Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Observação
O mais up-torecente Benchmark de Segurança do Azure está disponível aqui.
A Resposta a Incidentes abrange controlos no ciclo de vida da resposta a incidentes - preparação, deteção e análise, contenção e atividades pós-incidente. Isso inclui o uso de serviços do Azure, como a Central de Segurança do Azure e o Sentinel, para automatizar o processo de resposta a incidentes.
Para ver a Política do Azure interna aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Resposta a incidentes
IR-1: Preparação – atualizar o processo de resposta a incidentes para o Azure
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| IR-1 | 19 | IR-4, IR-8 |
Certifique-se de que a sua organização tem processos para responder a incidentes de segurança, atualizou estes processos para o Azure e está a exercê-los regularmente para garantir a prontidão.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
IR-2: Preparação – notificação de incidente de configuração
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| IR-2 | 19.5 | IR-4, IR-5, IR-6, IR-8 |
Configure as informações de contato do incidente de segurança na Central de Segurança do Azure. Estas informações de contacto são utilizadas pela Microsoft para o contactar se o Microsoft Security Response Center (MSRC) descobrir que os seus dados foram acedidos por uma parte ilegal ou não autorizada. Você também tem opções para personalizar o alerta e a notificação de incidentes em diferentes serviços do Azure com base em suas necessidades de resposta a incidentes.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
IR-3: Deteção e análise – crie incidentes com base em alertas de alta qualidade
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| IR-3 | 19.6 | IR-4, IR-5 |
Certifique-se de ter um processo para criar alertas de alta qualidade e medir a qualidade dos alertas. Isso permite que você aprenda lições de incidentes passados e priorize alertas para analistas, para que eles não percam tempo com falsos positivos.
Alertas de alta qualidade podem ser criados com base na experiência de incidentes anteriores, fontes comunitárias validadas e ferramentas projetadas para gerar e limpar alertas fundindo e correlacionando diversas fontes de sinal.
A Central de Segurança do Azure fornece alertas de alta qualidade em muitos ativos do Azure. Você pode usar o conector de dados ASC para transmitir os alertas para o Azure Sentinel. O Azure Sentinel permite criar regras de alerta avançadas para gerar incidentes automaticamente para uma investigação.
Exporte seus alertas e recomendações da Central de Segurança do Azure usando o recurso de exportação para ajudar a identificar riscos para os recursos do Azure. Exporte alertas e recomendações manualmente ou de forma contínua e contínua.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
IR-4: Deteção e análise – investigar um incidente
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| IR-4 | 19 | IR-4 |
Garanta que os analistas possam consultar e usar diversas fontes de dados enquanto investigam possíveis incidentes, para construir uma visão completa do que aconteceu. Diversos logs devem ser coletados para rastrear as atividades de um invasor em potencial em toda a cadeia de morte para evitar pontos cegos. Você também deve garantir que insights e aprendizados sejam capturados para outros analistas e para referência histórica futura.
As fontes de dados para investigação incluem as fontes de log centralizadas que já estão a ser recolhidas dos serviços incluídos no âmbito e dos sistemas em execução, mas também podem incluir:
Dados de rede – utilize os logs de fluxo dos grupos de segurança de rede, o Azure Network Watcher e o Azure Monitor para recolher registos de fluxo de rede e outras informações analíticas.
Capturas de sistemas em execução:
Use o recurso de instantâneo da máquina virtual do Azure para criar um instantâneo do disco do sistema em execução.
Use o recurso de despejo de memória nativo do sistema operacional para criar um instantâneo da memória do sistema em execução.
Use o recurso de instantâneo dos serviços do Azure ou a própria capacidade do seu software para criar instantâneos dos sistemas em execução.
O Azure Sentinel fornece análises de dados abrangentes em praticamente qualquer fonte de log e um portal de gerenciamento de casos para gerenciar o ciclo de vida completo dos incidentes. As informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de rastreamento e relatório.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
IR-5: Deteção e análise – priorizar incidentes
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| IR-5 | 19.8 | CA-2, IR-4 |
Forneça contexto aos analistas em quais incidentes devem se concentrar primeiro, com base na gravidade do alerta e na sensibilidade dos ativos.
A Central de Segurança do Azure atribui uma severidade a cada alerta para ajudá-lo a priorizar quais alertas devem ser investigados primeiro. A gravidade é baseada na confiança da Central de Segurança na descoberta ou na análise usada para emitir o alerta, bem como no nível de confiança de que houve intenção maliciosa por trás da atividade que levou ao alerta.
Além disso, marque recursos usando tags e crie um sistema de nomenclatura para identificar e categorizar recursos do Azure, especialmente aqueles que processam dados confidenciais. É sua responsabilidade priorizar a correção de alertas com base na criticidade dos recursos e do ambiente do Azure onde o incidente ocorreu.
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):
IR-6: Contenção, erradicação e recuperação – automatize o tratamento de incidentes
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| IR-6 | 19 | IR-4, IR-5, IR-6 |
Automatize tarefas manuais repetitivas para acelerar o tempo de resposta e reduzir a carga sobre os analistas. As tarefas manuais levam mais tempo para serem executadas, retardando cada incidente e reduzindo o número de incidentes que um analista pode lidar. As tarefas manuais também aumentam a fadiga dos analistas, o que aumenta o risco de erro humano que causa atrasos e degrada a capacidade dos analistas de se concentrarem efetivamente em tarefas complexas. Use os recursos de automação de fluxo de trabalho na Central de Segurança do Azure e no Azure Sentinel para acionar ações automaticamente ou executar um manual para responder a alertas de segurança recebidos. O manual realiza ações, como enviar notificações, desativar contas e isolar redes problemáticas.
Configurar a automação do fluxo de trabalho na Central de Segurança
Configurar respostas automatizadas a ameaças na Central de Segurança do Azure
Configurar respostas automatizadas a ameaças no Azure Sentinel
Responsabilidade: Cliente
Partes interessadas na segurança do cliente (Saiba mais):