Resposta ao Incidente

A resposta a incidentes mantém a resiliência organizacional e minimiza o impacto nos negócios quando ocorrem incidentes de segurança, garantindo deteção rápida, contenção eficaz e recuperação abrangente, preservando as evidências forenses. Alinhe sua abordagem com a estrutura NIST SP 800-61 , abrangendo preparação, deteção e análise, contenção/erradicação/recuperação e atividades pós-incidente. Capacidades fracas ou ausentes levam a tempos de permanência prolongados, danos amplificados, violações regulatórias e ataques repetidos.

Aqui estão os três pilares principais do domínio de segurança de Resposta a Incidentes.

Prepare-se para a resposta a incidentes: Estabeleça planos, procedimentos e capacidades antes que ocorram incidentes. Implemente ferramentas de segurança nativas da nuvem, incluindo plataformas de deteção de ameaças, soluções de deteção e resposta estendidas (XDR), sistemas de gerenciamento de eventos e informações de segurança (SIEM), infraestrutura de registro centralizado e recursos de automação de fluxo de trabalho. Configure contatos de segurança, notificações e procedimentos de escalonamento para garantir a rápida coordenação das partes interessadas durante incidentes.

Controlos relacionados:

• IR-1: Preparação - atualizar o plano de resposta a incidentes e o processo de tratamento
• IR-2: Preparação - configuração de notificação de incidentes

Detete, analise e investigue incidentes: Implemente a geração de alertas de alta qualidade, a criação automatizada de incidentes e a investigação sistemática usando análises de segurança na nuvem e inteligência de ameaças. Implante recursos unificados de deteção de ameaças em cargas de trabalho na nuvem com análises avançadas, caça a ameaças e integração abrangente de fontes de dados, incluindo serviços de identidade, telemetria de rede e instantâneos do sistema. Priorize incidentes por criticidade dos ativos, impacto nos negócios e gravidade das ameaças.

Controlos relacionados:

• IR-3: Deteção e análise - crie incidentes com base em alertas de alta qualidade
• IR-4: Deteção e análise - investigar um incidente
• IR-5: Deteção e análise - priorizar incidentes

Contenha, recupere e aprenda com os incidentes: Automatize a resposta por meio da orquestração de segurança e automação do fluxo de trabalho para contenção rápida e execução consistente. Realize revisões de lições aprendidas, retenha evidências em armazenamento em nuvem imutável e melhore continuamente os recursos de resposta a incidentes.

Controlos relacionados:

• IR-6: Contenção, erradicação e recuperação - automatize o tratamento de incidentes
• IR-7: Atividade pós-incidente - conduza as lições aprendidas e retenha evidências

IR-1: Preparação - atualizar o plano de resposta a incidentes e o processo de tratamento

Princípio da segurança

Desenvolva e mantenha planos abrangentes de resposta a incidentes especificamente adaptados para ambientes do Azure, incorporando o modelo de responsabilidade compartilhada, recursos de investigação nativos da nuvem e ferramentas de resposta automatizada. Testar regularmente os procedimentos de resposta através de exercícios de mesa e simulações para garantir a eficácia e a melhoria contínua.

Risco a mitigar

As organizações que operam sem planos abrangentes de resposta a incidentes enfrentam consequências devastadoras quando ocorrem incidentes de segurança, levando a interrupções prolongadas dos negócios, violações regulatórias e danos permanentes à confiança do cliente. Sem preparação sistemática de resposta a incidentes:

• Resposta caótica à crise: A falta de procedimentos, funções e canais leva a confusão, atrasos e ações ineficazes — prolongando o tempo de permanência e amplificando os danos.
• Procedimentos inadequados específicos da nuvem: Os planos tradicionais perdem o modelo de responsabilidade compartilhada na nuvem, as ferramentas de investigação e a perícia forense na nuvem, causando resposta incompleta e perda de evidências.
• Falta de coordenação das partes interessadas: A ausência de protocolos de comunicação com provedores de serviços em nuvem, reguladores, clientes e equipes internas cria atrasos, violações e danos à reputação.
• Capacidades de resposta não testadas: As organizações descobrem lacunas em ferramentas, habilidades e procedimentos durante incidentes reais, em vez de ambientes de teste controlados, levando a falhas na contenção e tempos de recuperação estendidos.
• Falhas de conformidade regulamentar: As indústrias sujeitas a requisitos de notificação de incidentes (HIPAA, PCI-DSS, GDPR, SOX) não podem cumprir os prazos de notificação obrigatória sem procedimentos de resposta documentados e testados.
• Preservação inadequada das provas: A falha em estabelecer procedimentos adequados de coleta e retenção de evidências compromete a investigação forense, os processos judiciais e os recursos de análise de causa raiz.

Uma preparação inadequada amplifica o impacto, prolonga a recuperação e prejudica a aprendizagem para prevenir a recorrência.

MITRE ATT&CK

• Evasão de Defesa (TA0005): prejudicam as defesas (T1562) explorando lacunas nos procedimentos de resposta a incidentes para operar por mais tempo sem deteção ou contenção eficaz.
• Impacto (TA0040): destruição de dados (T1485) causando danos máximos quando as organizações não têm recursos de resposta rápida para restauração de backup e recuperação do sistema.
• Recolha (TA0009): dados preparados para exfiltração (T1074) tirando partido da deteção e resposta tardias para concluir operações de roubo de dados.

IR-1.1: Desenvolver planos de resposta a incidentes específicos do Azure

Os planos genéricos de resposta a incidentes falham em ambientes de nuvem onde os modelos de responsabilidade compartilhada, a coleta de evidências baseada em API e os requisitos de colaboração do provedor de serviços diferem fundamentalmente do tratamento tradicional de incidentes no datacenter. Os procedimentos de resposta específicos do Azure devem abordar recursos nativos da nuvem, como instantâneos de VM, logs de fluxo de rede e isolamento de recursos por meio de automação, em vez de desconexão de rede física. A documentação clara dos processos de colaboração da Microsoft garante que as equipes de segurança saibam quando e como acionar o suporte à plataforma durante incidentes que exijam assistência do fornecedor, evitando respostas atrasadas devido à incerteza sobre os procedimentos de escalonamento.

Estabeleça uma resposta a incidentes com reconhecimento de nuvem por meio do planejamento específico do Azure:

Desenvolva planos abrangentes de resposta a incidentes abordando ambientes do Azure, o modelo de responsabilidade compartilhada e recursos de segurança nativos da nuvem. O Microsoft Defender for Cloud e o Microsoft Sentinel fornecem recursos integrados de resposta a incidentes.

Desenvolvimento do plano de resposta a incidentes do Azure:

• Integração do modelo de responsabilidade partilhada: Delimitação clara das responsabilidades entre a Microsoft e o cliente para diferentes tipos de serviço (IaaS, PaaS, SaaS) em atividades de resposta a incidentes usando o modelo de responsabilidade compartilhada do Azure.
• Capacidades de Investigação Azure-Native: Aproveitando os registos do Azure Monitor, os registos de auditoria do Microsoft Entra ID, os registos de início de sessão do Microsoft Entra ID, os registos de fluxo do Grupo de Segurança de Rede e os alertas do Microsoft Defender for Cloud para investigação abrangente de incidentes
• Recolha de Provas Específica para Cloud: Procedimentos para instantâneos de VM, despejos de memória, capturas de pacotes de rede e recolha de registos nos serviços do Azure.
• Procedimentos de colaboração da Microsoft: Processos estabelecidos para envolver o Suporte da Microsoft, a Equipe de Resposta de Segurança do Azure e o Microsoft Security Response Center (MSRC) quando necessário
• Procedimentos de isolamento de recursos do Azure: Etapas específicas para isolar VMs, contêineres, contas de armazenamento e outros recursos do Azure comprometidos durante a contenção de incidentes (consulte Tratamento de alertas do Defender for Cloud e isolamento).

Integração com o Microsoft Defender for Cloud:

• Configuração do contato de segurança: Contatos de segurança designados para notificações de incidentes com procedimentos de escalonamento e disponibilidade 24 horas por dia, 7 dias por semana (Configurar contatos de segurança).
• Mapeamento de gravidade do alerta: Correlação entre a gravidade do alerta do Defender for Cloud e os níveis de classificação de incidentes organizacionais (gravidade do alerta do Defender for Cloud).
• Integração automatizada de fluxo de trabalho: Criação automatizada de incidentes e fluxos de trabalho de notificação usando aplicativos lógicos acionados por alertas de segurança de alta gravidade (automação de fluxo de trabalho (clássico)).
• Modelos de notificação regulamentar: Modelos de notificação pré-configurados para GDPR, HIPAA, PCI-DSS e outros requisitos regulatórios
• Procedimentos de exportação de provas: Procedimentos sistemáticos para exportar descobertas de segurança, recomendações e dados de alerta para documentação de incidentes (exportação contínua).

IR-1.2: Estabelecer a estrutura e o treinamento da equipe de resposta a incidentes

A eficácia da resposta a incidentes depende criticamente da experiência dos membros da equipe com técnicas de investigação específicas do Azure, recursos de análise de log e arquiteturas de serviço de nuvem que diferem das habilidades de infraestrutura tradicionais. Papéis claramente definidos evitam lacunas de responsabilidade e atrasos na tomada de decisões durante incidentes de alta pressão, quando a ambiguidade sobre a autoridade causa paralisia da resposta. O treinamento especializado em ferramentas e procedimentos de investigação nativos da nuvem transforma analistas de segurança gerais em respondedores de incidentes do Azure capazes de ações rápidas de coleta e contenção de evidências usando recursos da plataforma.

Crie a capacidade de resposta a incidentes do Azure por meio da estrutura de equipe especializada:

Estabeleça equipes dedicadas de resposta a incidentes com funções, responsabilidades e autoridade de tomada de decisão claramente definidas para ambientes do Azure. Os materiais de treinamento da Microsoft Security Academy e do Microsoft Defender for Cloud oferecem treinamento especializado em resposta a incidentes na nuvem.

Estrutura da Equipa Focada no Azure:

• Analistas de Segurança na Nuvem: Especializado em serviços de segurança do Azure, análise de logs e técnicas de investigação nativas da nuvem
• Arquitetos de Soluções do Azure: Compreensão das configurações de serviço do Azure, topologias de rede e implicações de segurança arquitetônica
• Representantes Legais e de Conformidade: Conhecimento dos requisitos normativos específicos da nuvem e dos procedimentos de colaboração da Microsoft
• Coordenadores de Continuidade de Negócios: Experiência em recuperação de desastres do Azure, restauração de backup e planejamento de continuidade de serviço
• Contatos de escalonamento externo: Relações estabelecidas com o Suporte da Microsoft, aconselhamento jurídico e contactos de notificação regulamentar

Exemplo de implementação

Uma organização de saúde implementou uma preparação abrangente de resposta a incidentes do Azure para atender aos requisitos da HIPAA e proteger os dados dos pacientes com procedimentos documentados e equipes de resposta treinadas.

Desafio: A organização de saúde não tinha procedimentos de resposta a incidentes específicos do Azure e atribuições de equipe estruturadas, criando risco de resposta atrasada durante violações de dados de pacientes e possíveis violações da HIPAA com caminhos de escalonamento pouco claros.

Abordagem da solução:

• Desenvolveu um plano de resposta a incidentes específico do Azure incorporando requisitos de notificação de violação da HIPAA e procedimentos de colaboração da Microsoft para incidentes de dados de pacientes
• Equipe de resposta a incidentes estabelecida com especialistas de segurança do Azure certificados na investigação do Microsoft Sentinel e na perícia forense do Azure
• Contatos de segurança do Microsoft Defender for Cloud configurados com notificação 24 horas por dia, 7 dias por semana e escalonamento automatizado para equipes jurídicas em caso de violações da HIPAA
• Implementou exercícios de mesa trimestrais usando cenários de simulação de ataque do Azure para ransomware, exfiltração de dados e ameaças internas
• Criação de procedimentos para coleta de evidências para serviços do Azure, incluindo automação de captura de instantâneos de VM, exportação dos logs do Azure Monitor e preservação de auditoria do Microsoft Entra ID
• Fluxos de trabalho de colaboração da Microsoft estabelecidos para envolver o Suporte da Microsoft durante incidentes da plataforma Azure

Resultado: Alcançou uma capacidade abrangente de resposta a incidentes em conformidade com a HIPAA com procedimentos documentados, equipes treinadas e cobertura de resposta 24 horas por dia, 7 dias por semana. Exercícios trimestrais validaram a eficácia da resposta e identificaram oportunidades de melhoria contínua.

Nível de criticidade

Deve ter.

Mapeamento de controle

• NIST SP 800-53 Rev.5: IR-1, IR-1(1), IR-2, IR-2(1), CP-2, CP-2(1)
• PCI-DSS v4: 12.10.1, 12.10.2
• Controles CIS v8.1: 17.1, 17.2, 17.3
• NIST CSF v2.0: PR.IP-9, PR.IP-10, RS.CO-1
• ISO 27001:2022: A.5.24, A.5.25, A.5.26, A.5.27
• SOC 2: CC9.1, A1.1

IR-2: Preparação - notificação de incidente de configuração

Azure Policy: Consulte definições de políticas incorporadas Azure: IR-2.

Princípio da segurança

Estabeleça sistemas abrangentes de notificação de incidentes com acionamento automatizado, listas de contatos de partes interessadas apropriadas e integração com os serviços de segurança da Microsoft para garantir uma comunicação de incidentes rápida, precisa e compatível entre todas as partes necessárias.

Risco a mitigar

Sistemas inadequados de notificação de incidentes criam atrasos críticos que amplificam o impacto dos incidentes de segurança, violam os requisitos regulamentares e minam a confiança das partes interessadas. Sem infraestrutura de notificação adequada:

• Atraso na sensibilização das partes interessadas: Executivos, equipes jurídicas e socorristas permanecem inconscientes, impedindo decisões oportunas e alocação de recursos.
• Violações regulamentares: Prazos de notificação perdidos (GDPR 72 horas, HIPAA 60 dias PCI-DSS imediato) desencadeiam multas e sanções. (Referências: Artigos 33/34 do RGPD, Regra de Notificação de Violação da HIPAA, PCI-DSS).
• Colaboração ineficaz do provedor de nuvem: A falha na configuração correta dos contatos de segurança na nuvem impede a colaboração com as equipes de resposta de segurança do provedor de nuvem durante incidentes no nível da plataforma ou quando a assistência do provedor é necessária.
• Erosão da confiança do cliente: A notificação tardia ou inadequada do cliente durante incidentes envolvendo dados pessoais ou interrupções do serviço prejudica relacionamentos e cria exposição legal.
• Esforços de resposta descoordenados: A falta de gatilhos de notificação automatizados e procedimentos de escalonamento resulta em esforços de resposta fragmentados, com várias equipes trabalhando sem coordenação ou consciência situacional.
• Coordenação da resposta tardia: A notificação lenta às equipes forenses, consultoria jurídica e socorristas técnicos atrasa ações críticas de contenção, procedimentos de preservação de evidências e medidas defensivas coordenadas.

Sistemas de notificação deficientes agravam os danos, impedindo uma resposta rápida, coordenação e conformidade regulamentar.

MITRE ATT&CK

• Comando e Controle (TA0011): protocolo de camada de aplicação (T1071) que mantém os canais de comando e controle por mais tempo quando a notificação atrasada das partes interessadas impede ações coordenadas de contenção no nível da rede.
• Exfiltração (TA0010): exfiltração pelo canal C2 (T1041) completando o roubo de dados durante atrasos de notificação e escalonamento antes que a coordenação entre equipes permita um bloqueio eficaz.
• Impacto (TA0040): dados criptografados para impacto (T1486) espalhando ransomware em vários sistemas, enquanto a notificação atrasada impede o isolamento rápido e a coordenação da recuperação de backup.

IR-2.1: Configurar informações de contato de segurança da Microsoft

Os incidentes de segurança que exigem intervenção no nível da plataforma Microsoft falham quando informações de contato desatualizadas ou incorretas impedem a notificação do provedor, atrasando ações de resposta críticas que apenas o fornecedor de nuvem pode executar. Os contatos de segurança verificados 24 horas por dia, 7 dias por semana permitem que a Microsoft notifique imediatamente os clientes sobre vulnerabilidades da plataforma, interrupções de serviço ou padrões de comprometimento detetados que exijam resposta coordenada. Os métodos de comunicação multicanal e os contatos de backup garantem que as notificações de incidentes cheguem ao pessoal apropriado, independentemente da disponibilidade do contato principal, das diferenças de fuso horário ou das falhas na infraestrutura de comunicação.

Habilite a colaboração da Microsoft por meio de contatos de segurança verificados:

Configure as informações de contato de segurança no Microsoft Defender for Cloud e estabeleça um gerenciamento de contatos abrangente para que a Microsoft possa contatar o pessoal apropriado durante incidentes que exijam colaboração ou resposta no nível da plataforma.

Contatos de segurança do Microsoft Defender for Cloud:

• Contato de segurança principal: representante da equipe de segurança acessível 24 horas por dia, 7 dias por semana, com autoridade de resposta a incidentes e capacidade de tomada de decisões
• Configuração de contato secundário: Backup de contatos com distribuição geográfica para organizações globais, garantindo cobertura em fusos horários
• Atribuição Baseada em Funções de Contato: Separe contatos para diferentes tipos de incidentes, incluindo violações de dados, vulnerabilidades da plataforma e as interrupções do serviço
• Procedimentos de verificação de contato: Teste regular de informações de contato por meio de exercícios de colaboração e exercícios de notificação da Microsoft
• Comunicação multicanal: Métodos de contato por e-mail, SMS e telefone com procedimentos de escalonamento claros quando os contatos principais não estão disponíveis

Integração com o Microsoft Defender for Cloud:

• Notificações acionadas por alerta: Geração automática de notificações para alertas de gravidade alta e crítica com limites personalizáveis e critérios de filtragem
• Configuração ao Nível de Subscrição: Configuração do contacto de segurança em níveis de escopo apropriados, incluindo grupos de gerenciamento, subscrições e grupos de recursos
• Personalização de notificação: Modelos de notificação personalizados, incluindo níveis de gravidade de incidentes, recursos afetados e instruções de resposta inicial
• Integração com Sistemas de Tickets: Criação automatizada de tickets no Azure DevOps ou em outras plataformas ITSM para rastreamento de incidentes e gerenciamento de fluxo de trabalho

IR-2.2: Implementar fluxos de trabalho de notificação automatizados

Os processos manuais de notificação introduzem atrasos críticos durante incidentes de segurança quando os minutos são importantes para a eficácia da contenção, com gargalos humanos na identificação e comunicação das partes interessadas impedindo a mobilização de resposta rápida. Os fluxos de trabalho automatizados eliminam a latência de notificação encaminhando instantaneamente alertas para o pessoal apropriado com base nas características do incidente, gravidade e requisitos normativos sem determinação manual. O escalonamento baseado em gravidade garante a conscientização da liderança sobre incidentes críticos enquanto filtra alertas de rotina, mantendo a atenção executiva para eventos genuínos com impacto nos negócios, em vez de inundar a liderança com ruído de segurança.

Acelere a mobilização de incidentes por meio da automação de notificações:

Implemente os Aplicativos Lógicos do Azure e os Playbooks do Microsoft Sentinel para automatizar fluxos de trabalho de notificação de incidentes com segmentação de partes interessadas, escalonamento baseado em gravidade e gatilhos de conformidade regulamentar.

Implementação de notificação automatizada:

• Automação do fluxo de trabalho do Logic Apps: Fluxos de trabalho de notificação acionados com base na gravidade do alerta de segurança, nos tipos de recursos afetados e na avaliação de impacto nos negócios
• Integração com o Microsoft Sentinel Playbook: Manuais automatizados de investigação e notificação com capacidades de enriquecimento e lógica de determinação das partes interessadas (ver manuais do Sentinel).
• Configuração da Matriz de Partes Interessadas: Direcionamento de notificações com base em funções, incluindo equipes de segurança, consultoria jurídica, liderança executiva e diretores de conformidade
• Escalonamento Baseado em Severidade: Procedimentos de escalonamento automatizados com gatilhos baseados no tempo, assegurando o envolvimento adequado da liderança em incidentes críticos
• Modelos de notificação regulamentar: Modelos de notificação pré-configurados para GDPR, HIPAA, PCI-DSS e outros requisitos regulatórios com condições de gatilho automatizadas

Integração do Azure Monitor e do Hub de Eventos:

• Regras de alerta personalizadas: Regras de alerta configuráveis para eventos de segurança específicos com fluxos de trabalho de notificação automatizados e segmentação por partes interessadas
• Streaming do Hub de Eventos: Streaming de eventos em tempo real para sistemas externos, incluindo plataformas SIEM, ferramentas SOAR e plataformas de comunicação
• Equipas e Integração de E-mail: Notificações de canal do Microsoft Teams e listas de distribuição de e-mail com formatação avançada e botões acionáveis
• Integração de Sistemas Externos: Integração baseada em API com plataformas de notificação de clientes, páginas de status e sistemas de gerenciamento de comunicação

Exemplo de implementação

Uma empresa de serviços financeiros implementou uma notificação abrangente de incidentes externos e internos para atender aos requisitos de conformidade SOX e garantir a rápida comunicação com as partes interessadas durante incidentes de segurança que afetam os sistemas de negociação e os dados dos clientes.

Desafio: A empresa de serviços financeiros não tinha notificação automatizada das partes interessadas durante incidentes de segurança que afetavam os sistemas de negociação, criando risco de relatórios regulatórios atrasados para a SEC/FINRA e potenciais violações de conformidade SOX com processos manuais de notificação propensos a erros.

Abordagem da solução:

• Configuração dos contatos de segurança do Microsoft Defender for Cloud com contatos primários e secundários, proporcionando cobertura 24/7 nos centros de negociação globais
• Implementou fluxos de trabalho de Aplicativos Lógicos do Azure para notificações externas automatizadas, incluindo relatórios de incidentes da SEC, notificação de violação da FINRA e comunicação de violação de dados do cliente com modelos pré-aprovados
• Criei Playbooks do Microsoft Sentinel com matriz de partes interessadas para notificações internas a equipes jurídicas, oficiais de conformidade e executivos, além de notificações externas a reguladores, clientes afetados e parceiros de negócios
• Modelos de notificação regulatória estabelecidos para arquivamentos do Formulário 8-K da SEC, notificações de violação do procurador-geral do estado e notificação do adquirente PCI-DSS com condições de gatilho automatizadas com base na gravidade do incidente e na exposição de dados
• Fluxos de trabalho de notificação de clientes configurados com geração automatizada de email para notificações sobre violações de dados em conformidade com os requisitos das leis estaduais, com aprovações provenientes de revisão legal.
• Implementei a integração do sistema de tickets com a criação automatizada de tickets para coordenação de respostas internas e acompanhamento de stakeholders externos para prazos de arquivamento regulatório

Resultado: Reduziu substancialmente o tempo de notificação de incidentes com relatórios regulatórios automatizados garantindo a conformidade SOX. Modelos pré-aprovados e fluxos de trabalho automatizados eliminaram erros manuais na comunicação com as partes interessadas e garantiram procedimentos de arquivamento regulatórios consistentes.

Nível de criticidade

Deve ter.

Mapeamento de controle

• NIST SP 800-53 Rev.5: IR-2, IR-2(1), IR-2(2), IR-4(2), IR-6
• PCI-DSS v4: 12.10.1, 12.10.3
• Controles CIS v8.1: 17.4, 17.5
• NIST CSF v2.0: RS.CO-1, RS.CO-2, RS.CO-3, RS.CO-4
• ISO 27001:2022: A.5.24, A.5.26, A.5.28
• SOC 2: CC9.1, A1.1

IR-3: Deteção e análise - crie incidentes com base em alertas de alta qualidade

Azure Policy: Ver definições de políticas incorporadas no Azure: IR-3.

Princípio da segurança

Implemente a geração de alertas de alta qualidade por meio de análises avançadas, integração de inteligência de ameaças e ajuste contínuo para minimizar falsos positivos, garantindo uma cobertura abrangente de ameaças genuínas à segurança. Estabeleça fluxos de trabalho automatizados de criação de incidentes com procedimentos adequados de enriquecimento e escalonamento.

Risco a mitigar

A má qualidade do alerta cria ineficiência operacional que prejudica a eficácia das operações de segurança, levando a ameaças perdidas, esgotamento dos analistas e capacidades degradadas de resposta a incidentes. Sem geração de alertas de alta qualidade:

• Fadiga de alertas devido a falsos positivos: Os analistas ficam sobrecarregados, resultando numa redução da atenção, perda de ameaças genuínas e atraso na resposta.
• Ameaças críticas enterradas no ruído: Os incidentes de alta prioridade desaparecem no volume de alerta, impedindo a deteção e resposta atempadas.
• Afetação ineficiente dos recursos: As equipes de segurança perdem tempo investigando falsos positivos e alertas de baixa prioridade em vez de se concentrar em ameaças genuínas que exigem atenção imediata e análise qualificada.
• Atraso na deteção e resposta a ameaças: A fraca relação sinal-ruído prolonga o Tempo Médio de Deteção (MTTD) e o Tempo Médio de Resposta (MTTR), permitindo aos atacantes mais tempo para atingir objetivos e causar danos.
• Integração inadequada de informações sobre ameaças: Os alertas carecem de informações contextuais, correlação de inteligência de ameaças e pontuação de risco, impedindo a priorização adequada e o planejamento de resposta eficaz.
• Criação de incidentes inconsistentes: Processos manuais ou ad-hoc de criação de incidentes resultam em escalonamentos perdidos, documentação inconsistente e falta de procedimentos de resposta padronizados.

Alertas de baixa qualidade prejudicam a deteção, a priorização e o escalonamento para as equipes de resposta.

MITRE ATT&CK

• Evasão de Defesa (TA0005): mascaramento (T1036) misturando atividades maliciosas com operações normais para evitar a deteção por sistemas de alerta mal ajustados.
• Persistência (TA0003): contas válidas (T1078) que utilizam credenciais legítimas para realizar atividades maliciosas que podem não disparar alertas bem configurados para comportamento anómalo.
• Recolha (TA0009): recolha automatizada (T1119) que conduz a recolha sistemática de dados durante longos períodos quando a fadiga de alerta impede a deteção de anomalias subtis.

IR-3.1: Configurar o Microsoft Defender XDR para deteção unificada de ameaças

Sinais de segurança isolados de produtos individuais geram volumes de alerta avassaladores sem revelar narrativas de ataque completas, forçando os analistas a correlacionar manualmente eventos desconectados enquanto os adversários progridem nas cadeias de ataque. A deteção e a resposta estendidas transformam alertas fragmentados em incidentes unificados, correlacionando sinais entre endpoints, identidades, e-mail e aplicativos na nuvem para expor histórias completas de ataques que a deteção de um único produto não pode identificar. A investigação e a remediação automatizadas respondem às ameaças na velocidade da máquina, em vez do ritmo de análise limitado por humanos, contendo ataques em minutos, em vez de horas, enquanto os analistas investigam casos complexos.

Detete ataques coordenados por meio de correlação de sinal entre plataformas:

Implemente o Microsoft Defender XDR (Deteção e Resposta Estendidas) como a principal plataforma de segurança unificada para deteção abrangente de ameaças em cargas de trabalho do Microsoft 365, incluindo pontos de extremidade, identidades, email e aplicativos em nuvem. O Defender XDR correlaciona automaticamente alertas de várias fontes em incidentes unificados para investigação e resposta simplificadas.

Funcionalidades principais do Microsoft Defender XDR:

• Gestão unificada de incidentes: Correlação automática de alertas no Microsoft Defender for Endpoint, Identity, Microsoft 365 e Cloud Apps em incidentes únicos com visualização completa da história de ataque
• Investigação e resposta automatizadas (AIR): Investigação automatizada alimentada por IA, examinando alertas e tomando ações de correção imediatas para resolver violações com níveis de automação configuráveis
• Caça Avançada: Caça a ameaças baseada em consulta usando Kusto Query Language (KQL) para inspecionar proativamente até 30 dias de dados brutos em todos os sinais de segurança do Microsoft 365 (Advanced Hunting).
• Correlação de sinal entre produtos: Compartilhamento de informações em tempo real entre produtos Defender para impedir a progressão de ataques, incluindo bloqueio automático de arquivos maliciosos em e-mails, endpoints e ferramentas de colaboração
• Interrupção do ataque: Contenção automática de alta confiança de ataques ativos à velocidade da máquina usando sinais de correlação de incidentes e pesquisa contínua de segurança da Microsoft

Deteção de ameaças e geração de alertas:

• Análise comportamental: Deteção alimentada por aprendizado de máquina de padrões anômalos de comportamento de usuários e dispositivos que indicam comprometimento ou ameaças internas
• Integração de inteligência de ameaças: Enriquecimento automático com informações sobre ameaças da Microsoft, incluindo infraestrutura de invasores conhecidos, assinaturas de malware e atribuição de campanhas
• Regras de deteção personalizadas: Criação flexível de regras de deteção usando consultas KQL para padrões de ameaças específicos da organização e requisitos de lógica de negócios
• Capacidades de deceção: Implantação de ativos de chamariz detetando movimento lateral operado por humanos em ataques de comprometimento de ransomware e e-mail comercial
• Pontuação de risco em tempo real: Avaliação dinâmica de risco para usuários, dispositivos e logins, permitindo decisões de acesso baseadas em risco por meio da integração com o Acesso Condicional do Microsoft Entra

Integração com Microsoft Sentinel:

• Plataforma SecOps unificada: Integração bidirecional que permite ao Microsoft Sentinel ingerir incidentes e alertas do Defender XDR enquanto mantém recursos avançados de SIEM e SOAR
• Microsoft Defender XDR Connector: Conector nativo que sincroniza incidentes, alertas e dados de busca avançada para o Microsoft Sentinel para correlação entre plataformas
• Cobertura híbrida e multinuvem: Estenda os recursos de deteção além do Microsoft 365 para ambientes do Azure, locais e de terceiros por meio da integração do Sentinel
• Fila de incidentes unificada: Painel único para visualização e gestão de incidentes do Defender XDR e do Sentinel com fluxos de trabalho de investigação consistentes.
• Análise entre plataformas: Correlação de ameaças do Microsoft 365 com eventos de segurança de infraestrutura, alertas de carga de trabalho na nuvem e sinais de segurança de terceiros

IR-3.2: Configurar alertas avançados do Microsoft Defender for Cloud

O Defender XDR deteta ataques sofisticados, mas a otimização da qualidade do alerta requer ajuste de configuração para minimizar falsos positivos, mantendo uma cobertura abrangente de ameaças na infraestrutura e cargas de trabalho do Azure. Alertas avançados com análise alimentada por IA identificam ameaças genuínas de atividades operacionais benignas, evitando fadiga de alerta que faz com que os analistas percam avisos críticos em meio ao ruído. A integração com plataformas de gerenciamento de incidentes transforma alertas brutos em eventos de segurança acionáveis com roteamento apropriado de partes interessadas e orquestração de respostas.

