Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Reaktion auf Vorfälle umfasst Steuerelemente im Lebenszyklus der Reaktion auf Vorfälle – Vorbereitung, Erkennung und Analyse, Eindämmung und Aktivitäten nach dem Vorfall, einschließlich der Verwendung von Azure-Diensten (z. B. Microsoft Defender für Cloud und Sentinel) und/oder andere Clouddienste, um den Vorfallreaktionsprozess zu automatisieren.
IR-1: Vorbereitung – Plan für Vorfallsreaktion und Bearbeitungsprozess aktualisieren
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Sicherheitsprinzip: Stellen Sie sicher, dass Ihre Organisation die bewährten Methoden der Branche befolgt, um Prozesse und Pläne zur Reaktion auf Sicherheitsvorfälle auf den Cloudplattformen zu entwickeln. Beachten Sie das Modell der gemeinsamen Verantwortung und die Abweichungen zwischen IaaS-, PaaS- und SaaS-Diensten. Dies wirkt sich direkt auf Ihre Zusammenarbeit mit Ihrem Cloudanbieter bei der Reaktion auf Incidents und bei der Handhabung von Aktivitäten aus, z. B. Incidentbenachrichtigung und Selektierung, Beweissammlung, Untersuchung, Beseitigung und Wiederherstellung.
Testen Sie regelmäßig den Plan für die Reaktion auf Vorfälle und den Bearbeitungsprozess, um sicherzustellen, dass sie auf dem neuesten Stand sind.
Azure-Leitfaden: Aktualisieren Sie den Vorfallreaktionsprozess Ihrer Organisation, um die Behandlung von Vorfällen in die Azure-Plattform einzubeziehen. Passen Sie basierend auf den verwendeten Azure-Diensten und Ihrer Anwendungsbeschaffenheit den Plan für die Reaktion auf Vorfälle und das Playbook an, um sicherzustellen, dass sie verwendet werden können, um auf den Vorfall in der Cloudumgebung zu reagieren.
Azure-Implementierung und zusätzlicher Kontext:
- Implementieren von Sicherheit in der gesamten Unternehmensumgebung:
- Referenzhandbuch zur Reaktion auf Vorfälle
- NIST SP800-61 Leitfaden zur Behandlung von Sicherheitsvorfällen
- Vorfall Antwort Übersicht
AWS-Leitfaden: Aktualisieren Sie den Vorfallreaktionsprozess Ihrer Organisation, um die Behandlung von Vorfällen einzubeziehen. Stellen Sie sicher, dass ein einheitlicher Plan für die Reaktion auf Vorfälle in der Cloud vorhanden ist, indem Sie den Vorfallreaktionsprozess Ihrer Organisation aktualisieren, um die Behandlung von Vorfällen in die AWS-Plattform einzubeziehen. Folgen Sie basierend auf den verwendeten AWS-Diensten und Ihrer Anwendungsbeschaffenheit dem AWS Security Incident Response Guide, um den Plan für die Reaktion auf Vorfälle und playbook anzupassen, um sicherzustellen, dass sie verwendet werden können, um auf den Vorfall in der Cloudumgebung zu reagieren.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Anleitung: Aktualisieren Sie den Vorfallreaktionsprozess Ihrer Organisation, um die Behandlung von Vorfällen einzubeziehen. Stellen Sie sicher, dass ein einheitlicher Plan für die Reaktion auf Vorfälle in der Cloud vorhanden ist, indem Sie den Vorfallreaktionsprozess Ihrer Organisation aktualisieren, um die Behandlung von Vorfällen in die Google Cloud-Plattform einzubeziehen.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-2: Vorbereitung – Einrichten von Ereignisbenachrichtigungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Sicherheitsprinzip: Stellen Sie sicher, dass die Sicherheitswarnungen und Vorfallbenachrichtigungen von der Plattform des Clouddienstanbieters und Ihrer Umgebungen an den korrekten Ansprechpartner in Ihrer Incident-Response-Organisation empfangen werden können.
Azure-Leitfaden: Einrichten von Kontaktinformationen zu Sicherheitsvorfällen in Microsoft Defender für Cloud. Diese Kontaktinformationen werden von Microsoft verwendet, um Sie zu kontaktieren, wenn das Microsoft Security Response Center (MSRC) feststellt, dass Auf Ihre Daten von einer rechtswidrigen oder nicht autorisierten Partei zugegriffen wurde. Sie haben auch Optionen zum Anpassen von Vorfallwarnungen und Benachrichtigungen in verschiedenen Azure-Diensten basierend auf Ihren Anforderungen an die Reaktion auf Vorfälle.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Einrichten von Kontaktinformationen zu Sicherheitsvorfällen in AWS Systems Manager Incident Manager (das Incident Management Center für AWS). Diese Kontaktinformationen werden für die Kommunikation zwischen Ihnen und AWS über die verschiedenen Kanäle (z. B. E-Mail, SMS oder Sprachanruf) verwendet. Sie können den Einsatzplan und den Eskalationsplan eines Kontakts definieren, um zu beschreiben, wie und wann der Incident Manager den Kontakt einnimmt und eskaliert, wenn der/die Kontakt/en nicht auf einen Vorfall reagiert.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Einrichten von Sicherheitsvorfallbenachrichtigungen für bestimmte Kontakte mithilfe des Security Command Centers oder Chronik. Verwenden Sie Google Cloud-Dienste und APIs von Drittanbietern, um Echtzeit-E-Mails und Chatbenachrichtigungen bereitzustellen, um Sicherheitsergebnisse für das Security Command Center zu benachrichtigen, oder Playbooks, um Aktionen zum Senden von Benachrichtigungen in Chronik auszulösen.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-3: Erkennung und Analyse – Erstellen von Vorfällen basierend auf Warnungen mit hoher Qualität
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10.8 |
Sicherheitsprinzip: Stellen Sie sicher, dass Sie über einen Prozess verfügen, um qualitativ hochwertige Warnungen zu erstellen und die Qualität von Warnungen zu messen. Auf diese Weise können Sie Lehren aus vergangenen Vorfällen ziehen und Warnungen für Analysten priorisieren, damit diese keine Zeit mit falsch positiven Ergebnissen verschwenden.
