Řízení zabezpečení: Reakce na incidenty
Reakce na incidenty zahrnuje kontrolní mechanismy v životním cyklu reakce na incidenty – aktivity přípravy, detekce a analýzy, omezování a po incidentu, včetně použití služeb Azure (například Microsoft Defender pro cloud a Sentinel) a/nebo jiných cloudových služeb k automatizaci procesu reakce na incidenty.
IR-1: Příprava – aktualizace plánu reakce na incidenty a proces zpracování
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10,8 |
Princip zabezpečení: Zajistěte, aby vaše organizace při vývoji procesů a plánech reakce na incidenty zabezpečení na cloudových platformách postupoval podle osvědčených postupů v oboru. Dbejte na model sdílené odpovědnosti a rozdíly mezi službami IaaS, PaaS a SaaS. To bude mít přímý dopad na to, jak spolupracujete s poskytovatelem cloudu při reakcích na incidenty a při jejich řešení, jako je oznamování incidentů a třídění, shromažďování důkazů, šetření, eradikace a obnovení.
Pravidelně testujte plán reakcí na incidenty a proces jejich zpracování, abyste měli jistotu, že jsou aktuální.
Pokyny k Azure: Aktualizujte proces reakce vaší organizace na incidenty tak, aby zahrnoval zpracování incidentů na platformě Azure. V závislosti na použitých službách Azure a povaze vaší aplikace přizpůsobte plán reakcí na incidenty a playbook, abyste zajistili, že je lze použít k reakci na incident v cloudovém prostředí.
Implementace Azure a další kontext:
- Implementace zabezpečení napříč podnikovým prostředím:
- Referenční příručka k reakcím na incidenty
- NIST SP800-61 Průvodce zpracováním incidentů zabezpečení počítače
- Přehled reakcí na incidenty
Pokyny pro AWS: Aktualizujte proces reakce vaší organizace na incidenty tak, aby zahrnoval zpracování incidentů. Aktualizace procesu reakce na incidenty ve vaší organizaci tak, aby zahrnoval zpracování incidentů na platformě AWS, zajistíte, aby byl zaveden jednotný plán reakce na incidenty ve více cloudech. V závislosti na použitých službách AWS a povaze vaší aplikace postupujte podle průvodce reakcí na incidenty zabezpečení AWS a přizpůsobte plán reakce na incidenty a playbook tak, abyste zajistili, že je možné je použít k reakci na incident v cloudovém prostředí.
Implementace AWS a další kontext:
Pokyny ke GCP: Aktualizujte proces reakce vaší organizace na incidenty tak, aby zahrnoval zpracování incidentů. Zajistěte, aby byl zaveden jednotný plán reakce na incidenty ve více cloudech, a to aktualizací procesu reakce na incidenty ve vaší organizaci tak, aby zahrnoval zpracování incidentů na platformě Google Cloud Platform.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
IR-2: Příprava – nastavení oznámení incidentu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Princip zabezpečení: Ujistěte se, že výstrahy zabezpečení a oznámení o incidentech z platformy poskytovatele cloudových služeb a vašich prostředí může přijímat správná kontaktní osoba ve vaší organizaci pro reakce na incidenty.
Pokyny k Azure: Nastavení kontaktních informací o incidentech zabezpečení v Microsoft Defender pro cloud Tyto kontaktní informace používá společnost Microsoft k tomu, aby vás kontaktovala v případě, že služba MSRC (Microsoft Security Response Center) zjistí, že s vašimi daty někdo nezákonně nebo neoprávněně pracoval. Máte také možnost přizpůsobit upozornění a oznámení incidentů v různých službách Azure na základě vašich potřeb reakce na incidenty.
Implementace Azure a další kontext:
Pokyny pro AWS: Nastavení kontaktních informací o incidentech zabezpečení v nástroji AWS Systems Manager Incident Manager (centrum pro správu incidentů pro AWS). Tyto kontaktní informace se používají ke komunikaci řízení incidentů mezi vámi a AWS prostřednictvím různých kanálů (tj. Email, SMS nebo hlasu). Můžete definovat plán zapojení kontaktu a plán eskalace, abyste popsali, jak a kdy manažer incidentu kontakt zapojí, a eskalovat, pokud kontakty na incident nereagují.