Otimize a deteção de ameaças à infraestrutura do Azure por meio de alertas avançados:

Implemente o Microsoft Defender for Cloud com alertas avançados e ajuste adequado para gerar alertas de segurança de alta qualidade para a infraestrutura e cargas de trabalho do Azure com o mínimo de falsos positivos. O Defender for Cloud fornece deteção de ameaças alimentada por IA em todos os recursos do Azure com aprendizagem contínua.

Configuração avançada de alertas:

• Habilitação do plano Defender: Habilite os planos apropriados do Defender, incluindo o Defender for Servers, o Defender for App Service, o Defender for Storage, o Defender for Containers e o Defender for Key Vault com base nos tipos de carga de trabalho
• Integração de inteligência de ameaças: Correlação automática com feeds de inteligência de ameaças da Microsoft, assinaturas de ataques globais e indicadores mal-intencionados conhecidos para maior precisão de deteção
• Análise Comportamental de Machine Learning: Análise comportamental alimentada por IA que deteta atividades anômalas, como padrões de login incomuns, escalonamentos de privilégios e anomalias de acesso a dados
• Regras personalizadas de supressão de alertas: Supressão inteligente de alertas para falsos positivos conhecidos, mantendo a cobertura para ameaças genuínas com revisão e validação regulares
• Calibração da gravidade do alerta: Atribuição adequada de severidade de alerta com base no impacto real nos negócios, na criticidade dos ativos e nos níveis de confiança da inteligência de ameaças
• Integração com Defender XDR: Encaminhamento automático de alertas do Defender for Cloud para o portal Microsoft Defender XDR para correlação unificada de incidentes com eventos de segurança do Microsoft 365

Integração com o Azure Sentinel:

• Conector de dados do Azure Sentinel: Conector nativo para transmissão de alertas do Defender para a Nuvem ao Microsoft Sentinel, permitindo capacidades avançadas de correlação e investigação
• Enriquecimento de Alerta no Sentinel: Enriquecimento automático de alertas do Defender com contexto adicional, incluindo análise de comportamento do usuário, inteligência de ameaças e eventos de segurança relacionados
• Correlação entre cargas de trabalho: Correlação de alertas em várias cargas de trabalho e serviços do Azure para identificar ataques coordenados e padrões de ameaças complexos
• Regras de análise personalizadas: Regras avançadas de análise baseadas em KQL para padrões de deteção de ameaças específicos da organização e correlação de lógica de negócios
• Integração de caça a ameaças: Integração de alertas do Defender com os recursos de caça a ameaças do Microsoft Sentinel para investigação proativa de ameaças

IR-3.3: Implementar a criação e enriquecimento automatizado de incidentes

Os alertas de segurança gerados, mas não transformados em incidentes gerenciados, criam fluxos de trabalho de investigação desconectados, onde o contexto crítico, as atribuições das partes interessadas e o rastreamento de respostas permanecem processos manuais propensos a erros e atrasos humanos. A criação automatizada de incidentes consolida alertas relacionados em casos unificados com enriquecimento inteligente que adiciona inteligência de ameaças, contexto do usuário e criticidade de ativos antes da revisão do analista. A automação da classificação e a atribuição de partes interessadas garantem que os incidentes sejam encaminhados imediatamente para as equipes apropriadas com base nas características das ameaças e no impacto nos negócios, em vez de esperar por decisões manuais de triagem.

Transforme alertas em incidentes acionáveis por meio da automação:

Implemente a criação automatizada de incidentes do Microsoft Sentinel com enriquecimento, classificação e atribuição de partes interessadas inteligentes para gerenciamento consistente e eficácia de resposta.

Criação automatizada de incidentes:

• Configuração da regra do Google Analytics: Regras analíticas abrangentes para converter alertas de alta qualidade em incidentes com níveis de gravidade e critérios de classificação adequados
• Lógica de agrupamento de incidentes: Agrupamento inteligente de alertas relacionados em incidentes únicos para evitar a fragmentação e garantir um âmbito de investigação abrangente
• Mapeamento e Enriquecimento de Entidades: Extração e mapeamento automático de entidades (utilizadores, anfitriões, endereços IP, ficheiros) com enriquecimento a partir de informações sobre ameaças e dados históricos
• Pontuação de gravidade e priorização: Pontuação de gravidade automatizada com base em vários fatores, incluindo criticidade dos ativos, níveis de risco do usuário e sofisticação da técnica de ataque
• Atribuição e escalonamento do proprietário: Atribuição automatizada de incidentes a equipas de resposta adequadas com procedimentos de escalonamento para incidentes críticos não reconhecidos

Gerenciamento de incidentes do Microsoft Sentinel:

• Criação da linha do tempo do incidente: Geração automática de cronogramas de incidentes com alertas relacionados, atividades do usuário e eventos do sistema para um contexto de investigação abrangente
• Automação da coleta de evidências: Coleta automatizada de evidências relevantes, incluindo logs do sistema, atividades do usuário, fluxos de rede e hashes de arquivos para suporte à investigação
• Integração de ferramentas de colaboração: Integração com Microsoft Teams, ServiceNow e outras plataformas de colaboração para comunicação e coordenação de incidentes perfeitas
• SLA e acompanhamento de métricas: Rastreamento automatizado de SLAs de resposta a incidentes, incluindo tempo para reconhecimento, tempo para investigação e tempo para resolução
• Automação de Playbook: Execução de playbook desencadeada para tipos de incidentes comuns, incluindo contenção automatizada, recolha de evidências e notificação das partes interessadas

Exemplo de implementação

Uma organização implementou alertas avançados e criação automatizada de incidentes para melhorar a precisão da deteção de ameaças e garantir uma resposta rápida a incidentes de segurança, reduzindo as taxas de falsos positivos enquanto mantém uma cobertura abrangente.

Desafio: A organização experimentou altas taxas de falsos positivos de alertas de segurança, causando fadiga de alerta e resposta atrasada a ameaças genuínas, com processos manuais de criação de incidentes criando escopo de investigação inconsistente e eventos de segurança perdidos.

Abordagem da solução:

• Proteção abrangente do Microsoft Defender for Cloud habilitada , incluindo Defender for Servers, Storage e Key Vault com limites de alerta personalizados
• Regras de análise do Microsoft Sentinel configuradas com padrões de ameaça específicos da organização, incluindo acesso não autorizado a dados, consultas de banco de dados incomuns e padrões de autenticação anômalos
• Implementou a criação automatizada de incidentes com agrupamento inteligente, reduzindo o volume de incidentes e, ao mesmo tempo, garantindo um escopo de investigação abrangente para eventos de segurança relacionados
• Enriquecimento de entidade implantado correlacionando automaticamente contas de usuário com grupos de ID do Microsoft Entra , níveis de acesso privilegiados e incidentes históricos de segurança
• Criou manuais automatizados para investigação de incidentes, incluindo coleta de evidências, notificação de partes interessadas e fluxos de trabalho de relatórios regulatórios
• Monitorização estabelecida do SLA acompanhando os tempos de resposta a incidentes com escalonamento automático para atrasos nas respostas

Resultado: Reduziu substancialmente as taxas de falsos positivos através do ajuste de alertas, mantendo uma cobertura abrangente contra ameaças. A criação automatizada de incidentes reduziu significativamente o tempo de investigação através do agrupamento inteligente de alertas e do enriquecimento das entidades, melhorando assim a eficiência da investigação.

Nível de criticidade

Deve ter.

Mapeamento de controle

• NIST SP 800-53 Rev.5: SI-4, SI-4(1), SI-4(2), SI-4(4), IR-4(1), IR-5
• PCI-DSS v4: 5.3.2, 10.6.1, 10.6.2, 11.5.1
• Controles CIS v8.1: 8.11, 13.1, 13.2, 17.4
• NIST CSF v2.0: DE.CM-1, DE.CM-4, DE.CM-7, DE.AE-1, DE.AE-2
• ISO 27001:2022: A.8.16, A.5.24, A.5.26
• SOC 2: CC7.2, CC7.3

IR-4: Deteção e análise - investigar um incidente

Azure Policy: Ver definições de políticas incorporadas Azure: IR-4.

Princípio da segurança

Implemente recursos abrangentes de investigação de incidentes usando serviços de segurança nativos do Azure, ferramentas forenses e procedimentos de investigação sistemática para garantir a compreensão completa do escopo do ataque, a preservação de evidências e o planejamento de contenção eficaz.

Risco a mitigar

Recursos inadequados de investigação de incidentes impedem que as organizações compreendam o escopo do ataque, identifiquem as causas básicas e implementem medidas de contenção eficazes, permitindo que os invasores mantenham a persistência e continuem atividades maliciosas. Sem capacidades de investigação abrangentes:

• Escopo de ataque incompleto: A visibilidade limitada da progressão, do movimento lateral e do acesso aos dados impede a contenção e permite pontos de apoio ocultos.
• Exposição de dados desconhecida: A falha na identificação de dados acessados, modificados ou exfiltrados cria violações de conformidade e impede uma notificação precisa de violação.
• Mecanismos de persistência de ataques falhados: A investigação inadequada não consegue identificar backdoors, tarefas agendadas, modificações no registro ou outros mecanismos de persistência, permitindo que os invasores recuperem o acesso após os esforços iniciais de correção.
• Destruição e adulteração de provas: A falta de procedimentos adequados de preservação de provas permite que provas forenses críticas sejam substituídas, modificadas ou excluídas durante a investigação, comprometendo os procedimentos legais e a análise da causa raiz.
• Tempo de permanência prolongado e danos: Uma investigação ineficaz prolonga a presença do invasor no ambiente, aumentando a exposição de dados, os danos ao sistema e o impacto nos negócios, ao mesmo tempo em que mina a confiança nos controles de segurança.
• Incidentes recorrentes de remediação incompleta: A falha na identificação de todos os vetores de ataque e pontos de entrada resulta em recomprometimento através das mesmas vulnerabilidades e caminhos de ataque.

Capacidades de investigação deficientes agravam os danos ao impedir a resposta, permitir a atividade contínua do atacante e minar a aprendizagem.

MITRE ATT&CK

• Evasão de Defesa (TA0005): remoção de indicadores (T1070) excluindo logs e evidências para impedir a investigação e análise de métodos e escopo de ataque.
• Defense Evasion (TA0005): exclusão de arquivos (T1070.004) removendo arquivos e artefatos maliciosos antes que a coleta forense possa preservar provas.
• Persistência (TA0003): arquivos e diretórios ocultos (T1564.001) que ocultam pontos de entrada ocultos e mecanismos de persistência de investigações superficiais.
• Discovery (TA0007): descoberta de informações do sistema (T1082) que coleta informações do sistema para entender os recursos de investigação e evitar mecanismos de deteção.

IR-4.1: Implementar coleta e análise abrangentes de logs

A investigação de incidentes falha sem dados de log abrangentes capturando eventos de autenticação, tráfego de rede, alterações de configuração e atividades de aplicativos que revelam métodos de invasores e escopo de comprometimento da infraestrutura. A análise centralizada de logs por meio do Azure Monitor e do Microsoft Sentinel transforma o log distribuído em um recurso de investigação unificado, permitindo consultas em várias fontes de log para construir linhas do tempo de ataque completas. Recursos avançados de consulta e análise de correlação identificam padrões invisíveis em fontes de log individuais, revelando ataques sofisticados que evitam a deteção de fonte única.

Habilite uma investigação forense abrangente por meio de registro centralizado:

Implemente uma recolha de registos abrangente nos serviços e cargas de trabalho do Azure com análise centralizada através do Azure Monitor, Microsoft Sentinel e Azure Log Analytics para uma investigação e perícia eficazes.

Estratégia de coleta de logs do Azure:

• Auditoria do Microsoft Entra ID e logs de entrada: Registro completo de autenticação e autorização com análise de risco, avaliação de política de acesso condicional e rastreamento privilegiado de operações
• Logs de atividades do Azure: Operações abrangentes do plano de controle, incluindo modificações de recursos, alterações de política e atividades administrativas em todos os serviços do Azure (log de atividades do Azure).
• Logs de fluxo do grupo de segurança de rede: Análise de tráfego de rede com mapeamento de origem/destino, análise de protocolo e identificação de padrões de conexão para detectar movimentos laterais (logs de fluxo do NSG).
• Implantação do Agente de Monitorização do Azure: Implantação sistemática do Agente de Monitorização do Azure em todas as VMs e conjuntos de dimensionamento de máquinas virtuais para registo abrangente ao nível do sistema.
• Logs de aplicações e serviços: Logs de aplicações personalizados com formatos estruturados, IDs de correlação e categorização de eventos de segurança para investigação da lógica de negócios
• Integração de dados do Microsoft Defender XDR: Coleta automática de sinais de endpoint, identidade, email e aplicativo na nuvem do ambiente Microsoft 365 para correlação unificada de ameaças

Recursos de investigação do Microsoft Sentinel:

• Análise do comportamento da entidade: Análise baseada em IA do comportamento do usuário e da entidade com deteção de anomalias e pontuação de risco para priorização de investigação
• Gráfico de investigação: Interface de investigação visual mostrando relações de entidade, cronogramas de ataque e correlação de evidências para análise abrangente de incidentes
• Cadernos de Caça a Ameaças: Cadernos pré-configurados para caça a ameaças sistemática com consultas KQL, visualizações e fluxos de trabalho de investigação
• Mapeamento do framework MITRE ATT&CK: Mapeamento automático das atividades detetadas para técnicas MITRE ATT&CK para reconhecimento de padrões de ataque e análise de lacunas de defesa
• Investigação entre espaços de trabalho: Capacidades de investigação em vários espaços de trabalho do Log Analytics para ambientes empresariais de grande escala

IR-4.2: Estabelecer capacidades forenses e de preservação de provas

Os atrasos na recolha de provas e o tratamento inadequado comprometem a integridade forense, tornando as conclusões da investigação inadmissíveis em processos judiciais, ao mesmo tempo que permitem que os atacantes cubram os rastros através da destruição de provas. A preservação automatizada de evidências usando instantâneos de VM, backups de disco e despejos de memória captura o estado do sistema imediatamente após a deteção de incidentes, antes que ocorra adulteração adversária. O armazenamento imutável com políticas de retenção legal garante a integridade das provas durante a investigação e possíveis processos legais, mantendo a cadeia de custódia necessária para conformidade regulatória e acusação.

Preservar provas forenses através da recolha automatizada:

Implemente a preservação sistemática de evidências usando captura de instantâneos de VM do Azure, Azure Disk Backup, captura de despejo de memória e armazenamento imutável para garantir a integridade forense e dar suporte a processos legais.

Automatização da recolha de provas:

• Automação de instantâneo da VM do Azure: Automação com PowerShell e modelos ARM para criar instantâneos de VM em ponto específico no tempo durante a resposta a incidentes, com marcação de metadados e políticas de retenção (Criar um instantâneo).
• Integração do Azure Disk Backup: Acionamento automatizado de backups durante incidentes com políticas de retenção para fins legais e retenção de longo prazo nos cofres do Azure Backup (visão geral do Backup do Azure).
• Coleção de despejo de memória: Recolha sistemática de despejo de memória usando extensões do Azure e PowerShell remoting para conservação de evidências voláteis
• Exportação e preservação de logs: Exportação automatizada de logs do Azure Monitor, logs do Microsoft Entra ID e logs de eventos de segurança para o Armazenamento do Azure imutável com políticas de preservação legal (armazenamento imutável para blobs).
• Captura de pacotes de rede: Automação da captura de pacotes do Azure Network Watcher acionada por incidentes de segurança para análise forense de rede (captura de pacotes).

Integração de ferramentas de análise forense:

• Integração com o Microsoft Defender for Cloud: Coleta automatizada de evidências desencadeada por alertas de alta gravidade com correlação com cronogramas de investigação
• Suporte a ferramentas forenses de terceiros: Integração com ferramentas forenses de terceiros através da montagem do Armazenamento do Azure e transferência segura de provas
• Procedimentos da cadeia de custódia: Documentação automatizada da cadeia de custódia com hashing criptográfico, assinaturas digitais e registro de acesso para requisitos legais de provas
• Políticas de retenção de evidências: Aplicação automatizada de políticas de retenção com requisitos de conformidade para diferentes tipos de incidentes e estruturas regulatórias
• Replicação de evidências entre regiões: Replicação de evidências geográficas para recuperação de desastres e requisitos jurisdicionais com criptografia e controles de acesso

Exemplo de implementação

Uma organização de serviços financeiros implementou recursos abrangentes de investigação de incidentes para dar suporte aos requisitos regulatórios da SEC e proteger contra ataques sofisticados de fraude financeira, garantindo recursos completos de coleta e análise de evidências forenses.

Desafio: A organização de serviços financeiros não tinha recursos forenses abrangentes para investigar ataques sofisticados de fraude financeira, com processos manuais de coleta de evidências criando risco de perda de evidências e incapacidade de cumprir os cronogramas de investigação da SEC que exigiam documentação completa do escopo do ataque.

Abordagem da solução:

• Implantou o Microsoft Defender for Endpoint em todas as máquinas virtuais com recursos de monitoramento de comportamento e análise de script que detetam PowerShell mal-intencionado, injeção de processos e atividades de roubo de credenciais
• Configurado o Microsoft Sentinel com análise de comportamento de entidade que deteta padrões de negociação incomuns, acesso não autorizado ao sistema e transações financeiras suspeitas
• Implementou procedimentos automatizados de instantâneos de VM acionados por alertas críticos de segurança capturando o estado completo do sistema em 5 minutos para preservação forense
• Armazenamento do Azure imutável estabelecido com políticas de retenção legal que garantem a integridade das evidências para os requisitos de investigação da SEC e suporte a litígios
• Criou consultas avançadas de caça do Microsoft Defender XDR para padrões de fraude financeira, incluindo atividade de negociação fora do expediente, padrões incomuns de acesso a dados e uso indevido de contas privilegiadas em endpoints, identidades e aplicativos em nuvem
• Implantou o Azure Network Watcher com captura automatizada de pacotes para incidentes suspeitos de insider trading, fornecendo recursos forenses de rede completos

Resultado: Alcançou recursos abrangentes de investigação forense com preservação automatizada de provas, garantindo a conformidade com a SEC. Tempo de investigação substancialmente reduzido com consultas de caça avançadas e análise de comportamento da entidade, permitindo a rápida identificação do escopo do ataque e a documentação completa da cadeia de evidências.

Nível de criticidade

Deve ter.

Mapeamento de controle

• NIST SP 800-53 Rev.5: IR-4, IR-4(1), IR-4(4), UA-6, AU-6(1), AU-6(3), AU-7
• PCI-DSS v4: 10.6.1, 10.6.2, 10.6.3, 12.10.4, 12.10.5
• Controles CIS v8.1: 8.2, 8.5, 8.11, 13.2, 17.4
• NIST CSF v2.0: DE. AE-2, DE. AE-3, RS. AN-1, RS. AN-2, RS. AN-3
• ISO 27001:2022: A.5.24, A.5.25, A.5.28, A.8.16
• SOC 2: CC7.2, CC7.4, A1.2

IR-5: Deteção e análise - priorizar incidentes

Azure Policy: Veja definições de políticas incorporadas no Azure: IR-5.

Princípio da segurança

Implemente a priorização sistemática de incidentes com base na criticidade dos ativos, no impacto nos negócios, na gravidade das ameaças e nos requisitos normativos usando pontuação e classificação automatizadas para garantir a alocação de recursos e o tempo de resposta adequados.