Qualitativ hochwertige Warnungen können auf der Grundlage von Erfahrungen aus früheren Vorfällen, validierten Communityquellen und Tools zur Generierung und Bereinigung von Warnmeldungen durch Verschmelzung und Korrelation verschiedener Signalquellen erstellt werden.
Azure-Leitfaden: Microsoft Defender für Cloud bietet qualitativ hochwertige Warnungen in vielen Azure-Ressourcen. Sie können den Microsoft Defender für Cloud-Datenconnector verwenden, um die Warnungen an Microsoft Sentinel zu streamen. Mit Microsoft Sentinel können Sie erweiterte Warnungsregeln erstellen, um Vorfälle automatisch für eine Untersuchung zu generieren.
Exportieren Sie Ihre Microsoft Defender für Cloud-Warnungen und Empfehlungen mithilfe des Exportfeatures, um Risiken für Azure-Ressourcen zu identifizieren. Exportieren Sie Warnungen und Empfehlungen entweder manuell oder kontinuierlich.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Verwenden Sie Sicherheitstools wie SecurityHub oder GuardDuty und andere Drittanbietertools, um Warnungen an Amazon CloudWatch oder Amazon EventBridge zu senden, damit Vorfälle automatisch in Incident Manager basierend auf den definierten Kriterien und Regelsätzen erstellt werden können. Sie können Vorfälle auch manuell im Incident Manager erstellen, um Vorfälle weiter zu bearbeiten und nachzuverfolgen.
Wenn Sie Microsoft Defender für Cloud verwenden, um Ihre AWS-Konten zu überwachen, können Sie auch Microsoft Sentinel verwenden, um die von Microsoft Defender für Cloud in AWS-Ressourcen identifizierten Vorfälle zu überwachen und zu benachrichtigen.
AWS-Implementierung und zusätzlicher Kontext:
- Erstellung eines Vorfalls im Incident Manager
- Wie Defender for Cloud Apps Sie beim Schutz Ihrer AWS-Umgebung (Amazon Web Services) unterstützt
GCP-Leitfaden: Integrieren Sie Google Cloud- und Drittanbieterdienste, um Protokolle und Warnungen an das Security Command Center oder Chronik zu senden, damit Vorfälle basierend auf definierten Kriterien automatisch erstellt werden können. Sie können Vorfallergebnisse auch manuell im Security Command Center oder Regeln in Chronicle erstellen und bearbeiten, um die weitere Behandlung und Nachverfolgung von Vorfällen zu ermöglichen.
Wenn Sie Microsoft Defender für Cloud verwenden, um Ihre GCP-Projekte zu überwachen, können Sie auch Microsoft Sentinel verwenden, um die von Microsoft Defender für Cloud in GCP-Ressourcen identifizierten Vorfälle zu überwachen und zu benachrichtigen oder GCP-Protokolle direkt in Microsoft Sentinel zu streamen.
GCP-Implementierung und zusätzlicher Kontext:
- Konfigurieren des Security Command Centers
- Verwalten von Regeln mithilfe des Regel-Editors
- Verbinden eines GCP-Projekts mit Microsoft Defender für Cloud
- Stream Google Cloud Platform meldet sich bei Microsoft Sentinel
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-4: Erkennung und Analyse – Untersuchen eines Vorfalls
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| Nicht verfügbar | IR-4 | 12.10 |
Sicherheitsprinzip: Stellen Sie sicher, dass das Sicherheitsbetriebsteam verschiedene Datenquellen abfragen und verwenden kann, während sie potenzielle Vorfälle untersuchen, um einen vollständigen Überblick darüber zu erhalten, was passiert ist. Verschiedene Protokolle sollten gesammelt werden, um die Aktivitäten eines potenziellen Angreifers über die KillChain hinweg nachzuverfolgen, um blinde Flecken zu vermeiden. Sie sollten auch sicherstellen, dass Erkenntnisse und Erkenntnisse für andere Analysten und für zukünftige historische Referenzen erfasst werden.
Verwenden Sie die cloudeigene SIEM- und Vorfallverwaltungslösung, wenn Ihre Organisation nicht über eine vorhandene Lösung zum Aggregieren von Sicherheitsprotokollen und Warnungsinformationen verfügt. Korrelieren Sie Vorfalldaten basierend auf den Datenquellen aus verschiedenen Quellen, um die Vorfalluntersuchungen zu aktivieren.
Azure-Leitfaden: Stellen Sie sicher, dass Ihr Sicherheitsbetriebsteam verschiedene Datenquellen abfragen und verwenden kann, die aus den In-Scope-Diensten und -Systemen gesammelt werden. Darüber hinaus können quellen auch Folgendes umfassen:
- Identitäts- und Zugriffsprotokolldaten: Verwenden Sie Azure AD-Protokolle und Arbeitsauslastung (z. B. Betriebssysteme oder Anwendungsebene) Zugriffsprotokolle zum Korrelieren von Identitäts- und Zugriffsereignissen.
- Netzwerkdaten: Verwenden Sie die Ablaufprotokolle von Netzwerksicherheitsgruppen, