事件回應涵蓋事件回應生命週期中的控制措施 - 準備、偵測和分析、圍堵和事件後活動,包括使用 Azure 服務(例如 Microsoft Defender for Cloud 和 Sentinel)和/或其他雲端服務來自動化事件回應程式。
IR-1: 準備 - 更新事件回應計劃和處理流程
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4、IR-8 | 10.8 |
安全性原則:確保您的組織遵循業界最佳做法來開發流程和計劃,以回應雲端平臺上的安全性事件。 請留意 IaaS、PaaS 和 SaaS 服務的共同責任模型和差異。 這會直接影響您在事件回應和處理活動中與雲端提供者共同作業的方式,例如事件通知和分級、辨識項收集、調查、消除和復原。
定期測試事件回應計畫和處理流程,以確保事件回應計畫是最新的。
Azure 指引:更新貴組織的事件回應程式,以在 Azure 平臺中包含事件的處理。 根據所使用的 Azure 服務與應用程式本質,自定義事件回應計劃和劇本,以確保它們可用來回應雲端環境中的事件。
Azure 實作和其他內容:
AWS指引:更新貴組織的事件回應程式,以包含事件的處理。 確保已就緒的統一多雲端事件回應計劃,您需更新貴組織的事件回應流程,將 AWS 平臺中的事件處理納入其中。 根據使用的 AWS 服務以及您的應用程式性質,遵循 AWS 安全性事件回應指南來自定義事件回應計劃和劇本,以確保它們可用來回應雲端環境中的事件。
AWS 實作和其他內容:
GCP指引:更新貴組織的事件回應程式,以包含事件的處理。 確保建立一個統一的多雲端事件回應計劃,通過更新貴組織的事件回應程序,以包含在 Google Cloud 平台中對事件的處理。
GCP 實作和其他內容:
客戶安全相關利益者 (深入瞭解):
IR-2: 準備 – 設定事件通知
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4、IR-8、IR-5、IR-6 | 12.10 |
安全性原則:確保來自雲端服務提供者平臺及您環境中的安全性警示和事件通知能被事件回應組織中正確的聯絡人接收。
Azure 指引:在 Microsoft Defender for Cloud 中設定安全性事件聯絡資訊。 當 Microsoft 安全性回應中心 (MSRC) 發現您的資料已被非法或未經授權的方存取時,Microsoft 會使用此聯絡資訊與您聯絡。 您也可以根據事件回應需求,在不同的 Azure 服務中自定義事件警示和通知的選項。
Azure 實作和其他內容:
AWS指引:在 AWS 系統管理員事件管理員事件管理員中設定安全性事件連絡資訊(AWS 的事件管理中心)。 此連絡資訊用於透過不同通道(例如電子郵件、簡訊或語音)與您 AWS 之間的事件管理通訊。 您可以定義聯繫人的互動計劃和升級計劃,以描述事件管理員如何及何時與聯繫人互動,並在聯繫人未響應事件時進行升級。
AWS 實作和其他內容:
GCP指引:使用安全性命令中心或 Chronicle 為特定聯繫人設定安全性事件通知。 使用 Google Cloud 服務和第三方 API 提供即時電子郵件和聊天通知,以警示安全性命令中心的安全性結果,或劇本來觸發動作以在 Chronicle 中傳送通知。
GCP 實作和其他內容:
客戶安全相關利益者 (深入瞭解):
IR-3: 偵測和分析 - 根據高品質警示建立事件
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 17.9 | IR-4、IR-5、IR-7 | 10.8 |
安全性原則:請確定您有建立高品質警示的程式,並測量警示的品質。 這可讓您從過去的事件吸取教訓,並為優先處理分析師的警示,這樣他們就不會浪費時間在誤判為真上。
您可以根據過去事件的經驗、經驗證的社區來源,以及設計來產生和清除警示的工具,以及旨在通過融合和關聯不同信號源來生成和清除警報的工具,來建立高品質的警示。
