Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.
A Resposta a Incidentes abrange controles no ciclo de vida da resposta a incidentes – preparação, detecção e análise, contenção e atividades pós-incidente. Isso inclui o uso de serviços do Azure, como a Central de Segurança do Azure e o Sentinel, para automatizar o processo de resposta a incidentes.
Para ver o Azure Policy interno aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Resposta a Incidentes
IR-1: Preparação – atualizar o processo de resposta a incidentes para o Azure
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IR-1 | 19 | IR-4, IR-8 |
Verifique se sua organização tem processos para responder a incidentes de segurança, atualizou esses processos para o Azure e os está exercendo regularmente para garantir a preparação.
Responsabilidade: Cliente
Partes Interessadas de Segurança do Cliente (Saiba mais):
IR-2: Preparação – configuração de notificação de incidente
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IR-2 | 19.5 | IR-4, IR-5, IR-6, IR-8 |
Configure informações de contato de incidentes de segurança na Central de Segurança do Azure. Essas informações de contato são usadas pela Microsoft para contatá-lo se o MSRC (Centro de Resposta de Segurança da Microsoft) descobrir que seus dados foram acessados por uma parte ilegal ou não autorizada. Você também tem opções para personalizar o alerta e a notificação de incidentes em diferentes serviços do Azure com base em suas necessidades de resposta a incidentes.
Responsabilidade: Cliente
Partes Interessadas de Segurança do Cliente (Saiba mais):
IR-3: detecção e análise – criar incidentes com base em alertas de alta qualidade
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IR-3 | 19.6 | IR-4, IR-5 |
Verifique se você tem um processo para criar alertas de alta qualidade e medir a qualidade dos alertas. Isso permite que você aprenda as lições dos últimos incidentes e priorize os alertas para os analistas, de modo a não perderem tempo em falsos positivos.
Alertas de alta qualidade podem ser criados com base na experiência de incidentes anteriores, fontes de comunidade validadas e ferramentas projetadas para gerar e limpar alertas fundindo e correlacionando fontes de sinal diversas.
A Central de Segurança do Azure fornece alertas de alta qualidade em muitos ativos do Azure. Você pode usar o conector de dados ASC para transmitir os alertas para o Azure Sentinel. O Azure Sentinel permite criar regras de alerta avançadas para gerar incidentes automaticamente para uma investigação.
Exporte seus alertas e recomendações da Central de Segurança do Azure usando o recurso de exportação para ajudar a identificar riscos para os recursos do Azure. Exportar alertas e recomendações manualmente ou de forma contínua.
Responsabilidade: Cliente
Partes Interessadas de Segurança do Cliente (Saiba mais):
IR-4: detecção e análise – investigar um incidente
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IR-4 | 19 | IR-4 |
Verifique se os analistas podem consultar e usar fontes de dados diversas à medida que investigam possíveis incidentes, para criar uma visão completa do que aconteceu. Diversos logs devem ser coletados para acompanhar as atividades de um potencial invasor na cadeia de eliminação para evitar pontos cegos. Você também deve garantir que insights e aprendizados sejam capturados para outros analistas e para referência histórica futura.
As fontes de dados para investigação incluem as fontes de log centralizadas que já são coletadas dos serviços dentro do escopo e dos sistemas em execução, mas também podem incluir:
Dados de rede – use os logs de fluxo dos grupos de segurança de rede, o Observador de Rede do Azure e o Azure Monitor para capturar logs de fluxo de rede e outras informações de análise.
Instantâneos de sistemas em execução:
Use a funcionalidade de instantâneo da máquina virtual do Azure para criar um instantâneo do disco do sistema em execução.
Use a funcionalidade de despejo de memória nativa do sistema operacional para criar um instantâneo da memória do sistema em execução.
Use o recurso de instantâneo dos serviços do Azure ou da própria funcionalidade do software para criar instantâneos dos sistemas em execução.
O Azure Sentinel fornece análise de dados abrangente em praticamente qualquer fonte de log e um portal de gerenciamento de casos para gerenciar todo o ciclo de vida de incidentes. Informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de acompanhamento e relatório.
Responsabilidade: Cliente
Partes Interessadas de Segurança do Cliente (Saiba mais):
IR-5: Detecção e análise – priorizar incidentes
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IR-5 | 19,8 | CA-2, IR-4 |
Forneça contexto aos analistas em quais incidentes se concentrar primeiro com base na severidade do alerta e na sensibilidade do ativo.
A Central de Segurança do Azure atribui uma severidade a cada alerta para ajudá-lo a priorizar quais alertas devem ser investigados primeiro. A gravidade baseia-se na confiança da Central de Segurança na localização ou na análise usada para emitir o alerta, bem como no nível de confiança de que houve intenção mal-intencionada por trás da atividade que levou ao alerta.
Além disso, marque recursos usando marcas e crie um sistema de nomenclatura para identificar e categorizar recursos do Azure, especialmente aqueles que processam dados confidenciais. É sua responsabilidade priorizar a correção de alertas com base na criticidade dos recursos e do ambiente do Azure em que o incidente ocorreu.
Responsabilidade: Cliente
Partes Interessadas de Segurança do Cliente (Saiba mais):
IR-6: Contenção, erradicação e recuperação – automatizar o tratamento de incidentes
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| IR-6 | 19 | IR-4, IR-5, IR-6 |
Automatize tarefas repetitivas manuais para acelerar o tempo de resposta e reduzir a carga sobre os analistas. Tarefas manuais levam mais tempo para serem executadas, retardando cada incidente e reduzindo quantos incidentes um analista pode lidar. Tarefas manuais também aumentam a fadiga dos analistas, o que aumenta o risco de erro humano que causa atrasos e degrada a capacidade dos analistas de se concentrarem efetivamente em tarefas complexas. Use recursos de automação de fluxo de trabalho na Central de Segurança do Azure e no Azure Sentinel para disparar ações automaticamente ou executar um guia estratégico para responder a alertas de segurança de entrada. O guia estratégico executa ações, como enviar notificações, desabilitar contas e isolar redes problemáticas.
Configurar a automação de fluxo de trabalho na Central de Segurança
Configurar respostas automatizadas contra ameaças na Central de Segurança do Azure
Configurar respostas automatizadas contra ameaças no Azure Sentinel
Responsabilidade: Cliente
Partes Interessadas de Segurança do Cliente (Saiba mais):