Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A Resposta a Incidentes abrange controlos no ciclo de vida da resposta a incidentes - preparação, deteção e análise, contenção e atividades pós-incidente, incluindo a utilização de serviços do Azure (como o Microsoft Defender for Cloud e o Sentinel) e/ou outros serviços na nuvem para automatizar o processo de resposta a incidentes.
IR-1: Preparação - atualizar o plano de resposta a incidentes e o processo de tratamento
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Princípio de segurança: Certifique-se de que sua organização siga as melhores práticas do setor para desenvolver processos e planos para responder a incidentes de segurança nas plataformas de nuvem. Esteja atento ao modelo de responsabilidade compartilhada e às variações entre os serviços de IaaS, PaaS e SaaS. Isso terá um impacto direto na forma como você colabora com seu provedor de nuvem em atividades de resposta e tratamento de incidentes, como notificação e triagem de incidentes, coleta de evidências, investigação, erradicação e recuperação.
Teste regularmente o plano de resposta a incidentes e o processo de tratamento para garantir que estão atualizados.
Orientação do Azure: atualize o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes na plataforma Azure. Com base nos serviços do Azure usados e na natureza do seu aplicativo, personalize o plano de resposta a incidentes e o manual para garantir que eles possam ser usados para responder ao incidente no ambiente de nuvem.
Implementação do Azure e contexto adicional:
- Implemente a segurança em todo o ambiente corporativo:
- Guia de referência de resposta a incidentes
- NIST SP800-61 Guia de Tratamento de Incidentes de Segurança Informática
- Visão geral da resposta a incidentes
Orientação da AWS: atualize o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes. Certifique-se de que um plano unificado de resposta a incidentes em várias nuvens esteja em vigor atualizando o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes na plataforma da AWS. Com base nos serviços da AWS usados e na natureza do seu aplicativo, siga o Guia de resposta a incidentes de segurança da AWS para personalizar o plano e o manual de resposta a incidentes para garantir que eles possam ser usados para responder ao incidente no ambiente de nuvem.
Implementação da AWS e contexto adicional:
Orientação GCP: atualize o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes. Certifique-se de que um plano unificado de resposta a incidentes em várias nuvens está em vigor atualizando o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes na plataforma Google Cloud.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
IR-2: Preparação - notificação de incidente de configuração
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Princípio de segurança: Garanta que os alertas de segurança e notificações de incidentes da plataforma do provedor de serviços de nuvem e seus ambientes possam ser recebidos pelo contato correto em sua organização de resposta a incidentes.
Orientação do Azure: configure as informações de contato de incidentes de segurança no Microsoft Defender for Cloud. Estas informações de contacto são utilizadas pela Microsoft para o contactar se o Microsoft Security Response Center (MSRC) descobrir que os seus dados foram acedidos por uma parte ilegal ou não autorizada. Você também tem opções para personalizar alertas e notificações de incidentes em diferentes serviços do Azure com base em suas necessidades de resposta a incidentes.
Implementação do Azure e contexto adicional:
Orientação da AWS: configure as informações de contato de incidentes de segurança no AWS Systems Manager Incident Manager (o centro de gerenciamento de incidentes da AWS). Essas informações de contato são usadas para a comunicação de gerenciamento de incidentes entre você e a AWS por meio dos diferentes canais (ou seja, e-mail, SMS ou voz). Você pode definir o plano de engajamento e o plano de escalonamento de um contato para descrever como e quando o Gerenciador de Incidentes envolve o contato e escalar se o(s) contato(s) não responder(em) a um incidente.
Implementação da AWS e contexto adicional:
Orientação do GCP: configure notificações de incidentes de segurança para contatos específicos usando o Security Command Center ou o Chronicle. Use os serviços do Google Cloud e APIs de terceiros para fornecer notificações por e-mail e bate-papo em tempo real para alertar sobre descobertas de segurança para o Centro de Comando de Segurança ou playbooks para acionar ações para enviar notificações no Chronicle.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
IR-3: Deteção e análise - crie incidentes com base em alertas de alta qualidade
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10.8 |
Princípio de segurança: Certifique-se de ter um processo para criar alertas de alta qualidade e medir a qualidade dos alertas. Isso permite que você aprenda lições de incidentes passados e priorize alertas para analistas, para que eles não percam tempo com falsos positivos.