Azure 指引:Microsoft Defender for Cloud 為多項 Azure 資產提供高品質的警示。 您可以使用 Microsoft Defender for Cloud 數據連接器,將警示串流至 Microsoft Sentinel。 Microsoft Sentinel 可讓您建立進階警示規則,以自動產生事件以進行調查。
使用導出功能導出 Microsoft適用於雲端的 Defender 警示和建議,以協助識別 Azure 資源的風險。 手動匯出警示和建議,或以持續自動的方式匯出。
Azure 實作和其他內容:
AWS 指引:使用 SecurityHub 或 GuardDuty 和其他第三方工具等安全性工具,將警示傳送至 Amazon CloudWatch 或 Amazon EventBridge,以便根據定義的準則和規則集,在事件管理員中自動建立事件。 您也可以在事件管理員中手動建立事件,以進行進一步的事件處理和追蹤。
如果您使用適用於雲端的 Microsoft Defender 來監視 AWS 帳戶,您也可以使用 Microsoft Sentinel 來監視和警示 AWS 資源上 Microsoft適用於雲端的 Defender 所識別的事件。
AWS 實作和其他內容:
GCP指引:整合 Google Cloud 和第三方服務,以將記錄和警示傳送至安全性命令中心或 Chronicle,以便根據定義的準則自動建立事件。 您也可以在資訊安全命令中心手動建立和編輯事件結果,或在 Chronicle 中建立和編輯事件結果,以進一步處理和追蹤事件。
如果您使用適用於雲端的 Microsoft Defender 來監視 GCP 專案,也可以使用 Microsoft Sentinel 來監視和警示 GCP 資源上適用於雲端的 Defender 所 Microsoft識別的事件,或將 GCP 記錄直接串流至 Microsoft Sentinel。
GCP 實作和其他內容:
- 設定安全性命令中心
- 使用規則編輯器管理規則
- 將您的 GCP 專案連線至適用於雲端的 Microsoft Defender
- 將Google Cloud Platform 記錄串流至 Microsoft Sentinel
客戶安全相關利益者 (深入瞭解):
IR-4: 偵測與分析 – 調查事件
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| N/A | IR-4 | 12.10 |
安全性原則:確保安全性作業小組可以在調查潛在事件時查詢和使用各種數據源,以建置所發生狀況的完整檢視。 應該收集不同的記錄,以追蹤潛在攻擊者跨殺傷鏈的活動,以避免盲點。 您也應該確保擷取其他分析師的深入解析和學習,以供日後歷史參考。
如果您的組織沒有現有的解決方案來匯總安全性記錄和警示資訊,請使用雲端原生 SIEM 和事件管理解決方案。 根據來自不同來源的資料來源,將事件資料相互關聯,以協助事件調查。
Azure 指引:確保您的安全性作業小組可以查詢和使用從範圍服務和系統收集的各種數據源。 此外,其來源也可以包括:
- 身分識別和存取日誌資料: 使用 Azure AD 日誌和工作負載(例如作業系統或應用層)存取日誌,以關聯身分識別和存取事件。
- 網路數據:使用網路安全組的流量記錄、Azure 網路監看員和 Azure 監視器來擷取網路流量記錄和其他分析資訊。
- 來自受影響系統快照集的事件相關活動數據,可透過下列方式取得:
- Azure 虛擬機的快照功能,可以建立執行中系統磁碟的快照。
- 作業系統的原生記憶體傾印功能,可建立執行中系統記憶體的快照。
- 其他支援的 Azure 服務的快照功能或軟體本身的能力,可建立執行中系統的快照。
Microsoft Sentinel 幾乎可在任何記錄來源和案例管理入口網站之間提供廣泛的數據分析,以管理事件的完整生命週期。 調查期間的情報資訊可以與事件相關聯,以便進行追蹤和報告。
注意:當擷取事件相關數據進行調查時,請確定有足夠的安全性,以保護數據免於未經授權的變更,例如停用記錄或移除記錄,攻擊者可以在進行內部數據外泄活動期間執行。