Risco a mitigar

A má priorização de incidentes leva a recursos de segurança mal alocados, resposta atrasada a ameaças críticas e maior impacto nos negócios de incidentes de segurança. Sem priorização sistemática:

• Resposta crítica atrasada a ameaças: Os incidentes de alto impacto recebem atenção inadequada, enquanto os recursos se concentram em eventos de baixa prioridade.
• Exaustão de recursos em eventos de baixa prioridade: As equipes investigam pequenos incidentes enquanto ataques sofisticados progridem em sistemas de alto valor.
• Amplificação do impacto nos negócios: A falta de consciência da criticidade dos ativos resulta em tempo de inatividade prolongado para sistemas geradores de receita, ao mesmo tempo em que se concentra em problemas de infraestrutura não críticos.
• Escalonamento de violações regulatórias: Incidentes envolvendo informações de identificação pessoal (PII), informações de saúde protegidas (PHI) ou dados financeiros recebem priorização inadequada, levando a perda de prazos de notificação e violações de conformidade.
• Comunicação ineficaz com as partes interessadas: A ausência de critérios claros de priorização impede a notificação executiva adequada e a alocação de recursos para incidentes que exigem o envolvimento da liderança sênior.
• Progressão do ataque durante a priorização incorreta: Atacantes sofisticados exploram lacunas de priorização para conduzir movimentos laterais e exfiltração de dados, enquanto as equipes de segurança se concentram em táticas de desvio ou eventos de baixa prioridade.

A priorização inadequada impede a alocação adequada de recursos e o tempo de resposta com base no risco do negócio.

MITRE ATT&CK

• Evasão de Defesa (TA0005): mascaramento (T1036) criando inúmeros alertas de baixa prioridade para sobrecarregar as equipas de segurança enquanto conduz atividades de alto impacto em sistemas críticos para os negócios.
• Impacto (TA0040): dados criptografados para impacto (T1486) visando sistemas de alto valor, enquanto as equipes de segurança são distraídas por incidentes de baixa prioridade.
• Movimento Lateral (TA0008): serviços remotos (T1021) progredindo através de redes de alto valor, enquanto lacunas de priorização impedem o foco apropriado no comprometimento de ativos críticos.

IR-5.1: Implementar a criticidade dos ativos e a avaliação de impacto nos negócios

A priorização de incidentes sem contexto de negócios trata todos os eventos de segurança igualmente, sobrecarregando as equipes de resposta com alertas, enquanto os incidentes críticos com impacto nos negócios recebem atenção insuficiente devido à importância indistinguível. A classificação de ativos com base na criticidade dos negócios, na dependência da receita e no escopo regulatório permite a priorização baseada em riscos que concentra recursos de resposta limitados em incidentes que afetam os sistemas críticos da organização. A pontuação automatizada de impacto nos negócios transforma a priorização subjetiva em tomada de decisão orientada por dados, garantindo que incidentes que ameacem danos financeiros, operacionais ou reputacionais recebam escalonamento imediato.

Habilite a priorização de incidentes com base no risco por meio da análise de impacto nos negócios:

Implemente uma classificação abrangente de ativos e uma avaliação de impacto nos negócios usando as Tags de Recursos do Azure, o inventário de ativos do Microsoft Defender for Cloud e a pontuação de impacto nos negócios para priorização de incidentes com base em risco.

Classificação e marcação de ativos:

• Marcação de recursos baseada em criticidade: Marcação sistemática de recursos do Azure com níveis de criticidade (Crítico, Alto, Médio, Baixo) com base na avaliação de impacto nos negócios e na dependência de receita
• Integração de classificação de dados: Integração com a classificação de dados Microsoft Purview para priorização automática de incidentes envolvendo categorias de dados confidenciais
• Mapeamento de funções de negócios: Marcação de recursos com associações de funções de negócios, permitindo uma rápida avaliação de impacto de incidentes que afetam recursos de negócios específicos
• Identificação do Âmbito Regulamentar: Etiquetagem de recursos sujeitos a requisitos regulamentares específicos (PCI-DSS, HIPAA, SOX) para procedimentos adequados de escalonamento e notificação de incidentes.
• Proprietário e informações de contato: Marcação de recursos com contatos do proprietário da empresa e informações de suporte técnico para notificação rápida das partes interessadas durante incidentes

Integração com o Microsoft Defender for Cloud:

• Inventário de ativos e avaliação de riscos: Inventário abrangente de ativos com pontuação de postura de segurança e avaliação de vulnerabilidade para priorização baseada em risco
• Correlação de impacto nos negócios: Correlação de alertas de segurança com tags de criticidade de ativos para ajuste automático da gravidade do incidente e pontuação de priorização
• Mapeamento de conformidade regulatória: Integração com avaliações de conformidade para escalonamento automático de incidentes que afetam recursos regulamentados por conformidade
• Análise da Superfície de Ataque: Visibilidade da superfície de ataque com priorização de incidentes envolvendo recursos expostos à Internet ou de alto privilégio
• Priorização de recomendações de segurança: Priorização baseada em risco de recomendações de segurança com consideração de impacto nos negócios e orientação de cronograma de remediação

IR-5.2: Configurar a pontuação de gravidade automatizada e o escalonamento

As classificações de gravidade de incidentes estáticos ignoram o contexto de negócios e os fatores ambientais, resultando em incidentes críticos com impacto nos negócios recebendo atenção insuficiente, enquanto os alertas de baixo impacto consomem recursos de resposta desproporcionais. A pontuação de gravidade automatizada considera a criticidade dos ativos, o escopo regulatório, as populações de usuários afetados e os indicadores de ameaça para calcular pontuações de prioridade dinâmicas que refletem o risco real dos negócios, em vez de categorias de alerta genéricas. O escalonamento baseado no tempo garante que incidentes críticos não reconhecidos ou não resolvidos acionem automaticamente a notificação da liderança, evitando que eventos críticos parem nas filas enquanto os analistas lidam com casos de rotina.

Calcule a prioridade de incidentes com base no risco por meio de pontuação automatizada:

Implemente a pontuação de gravidade automatizada do Microsoft Sentinel com regras de análise personalizadas e fluxos de trabalho de escalonamento para priorização apropriada e alocação de recursos com base em vários fatores de risco.

Pontuação de gravidade automatizada:

• Pontuação de risco multifatorial: Algoritmo de pontuação abrangente considerando a criticidade dos ativos, a sensibilidade dos dados, a confiança na inteligência de ameaças e o potencial impacto nos negócios
• Pontuação de risco da entidade Microsoft Sentinel: Pontuação de risco de entidade alimentada por IA para usuários, dispositivos e endereços IP com análise de comportamento histórico e deteção de anomalias
• Integração de inteligência de ameaças: Ajuste automático de gravidade com base em feeds de inteligência de ameaças, infraestrutura de invasores conhecidos e atribuição de campanhas
• Avaliação de impacto da conformidade: Escalonamento automático de gravidade para incidentes envolvendo dados protegidos por regulamentação com fluxos de trabalho de notificação apropriados
• Regras de escalonamento com base no tempo: Procedimentos de escalonamento automatizados para incidentes não reconhecidos com limites de tempo adequados à gravidade e notificação das partes interessadas

Fluxos de trabalho de escalonamento e notificação:

• Gatilhos de notificação executiva: Notificação executiva automatizada para incidentes críticos envolvendo sistemas críticos para os negócios ou possíveis violações regulatórias
• Integração da Equipa Jurídica: Notificação automática da equipe jurídica para incidentes envolvendo violações de dados, propriedade intelectual ou questões de conformidade regulatória

Exemplo de implementação

Uma organização implementou a priorização abrangente de incidentes para proteger dados confidenciais e garantir a continuidade dos negócios, permitindo a alocação adequada de recursos com base no impacto nos negócios e nos requisitos regulamentares.

Desafio: A organização lutou com a alocação adequada de recursos durante incidentes de segurança simultâneos, com processos manuais de priorização causando atraso na resposta a incidentes críticos do sistema de negócios e escalonamento inconsistente para executivos para eventos de alto impacto.

Abordagem da solução:

• Implementou a estratégia de marcação de recursos do Azure classificando todos os recursos por criticidade de negócios com sistemas de negócios críticos marcados como "Críticos" e sistemas não essenciais como "Baixos"
• Configurado o Microsoft Sentinel com algoritmos de pontuação personalizados que pesam o escopo regulatório, o impacto nos negócios e a sensibilidade dos dados para priorização de incidentes
• Implantou fluxos de trabalho de escalonamento automatizados notificando imediatamente executivos e equipes jurídicas sobre incidentes envolvendo dados regulamentados ou sistemas de negócios críticos
• Criação de automação de avaliação de impacto nos negócios, cálculo de potencial impacto nos negócios com base em sistemas afetados e dados operacionais históricos
• Procedimentos de escalonamento baseados no tempo estabelecidos com notificação executiva de 15 minutos para incidentes críticos e escalonamento de 4 horas para eventos de alta prioridade não reconhecidos
• Alertas integrados de prevenção de perda de dados do Microsoft Purview com priorização de incidentes, garantindo escalonamento automático para incidentes envolvendo dados confidenciais

Resultado: Melhor alocação de recursos de resposta a incidentes com priorização automatizada, garantindo que incidentes críticos recebam atenção imediata. Reduziu substancialmente o tempo de notificação executiva para incidentes críticos, eliminando escalonamentos desnecessários para eventos de baixa prioridade.

Nível de criticidade

Deveria ter.

Mapeamento de controle

• NIST SP 800-53 Rev.5: IR-4(2), IR-4(4), IR-5, RA-2, RA-3
• PCI-DSS v4: 12.5.1, 12.10.5
• Controles CIS v8.1: 1.1, 1.2, 17.4, 17.5
• NIST CSF v2.0: DE. AE-1, RS. AN-1, RS. AN-5
• ISO 27001:2022: A.5.24, A.5.27, A.8.8
• SOC 2: CC7.3, A1.1

IR-6: Contenção, erradicação e recuperação - automatize o tratamento de incidentes

Princípio da segurança

Implemente a automação abrangente de resposta a incidentes por meio dos manuais Microsoft Sentinel, Logic Apps e Power Automate para permitir contenção rápida, procedimentos de resposta consistentes e tratamento escalável de incidentes que corresponda à velocidade de ataques automatizados.

