualização e gerenciamento de incidentes do Defender XDR e Sentinel com fluxos de trabalho de investigação consistentes.
Análise Multiplataforma: Correlação de ameaças do Microsoft 365 com eventos de segurança de infraestrutura, alertas de carga de trabalho na nuvem e sinais de segurança de terceiros

IR-3.2: Configurar alertas avançados do Microsoft Defender para Nuvem

O Defender XDR detecta ataques sofisticados, mas a otimização da qualidade do alerta requer ajuste de configuração para minimizar falsos positivos, mantendo a cobertura abrangente de ameaças em toda a infraestrutura e cargas de trabalho do Azure. Alertas avançados com análise de IA identificam ameaças genuínas de atividades operacionais benignas, evitando a fadiga de alertas que faz com que os analistas percam avisos críticos em meio a ruídos. A integração com plataformas de gerenciamento de incidentes transforma alertas brutos em eventos de segurança acionáveis com o roteamento e a orquestração de resposta apropriados dos stakeholders.

Otimize a detecção de ameaças de infraestrutura do Azure por meio de alertas avançados:

Implemente o Microsoft Defender para Nuvem com alertas avançados e ajuste adequado para gerar alertas de segurança de alta qualidade para a infraestrutura e cargas de trabalho do Azure com falsos positivos mínimos. O Defender para Nuvem fornece detecção de ameaças alimentada por IA em recursos do Azure com aprendizado contínuo.

Configuração avançada de alertas:

Habilitação do plano do Defender: Habilite os planos apropriados do Defender, incluindo o Defender para Servidores, o Defender para Serviço de Aplicativo, o Defender para Armazenamento, o Defender para Contêineres e o Defender para Key Vault com base em tipos de carga de trabalho
Integração de Inteligência contra Ameaças: Correlação automática com feeds de inteligência contra ameaças da Microsoft, assinaturas de ataque global e indicadores mal-intencionados conhecidos para precisão de detecção aprimorada
Análise Comportamental do Machine Learning: Análise comportamental controlada por IA detectando atividades anômalas, como padrões de logon incomuns, escalonamentos de privilégios e anomalias de acesso a dados
Regras de supressão de alerta personalizadas: Supressão de alerta inteligente para falsos positivos conhecidos, mantendo a cobertura para ameaças genuínas com revisão e validação regulares
Calibragem de gravidade do alerta: Atribuição de severidade de alerta adequada com base no impacto real dos negócios, na criticidade dos ativos e nos níveis de confiança de inteligência contra ameaças
Integração com o Defender XDR: Encaminhamento automático de alertas do Defender para Nuvem para o portal do Microsoft Defender XDR para correlação unificada de incidentes com eventos de segurança do Microsoft 365

Integração com o Azure Sentinel:

Conector de dados do Azure Sentinel: Conector nativo para transmissão contínua de alertas do Defender for Cloud para o Microsoft Sentinel, permitindo capacidades avançadas de correlação e investigação.
Enriquecimento de alerta no Sentinel: Enriquecimento automático de alertas do Defender com contexto adicional, incluindo análise de comportamento do usuário, inteligência contra ameaças e eventos de segurança relacionados
Correlação entre cargas de trabalho: Correlação de alertas em várias cargas de trabalho e serviços do Azure para identificar ataques coordenados e padrões complexos de ameaças
Regras de análise personalizadas: Regras de análise avançadas baseadas em KQL para padrões de detecção de ameaças específicos da organização e correlação de lógica de negócios
Integração de busca de ameaças: Integração dos alertas do Defender com os recursos de busca de ameaças do Microsoft Sentinel para investigação proativa de ameaças

IR-3.3: Implementar a criação e o enriquecimento automatizados de incidentes

Os alertas de segurança gerados, mas não transformados em incidentes gerenciados, criam fluxos de trabalho de investigação desconectados em que o contexto crítico, as atribuições de stakeholders e o acompanhamento de resposta permanecem processos manuais propensos a erros e atrasos humanos. A criação automatizada de incidentes consolida alertas relacionados em casos unificados com enriquecimento inteligente que inclui inteligência sobre ameaças, contexto do usuário e criticidade dos ativos antes da revisão por analistas. A automação da classificação e a designação das partes interessadas garantem que os incidentes sejam encaminhados imediatamente para as equipes apropriadas com base nas características da ameaça e no impacto sobre os negócios, em vez de aguardar decisões manuais de triagem.

Transformar alertas em incidentes acionáveis por meio da automação:

Implemente a criação automatizada de incidentes do Microsoft Sentinel com enriquecimento inteligente, classificação e atribuição das partes interessadas para eficiência consistente no gerenciamento e na resposta.

Criação automatizada de incidentes:

Configuração da regra de análise: Regras de análise abrangentes para converter alertas de alta qualidade em incidentes com níveis de severidade apropriados e critérios de classificação
Lógica de agrupamento de incidentes: Agrupamento inteligente de alertas relacionados em incidentes únicos para evitar fragmentação e garantir escopo de investigação abrangente
Mapeamento e enriquecimento de entidades: Extração e mapeamento automático de entidades (usuários, hosts, endereços IP, arquivos) com enriquecimento de inteligência de ameaças e dados históricos
Pontuação e priorização de severidade: Pontuação automatizada de severidade com base em vários fatores, incluindo a criticidade do ativo, os níveis de risco do usuário e a sofisticação da técnica de ataque
Atribuição e escalonamento do responsável: Atribuição automatizada de incidentes para equipes de resposta apropriadas com procedimentos de escalonamento para incidentes críticos não tratados

Gerenciamento de incidentes do Microsoft Sentinel:

Criação da linha do tempo do incidente: Geração automática de linhas do tempo de incidentes com alertas, atividades do usuário e eventos do sistema relacionados para contexto de investigação abrangente
Automação de Coleta de Evidências: Coleta automatizada de evidências relevantes, incluindo logs do sistema, atividades do usuário, fluxos de rede e hashes de arquivo para suporte à investigação
Integração das Ferramentas de Colaboração: Integração com o Microsoft Teams, o ServiceNow e outras plataformas de colaboração para comunicação e coordenação diretas de incidentes
SLA e Acompanhamento de Métricas: Acompanhamento automatizado de SLAs de resposta a incidentes, incluindo tempo de confirmação, tempo de investigação e tempo de resolução
Automação de guias estratégicos: Execução de guia estratégico disparada para tipos comuns de incidentes, incluindo contenção automatizada, coleta de evidências e notificação de partes interessadas

Exemplo de implementação

Uma organização implementou alertas avançados e criação automatizada de incidentes para melhorar a precisão da detecção de ameaças e garantir uma resposta rápida a incidentes de segurança, reduzindo as taxas de falsos positivos, mantendo uma cobertura abrangente.

Desafio: A organização experimentou altas taxas falsas positivas de alertas de segurança, causando fadiga de alerta e resposta atrasada a ameaças genuínas, com processos manuais de criação de incidentes criando escopo de investigação inconsistente e eventos de segurança perdidos.