Azure 實作和其他內容:
AWS 指引:調查的數據源是從範圍服務和執行中系統收集的集中式記錄來源,但也可能包括:
- 身分識別和存取日誌數據:使用 IAM 日誌和工作負載,例如作業系統或應用層級的存取日誌,以相互關聯身分識別和存取事件。
- 網路數據:使用 VPC 流量記錄、VPC 流量鏡像,和 Azure Monitor 及 CloudWatch 來擷取網路流量記錄和其他分析資訊。
- 執行中系統的快照集,可透過下列方式取得:
- Amazon EC2(EBS) 中的快照集功能,可建立執行中系統磁碟的快照集。
- 作業系統的原生記憶體傾印功能,可建立執行中系統記憶體的快照。
- AWS 服務的快照功能或您軟體自身的功能,可以用來建立執行中系統的快照。
如果您將 SIEM 相關數據匯總至 Microsoft Sentinel,它幾乎可在任何記錄來源和案例管理入口網站之間提供廣泛的數據分析,以管理事件的完整生命週期。 調查期間的情報資訊可以與事件相關聯,以便進行追蹤和報告。
注意:當擷取事件相關數據進行調查時,請確定有足夠的安全性,以保護數據免於未經授權的變更,例如停用記錄或移除記錄,攻擊者可以在進行內部數據外泄活動期間執行。
AWS 實作和其他內容:
GCP 指引:調查的數據源是從範圍服務和執行中系統收集的集中式記錄來源,但也可能包括:
- 身分識別和存取日誌數據:使用 IAM 日誌和工作負載,例如作業系統或應用層級的存取日誌,以相互關聯身分識別和存取事件。
- 網路數據:使用VP流量記錄和VP 服務控制來擷取網路流量記錄和其他分析資訊。
- 執行中系統的快照集,可透過下列方式取得:
- GCP VM 中的快照功能可建立執行中系統磁碟的快照。
- 作業系統的原生記憶體傾印功能,可建立執行中系統記憶體的快照。
- GCP 服務或軟體本身的快照功能,可建立執行中系統的快照。
如果您將 SIEM 相關數據匯總至 Microsoft Sentinel,它幾乎可在任何記錄來源和案例管理入口網站之間提供廣泛的數據分析,以管理事件的完整生命週期。 調查期間的情報資訊可以與事件相關聯,以便進行追蹤和報告。
注意:當擷取事件相關數據進行調查時,請確定有足夠的安全性,以保護數據免於未經授權的變更,例如停用記錄或移除記錄,攻擊者可以在進行內部數據外泄活動期間執行。
GCP 實作和其他內容:
客戶安全相關利益者 (深入瞭解):
IR-5: 偵測與分析 – 設定事件的優先順序
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
安全性原則:提供內容給安全性作業小組,以根據組織事件回應計劃中定義的警示嚴重性和資產敏感度,協助他們判斷應先專注於哪些事件。
此外,請使用標籤來標示資源,並建立命名系統以識別及分類您的雲端資源,尤其是處理敏感性資料的資源。 您需負責根據發生事件的資源和環境的重要性,來設定警示的補救優先順序。
Azure 指引:Microsoft Defender for Cloud 會將嚴重性指派給每個警報,以協助您優先調查哪些警報。 嚴重性是根據 Microsoft Defender for Cloud 對該發現或用來發出警示的分析的信心,以及對導致警示的活動背後惡意意圖的信心水平而定。
同樣地,Microsoft Sentinel 會根據分析規則建立具有指派嚴重性和其他詳細數據的警示和事件。 使用分析規則範本,並根據您組織的需求來自訂規則,以支援事件的優先順序設定。 在 Microsoft Sentinel 中使用自動化規則來管理及協調威脅回應,以最大化安全性作業的團隊效率與有效性,包括標記事件來分類事件。
Azure 實作和其他內容:
AWS指引:針對事件管理員中建立的每個事件,根據貴組織的已定義準則指派影響層級,例如測量事件嚴重性和受影響資產的嚴重性層級。
AWS 實作和其他內容:
* GCP指引:針對在安全性命令中心建立的每個事件,根據系統指派的嚴重性評等,以及組織所定義的其他準則,決定警示的優先順序。 測量受影響的資產事件嚴重性和嚴重性層級,以判斷應先調查哪些警示。
同樣地,在 Chronical 中,您可以定義自定義規則來判斷事件回應優先順序。 GCP 實作和其他內容:
客戶安全相關利益者 (深入瞭解):
IR-6:封鎖、根除和復原 - 自動化處理事件
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| N/A | IR-4、IR-5、IR-6 | 12.10 |
安全性原則:將手動、重複的工作自動化,以加速響應時間,並減輕分析師的負擔。 手動工作需要較長的時間才能執行,讓每個事件變慢,並減少分析師可以處理的事件數目。 手動工作還會使分析師更加疲勞,這會增加造成延遲的人為錯誤風險,並降低分析師有效地專注處理複雜工作的能力。
Azure 指引:使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 的工作流程自動化功能,自動觸發動作或執行劇本來回應傳入的安全性警示。 劇本會採取動作,例如傳送通知、停用帳戶,以及隔離有問題的網路。
Azure 實作和其他內容:
AWS 指引:如果您使用 Microsoft Sentinel 集中管理事件,您也可以建立自動化動作或執行劇本來回應傳入的安全性警示。
或者,使用 AWS System Manager 中的自動化功能來自動觸發事件回應計劃中定義的動作,包括通知聯繫人和/或執行 Runbook 以回應警示,例如停用帳戶,以及隔離有問題的網路。
AWS 實作和其他內容:
GCP 指引:如果您使用 Microsoft Sentinel 集中管理事件,您也可以建立自動化動作或執行劇本來回應傳入的安全性警示。
或者,使用 Chronicle 中的劇本自動化來自動觸發事件回應計劃中定義的動作,包括通知聯繫人和/或執行劇本以回應警示。
GCP 實作和其他內容:
客戶安全相關利益者 (深入瞭解):
IR-7:事件後活動 - 進行吸取教訓並保留證據
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
安全性原則:定期和/或重大事件之後,在您的組織中吸取教訓,以改善事件回應和處理的未來功能。
根據事件的本質,保留事件處理標準中定義的事件相關辨識項,以進行進一步分析或法律動作。
Azure 指引:使用所學習活動的結果來更新事件響應計劃、劇本(例如Microsoft Sentinel 劇本),以及重新將結果重新納入您的環境(例如記錄和威脅偵測以解決任何記錄缺口),以改善您未來在 Azure 中偵測、回應和處理事件的能力。
在「偵測和分析 - 調查事件步驟」期間收集的證據,例如系統記錄、網路流量傾印和執行中系統快照,應保存於例如 Azure 儲存帳戶等地方以不可變方式保存。
Azure 實作和其他內容:
AWS指引:使用標準事件分析範本或您自己的自定義範本,在事件管理員中建立已關閉事件的事件分析。 使用所學到活動的結果來更新事件回應計劃、劇本(例如 AWS 系統管理員 Runbook 和 Microsoft Sentinel 劇本),以及將結果重新納入您的環境(例如記錄和威脅偵測以解決任何記錄缺口),以改善您未來在 AWS 中偵測、回應和處理事件的能力。
在「偵測和分析 - 調查事件步驟」期間收集的證據,例如系統記錄、網路流量傾印,以及執行系統的快照,應保存在如 Amazon S3 存儲桶或 Azure 存儲帳戶等儲存空間,以確保不可更改。
AWS 實作和其他內容:
GCP指引:使用所學到活動的結果來更新事件響應計劃、劇本(例如 Chronicle 或 Microsoft Sentinel 劇本),以及將結果重新納入您的環境(例如記錄和威脅偵測以解決記錄中的任何差距),以改善您未來在 GCP 中偵測、回應和處理事件的能力。
在「偵測和分析 - 調查事件步驟」期間收集的證據,例如系統記錄、網路流量傾印和正在運行的系統快照,請將其保存在如 Google Cloud Storage 或 Azure 存儲服務的地方,以確保不可更改的保存。
GCP 實作和其他內容:
客戶安全相關利益者 (深入瞭解):