Alertas de alta qualidade podem ser criados com base na experiência de incidentes anteriores, fontes comunitárias validadas e ferramentas projetadas para gerar e limpar alertas fundindo e correlacionando diversas fontes de sinal.
Orientação do Azure: o Microsoft Defender for Cloud fornece alertas de alta qualidade em muitos ativos do Azure. Você pode usar o conector de dados do Microsoft Defender for Cloud para transmitir os alertas para o Microsoft Sentinel. O Microsoft Sentinel permite criar regras de alerta avançadas para gerar incidentes automaticamente para uma investigação.
Exporte seus alertas e recomendações do Microsoft Defender for Cloud usando o recurso de exportação para ajudar a identificar riscos para os recursos do Azure. Exporte alertas e recomendações manualmente ou de forma contínua e contínua.
Implementação do Azure e contexto adicional:
Orientação da AWS: use ferramentas de segurança como SecurityHub ou GuardDuty e outras ferramentas de terceiros para enviar alertas ao Amazon CloudWatch ou ao Amazon EventBridge para que os incidentes possam ser criados automaticamente no Incident Manager com base nos critérios e conjuntos de regras definidos. Você também pode criar incidentes manualmente no Gerenciador de Incidentes para tratamento e rastreamento de incidentes.
Se você usa o Microsoft Defender for Cloud para monitorar suas contas da AWS, também pode usar o Microsoft Sentinel para monitorar e alertar os incidentes identificados pelos recursos do Microsoft Defender for Cloud on AWS.
Implementação da AWS e contexto adicional:
- Criação de incidentes no Incident Manager
- Como o Defender for Cloud Apps ajuda a proteger seu ambiente da Amazon Web Services (AWS)
Orientação GCP: integre o Google Cloud e serviços de terceiros para enviar logs e alertas para o Security Command Center ou Chronicle para que os incidentes possam ser criados automaticamente com base em critérios definidos. Você também pode criar e editar manualmente as descobertas de incidentes no Security Command Center ou as regras no Chronicle para tratamento e acompanhamento de incidentes.
Se você usa o Microsoft Defender for Cloud para monitorar seus projetos GCP, também pode usar o Microsoft Sentinel para monitorar e alertar os incidentes identificados pelo Microsoft Defender for Cloud em recursos do GCP ou transmitir logs do GCP diretamente para o Microsoft Sentinel.
Implementação do GCP e contexto adicional:
- Configurando o Centro de Comando de Segurança
- Gerenciar regras usando o Editor de regras
- Conecte seus projetos GCP ao Microsoft Defender for Cloud
- Transmita os logs do Google Cloud Platform para o Microsoft Sentinel
Intervenientes na segurança do cliente (Saiba mais):
IR-4: Deteção e análise - investigar um incidente
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | IR-4 | 12.10 |
Princípio de segurança: Garantir que a equipe de operação de segurança possa consultar e usar diversas fontes de dados enquanto investiga possíveis incidentes, para construir uma visão completa do que aconteceu. Diversos logs devem ser coletados para rastrear as atividades de um invasor em potencial em toda a cadeia de morte para evitar pontos cegos. Você também deve garantir que insights e aprendizados sejam capturados para outros analistas e para referência histórica futura.
Use o SIEM nativo da nuvem e a solução de gerenciamento de incidentes se sua organização não tiver uma solução existente para agregar logs de segurança e informações de alertas. Correlacione os dados de incidentes com base nos dados provenientes de diferentes fontes para facilitar as investigações de incidentes.
Orientação do Azure: garanta que sua equipe de operações de segurança possa consultar e usar diversas fontes de dados coletadas dos serviços e sistemas no escopo. Além disso, as fontes também podem incluir:
- Dados de log de identidade e acesso: use logs do Azure AD e logs de acesso de carga de trabalho (como sistemas operacionais ou nível de aplicativo) para correlacionar eventos de identidade e acesso.