Abordagem da solução:

Proteção abrangente habilitada do Microsoft Defender para a Nuvem, incluindo o Defender para Servidores, Armazenamento e Key Vault com limites de alerta personalizados
Regras de análise do Microsoft Sentinel configuradas com padrões de ameaça específicos da organização, incluindo acesso a dados não autorizados, consultas de banco de dados incomuns e padrões de autenticação anômalas
Implementação da criação automatizada de incidentes com agrupamento inteligente reduzindo o volume de incidentes, garantindo um escopo de investigação abrangente para eventos de segurança relacionados
Enriquecimento de entidades implantadas correlacionando automaticamente contas de usuário com grupos do Microsoft Entra ID, níveis de acesso privilegiado e históricos de incidentes de segurança.
Criaram guias estratégicos automatizados para investigação de incidentes, incluindo coleta de evidências, notificação de partes interessadas e fluxos de trabalho de relatórios regulatórios
Monitoramento de SLA estabelecido acompanhando tempos de resposta a incidentes com escalonamento automatizado para respostas atrasadas

Resultado: Reduziu substancialmente as taxas de falsos positivos por meio do ajuste de alerta, mantendo uma cobertura abrangente de ameaças. A criação automatizada de incidentes reduziu significativamente o tempo de investigação ao agrupar alertas de forma inteligente e enriquecer entidades, melhorando a eficiência da investigação.

Nível de criticidade

Deve ter.

Mapeamento de controle

NIST SP 800-53 Rev.5: SI-4, SI-4(1), SI-4(2), SI-4(4), IR-4(1), IR-5
PCI-DSS v4: 5.3.2, 10.6.1, 10.6.2, 11.5.1
Controles CIS v8.1: 8.11, 13.1, 13.2, 17.4
NIST CSF v2.0: DE.CM-1, DE.CM-4, DE.CM-7, DE.AE-1, DE.AE-2
ISO 27001:2022: A.8.16, A.5.24, A.5.26
SOC 2: CC7.2, CC7.3

IR-4: Detecção e análise – investigar um incidente

Azure Policy: Confira as definições de política internas do Azure: IR-4.

Princípio de segurança

Implemente recursos abrangentes de investigação de incidentes usando serviços de segurança nativos do Azure, ferramentas forenses e procedimentos sistemáticos de investigação para garantir a compreensão completa do escopo de ataque, preservação de evidências e planejamento eficaz de contenção.

Risco a mitigar

Recursos inadequados de investigação de incidentes impedem que as organizações compreendam o escopo do ataque, identifiquem as causas raiz e implementem medidas efetivas de contenção, permitindo que os invasores mantenham a persistência e continuem atividades mal-intencionadas. Sem recursos de investigação abrangentes:

Escopo de ataque incompleto: A visibilidade limitada da progressão, da movimentação lateral e do acesso a dados impede a contenção e permite pontos de apoio ocultos.
Exposição de dados desconhecida: A falha na identificação de dados acessados, modificados ou exfiltrados cria violações de conformidade e impede uma notificação de violação precisa.
Mecanismos de persistência de ataque não detectados: Investigação inadequada que falha em identificar backdoors, tarefas agendadas, modificações de registro ou outros mecanismos de persistência, permitindo que os invasores recuperem o acesso após os esforços iniciais de remediação.
Destruição e adulteração de evidências: A falta de procedimentos adequados de preservação de evidências permite que evidências forenses críticas sejam substituídas, modificadas ou excluídas durante a investigação, comprometendo processos legais e análise de causa raiz.
Tempo de habitação estendido e danos: A investigação ineficaz prolonga a presença do invasor no ambiente, aumentando a exposição de dados, os danos no sistema e o impacto nos negócios, prejudicando a confiança nos controles de segurança.
Incidentes recorrentes de remediação incompleta: Falhar em identificar todos os vetores de ataque e pontos de entrada resulta em comprometimento novamente através das mesmas vulnerabilidades e caminhos de ataque.

Os recursos de investigação ruins agravam os danos, impedindo a resposta, permitindo a atividade contínua do invasor e prejudicando o aprendizado.

MITRE ATT&CK

Evasão de Defesa (TA0005): remoção de indicadores (T1070) visando a exclusão de logs e evidências para impedir a investigação e análise dos métodos de ataque e escopo.
Evasão de Defesa (TA0005): exclusão de arquivo (T1070.004) removendo arquivos mal-intencionados e artefatos antes que a coleção forense possa preservar evidências.
Persistência (TA0003): arquivos e diretórios ocultos (T1564.001) ocultando backdoors e mecanismos de persistência de esforços superficiais de investigação.
Descoberta (TA0007): descoberta de informações do sistema (T1082) coletando informações do sistema para entender os recursos de investigação e evitar mecanismos de detecção.

IR-4.1: implementar a coleta e a análise abrangentes de logs

A investigação de incidentes falha sem que dados de log abrangentes capturem eventos de autenticação, tráfego de rede, alterações de configuração e atividades de aplicativo que revelam métodos de invasor e escopo de comprometimento de infraestrutura. A análise de log centralizada por meio do Azure Monitor e do Microsoft Sentinel transforma o log distribuído em funcionalidade de investigação unificada, permitindo que consultas em várias fontes de log construam linhas do tempo de ataque completas. Recursos avançados de consulta e análise de correlação identificam padrões invisíveis em fontes de log individuais, revelando ataques sofisticados que evitam a detecção de origem única.

Permita uma investigação forense abrangente por meio do registro em log centralizado:

Implemente uma coleção de logs abrangente em serviços e cargas de trabalho do Azure com análise centralizada por meio do Azure Monitor, do Microsoft Sentinel e do Azure Log Analytics para investigação e perícia eficazes.

Estratégia de coleta de logs do Azure:

Logs de auditoria e de entrada do Microsoft Entra ID: Registro completo de autenticação e autorização com análise de risco, avaliação da política de acesso condicional e monitoramento de operações privilegiadas
Logs de Atividades do Azure: Operações abrangentes do plano de controle, incluindo modificações de recursos, alterações de política e atividades administrativas em todos os serviços do Azure (Logs de Atividades do Azure).
Logs de Fluxo do Grupo de Segurança de Rede: Análise de tráfego de rede com mapeamento de origem/destino, análise de protocolo e identificação de padrão de conexão para detecção de movimento lateral (logs de fluxo do NSG).
Implantação do Agente do Azure Monitor: Implantação sistemática do Agente do Azure Monitor em todas as VMs e unidades de dimensionamento de máquinas virtuais para registro no nível do sistema.
Logs de aplicativos e serviços: Registro de logs de aplicativos personalizados com formatos estruturados, IDs de correlação e categorização de eventos de segurança para investigação de lógica de negócios.
Integração de dados do Microsoft Defender XDR: Coleta automática de sinais de ponto de extremidade, identidade, email e aplicativo de nuvem do ambiente do Microsoft 365 para correlação unificada de ameaças

Recursos de investigação do Microsoft Sentinel:

Análise de comportamento de entidade: Análise orientada por IA do comportamento de usuário e entidade com detecção de anomalias e pontuação de risco para priorização de investigação
Grafo de investigação: Interface de investigação visual mostrando relações de entidade, linhas do tempo de ataque e correlação de evidências para análise abrangente de incidentes
Pastas de trabalho de busca de ameaças: Pastas de trabalho predefinidas para busca sistemática de ameaças com consultas KQL, visualizações e fluxos de trabalho de investigação
Mapeamento do MITRE ATT&CK Framework: Mapeamento automático de atividades detectadas para técnicas MITRE ATT&CK para reconhecimento de padrão de ataque e análise de lacuna de defesa
Investigação entre múltiplos workspaces: Recursos de investigação em vários workspaces da Log Analytics para ambientes empresariais em larga escala

IR-4.2: Estabelecer capacidades forenses e de preservação de evidências

Atrasos na coleta de evidências e tratamento inadequado comprometem a integridade forense, tornando as conclusões da investigação inadmissíveis em processos legais, permitindo que os invasores cubram suas ações através da destruição de evidências. A preservação automatizada de evidências usando instantâneos de máquina virtual, backups de disco e despejos de memória captura o estado do sistema imediatamente após a detecção de incidentes, antes que ocorra manipulação por adversário. O armazenamento imutável com políticas de retenção legal garante a integridade das evidências ao longo da investigação e possíveis processos legais, mantendo a cadeia de custódia necessária para conformidade regulatória e processo.

Preservar evidências forenses por meio de coleta automatizada:

Implemente a preservação sistemática de evidências usando instantâneos de VM do Azure, Backup de Disco do Azure, coleta de despejo de memória e armazenamento imutável para garantir a integridade forense e dar suporte a processos legais.

Automação de coleta de evidências:

Automação de instantâneo de VM do Azure: Automação com PowerShell e modelo ARM para criar instantâneos de VM em um ponto no tempo durante a resposta a incidentes com marcação de metadados e políticas de retenção (Criar um instantâneo).
Integração do Backup de Disco do Azure: Disparo de backup automatizado durante incidentes que envolvem políticas de retenção legal e retenção prolongada nos cofres do Azure Backup (visão geral do Azure Backup).
Coleção de Despejo de Memória: Coleta sistemática de despejo de memória usando extensões do Azure e comunicação remota do PowerShell para preservação de evidências voláteis
Exportação e preservação de logs: Exportação automatizada de logs do Azure Monitor, logs de ID do Microsoft Entra e logs de eventos de segurança para o Armazenamento do Azure imutável com políticas de retenção legal (armazenamento imutável de blobs).
Captura de pacote de rede: Automação de captura de pacotes do Observador de Rede do Azure disparada por incidentes de segurança para análise forense de rede (captura de pacotes).

Integração de ferramentas de análise forense:

Integração do Microsoft Defender para a Nuvem: Coleta automatizada de evidências disparada por alertas de alta gravidade com correlação com cronogramas de investigação
Suporte à ferramenta forense de terceiros: Integração com ferramentas forenses de terceiros por meio da montagem do Armazenamento do Azure e da transferência segura de evidências
Procedimentos da cadeia de custódia: Documentação automatizada da cadeia de custódia com hash criptográfico, assinaturas digitais e registro de acesso para requisitos de evidências legais
Políticas de retenção de evidências: Imposição automatizada da política de retenção com requisitos de conformidade para diferentes tipos de incidentes e estruturas regulatórias
Replicação de evidências entre regiões: Replicação de evidências geográficas para recuperação de desastre e requisitos jurisdiccionais com controles de criptografia e acesso

Exemplo de implementação

Uma organização de serviços financeiros implementou recursos abrangentes de investigação de incidentes para dar suporte aos requisitos regulatórios da SEC e proteger contra sofisticados ataques de fraude financeira, garantindo recursos completos de coleta e análise de evidências forenses.

Desafio: A organização de serviços financeiros não tinha recursos forenses abrangentes para investigar ataques sofisticados de fraude financeira, com processos manuais de coleta de evidências criando risco de perda de evidências e incapacidade de atender às linhas do tempo de investigação da SEC que exigem documentação completa do escopo do ataque.

Abordagem da solução:

Implantado o Microsoft Defender para Endpoint em todas as máquinas virtuais, com detecção de atividades mal-intencionadas, através de recursos de monitoramento de comportamento e análise de scripts, incluindo atividades do PowerShell, injeção de processos e roubo de credenciais.
Configurado o Microsoft Sentinel com análise de comportamento de entidade detectando padrões de negociação incomuns, acesso não autorizado ao sistema e transações financeiras suspeitas
Procedimentos automatizados de captura de instantâneos de VM, acionados por alertas de segurança críticos, capturam o estado completo do sistema em até 5 minutos para preservação forense
Estabelecido o Armazenamento Imutável do Azure com políticas de retenção legal que garantem a integridade de evidências para requisitos de investigação da SEC e suporte a litígios
Criou consultas de busca avançada do Microsoft Defender XDR para padrões de fraude financeira, incluindo atividade de negociação após o expediente, padrões incomuns de acesso a dados e uso indevido de conta privilegiada entre pontos de extremidade, identidades e aplicativos de nuvem
Implantado o Observador de Rede do Azure com captura automatizada de pacotes para incidentes suspeitos de uso de informações privilegiadas, fornecendo funcionalidades forenses de rede completas

Resultado: Conseguiu recursos abrangentes de investigação forense com preservação automatizada de evidências garantindo a conformidade da SEC. Redução substancial do tempo de investigação com consultas de busca avançadas e análise de comportamento de entidade, permitindo identificação rápida do escopo de ataque e documentação completa da cadeia de evidências.

Nível de criticidade

Deve ter.

Mapeamento de controle

NIST SP 800-53 Rev.5: IR-4, IR-4(1), IR-4(4), AU-6, AU-6(1), AU-6(3), AU-7
PCI-DSS v4: 10.6.1, 10.6.2, 10.6.3, 12.10.4, 12.10.5
Controles CIS v8.1: 8.2, 8.5, 8.11, 13.2, 17.4
NIST CSF v2.0: DE.AE-2, DE.AE-3, RS.AN-1, RS.AN-2, RS.AN-3
ISO 27001:2022: A.5.24, A.5.25, A.5.28, A.8.16
SOC 2: CC7.2, CC7.4, A1.2

IR-5: detecção e análise - priorizar incidentes

Azure Policy: Confira as definições de política internas do Azure: IR-5.

Princípio de segurança

Implemente a priorização sistemática de incidentes com base na criticidade do ativo, no impacto nos negócios, na gravidade das ameaças e nos requisitos regulatórios usando a pontuação e a classificação automatizadas para garantir o tempo de alocação e resposta de recursos apropriados.

Risco a mitigar

A baixa priorização de incidentes leva a recursos de segurança mal alocados, resposta atrasada a ameaças críticas e aumento do impacto nos negócios devido a incidentes de segurança. Sem priorização sistemática:

Resposta de ameaça crítica atrasada: Incidentes de alto impacto recebem atenção inadequada enquanto os recursos se concentram em eventos de menor prioridade.
Esgotamento de recursos em eventos de baixa prioridade: As equipes investigam pequenos incidentes enquanto ataques sofisticados progridem em sistemas de alto valor.
Amplificação do impacto nos negócios: A falta de reconhecimento de criticidade de ativos resulta em tempo de inatividade estendido para sistemas de geração de receita, ao mesmo tempo em que se concentra em problemas de infraestrutura não críticos.
Escalonamento de violação regulatória: Incidentes envolvendo PII (informações de identificação pessoal), PHI (informações de integridade protegidas) ou dados financeiros recebem priorização inadequada, levando a prazos de notificação perdidos e violações de conformidade.
Comunicação ineficaz com stakeholders: A ausência de critérios claros de priorização impede a notificação executiva apropriada e a alocação de recursos para incidentes que exigem envolvimento de liderança sênior.
Progressão de ataque durante a despriorização: Invasores sofisticados exploram lacunas de priorização para conduzir a movimentação lateral e a exfiltração de dados, enquanto as equipes de segurança se concentram em táticas de desvio ou eventos de menor prioridade.

A priorização inadequada impede a alocação de recursos e o tempo de resposta apropriados com base no risco de negócios.

MITRE ATT&CK

Evasão de Defesa (TA0005): mascaramento (T1036) criando inúmeros alertas de baixa prioridade para sobrecarregar as equipes de segurança enquanto conduz atividades de alto impacto em sistemas comercialmente críticos.
Impacto (TA0040): dados criptografados para impacto (T1486) direcionados a sistemas de alto valor, enquanto as equipes de segurança se distraem com incidentes de menor prioridade.
Movimento Lateral (TA0008): serviços remotos (T1021) progredindo por meio de redes de alto valor, enquanto as lacunas de priorização impedem o foco apropriado no comprometimento crítico do ativo.

IR-5.1: Implementar a crítica de ativos e a avaliação de impacto nos negócios

A priorização de incidentes sem contexto empresarial trata todos os eventos de segurança igualmente, sobrecarregando as equipes de resposta com alertas, enquanto incidentes críticos que afetam os negócios recebem atenção insuficiente devido à importância indistinguível. A classificação de ativos com base na criticidade dos negócios, na dependência de receita e no escopo regulatório permite a priorização baseada em risco que concentra recursos de resposta limitados em incidentes que afetam sistemas críticos da organização. A pontuação automatizada de impacto nos negócios transforma a priorização subjetiva na tomada de decisões controlada por dados, garantindo que incidentes que ameaçam danos financeiros, operacionais ou de reputação recebam escalonamento imediato.

Habilite a priorização de incidentes baseada em risco por meio da análise de impacto nos negócios:

Implemente a classificação abrangente de ativos e a avaliação de impacto nos negócios usando as Marcas de Recursos do Azure, o inventário de ativos do Microsoft Defender para Nuvem e a pontuação de impacto nos negócios para a priorização de incidentes baseada em risco.

Classificação e marcação de ativos:

Marcação de recursos baseada em criticidade: Marcação sistemática de recursos do Azure com níveis de criticidade (Crítico, Alto, Médio, Baixo) com base na avaliação de impacto nos negócios e na dependência de receita
Integração de classificação de dados: Integração com a classificação de dados do Microsoft Purview para priorização automática de incidentes envolvendo categorias de dados confidenciais
Mapeamento de funções de negócios: Marcação de recursos com associações de funções de negócios habilitando a avaliação de impacto rápido para incidentes que afetam recursos de negócios específicos
Identificação de escopo regulatório: Marcação de recursos sujeitos a requisitos regulatórios específicos (PCI-DSS, HIPAA, SOX) para procedimentos apropriados de escalonamento e notificação de incidentes
Informações sobre responsável e contato: Etiquetagem de recursos com contatos do responsável pelo negócio e dados de suporte técnico para notificação rápida das partes interessadas durante incidentes

Integração do Microsoft Defender para Nuvem:

Inventário de ativos e avaliação de risco: Inventário abrangente de ativos com pontuação de postura de segurança e avaliação de vulnerabilidade para priorização baseada em risco
Correlação de impacto nos negócios: Correlação de alertas de segurança com marcas de criticidade de ativos para ajuste automático de severidade de incidentes e pontuação de priorização
Mapeamento de conformidade regulatória: Integração com avaliações de conformidade para escalonamento automático de incidentes que afetam recursos regulamentados por conformidade
Análise da Superfície de Ataque: Visibilidade da superfície de ataque com priorização de incidentes envolvendo recursos expostos pela Internet ou de alto privilégio
Priorização da recomendação de segurança: Priorização baseada em risco de recomendações de segurança com consideração de impacto nos negócios e diretrizes de linha do tempo de correção

IR-5.2: Configurar a pontuação e o escalonamento automatizados de severidade

As classificações de severidade de incidentes estáticos ignoram o contexto empresarial e os fatores ambientais, resultando em incidentes críticos que afetam os negócios recebendo atenção insuficiente enquanto alertas de baixo impacto consomem recursos de resposta desproporcional. A pontuação automatizada de severidade considera a criticidade do ativo, o escopo regulatório, as populações de usuários afetadas e os indicadores de ameaça para calcular pontuações de prioridade dinâmica que refletem o risco real dos negócios em vez de categorias de alerta genéricas. O escalonamento baseado em tempo garante que incidentes críticos não reconhecidos ou não resolvidos disparem automaticamente a notificação de liderança, impedindo que eventos críticos parassem em filas enquanto analistas lidam com casos de rotina.

Calcule a prioridade de incidentes baseada em risco por meio da pontuação automatizada:

Implemente a pontuação automatizada de severidade do Microsoft Sentinel com regras de análise personalizada e fluxosde trabalho de escalonamento para priorização e alocação de recursos apropriadas com base em vários fatores de risco.

Pontuação de severidade automatizada:

Pontuação de risco multifator: Algoritmo de pontuação abrangente considerando a criticidade do ativo, a confidencialidade dos dados, a confiança de inteligência contra ameaças e o potencial impacto nos negócios
Pontuação de risco de entidade do Microsoft Sentinel: Pontuação de risco de entidade alimentada por IA para usuários, dispositivos e endereços IP com análise de comportamento histórico e detecção de anomalias
Integração de Inteligência de Ameaças: Ajuste automático de severidade com base em feeds de inteligência de ameaças, infraestrutura conhecida de atacantes e atribuição de campanha
Avaliação de impacto de conformidade: Escalonamento automático de severidade para incidentes envolvendo dados protegidos por regulamentação com fluxos de trabalho de notificação apropriados
Regras de escalonamento baseadas em tempo: Procedimentos de escalonamento automatizados para incidentes não reconhecidos com limites de tempo apropriados para severidade e notificação de partes interessadas

Fluxos de trabalho de escalonamento e notificação:

Gatilhos de notificação executiva: Notificação executiva automatizada para incidentes críticos envolvendo sistemas comercialmente críticos ou possíveis violações regulatórias
Integração da Equipe Jurídica: Notificação automática da equipe jurídica para incidentes envolvendo violações de dados, propriedade intelectual ou problemas de conformidade regulatória

Exemplo de implementação

Uma organização implementou uma priorização abrangente de incidentes para proteger dados confidenciais e garantir a continuidade dos negócios, permitindo a alocação de recursos apropriada com base no impacto nos negócios e nos requisitos regulatórios.

Desafio: A organização lutou com a alocação de recursos apropriada durante incidentes de segurança simultâneos, com processos manuais de priorização causando resposta atrasada a incidentes críticos do sistema de negócios e escalonamento inconsistente para executivos para eventos de alto impacto.

Abordagem da solução:

Estratégia de marcação de recursos do Azure implementada classificando todos os recursos por comercialidade com sistemas comerciais críticos marcados como "Críticos" e sistemas não essenciais como "Baixo"
Configurado Microsoft Sentinel com algoritmos de pontuação personalizados que pesam o escopo regulatório, a sensibilidade dos dados e o impacto nos negócios para priorização de incidentes
Fluxos de trabalho de escalonamento automatizados implantados notificando imediatamente executivos e equipes legais sobre incidentes envolvendo dados regulamentados ou sistemas de negócios críticos
Automação de avaliação de impacto nos negócios criada calculando o potencial impacto nos negócios com base nos sistemas afetados e nos dados operacionais históricos
Procedimentos de escalonamento baseados em tempo estabelecidos com notificação executiva de 15 minutos para incidentes críticos e escalonamento de 4 horas para eventos de alta prioridade não reconhecidos
Alertas integrados de prevenção contra perda de dados do Microsoft Purview com priorização de incidentes, garantindo escalonamento automático para incidentes envolvendo dados confidenciais

Resultado: Melhor alocação de recursos de resposta a incidentes com priorização automatizada, garantindo que incidentes críticos receberam atenção imediata. Reduziu substancialmente o tempo de notificação executiva para incidentes críticos, eliminando escalonamentos desnecessários para eventos de baixa prioridade.

Nível de criticidade

Deveria ter.

Mapeamento de controle

NIST SP 800-53 Rev.5: IR-4(2), IR-4(4), IR-5, RA-2, RA-3
PCI-DSS v4: 12.5.1, 12.10.5
Controles CIS v8.1: 1.1, 1.2, 17.4, 17.5
NIST CSF v2.0: DE. AE-1, RS. AN-1, RS. AN-5
ISO 27001:2022: A.5.24, A.5.27, A.8.8
SOC 2: CC7.3, A1.1

IR-6: Contenção, erradicação e recuperação – automatizar o tratamento de incidentes

Princípio de segurança

Implemente a automação abrangente de resposta a incidentes por meio de guias estratégicos do Microsoft Sentinel, aplicativos lógicos e Power Automate para habilitar a contenção rápida, procedimentos de resposta consistentes e tratamento escalonável de incidentes que correspondem à velocidade de ataques automatizados.

Risco a mitigar

Processos manuais de resposta a incidentes criam atrasos perigosos que permitem que os invasores causem o máximo de danos, estabeleçam acesso persistente e concluam seus objetivos enquanto as equipes de segurança lutam com procedimentos manuais demorados. Sem automação:

Tempos de resposta estendidos: A contenção manual leva horas ou dias enquanto os ataques automatizados completam os objetivos em minutos.
Erro humano sob pressão: Os procedimentos manuais produzem erros, incluindo contenção incompleta, destruição de evidências e recuperação incorreta.
Resposta inconsistente entre incidentes: Processos manuais levam a variações na qualidade da resposta, etapas perdidas e correção incompleta, dependendo da experiência e disponibilidade do analista durante incidentes.
Burnout do analista e esgotamento de recursos: Tarefas manuais repetitivas durante a resposta a incidentes consomem tempo e energia do analista, reduzindo a capacidade de investigação complexa e atividades estratégicas de busca de ameaças.
Limitações de escalabilidade durante incidentes generalizados: As organizações não podem responder efetivamente a vários incidentes simultâneos ou ataques em larga escala ao depender de procedimentos manuais que exigem atenção de analistas individuais.
Contenção atrasada permitindo amplificação de danos: Os procedimentos de isolamento manual levam muito tempo para impedir a movimentação lateral, a exfiltração de dados e o comprometimento do sistema em ataques rápidos, como ransomware.

A resposta manual não pode corresponder à velocidade e à escala de ataque automatizadas.

MITRE ATT&CK

Movimento Lateral (TA0008): exploração de serviços remotos (T1210) progredindo rapidamente pelas redes, enquanto os procedimentos manuais de contenção não acompanham a progressão do ataque.
Impacto (TA0040): dados criptografados causando impacto (T1486) ao implantar ransomware em vários sistemas, enquanto as tentativas manuais de isolamento não conseguem acompanhar a velocidade de ataque.
Exfiltração (TA0010): exfiltração automatizada (T1020) concluindo operações de roubo de dados durante tempos de resposta manuais estendidos.

IR-6.1: Implantar guias estratégicos de resposta automatizados do Microsoft Sentinel

As ações manuais de resposta a incidentes introduzem atrasos críticos que permitem que os adversários progridam por meio de cadeias de ataque enquanto os analistas executam procedimentos de contenção, com velocidade de resposta limitada por humanos permitindo que os invasores alcancem objetivos antes da implantação de contramedidas efetivas. Guias estratégicos automatizados executam ações de contenção, investigação e recuperação na velocidade do computador, isolando sistemas comprometidos, desabilitando contas violadas e bloqueando a infraestrutura mal-intencionada em segundos, em vez de horas de resposta controlada por humanos. Procedimentos automatizados padronizados garantem uma qualidade de resposta consistente, independentemente do nível de experiência do analista ou do volume de incidentes, eliminando a variabilidade que causa etapas de contenção perdidas durante a resposta a incidentes de alta pressão.

Execute uma resposta rápida consistente por meio da automação:

Implemente Playbooks do Microsoft Sentinel com a integração dos Azure Logic Apps para automatizar ações comuns de resposta a incidentes, incluindo contenção, investigação e recuperação. Os guias estratégicos fornecem uma resposta consistente e rápida em escala.

Principais categorias do manual:

Playbooks de resposta de contas de usuário: desabilitação automatizada de contas de usuário, redefinição de senha, encerramento de sessão e revogação de privilégios com fluxos de trabalho de aprovação para prevenção de falso positivo
Manuais de isolamento do dispositivo: Isolamento automatizado de VM por meio da modificação de Grupo de Segurança de Rede, implantação de regra do Firewall do Azure e segmentação de rede virtual
Guias estratégicos de resposta a malware: Quarentena automatizada de arquivos, bloqueio de hash no Azure Defender e implantação de assinatura no Windows Defender em toda a organização
Guias estratégicos de proteção de dados: Revisão automatizada de classificação de dados, revogação de acesso e rotação de chave de criptografia para incidentes envolvendo exposição de dados
Guias estratégicos de comunicação e notificação: Notificação automatizada de partes interessadas, comunicação com o cliente e relatórios regulatórios com fluxos de trabalho para aprovação e mensagens padronizadas.

Recursos de integração:

Integração da ID do Microsoft Entra: Gerenciamento automatizado de conta de usuário, modificação de política de acesso condicional e ações privilegiadas de gerenciamento de identidade por meio da API do Microsoft Graph
Integração do Microsoft Defender: Busca automatizada de ameaças, indicador de bloqueio de comprometimento (IoC) e implementação de recomendação de segurança em plataformas do Defender
Gerenciamento de Recursos do Azure: Isolamento automatizado de recursos, alterações de configuração e gatilho de backup por meio de APIs do Azure Resource Manager
Integração SOAR de Terceiros: Integração com o ServiceNow, o Phantom e outras plataformas de Orquestração, Automação e Resposta de Segurança através de APIs REST
Aprovação e validação humana: Fluxos de trabalho de aprovação configuráveis para ações automatizadas de alto impacto com procedimentos de tempo limite e mecanismos de escalonamento

IR-6.2: implementar procedimentos automatizados de contenção e isolamento

Os atrasos de contenção permitem que os adversários estabeleçam mecanismos de persistência, exfiltrarem dados ou implantem ransomware enquanto os procedimentos de isolamento manual progridem por meio de cadeias de aprovação e alterações de configuração, com a progressão de ataque geralmente superando as funcionalidades de resposta humana. A contenção automatizada por meio de isolamento de rede, desabilitação de conta e quarentena do sistema é executada em segundos após a detecção, interrompendo cadeias de ataque antes que os adversários atinjam objetivos. A automação de contenção pré-autorizada remove gargalos de decisão humana durante janelas de resposta crítica quando minutos de atraso determinam a diferença de resultados de incidentes entre a intrusão contida e a violação de dados bem-sucedida.

Impedir a progressão de ataque por meio de contenção automatizada imediata:

Implante isolamento de rede automatizado, desabilitação de conta e quarentena do sistema usando a Automação do Azure (runbooks: visão geral da Automação do Azure), a Azure Policy (visão geral do Azure Policy) e o Microsoft Defender para contenção rápida impedindo a progressão de ataque.

Automação de isolamento de rede:

Automação do Grupo de Segurança de Rede do Azure: Modificação automatizada das regras do Grupo de Segurança de Rede para isolar máquinas virtuais comprometidas, preservando o acesso à investigação (Gerenciar NSGs).
Implantação de regra de firewall do Azure: Implantação rápida de regras do Firewall do Azure bloqueando endereços IP mal-intencionados, domínios e padrões de comunicação identificados durante incidentes usando o Firewall do Azure.
Isolamento de rede virtual: Segmentação de rede virtual automatizada e isolamento de sub-rede para evitar movimento lateral durante incidentes ativos
Atualizações do Balanceador de Carga e do Gerenciador de Tráfego: Remoção automatizada de recursos comprometidos de pools de balanceador de carga e roteamento de tráfego para evitar o impacto do cliente
Isolamento de ExpressRoute e VPN: Modificação automatizada de políticas de roteamento para isolar segmentos de rede comprometidos de ambientes locais

Automação de controle de contas e acesso:

Acesso condicional do Microsoft Entra: Implantação automatizada da política de acesso condicional bloqueando o acesso de contas, dispositivos ou locais comprometidos (visão geral do Acesso Condicional).
Privileged Identity Management: Revogação automatizada de atribuições de acesso privilegiado e acesso just-in-time para contas comprometidas (visão geral do PIM).

Exemplo de implementação

Uma organização implementou uma automação abrangente de resposta a incidentes para reduzir os tempos de resposta de horas para minutos, mantendo a conformidade regulatória.

Desafio: A organização apresentou uma resposta a incidentes atrasada com processos de contenção manuais que levam horas permitindo a movimentação lateral do invasor, com procedimentos de resposta inconsistentes criando lacunas na documentação de conformidade regulatória e trilhas de auditoria.

Abordagem da solução:

Guias estratégicos implantados do Microsoft Sentinel para suspensão automatizada de conta de usuário e isolamento de dispositivo disparado por alertas de segurança de alta confiança
Implementou runbooks da Automação do Azure para o isolamento rápido de máquinas virtuais, preservando evidências forenses e impedindo o movimento lateral para sistemas críticos
Criados fluxos de trabalho de Apps Lógicos para notificação automatizada de partes interessadas, incluindo equipes jurídicas, oficiais de conformidade e executivos com procedimentos de escalonamento adequados à severidade.
Configurado Azure Policy para remediação automática de conformidade, garantindo que sistemas isolados mantenham configurações de segurança durante procedimentos de resposta a incidentes
Fluxos de trabalho de aprovação estabelecidos para ações de automação de alto impacto com requisitos de autorização de duas pessoas para ações que afetam sistemas de produção
Fluxo de trabalho integrado com procedimentos automatizados de criação, atribuição e escalonamento de tíquetes, garantindo documentação abrangente de incidentes e trilhas de auditoria

Resultado: Redução substancial do tempo de resposta a incidentes com a contenção automatizada que corresponde à velocidade dos ataques automatizados. Guias estratégicos automatizados garantiram procedimentos de resposta consistentes com trilhas de auditoria completas que dão suporte à conformidade regulatória, enquanto a autorização de duas pessoas protegia os sistemas de produção contra erros de automação.

Nível de criticidade

Deveria ter.

Mapeamento de controle

NIST SP 800-53 Rev.5: IR-4(1), IR-4(4), IR-5(1), IR-8
PCI-DSS v4: 12.10.4, 12.10.6
Controles CIS v8.1: 17.4, 17.6, 17.7
NIST CSF v2.0: RS.RP-1, RS.MI-1, RS.MI-2, RS.MI-3
ISO 27001:2022: A.5.24, A.5.25, A.5.26
SOC 2: CC7.3, CC7.4, CC9.1

IR-7: Atividade pós-incidente - conduzir lições aprendidas e reter evidências

Princípio de segurança

Estabeleça atividades sistemáticas pós-incidente, incluindo lições abrangentes aprendidas, retenção de evidências com armazenamento imutável e melhoria contínua dos recursos de resposta a incidentes com base na experiência de incidentes do mundo real e no cenário de ameaças em evolução.

Risco a mitigar

A falha na realização de atividades sistemáticas pós-incidente cria oportunidades perdidas para aprendizado organizacional, violações de conformidade regulatória e incidentes de segurança repetidos que poderiam ser evitados por meio de lições adequadas aprendidas nos processos aprendidos. Sem procedimentos pós-incidente abrangentes:

Incidentes recorrentes: A falha na identificação e correção de lacunas fundamentais leva a ataques repetidos por meio das mesmas vulnerabilidades.
Destruição de evidências: A falta de retenção destrói evidências forenses necessárias para ações legais, pedidos de seguro e conformidade regulatória.
Obrigações de conformidade regulatória perdidas: Setores com requisitos de retenção de evidências (HIPAA, SOX, PCI-DSS, GDPR) enfrentam penalidades significativas quando as evidências não são devidamente preservadas para quadros de tempo obrigatórios.
Aprimoramentos ineficazes do controle de segurança: A ausência de lições sistemáticas aprendidas nos processos impede a identificação de lacunas de controle de segurança, levando à exposição contínua a ataques e vulnerabilidades semelhantes.
Recursos de resposta a incidentes degradados: As equipes não conseguem melhorar os procedimentos de resposta, as ferramentas e o treinamento com base na experiência real de incidentes, resultando em repetidas ineficiências e atrasos de resposta.
Conhecimento organizacional perdido: Experiências de incidentes individuais não são capturadas e compartilhadas em toda a organização, impedindo o aprendizado organizacional e o desenvolvimento de capacidade.

Falhas pós-incidente impedem a adaptação organizacional e garantem a vulnerabilidade contínua a ataques evitáveis.

MITRE ATT&CK

Persistência (TA0003): manipulação de conta (T1098) restabelecendo o acesso por meio dos mesmos vetores de ataque quando as organizações não conseguem resolver as causas raiz identificadas durante a análise pós-incidente.
Acesso Inicial (TA0001): explore o aplicativo voltado para o público (T1190) repetidamente explorando as mesmas vulnerabilidades quando a análise pós-incidente não conseguir identificar e corrigir lacunas de segurança sistêmicas.
Evasão de Defesa (TA0005): remoção de indicador (T1070) aproveitando a retenção inadequada de evidências para impedir a atribuição e a detecção futura de padrões de ataque semelhantes.

IR-7.1: Implementar processos sistemáticos de lições aprendidas

As organizações que não conseguem capturar lições aprendidas com incidentes de segurança repetem falhas evitáveis, perdendo oportunidades para fortalecer as defesas com base em padrões reais de ataque observados durante cenários reais de comprometimento em vez de ameaças teóricas. Revisões sistemáticas pós-incidente transformam eventos de segurança em aprendizado organizacional que impulsionam melhorias mensuráveis de segurança por meio de aprimoramentos de controle, refinamentos de processo e atualizações de treinamento informadas por técnicas reais de adversário. A análise de causa raiz estruturada identifica pontos fracos de segurança fundamentais em vez de lidar com sintomas de superfície, evitando a recorrência por meio de alterações arquitetônicas que eliminam classes de ataque inteiras.

Transformar incidentes em melhorias de segurança por meio do aprendizado sistemático:

As organizações devem estabelecer procedimentos abrangentes de aprendizado de lições após incidentes de segurança usando o acompanhamento de incidentes do Microsoft Sentinel, o gerenciamento de itens de trabalho do Azure DevOps e processos de melhoria estruturados para capturar aprimoramentos de conhecimento e impulsionar a segurança.

Estrutura de lições aprendidas:

Reuniões de revisão pós-incidente: Reuniões de revisão sistemática dentro de 72 horas após o fechamento de incidentes envolvendo todas as partes interessadas, incluindo respondentes técnicos, proprietários de negócios e gerenciamento sênior
Metodologia de análise de causa raiz: Análise de causa raiz estruturada usando técnicas como Five Whys, diagramas fishbone e análise de linha do tempo para identificar causas fundamentais além dos sintomas imediatos
Avaliação da lacuna de controle de segurança: Avaliação abrangente da eficácia do controle de segurança durante incidentes, incluindo recursos de detecção, procedimentos de resposta e mecanismos de prevenção
Linha do tempo e análise de decisão: Análise detalhada da linha do tempo de incidentes, pontos de decisão e eficácia da resposta para identificar melhorias no processo e necessidades de treinamento
Coleção de comentários dos stakeholders: Coleta sistemática de comentários de todos os stakeholders de incidentes, incluindo usuários, clientes e parceiros externos afetados pelo incidente

Acompanhamento de implementação de melhoria:

Integração do Azure DevOps: Criação de item de trabalho para melhorias identificadas com proprietários atribuídos, prazos e acompanhamento de progresso por meio de Quadros do Azure DevOps
Integração de roteiro de segurança: Integração de lições aprendidas em roteiros de segurança organizacional e processos estratégicos de planejamento
Métricas e desenvolvimento de KPI: Desenvolvimento dos principais KPIs (indicadores de desempenho) com base nas lições aprendidas para medir a eficácia da melhoria e o amadurecimento da resposta a incidentes
Atualizações de treinamento e conscientização: Atualizações sistemáticas para treinamento de reconhecimento de segurança, procedimentos de resposta a incidentes e documentação técnica com base nas lições aprendidas
Aprimoramento do exercício tabletop: Integração de cenários baseados em lições aprendidas em exercícios de tabletop e programas de treinamento de resposta a incidentes

IR-7.2: Estabelecer retenção de evidências e armazenamento imutável

A modificação ou exclusão de provas após a coleta compromete a integridade forense, tornando as conclusões da investigação inadmissíveis em processos legais, permitindo que os adversários declarassem evidências adulterando estratégias de defesa. O armazenamento imutável com políticas de retenção baseadas em tempo e retenção legal garante a preservação de evidências em todos os períodos de retenção regulatória e processos legais, impedindo a exclusão prematura ou modificação não autorizada. A documentação de cadeia de custódia com verificação criptográfica fornece prova legal de que as evidências permaneceram inalteradas desde a coleta até a análise, atendendo aos padrões probatórios necessários para ações judiciais e de execução regulatória.

Verifique a integridade da evidência forense por meio da preservação imutável:

As organizações devem implementar políticas de retenção imutáveis do Armazenamento do Azure, procedimentos de retenção legal e gerenciamento de evidências baseadas em conformidade para garantir a preservação adequada de evidências para processos legais, requisitos regulatórios e análise futura de incidentes.

