備註
您可以 在這裡取得最 up-to日期的 Azure 安全性效能評定。
事件回應涵蓋事件回應生命週期中的控制措施:準備、偵測和分析、遏制以及事件後的活動。 這包括使用 Azure 資訊安全中心和 Sentinel 等 Azure 服務,將事件回應程式自動化。
若要查看適用的內建 Azure 原則,請參閱 Azure 安全性效能評定法規合規性內建方案的詳細數據:事件回應
IR-1:準備 - 更新 Azure 的事件回應程式
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| IR-1 紅外線 | 19 | IR-4、IR-8 |
請確定您的組織有回應安全性事件的程式、已更新 Azure 的這些程式,並定期執行這些程式以確保整備。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
IR-2:準備工作 – 設定事件通知
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| IR-2 紅外線 | 19.5 | IR-4、IR-5、IR-6、IR-8 |
在 Azure 資訊安全中心設定安全性事件連絡資訊。 當 Microsoft 安全性回應中心 (MSRC) 發現您的資料已被非法或未經授權的方存取時,Microsoft 會使用此聯絡資訊與您聯絡。 您也可以根據事件回應需求,在不同的 Azure 服務中自定義事件警示和通知的選項。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
IR-3:偵測和分析 - 根據高品質警示建立事件
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| IR-3 | 19.6 | IR-4、IR-5 |
請確定您有建立高品質警示並測量警示品質的程式。 這可讓您從過去的事件吸取教訓,並為優先處理分析師的警示,這樣他們就不會浪費時間在誤判為真上。
您可以根據過去事件的經驗、經驗證的社區來源,以及設計用來融合和關聯各種訊號來源以產生和清理警示的工具,建立高品質的警示。
Azure 資訊安全中心提供許多 Azure 資產的高品質警示。 您可以使用 ASC 資料連接器將警示串流至 Azure Sentinel。 Azure Sentinel 可讓您建立進階警示規則,以自動產生事件以進行調查。
使用匯出功能導出 Azure 資訊安全中心警示和建議,以協助識別 Azure 資源的風險。 手動匯出警示和建議,或以持續自動的方式匯出。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
IR-4:偵測和分析 - 調查事件
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| IR-4 | 19 | IR-4 |
確保分析師可以在調查潛在事件時查詢和使用各種數據源,以建置所發生狀況的完整檢視。 應該收集不同的記錄,以追蹤潛在攻擊者跨殺傷鏈的活動,以避免盲點。 您也應該確保擷取其他分析師的深入解析和學習,以供日後歷史參考。
調查的資料來源包括已從相關範圍內的服務和執行中的系統中收集的集中式記錄來源,但也可能包括:
網路數據 – 使用網路安全組的流量記錄、Azure 網路監看員和 Azure 監視器來擷取網路流量記錄和其他分析資訊。
執行中系統的快照集:
使用 Azure 虛擬機的快照集功能來建立執行中系統磁碟的快照集。
使用操作系統的原生記憶體傾印功能來建立執行中系統記憶體的快照。
使用 Azure 服務或軟體本身功能的快照集功能來建立執行中系統的快照集。
Azure Sentinel 幾乎可在任何記錄來源和案例管理入口網站之間提供廣泛的數據分析,以管理事件的完整生命週期。 調查期間的情報資訊可以與事件相關聯,以便進行追蹤和報告。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
IR-5:偵測和分析 – 排定事件的優先順序
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| IR-5 | 19.8 | CA-2、IR-4 |
根據警示嚴重性和資產敏感度,為分析人員提供背景信息,指導他們優先關注哪些事件。
Azure 資訊安全中心會將嚴重性指派給每個警示,以協助您排定應先調查哪些警示的優先順序。 嚴重性取決於安全性中心對於其分析結果或用來發出警示的分析方法的信心程度,以及對引發警示的活動背後惡意意圖的信心等級。
此外,使用標籤標記資源,並建立命名系統來識別和分類 Azure 資源,特別是處理敏感資料的資源。 您必須負責根據發生事件的 Azure 資源和環境的嚴重性來排定警示的補救優先順序。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
IR-6:遏制、根除和復原 – 自動化事件處理
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| IR-6 紅外線 | 19 | IR-4、IR-5、IR-6 |
將手動重複工作自動化,以加速回應時間,並降低分析師的負擔。 手動工作需要較長的時間才能執行,讓每個事件變慢,並減少分析師可以處理的事件數目。 手動工作也會增加分析師疲勞,這會增加人為錯誤造成延遲的風險,並降低分析師有效地專注於複雜工作的能力。 使用 Azure 資訊安全中心和 Azure Sentinel 中的工作流程自動化功能,自動觸發動作或執行劇本來回應傳入的安全性警示。 劇本會採取動作,例如傳送通知、停用帳戶,以及隔離有問題的網路。
責任:客戶
客戶安全性項目關係人 (深入瞭解):