Implementace AWS a další kontext:
Pokyny ke GCP: Nastavení oznámení incidentů zabezpečení pro konkrétní kontakty pomocí Security Command Center nebo Chronicle. Využijte cloudové služby Google a rozhraní API třetích stran k poskytování e-mailových a chatových oznámení v reálném čase pro upozornění na zjištění zabezpečení pro Security Command Center nebo playbooků pro aktivaci akcí pro odesílání oznámení v aplikaci Chronicle.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
IR-3: Detekce a analýza – vytváření incidentů na základě vysoce kvalitních výstrah
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10,8 |
Princip zabezpečení: Ujistěte se, že máte proces pro vytváření vysoce kvalitních výstrah a měření kvality výstrah. To vám umožní poučit se z minulých incidentů a určit prioritu upozornění pro analytiky, aby neztráceli čas falešně pozitivními výsledky.
Vysoce kvalitní upozornění se dají vytvářet na základě zkušeností z minulých incidentů, ověřených zdrojů komunity a nástrojů určených k vygenerování a vyčištění upozornění spojením a sladěním různých zdrojů signálu.
Pokyny pro Azure: Microsoft Defender for Cloud poskytuje vysoce kvalitní výstrahy pro mnoho prostředků Azure. Ke streamování upozornění do služby Microsoft Sentinel můžete použít datový konektor Microsoft Defender for Cloud. Microsoft Sentinel umožňuje vytvářet rozšířená pravidla upozornění, která automaticky vygenerují incidenty pro šetření.
Exportujte své Microsoft Defender pro cloudová upozornění a doporučení pomocí funkce exportu, která vám pomůže identifikovat rizika pro prostředky Azure. Upozornění a doporučení můžete exportovat ručně nebo průběžně a nepřetržitě.
Implementace Azure a další kontext:
Pokyny pro AWS: Pomocí nástrojů zabezpečení, jako je SecurityHub nebo GuardDuty, a dalších nástrojů třetích stran můžete odesílat upozornění do Amazon CloudWatch nebo Amazon EventBridge, aby se incidenty mohly automaticky vytvářet ve Správci incidentů na základě definovaných kritérií a sad pravidel. Incidenty můžete také ručně vytvářet ve Správci incidentů pro další zpracování a sledování incidentů.
Pokud k monitorování účtů AWS používáte Microsoft Defender for Cloud, můžete také pomocí služby Microsoft Sentinel monitorovat incidenty identifikované službou Microsoft Defender for Cloud v prostředcích AWS a upozorňovat na tyto incidenty.
Implementace AWS a další kontext:
- Vytvoření incidentu ve Správci incidentů
- Jak Defender for Cloud Apps pomáhá chránit prostředí Amazon Web Services (AWS)
Pokyny ke GCP: Integrujte Google Cloud a služby třetích stran a odesílejte protokoly a výstrahy do Security Command Center nebo Chronicle, aby se incidenty mohly automaticky vytvářet na základě definovaných kritérií. Můžete také ručně vytvářet a upravovat zjištění incidentů v Security Command Center nebo pravidla v aplikaci Chronicle pro další zpracování a sledování incidentů.
Pokud k monitorování projektů GCP používáte Microsoft Defender for Cloud, můžete také pomocí služby Microsoft Sentinel monitorovat a upozorňovat na incidenty identifikované službou Microsoft Defender for Cloud u prostředků GCP nebo streamovat protokoly GCP přímo do služby Microsoft Sentinel.
Implementace GCP a další kontext:
- Konfigurace Security Command Center
- Správa pravidel pomocí Editoru pravidel
- Připojení projektů GCP k Microsoft Defender for Cloud
- Streamování protokolů Google Cloud Platform do služby Microsoft Sentinel
Účastníci zabezpečení zákazníků (další informace):
IR-4: Detekce a analýza – vyšetřování incidentu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| – | IR-4 | 12.10 |
Princip zabezpečení: Zajistěte, aby tým pro operace zabezpečení mohl při vyšetřování potenciálních incidentů dotazovat různé zdroje dat a používat je k vytvoření úplného přehledu o tom, co se stalo. Aby se zabránilo slepým místům, měly by se shromažďovat různorodé protokoly, které umožní sledovat aktivity potenciálního útočníka v celém průběhu útoku. Měli byste také zajistit zaznamenávání přehledů a poznatků pro další analytiky a budoucí použití jako historické referenční informace.
Pokud vaše organizace nemá existující řešení pro agregaci protokolů zabezpečení a informací o výstrahách, použijte řešení SIEM a řešení pro správu incidentů nativní pro cloud. Data incidentů můžete korelovat na základě dat z různých zdrojů s cílem provést šetření incidentu.