Risco a mitigar

Os processos manuais de resposta a incidentes criam atrasos perigosos que permitem que os atacantes causem o máximo de danos, estabeleçam acesso persistente e completem seus objetivos, enquanto as equipes de segurança lutam com procedimentos manuais demorados. Sem automação:

• Tempos de resposta alargados: A contenção manual leva horas ou dias, enquanto os ataques automatizados completam os objetivos em minutos.
• Erro humano sob pressão: Os procedimentos manuais produzem erros, incluindo contenção incompleta, destruição de evidências e recuperação incorreta.
• Resposta inconsistente em todos os incidentes: Os processos manuais levam a variações na qualidade da resposta, etapas perdidas e remediação incompleta, dependendo da experiência do analista e da disponibilidade durante os incidentes.
• Esgotamento do analista e esgotamento de recursos: Tarefas manuais repetitivas durante a resposta a incidentes consomem tempo e energia do analista, reduzindo a capacidade de investigação complexa e atividades estratégicas de caça a ameaças.
• Limitações de escalabilidade durante incidentes generalizados: As organizações não podem responder de forma eficaz a vários incidentes simultâneos ou ataques em grande escala quando dependem de procedimentos manuais que exigem atenção individual do analista.
• Contenção retardada permitindo amplificação de danos: Os procedimentos manuais de isolamento levam muito tempo para evitar movimentos laterais, exfiltração de dados e comprometimento do sistema em ataques rápidos, como ransomware.

A resposta manual não pode corresponder à velocidade e à escala de ataque automatizado.

MITRE ATT&CK

• Movimento Lateral (TA0008): a exploração de serviços remotos (T1210) avança rapidamente através das redes, enquanto os procedimentos manuais de contenção não conseguem acompanhar a progressão do ataque.
• Impacto (TA0040): dados cifrados para provocar impacto (T1486), implantando ransomware em vários sistemas enquanto os esforços de isolamento manual não conseguem ser escalados para corresponder à velocidade do ataque.
• Exfiltração (TA0010): exfiltração automatizada (T1020) finalizando operações de roubo de dados durante longos tempos de resposta manual.

IR-6.1: Implantar playbooks de resposta automatizada do Microsoft Sentinel

As ações manuais de resposta a incidentes introduzem atrasos críticos que permitem que os adversários progridam através de cadeias de ataque, enquanto os analistas executam procedimentos de contenção, com velocidade de resposta limitada por humanos, permitindo que os atacantes atinjam os objetivos antes da implantação de contramedidas eficazes. Os guias automatizados executam ações de contenção, investigação e recuperação à velocidade computacional — isolando sistemas comprometidos, desativando contas violadas e bloqueando infraestruturas maliciosas em segundos, em vez das horas que uma resposta humana demoraria. Procedimentos automatizados padronizados garantem uma qualidade de resposta consistente, independentemente do nível de experiência do analista ou do volume de incidentes, eliminando a variabilidade que causa etapas de contenção perdidas durante a resposta a incidentes de alta pressão.

Execute uma resposta rápida consistente por meio da automação:

Implemente os Playbooks do Microsoft Sentinel com a integração de Aplicativos Lógicos do Azure para automatizar ações comuns de resposta a incidentes, incluindo contenção, investigação e recuperação. Os playbooks proporcionam uma resposta rápida e consistente em escala.

Categorias principais de playbooks:

• Manuais de resposta da conta de utilizador: Desativação automatizada de conta de usuário, redefinição de senha, encerramento de sessão e revogação de privilégios com fluxos de trabalho de aprovação para prevenção de falsos positivos
• Playbooks de isolamento de dispositivo: Isolamento automatizado de VM por meio da modificação do Grupo de Segurança de Rede, implantação de regras do Firewall do Azure e segmentação de rede virtual
• Playbooks de resposta a malware: Quarentena automatizada de arquivos, bloqueio de hash no Azure Defender e implantação de assinatura no Windows Defender em toda a organização
• Manuais de Proteção de Dados: Revisão automatizada da classificação de dados, revogação de acesso e rotação de chaves de criptografia para incidentes que envolvam exposição de dados
• Manuais de comunicação e notificação: Notificação automatizada das partes interessadas, comunicação com o cliente e relatórios regulatórios com fluxos de trabalho de mensagens e aprovação em modelo

Capacidades de integração:

• Integração com o Microsoft Entra ID: Gerenciamento automatizado de contas de usuário, modificação da política de acesso condicional e ações privilegiadas de gerenciamento de identidade por meio da API do Microsoft Graph
• Integração com o Microsoft Defender: Caça automatizada a ameaças, bloqueio de indicadores de comprometimento (IoC) e implementação de recomendações de segurança em plataformas Defender
• Azure Resource Management: Isolamento automatizado de recursos, alterações de configuração e acionamento de backup por meio de APIs do Azure Resource Manager
• Integração SOAR de terceiros: Integração com ServiceNow, Phantom e outras plataformas de orquestração, automação e resposta de segurança por meio de APIs REST
• Aprovação e Validação Humana: Fluxos de trabalho de aprovação configuráveis para ações automatizadas de alto impacto com procedimentos de tempo limite e mecanismos de escalonamento

IR-6.2: Implementar procedimentos automatizados de contenção e isolamento

Os atrasos de contenção permitem que os adversários estabeleçam mecanismos de persistência, exfiltrem dados ou implantem ransomware enquanto os procedimentos manuais de isolamento progridem através de cadeias de aprovação e alterações de configuração, com a progressão do ataque muitas vezes superando as capacidades de resposta humana. A contenção automatizada por meio do isolamento de rede, desativação de contas e quarentena do sistema é executada em segundos após a deteção, interrompendo as cadeias de ataque antes que os adversários atinjam os objetivos. A automação de contenção pré-autorizada remove gargalos de decisão humana durante janelas de resposta críticas, quando minutos de atraso determinam a diferença do resultado do incidente entre a intrusão contida e a violação de dados bem-sucedida.

Evite a progressão de ataques através da contenção automática imediata:

Implante o isolamento automatizado de rede, a desativação de contas e a quarentena do sistema usando a Automação do Azure (runbooks: visão geral da Automação do Azure), a Política do Azure (visão geral da Política do Azure) e o Microsoft Defender para contenção rápida impedindo a progressão de ataques.

Automação de isolamento de rede:

• Automação do Grupo de Segurança de Rede do Azure: Modificação automatizada das regras do Grupo de Segurança de Rede para isolar máquinas virtuais comprometidas, preservando o acesso à investigação (Gerenciar NSGs).
• Implantação da Regra de Firewall do Azure: Implantação rápida de regras do Firewall do Azure bloqueando endereços IP mal-intencionados, domínios e padrões de comunicação identificados durante incidentes usando o Firewall do Azure.
• Isolamento de rede virtual: Segmentação automatizada de rede virtual e isolamento de sub-rede para evitar movimentos laterais durante incidentes ativos
• Atualizações do Balanceador de Carga e do Gerenciador de Tráfego: Remoção automatizada de recursos comprometidos de pools de balanceadores de carga e roteamento de tráfego para evitar impacto no cliente
• Isolamento de ExpressRoute e VPN: Modificação automatizada de políticas de roteamento para isolar segmentos de rede comprometidos de ambientes locais

Automação de contas e controle de acesso:

• Acesso condicional do Microsoft Entra: Implantação automatizada de política de acesso condicional bloqueando o acesso de contas, dispositivos ou locais comprometidos (Visão geral do Acesso Condicional).
• Gerenciamento privilegiado de identidades: Revogação automatizada de atribuições de acesso privilegiado e acesso just-in-time para contas comprometidas (visão geral do PIM).

Exemplo de implementação

Uma organização implementou uma automação abrangente de resposta a incidentes para reduzir os tempos de resposta de horas para minutos, mantendo a conformidade regulamentar.

Desafio: A organização experimentou atrasos na resposta a incidentes, com processos manuais de contenção levando horas, permitindo a movimentação lateral do atacante, e procedimentos de resposta inconsistentes criando lacunas na documentação de conformidade regulatória e registros de auditoria.

Abordagem da solução:

• Playbooks do Microsoft Sentinel implantados para suspensão automatizada de conta de utilizador e isolamento de dispositivo acionados por alertas de segurança de alta confiança
• Implementou os runbooks de Automação do Azure para o isolamento rápido de máquinas virtuais, preservando evidências forenses enquanto evita o movimento lateral para sistemas críticos.
• Criou fluxos de trabalho de aplicativos lógicos para notificação automatizada de partes interessadas, incluindo equipes jurídicas, oficiais de conformidade e executivos com procedimentos de escalonamento adequados à gravidade
• Política do Azure configurada para correção de conformidade automatizada, garantindo que os sistemas isolados mantenham as configurações de segurança durante os procedimentos de resposta a incidentes
• Fluxos de trabalho de aprovação estabelecidos para ações de automação de alto impacto com requisitos de autorização de duas pessoas para ações que afetam os sistemas de produção
• Fluxo de trabalho integrado com procedimentos automatizados de criação, atribuição e escalonamento de tíquetes, garantindo documentação abrangente de incidentes e trilhas de auditoria

Resultado: Tempo de resposta a incidentes substancialmente reduzido com contenção automatizada correspondente à velocidade de ataques automatizados. Os manuais automatizados garantiram procedimentos de resposta consistentes com trilhas de auditoria completas que apoiavam a conformidade regulatória, enquanto a autorização de duas pessoas protegia os sistemas de produção contra erros de automação.

Nível de criticidade

Deveria ter.

Mapeamento de controle

• NIST SP 800-53 Rev.5: IR-4(1), IR-4(4), IR-5(1), IR-8
• PCI-DSS v4: 12.10.4, 12.10.6
• Controles CIS v8.1: 17.4, 17.6, 17.7
• NIST CSF v2.0: RS.RP-1, RS.MI-1, RS.MI-2, RS.MI-3
• ISO 27001:2022: A.5.24, A.5.25, A.5.26
• SOC 2: CC7.3, CC7.4, CC9.1

IR-7: Atividade pós-incidente - conduza as lições aprendidas e retenha evidências

Princípio da segurança

Estabeleça atividades pós-incidentes sistemáticas, incluindo processos abrangentes de lições aprendidas, retenção de evidências com armazenamento imutável e melhoria contínua dos recursos de resposta a incidentes com base na experiência real de incidentes e na evolução do cenário de ameaças.