Armazenamento de evidências imutável:

Políticas imutáveis do Armazenamento de Blobs do Azure: Políticas de retenção legal e baseadas em tempo que impedem a modificação ou exclusão de evidências durante os períodos de retenção necessários
Classificação e retenção de evidências: Classificação sistemática de tipos de evidência com períodos de retenção apropriados com base em requisitos regulatórios e considerações legais; aproveite o Microsoft Purview para classificação de dados, rotulagem de confidencialidade e políticas de retenção/ciclo de vida para alinhar o tratamento de evidências com a governança organizacional (Microsoft Purview).
Documentação da Cadeia de Custódia: Acompanhamento automatizado da cadeia de custódia com hash criptográfico, assinaturas digitais e registro em log de acesso para requisitos de evidências legais
Replicação de evidências entre regiões: Replicação de evidências geográficas para recuperação de desastre e requisitos jurisdiccionais com controles de criptografia e acesso
Pesquisa e recuperação de evidências: Recursos sistemáticos de indexação e pesquisa de evidências que permitem recuperação rápida para processos legais e análise futura de incidentes

Conformidade e requisitos legais:

Mapeamento de retenção regulatória: Mapear requisitos de retenção de evidências de forma abrangente entre os regulamentos aplicáveis (por exemplo, retenção de documentação HIPAA por 6 anos; Registros relevantes SOX geralmente por 7 anos; PCI-DSS exige um mínimo de 1 ano de retenção de log, com 3 meses disponíveis imediatamente). Observação: o RGPD não prescreve um período fixo de retenção de evidências de vários anos – aplicar princípios de minimização de dados e limitação de finalidade; manter somente o tempo necessário para relatórios regulatórios, defesa jurídica e operações de segurança, com justificativa documentada. Fontes: HIPAA, SOX, PCI-DSS, GDPR.
Automação de Retenção Legal: Implementação automatizada de retenção legal acionada por litígio, investigação regulatória ou outros requisitos legais, com retenção por tempo indefinido

Exemplo de implementação

Uma organização de saúde implementou atividades abrangentes pós-incidente para atender aos requisitos HIPAA, com retenção sistemática de evidências e processos de lições aprendidas.

Desafio: A organização de saúde não tinha processos sistemáticos de revisão pós-incidente criando incidentes recorrentes de causas raiz não reparadas, com procedimentos manuais de retenção de evidências criando risco de violações de conformidade hipaa e incapacidade de atender aos requisitos de investigação do OCR para retenção de 6 anos.

Abordagem da solução:

Reuniões de lições aprendidas estruturadas estabelecidas dentro de 48 horas após o fechamento de incidentes envolvendo equipes clínicas, equipes de TI, oficiais de privacidade e liderança sênior.
Implementação da retenção imutável do Armazenamento do Azure com políticas de retenção de 6 anos para conformidade com HIPAA e acionadores automáticos de bloqueio legal para potenciais litígios
Criaram modelos de item de trabalho do Azure DevOps para acompanhar implementações de melhoria com proprietários atribuídos e ciclos de revisão trimestrais
Implantação de cadeia de custódia automatizada com hash criptográfico e assinaturas digitais garantindo integridade das evidências para investigações com processamento OCR e procedimentos legais
Métricas de maturidade de resposta a incidentes desenvolvidas que acompanham o tempo médio de detecção, a eficácia da contenção e os padrões de incidente recorrentes para melhoria contínua
Integraram as lições aprendidas em treinamento mensal de conscientização sobre segurança e exercícios trimestrais de simulação de resposta a incidentes

Resultado: Melhoria contínua da resposta a incidentes com redução de incidentes recorrentes por meio da correção sistemática da causa raiz. O armazenamento imutável com retenção legal automatizada garantiu a conformidade da HIPAA com a cadeia completa de evidências de custódia que dá suporte a investigações do OCR e processos legais.

Nível de criticidade

Deveria ter.

Mapeamento de controle

NIST SP 800-53 Rev.5: IR-4(4), IR-4(5), IR-4(10), CP-9(8), AU-11
PCI-DSS v4: 10.5.1, 12.10.7
Controles CIS v8.1: 8.3, 17.8, 17.9
NIST CSF v2.0: RS.RP-1, RS.IM-1, RS.IM-2
ISO 27001:2022: A.5.24, A.5.28, A.8.13
SOC 2: CC9.1, A1.2, A1.3

Comentários

Esta página foi útil?

Last updated on 2025-11-12

Compartilhar via

Resposta a incidentes

IR-1: Preparação - atualizar o plano de resposta a incidentes e o processo de tratamento

Princípio de segurança

Risco a mitigar

MITRE ATT&CK

IR-1.1: Desenvolver planos de resposta a incidentes específicos do Azure

IR-1.2: Estabelecer a estrutura e o treinamento da equipe de resposta a incidentes

Exemplo de implementação

Nível de criticidade

Mapeamento de controle

IR-2: preparação - configurar a notificação de incidentes

Princípio de segurança

Risco a mitigar

MITRE ATT&CK

IR-2.1: Configurar informações de contato de segurança da Microsoft

IR-2.2: implementar fluxos de trabalho de notificação automatizados

Exemplo de implementação

Nível de criticidade

Mapeamento de controle

IR-3: detecção e análise - criar incidentes com base em alertas de alta qualidade

Princípio de segurança

Risco a mitigar

MITRE ATT&CK

IR-3.1: Configurar o Microsoft Defender XDR para detecção unificada de ameaças

IR-3.2: Configurar alertas avançados do Microsoft Defender para Nuvem

IR-3.3: Implementar a criação e o enriquecimento automatizados de incidentes

Exemplo de implementação

Nível de criticidade

Mapeamento de controle

IR-4: Detecção e análise – investigar um incidente

Princípio de segurança

Risco a mitigar

MITRE ATT&CK

IR-4.1: implementar a coleta e a análise abrangentes de logs

IR-4.2: Estabelecer capacidades forenses e de preservação de evidências

Exemplo de implementação

Nível de criticidade

Mapeamento de controle

IR-5: detecção e análise - priorizar incidentes

Princípio de segurança

Risco a mitigar

MITRE ATT&CK

IR-5.1: Implementar a crítica de ativos e a avaliação de impacto nos negócios

IR-5.2: Configurar a pontuação e o escalonamento automatizados de severidade

Exemplo de implementação

Nível de criticidade

Mapeamento de controle

IR-6: Contenção, erradicação e recuperação – automatizar o tratamento de incidentes

Princípio de segurança

Risco a mitigar

MITRE ATT&CK

IR-6.1: Implantar guias estratégicos de resposta automatizados do Microsoft Sentinel

IR-6.2: implementar procedimentos automatizados de contenção e isolamento

Exemplo de implementação

Nível de criticidade

Mapeamento de controle

IR-7: Atividade pós-incidente - conduzir lições aprendidas e reter evidências

Princípio de segurança

Risco a mitigar

MITRE ATT&CK

IR-7.1: Implementar processos sistemáticos de lições aprendidas

IR-7.2: Estabelecer retenção de evidências e armazenamento imutável

Exemplo de implementação

Nível de criticidade

Mapeamento de controle

Comentários

Recursos adicionais