Pokyny k Azure: Ujistěte se, že váš tým pro operace zabezpečení může dotazovat a používat různé zdroje dat shromažďované ze služeb a systémů v daném oboru. Kromě toho můžou mezi tyto zdroje patřit:
- Data protokolů identit a přístupu: Ke korelaci událostí identity a přístupu použijte protokoly Azure AD a přístupové protokoly úloh (například na úrovni operačních systémů nebo aplikace).
- Síťová data: Pomocí protokolů toků skupin zabezpečení sítě, Azure Network Watcher a Azure Monitoru zachytávejte protokoly toku sítě a další analytické informace.
- Data aktivit souvisejících s incidenty ze snímků ovlivněných systémů, která je možné získat prostřednictvím:
- Možnost vytváření snímků virtuálního počítače Azure k vytvoření snímku disku spuštěného systému.
- Schopnost nativního výpisu paměti operačního systému k vytvoření snímku paměti spuštěného systému
- Funkce snímků jiných podporovaných služeb Azure nebo vlastní funkce vašeho softwaru k vytváření snímků spuštěných systémů.
Microsoft Sentinel poskytuje rozsáhlou analýzu dat v prakticky jakémkoli zdroji protokolů a portálu pro správu případů pro správu celého životního cyklu incidentů. Analytické informace zjištěné během vyšetřování je možné přidružovat k incidentům pro účely sledování a generování sestav.
Poznámka: Pokud jsou data související s incidentem zachycena pro účely šetření, ujistěte se, že je k dispozici odpovídající zabezpečení, které je chrání před neoprávněnými změnami, jako je zakázání protokolování nebo odebrání protokolů, které můžou útočníci provést během aktivity při úniku dat za letu.
Implementace Azure a další kontext:
- Snímek disku počítače s Windows
- Snímek disku počítače s Linuxem
- Shromažďování výpisu paměti a diagnostických informací ze strany podpory Microsoft Azure
- Vyšetřování incidentů s využitím služby Azure Sentinel
Pokyny pro AWS: Zdroje dat pro šetření jsou centralizované zdroje protokolování, které se shromažďují ze služeb v daném oboru a spuštěných systémů, ale můžou zahrnovat také:
- Data protokolů identit a přístupu: Ke korelaci událostí identity a přístupu použijte protokoly IAM a protokoly přístupu (například na úrovni operačních systémů nebo aplikace).
- Síťová data: Pomocí protokolů toků VPC, zrcadel provozu VPC a Azure CloudTrail a CloudWatch zachytávejte protokoly toků sítě a další analytické informace.
- Snímky spuštěných systémů, které je možné získat prostřednictvím:
- Možnost vytvoření snímku v Amazon EC2 (EBS) k vytvoření snímku disku spuštěného systému.
- Schopnost nativního výpisu paměti operačního systému k vytvoření snímku paměti spuštěného systému
- Funkce snímků služeb AWS nebo vlastní schopnost vašeho softwaru k vytváření snímků spuštěných systémů.
Pokud agregujete data související se SYSTÉMEM SIEM do služby Microsoft Sentinel, poskytuje rozsáhlou analýzu dat prakticky z jakéhokoli zdroje protokolů a portál pro správu případů pro správu celého životního cyklu incidentů. Analytické informace zjištěné během vyšetřování je možné přidružovat k incidentům pro účely sledování a generování sestav.
Poznámka: Pokud jsou data související s incidentem zachycena pro účely šetření, ujistěte se, že je k dispozici odpovídající zabezpečení, které je chrání před neoprávněnými změnami, jako je zakázání protokolování nebo odebrání protokolů, které můžou útočníci provést během aktivity při úniku dat za letu.
Implementace AWS a další kontext:
Pokyny ke GCP: Zdroje dat pro šetření jsou centralizované zdroje protokolování, které se shromažďují ze služeb v daném oboru a spuštěných systémů, ale můžou zahrnovat také:
- Data protokolů identit a přístupu: Ke korelaci událostí identity a přístupu použijte protokoly IAM a protokoly přístupu (například na úrovni operačních systémů nebo aplikace).
- Síťová data: Pomocí protokolů toků VPC a ovládacích prvků služby VPC zachytávejte protokoly toku sítě a další analytické informace.
- Snímky spuštěných systémů, které je možné získat prostřednictvím:
- Možnost vytvoření snímku na virtuálních počítačích GCP k vytvoření snímku disku spuštěného systému
- Schopnost nativního výpisu paměti operačního systému k vytvoření snímku paměti spuštěného systému
- Funkce snímků služeb GCP nebo vlastní funkce vašeho softwaru k vytváření snímků spuštěných systémů.
Pokud agregujete data související se SYSTÉMEM SIEM do služby Microsoft Sentinel, poskytuje rozsáhlou analýzu dat prakticky z jakéhokoli zdroje protokolů a portál pro správu případů pro správu celého životního cyklu incidentů. Analytické informace zjištěné během vyšetřování je možné přidružovat k incidentům pro účely sledování a generování sestav.
Poznámka: Pokud jsou data související s incidentem zachycena pro účely šetření, ujistěte se, že je k dispozici odpovídající zabezpečení, které je chrání před neoprávněnými změnami, jako je zakázání protokolování nebo odebrání protokolů, které můžou útočníci provést během aktivity při úniku dat za letu.
Implementace GCP a další kontext:
- Security Command Center – Zdroje zabezpečení
- Podporované datové sady
- Vytváření a správa snímků disků
- Streamování protokolů Google Cloud Platform do služby Microsoft Sentinel
Účastníci zabezpečení zákazníků (další informace):
IR-5: Detekce a analýza – stanovení priorit incidentů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Princip zabezpečení: Poskytněte provozním týmům zabezpečení kontext, který jim pomůže určit, na které incidenty by se mělo nejprve zaměřit, na základě závažnosti upozornění a citlivosti prostředků definovaných v plánu reakce na incidenty vaší organizace.
Kromě toho označte prostředky pomocí značek a vytvořte systém pojmenování pro identifikaci a kategorizaci cloudových prostředků, zejména těch, které zpracovávají citlivá data. Je vaší zodpovědností určit prioritu nápravy výstrah na základě závažnosti prostředků a prostředí, kde k incidentu došlo.
Pokyny k Azure: Microsoft Defender pro cloud přiřazuje každé výstraze závažnost, která vám pomůže určit prioritu, která upozornění by se měla prošetřit jako první. Závažnost závisí na tom, jak jistá je Microsoft Defender pro cloud při hledání nebo analýze použité k vydání upozornění, a také na úrovni spolehlivosti, že za aktivitou, která vedla k upozornění, existuje škodlivý záměr.
Podobně Microsoft Sentinel vytváří výstrahy a incidenty s přiřazenou závažností a dalšími podrobnostmi na základě analytických pravidel. Použijte šablony analytických pravidel a přizpůsobte si pravidla podle potřeb vaší organizace, abyste podpořili stanovení priorit incidentů. Pomocí pravidel automatizace ve službě Microsoft Sentinel můžete spravovat a orchestrovat reakci na hrozby, abyste maximalizovali efektivitu a efektivitu týmu operací zabezpečení, včetně označování incidentů za účelem jejich klasifikace.
Implementace Azure a další kontext:
- Výstrahy zabezpečení v Microsoft Defender pro cloud
- Používání značek k uspořádání prostředků Azure
- Vytváření incidentů z výstrah zabezpečení Microsoftu
Pokyny pro AWS: Pro každý incident vytvořený ve Správci incidentů přiřaďte úroveň dopadu na základě definovaných kritérií vaší organizace, jako je míra závažnosti incidentu a úroveň závažnosti ovlivněných prostředků.
Implementace AWS a další kontext:
*Pokyny ke GCP: U každého incidentu vytvořeného ve službě Security Command Center určete prioritu výstrahy na základě hodnocení závažnosti přiřazeného systémem a dalších kritérií definovaných vaší organizací. Změřte závažnost incidentu a úroveň závažnosti ovlivněných prostředků, abyste zjistili, které výstrahy by se měly prošetřit jako první.
Podobně v části Chronical můžete definovat vlastní pravidla pro určení priorit reakce na incidenty. Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
IR-6: Zadržení, eradikace a obnovení – automatizace řešení incidentů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| – | IR-4, IR-5, IR-6 | 12.10 |
Princip zabezpečení: Automatizujte ruční opakující se úlohy, abyste urychlili dobu odezvy a snížili zátěž analytiků. Ruční provádění úloh trvá déle, což zpomaluje jednotlivé incidenty a snižuje počet incidentů, které může analytik zvládnout. Ruční úlohy také zvyšují únavu analytiků, což zvyšuje riziko lidské chyby, která způsobuje zpoždění, a snižuje schopnost analytiků efektivně se soustředit na složité úkoly.