Risco a mitigar

A falha na condução sistemática de atividades pós-incidentes cria oportunidades perdidas de aprendizagem organizacional, violações de conformidade regulatória e incidentes de segurança repetidos que poderiam ser evitados por meio de processos adequados de lições aprendidas. Sem procedimentos pós-incidentes abrangentes:

• Incidentes recorrentes: A incapacidade de identificar e corrigir lacunas fundamentais leva a ataques repetidos através das mesmas vulnerabilidades.
• Destruição de provas: A falta de retenção destrói as provas forenses necessárias para ações legais, reclamações de seguros e conformidade regulamentar.
• Falha no cumprimento das obrigações de conformidade regulamentar: As indústrias com requisitos de retenção de provas (HIPAA, SOX, PCI-DSS, GDPR) enfrentam penalidades significativas quando as provas não são devidamente preservadas durante os prazos mandatórios.
• Melhorias ineficazes no controlo de segurança: A ausência de lições sistemáticas aprendidas impede a identificação de lacunas de controle de segurança, levando à exposição contínua a ataques e vulnerabilidades semelhantes.
• Recursos degradados de resposta a incidentes: As equipes não conseguem melhorar os procedimentos, ferramentas e treinamento de resposta com base na experiência real de incidentes, resultando em repetidas ineficiências de resposta e atrasos.
• Perda de conhecimento organizacional: As experiências individuais de incidentes não são capturadas e compartilhadas em toda a organização, impedindo o aprendizado organizacional e o desenvolvimento de capacidades.

As falhas pós-incidente impedem a adaptação organizacional e garantem a vulnerabilidade contínua a ataques evitáveis.

MITRE ATT&CK

• Persistência (TA0003): manipulação de conta (T1098) restabelecendo o acesso através dos mesmos vetores de ataque quando as organizações não conseguem abordar as causas raiz identificadas durante a análise pós-incidente.
• Acesso inicial (TA0001): explorar aplicações públicas (T1190) explorando repetidamente as mesmas vulnerabilidades quando a análise pós-incidente não consegue identificar e corrigir lacunas de segurança sistémicas.
• Evasão de Defesa (TA0005): remoção de indicadores (T1070) aproveitando a retenção inadequada de evidências para evitar a atribuição e deteção futura de padrões de ataque semelhantes.

IR-7.1: Implementar processos sistemáticos de lições aprendidas

As organizações que não conseguem capturar as lições aprendidas com incidentes de segurança repetem falhas evitáveis, perdendo oportunidades de fortalecer as defesas com base em padrões de ataque reais observados durante cenários de comprometimento reais, em vez de ameaças teóricas. Revisões sistemáticas pós-incidentes transformam eventos de segurança em aprendizado organizacional que impulsiona melhorias mensuráveis de segurança por meio de aprimoramentos de controle, refinamentos de processos e atualizações de treinamento informadas por técnicas adversárias reais. A análise estruturada de causa raiz identifica fraquezas fundamentais de segurança em vez de abordar os sintomas de superfície, evitando a recorrência por meio de alterações arquitetônicas que eliminam classes de ataque inteiras.

Transforme incidentes em melhorias de segurança através da aprendizagem sistemática:

As organizações devem estabelecer procedimentos abrangentes de lições aprendidas após incidentes de segurança usando o rastreamento de incidentes do Microsoft Sentinel, o gerenciamento de itens de trabalho do Azure DevOps e processos de melhoria estruturados para capturar conhecimento e impulsionar aprimoramentos de segurança.

Quadro de lições aprendidas:

• Reuniões de revisão pós-incidente: Reuniões de revisão sistemática dentro de 72 horas após o encerramento do incidente, envolvendo todas as partes interessadas, incluindo socorristas técnicos, proprietários de empresas e alta administração
• Metodologia de Análise de Causa Raiz: Análise estruturada de causa raiz usando técnicas como Cinco Porquês, diagramas de espinha de peixe e análise de linha do tempo para identificar causas fundamentais além dos sintomas imediatos
• Avaliação de lacunas de controle de segurança: Avaliação abrangente da eficácia do controle de segurança durante incidentes, incluindo capacidades de deteção, procedimentos de resposta e mecanismos de prevenção
• Cronograma e Análise de Decisão: Análise detalhada do cronograma de incidentes, pontos de decisão e eficácia de resposta para identificar melhorias no processo e necessidades de treinamento
• Recolha de feedback das partes interessadas: Coleta sistemática de feedback de todas as partes interessadas do incidente, incluindo usuários, clientes e parceiros externos afetados pelo incidente

Acompanhamento da implementação de melhorias:

• Integração do Azure DevOps: Criação de item de trabalho para melhorias identificadas com proprietários atribuídos, prazos e acompanhamento de progresso por meio dos Painéis de DevOps do Azure
• Integração do roteiro de segurança: Integração das lições aprendidas no roteiro de segurança organizacional e nos processos de planejamento estratégico
• Desenvolvimento de Métricas e KPIs: Desenvolvimento de indicadores-chave de desempenho (KPIs) com base nas lições aprendidas para medir a eficácia da melhoria e a maturação da resposta a incidentes
• Atualizações de Formação e Consciencialização: Atualizações sistemáticas para treinamento de conscientização de segurança, procedimentos de resposta a incidentes e documentação técnica com base nas lições aprendidas
• Aprimoramento do exercício de simulação: Integração de cenários baseados em lições aprendidas em exercícios de simulação e programas de formação na resposta a incidentes

IR-7.2: Estabelecer retenção de evidências e armazenamento imutável

A modificação ou exclusão de provas após a coleta compromete a integridade forense, tornando as conclusões da investigação inadmissíveis em processos judiciais, permitindo que adversários aleguem adulteração de provas em estratégias de defesa. O armazenamento imutável com políticas de retenção baseadas no tempo e retenções legais garante a preservação de evidências durante períodos de retenção regulatória e processos legais, evitando exclusão prematura ou modificação não autorizada. A documentação da cadeia de custódia com verificação criptográfica fornece provas legais de que as provas permaneceram inalteradas desde a coleta até a análise, atendendo aos padrões probatórios exigidos para ações judiciais e de aplicação regulatória.

Garantir a integridade das provas forenses através da preservação imutável:

As organizações devem implementar políticas de retenção imutáveis do Armazenamento do Azure, procedimentos de retenção legal e gerenciamento de evidências baseado em conformidade para garantir a preservação adequada de evidências para processos legais, requisitos regulatórios e análise de incidentes futuros.

Armazenamento imutável de provas:

• Políticas imutáveis de Armazenamento de Blobs do Azure: Políticas de bloqueio legal e baseadas no tempo que impedem a modificação ou exclusão de provas durante os períodos de retenção exigidos.
• Classificação e retenção de provas: Classificação sistemática dos tipos de provas com períodos de retenção adequados com base em requisitos regulamentares e considerações legais; aproveite o Microsoft Purview para classificação de dados, rotulagem de sensibilidade e políticas de retenção/ciclo de vida para alinhar o tratamento de evidências com a governança organizacional (Microsoft Purview).
• Documentação da cadeia de custódia: Rastreamento automatizado da cadeia de custódia com hashing criptográfico, assinaturas digitais e registro de acesso para requisitos legais de provas
• Replicação de evidências entre regiões: Replicação de evidências geográficas para recuperação de desastres e requisitos jurisdicionais com criptografia e controles de acesso
• Pesquisa e recuperação de provas: Recursos sistemáticos de indexação e pesquisa de evidências que permitem a rápida recuperação de processos judiciais e análise de incidentes futuros

Conformidade e requisitos legais:

• Mapeamento de conservação regulamentar: Mapeie os requisitos de conservação de evidências de acordo com as regulamentações aplicáveis (por exemplo, conservação de documentação HIPAA durante 6 anos; SOX registros relevantes geralmente 7 anos; PCI-DSS retenção mínima de logs de 1 ano com 3 meses imediatamente disponíveis). Nota: O RGPD não prescreve um período fixo de retenção de provas de vários anos — aplica princípios de minimização de dados e limitação de finalidade; reter apenas o tempo necessário para relatórios regulatórios, defesa legal e operações de segurança, com justificativa documentada. Fontes: HIPAA,SOX, PCI-DSS,GDPR.
• Automação de retenção legal: Implementação automatizada de retenção legal desencadeada por litígio, investigação regulatória ou outros requisitos legais com retenção indefinida

Exemplo de implementação

Uma organização de saúde implementou atividades abrangentes pós-incidente para atender aos requisitos da HIPAA com retenção sistemática de evidências e processos de lições aprendidas.

Desafio: A organização de saúde carecia de processos sistemáticos de revisão pós-incidente, criando incidentes recorrentes a partir de causas raiz não abordadas, com procedimentos manuais de retenção de evidências criando risco de violações de conformidade com a HIPAA e incapacidade de atender aos requisitos de investigação de OCR para retenção de 6 anos.

Abordagem da solução:

• Estabeleci reuniões estruturadas de lições aprendidas dentro de 48 horas após o encerramento do incidente envolvendo equipe clínica, equipes de TI, oficiais de privacidade e liderança sênior
• Implementou a retenção imutável do Armazenamento do Azure com políticas de retenção de 6 anos para conformidade com a HIPAA e gatilhos de retenção legal automatizados para possíveis litígios
• Criou modelos de item de trabalho do Azure DevOps para acompanhar implementações de melhoria com proprietários atribuídos e ciclos de revisão trimestral
• Implantou a automação da cadeia de custódia com hashing criptográfico e assinaturas digitais garantindo a integridade das evidências para investigações de OCR e processos legais
• Desenvolveu métricas de maturidade de resposta a incidentes rastreando o tempo médio até a deteção, eficácia da contenção e padrões de incidentes recorrentes para melhoria contínua
• Lições aprendidas integradas em treinamentos mensais de consciencialização sobre segurança e em exercícios de simulação trimestrais de resposta a incidentes

Resultado: Atingi a melhoria contínua da resposta a incidentes com redução de incidentes recorrentes através da remediação sistemática de causa raiz. O armazenamento imutável com retenção legal automatizada garantiu a conformidade com a HIPAA com a cadeia completa de custódia de evidências que apoia investigações do OCR e processos legais.

Nível de criticidade

Deveria ter.

Mapeamento de controle

• NIST SP 800-53 Rev.5: IR-4(4), IR-4(5), IR-4(10), CP-9(8), AU-11
• PCI-DSS v4: 10.5.1, 12.10.7
• Controles CIS v8.1: 8.3, 17.8, 17.9
• NIST CSF v2.0: RS.RP-1, RS.IM-1, RS.IM-2
• ISO 27001:2022: A.5.24, A.5.28, A.8.13
• SOC 2: CC9.1, A1.2, A1.3