- Dados de rede: use os logs de fluxo dos grupos de segurança de rede, o Azure Network Watcher e o Azure Monitor para capturar logs de fluxo de rede e outras informações de análise.
- Dados de atividade relacionados a incidentes de instantâneos dos sistemas afetados, que podem ser obtidos através de:
- A capacidade de criar instantâneos da máquina virtual Azure para fazer um instantâneo do disco do sistema em funcionamento.
- A capacidade de despejo de memória nativa do sistema operacional, para criar um instantâneo da memória do sistema em execução.
- O recurso de instantâneo de outros serviços do Azure com suporte ou a própria capacidade do seu software, para criar instantâneos dos sistemas em execução.
O Microsoft Sentinel fornece análise de dados abrangente em praticamente qualquer fonte de log e um portal de gerenciamento de casos para gerenciar o ciclo de vida completo dos incidentes. As informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de rastreamento e relatório.
Nota: Quando os dados relacionados a incidentes são capturados para investigação, certifique-se de que há segurança adequada para proteger os dados contra alterações não autorizadas, como desabilitar o registro ou remover logs, o que pode ser realizado pelos invasores durante uma atividade de violação de dados durante o voo.
Implementação do Azure e contexto adicional:
- Snapshot do disco de uma máquina Windows
- Snapshot do disco de uma máquina Linux
- Informações de diagnóstico do Suporte do Microsoft Azure e coleta de despejo de memória
- Investigar incidentes com o Azure Sentinel
Orientação da AWS: as fontes de dados para investigação são as fontes de registro centralizado que coletam dos serviços no escopo e dos sistemas em execução, mas também podem incluir:
- Dados de log de identidade e acesso: use logs do IAM e logs de acesso de carga de trabalho (como sistemas operacionais ou nível de aplicativo) para correlacionar eventos de identidade e acesso.
- Dados de rede: use VPC Flow Logs, VPC Traffic Mirrors e Azure CloudTrail e CloudWatch para capturar logs de fluxo de rede e outras informações de análise.
- Instantâneos de sistemas em execução, que podem ser obtidos através de:
- Capacidade de snapshot no Amazon EC2(EBS) para criar um snapshot do disco do sistema em execução.
- A capacidade de despejo de memória nativa do sistema operacional, para criar um instantâneo da memória do sistema em execução.
- O recurso de snapshot dos serviços da AWS ou a própria capacidade do seu software para criar snapshots dos sistemas em execução.
Se você agregar seus dados relacionados ao SIEM no Microsoft Sentinel, ele fornecerá análise de dados abrangente em praticamente qualquer fonte de log e um portal de gerenciamento de casos para gerenciar o ciclo de vida completo dos incidentes. As informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de rastreamento e relatório.
Nota: Quando os dados relacionados a incidentes são capturados para investigação, certifique-se de que há segurança adequada para proteger os dados contra alterações não autorizadas, como desabilitar o registro ou remover logs, o que pode ser realizado pelos invasores durante uma atividade de violação de dados durante o voo.
Implementação da AWS e contexto adicional:
- de espelhamento de tráfego
- Criação de backups de volumes EBS com AMIs e EBS snapshots
- Usar armazenamento imutável
Orientação do GCP: As fontes de dados para investigação são as fontes de log centralizadas que coletam dos serviços no escopo e dos sistemas em execução, mas também podem incluir:
- Dados de log de identidade e acesso: use logs do IAM e logs de acesso de carga de trabalho (como sistemas operacionais ou nível de aplicativo) para correlacionar eventos de identidade e acesso.
- Dados de rede: use logs de fluxo de VPC e controles de serviço de VPC para capturar logs de fluxo de rede e outras informações de análise.
- Instantâneos de sistemas em execução, que podem ser obtidos através de:
- Capacidade de snapshot em VMs GCP para criar um instantâneo do disco do sistema em execução.
- A capacidade de despejo de memória nativa do sistema operacional, para criar um instantâneo da memória do sistema em execução.
- O recurso de instantâneo dos serviços GCP ou a própria capacidade do seu software, para criar instantâneos dos sistemas em execução.
Se você agregar seus dados relacionados ao SIEM no Microsoft Sentinel, ele fornecerá análise de dados abrangente em praticamente qualquer fonte de log e um portal de gerenciamento de casos para gerenciar o ciclo de vida completo dos incidentes. As informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de rastreamento e relatório.
Nota: Quando os dados relacionados a incidentes são capturados para investigação, certifique-se de que há segurança adequada para proteger os dados contra alterações não autorizadas, como desabilitar o registro ou remover logs, o que pode ser realizado pelos invasores durante uma atividade de violação de dados durante o voo.
Implementação do GCP e contexto adicional:
- Centro de Comando de Segurança - Fontes de Segurança
- Conjuntos de dados suportados
- Criar e gerenciar instantâneos de disco
- Transmita os logs do Google Cloud Platform para o Microsoft Sentinel
Intervenientes na segurança do cliente (Saiba mais):
IR-5: Deteção e análise - priorizar incidentes
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Princípio de segurança: forneça contexto às equipes de operações de segurança para ajudá-las a determinar em quais incidentes devem ser focados primeiro, com base na gravidade do alerta e na sensibilidade dos ativos definidos no plano de resposta a incidentes da sua organização.
Além disso, marque os recursos usando tags e crie um sistema de nomenclatura para identificar e categorizar seus recursos de nuvem, especialmente aqueles que processam dados confidenciais. É sua responsabilidade priorizar a correção de alertas com base na criticidade dos recursos e do ambiente onde o incidente ocorreu.
Orientação do Azure: o Microsoft Defender for Cloud atribui uma severidade a cada alerta para ajudá-lo a priorizar quais alertas devem ser investigados primeiro. A gravidade é baseada na confiança do Microsoft Defender for Cloud na descoberta ou na análise usada para emitir o alerta, bem como no nível de confiança de que houve intenção maliciosa por trás da atividade que levou ao alerta.
Da mesma forma, o Microsoft Sentinel cria alertas e incidentes com uma gravidade atribuída e outros detalhes com base em regras de análise. Use modelos de regras analíticas e personalize as regras de acordo com as necessidades da sua organização para dar suporte à priorização de incidentes. Use regras de automação no Microsoft Sentinel para gerenciar e orquestrar a resposta a ameaças a fim de maximizar a eficiência e a eficácia da equipe de operações de segurança, incluindo a marcação de incidentes para classificá-los.
Implementação do Azure e contexto adicional:
- Alertas de segurança no Microsoft Defender for Cloud
- Usar tags para organizar seus recursos do Azure
- Criar incidentes a partir de alertas de segurança da Microsoft
Orientação da AWS: para cada incidente criado no Incident Manager, atribua um nível de impacto com base nos critérios definidos pela sua organização, como uma medida da gravidade do incidente e do nível de criticidade dos ativos afetados.
Implementação da AWS e contexto adicional:
* Orientação do GCP: para cada incidente criado no Centro de Comando de Segurança, determine a prioridade do alerta com base nas classificações de gravidade atribuídas pelo sistema e em outros critérios definidos pela sua organização. Meça a gravidade do incidente e o nível de criticidade dos ativos afetados para determinar quais alertas devem ser investigados primeiro.
Da mesma forma, no Chronical, você pode definir regras personalizadas para determinar as prioridades de resposta a incidentes. Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
IR-6: Contenção, erradicação e recuperação - automatize o tratamento de incidentes
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | IR-4, IR-5, IR-6 | 12.10 |
Princípio de segurança: automatize as tarefas manuais e repetitivas para acelerar o tempo de resposta e reduzir a carga sobre os analistas. As tarefas manuais levam mais tempo para serem executadas, retardando cada incidente e reduzindo o número de incidentes que um analista pode lidar. As tarefas manuais também aumentam a fadiga dos analistas, o que aumenta o risco de erro humano que causa atrasos e degrada a capacidade dos analistas de se concentrarem efetivamente em tarefas complexas.
Orientação do Azure: utilize os recursos de automação de fluxo de trabalho no Microsoft Defender for Cloud e no Microsoft Sentinel para acionar ações automaticamente ou executar um playbook para responder a alertas de segurança recebidos. Os playbooks executam ações, como enviar notificações, desativar contas e isolar redes problemáticas.
Implementação do Azure e contexto adicional:
- Configurar a automação do fluxo de trabalho na Central de Segurança
- Configurar respostas automatizadas a ameaças no Microsoft Defender for Cloud
- Configurar respostas automatizadas a ameaças no Azure Sentinel
Orientação da AWS: se você usar o Microsoft Sentinel para gerenciar centralmente seu incidente, também poderá criar ações automatizadas ou executar playbooks para responder aos alertas de segurança recebidos.
Como alternativa, use recursos de automação no AWS System Manager para acionar automaticamente ações definidas no plano de resposta a incidentes, incluindo notificar os contatos e/ou executar um runbook para responder a alertas, como desabilitar contas e isolar redes problemáticas.
Implementação da AWS e contexto adicional:
Orientação do GCP: Se você usar o Microsoft Sentinel para gerenciar centralmente seu incidente, também poderá criar ações automatizadas ou executar playbooks para responder a alertas de segurança recebidos.
Como alternativa, use as automações do Playbook no Chronicle para acionar automaticamente as ações definidas no plano de resposta a incidentes, incluindo notificar os contatos e/ou executar um playbook para responder a alertas.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
IR-7: Atividade pós-incidente - conduza as lições aprendidas e retenha evidências
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 Identificador(es) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Princípio de segurança: Conduza as lições aprendidas em sua organização periodicamente e/ou após incidentes importantes, para melhorar sua capacidade futura de resposta e tratamento de incidentes.
Com base na natureza do incidente, retenha as provas relacionadas com o incidente durante o período definido na norma de tratamento de incidentes para análise adicional ou ações judiciais.
Orientação do Azure: use o resultado da atividade de lições aprendidas para atualizar seu plano de resposta a incidentes, manual (como um manual do Microsoft Sentinel) e reincorporar descobertas em seus ambientes (como registro em log e deteção de ameaças para resolver quaisquer lacunas no registro) para melhorar sua capacidade futura de detetar, responder e lidar com incidentes no Azure.
Mantenha as evidências coletadas durante a "Deteção e análise - investigue uma etapa de incidente", como logs do sistema, despejos de tráfego de rede e instantâneos do sistema em execução no armazenamento, como uma conta de Armazenamento do Azure, para retenção imutável.
Implementação do Azure e contexto adicional:
Orientação da AWS: crie análises de incidentes para um incidente fechado no Incident Manager usando o modelo padrão de análise de incidentes ou seu próprio modelo personalizado. Use o resultado da atividade de lições aprendidas para atualizar o seu plano de resposta a incidentes, manual de procedimentos (como o manual de execução do AWS Systems Manager e o manual do Microsoft Sentinel) e reincorporar descobertas nos seus ambientes (como registo e deteção de ameaças para resolver quaisquer lacunas no registo) para melhorar a sua capacidade futura de detectar, responder e lidar com incidentes na AWS.
Mantenha as provas recolhidas durante a "Deteção e análise - etapa de investigação de um incidente", como registos do sistema, dumps de tráfego de rede e instantâneo do sistema em execução em armazenamento, como um bucket do Amazon S3 ou uma conta de armazenamento do Azure para conservação imutável.
Implementação da AWS e contexto adicional:
Orientação do GCP: use o resultado da atividade de lições aprendidas para atualizar seu plano de resposta a incidentes, manual (como um manual do Chronicle ou do Microsoft Sentinel) e reincorporar descobertas em seus ambientes (como registro em log e deteção de ameaças para resolver quaisquer lacunas no registro) para melhorar sua capacidade futura de detetar, responder e lidar com incidentes no GCP.
Mantenha as evidências recolhidas durante o passo "Deteção e Análise - Investigar um Incidente", como registos do sistema, registos de tráfego de rede e instantâneos do sistema em execução em armazenamento, como uma conta de Armazenamento do Google Cloud ou do Azure, para preservação imutável.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):