Pokyny Azure: Funkce automatizace pracovních postupů v Microsoft Defender for Cloud a Microsoft Sentinel slouží k automatické aktivaci akcí nebo spuštění playbooků, které reagují na příchozí výstrahy zabezpečení. Playbooky provádějí akce, jako je odesílání oznámení, zakázání účtů a izolace problematických sítí.
Implementace Azure a další kontext:
- Konfigurace automatizace pracovních postupů ve službě Security Center
- Nastavení automatizovaných reakcí na hrozby v Microsoft Defender pro cloud
- Nastavení automatizovaných reakcí na hrozby ve službě Azure Sentinel
Pokyny pro AWS: Pokud k centrální správě incidentu používáte Microsoft Sentinel, můžete také vytvářet automatizované akce nebo spouštět playbooky, které reagují na příchozí výstrahy zabezpečení.
Případně můžete použít funkce automatizace v AWS System Manageru k automatické aktivaci akcí definovaných v plánu reakce na incidenty, včetně upozornění kontaktů nebo spuštění runbooku, který reaguje na výstrahy, jako je zakázání účtů a izolace problematických sítí.
Implementace AWS a další kontext:
Pokyny ke GCP: Pokud k centrální správě incidentu používáte Microsoft Sentinel, můžete také vytvářet automatizované akce nebo spouštět playbooky, které reagují na příchozí výstrahy zabezpečení.
Případně můžete použít automatizaci playbooků v aplikaci Chronicle k automatické aktivaci akcí definovaných v plánu reakce na incidenty, včetně upozornění kontaktů nebo spuštění playbooku pro reakci na výstrahy.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
IR-7: Aktivita po incidentu – vedení získaných poznatků a uchovávání důkazů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Princip zabezpečení: Vyučujte si poznatky získané ve vaší organizaci pravidelně nebo po závažných incidentech, abyste zlepšili své budoucí schopnosti v oblasti reakce na incidenty a jejich řešení.
Na základě povahy incidentu uchovávejte důkazy související s incidentem po dobu stanovenou ve standardu pro zpracování incidentu pro účely další analýzy nebo právních kroků.
Pokyny Pro Azure: S využitím poznatků získané aktivity aktualizujte plán reakcí na incidenty, playbook (jako je playbook služby Microsoft Sentinel) a znovu zahrněte zjištění do svých prostředí (jako je protokolování a detekce hrozeb, abyste vyřešili případné mezery v protokolování), abyste zlepšili své budoucí schopnosti při zjišťování, reagování a zpracování incidentů v Azure.
Uchovávejte důkazy shromážděné během kroku Detekce a analýza – prošetření incidentu, jako jsou systémové protokoly, výpisy síťového provozu a spouštění snímků systému v úložišti, jako je účet služby Azure Storage, pro účely neměnného uchovávání.
Implementace Azure a další kontext:
Pokyny pro AWS: Vytvořte analýzu incidentu pro uzavřený incident ve Správci incidentů pomocí standardní šablony analýzy incidentů nebo vlastní šablony. Využijte získané poznatky k aktualizaci plánu reakcí na incidenty, playbooku (například runbooku AWS Systems Manager a playbooku Microsoft Sentinel) a opětovnému zahrnutí zjištění do vašeho prostředí (jako je protokolování a detekce hrozeb za účelem vyřešení jakýchkoli nedostatků v protokolování) a zlepšení budoucích schopností při detekci, reakci na incidenty a jejich zpracování v AWS.
Uchovávejte důkazy shromážděné během "Detekce a analýza – prošetření kroku incidentu", jako jsou systémové protokoly, výpisy síťového provozu a spuštění snímku systému v úložišti, jako je kbelík Amazon S3 nebo účet služby Azure Storage pro neměnné uchovávání.
Implementace AWS a další kontext:
Pokyny ke GCP: S využitím poznatků z získané aktivity aktualizujte plán reakcí na incidenty, playbook (například chronicle nebo playbook Služby Microsoft Sentinel) a znovu zahrněte zjištění do svého prostředí (jako je protokolování a detekce hrozeb s cílem vyřešit případné mezery v protokolování) a vylepšete tak své budoucí schopnosti při detekci, reakci na incidenty a jejich zpracování v GCP.
Uchovávejte důkazy shromážděné během kroku Detekce a analýza – prošetření incidentu, jako jsou systémové protokoly, výpisy síťového provozu a spouštění snímků systému v úložišti, jako je Google Cloud Storage nebo účet Služby Azure Storage, pro účely neměnného uchovávání.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):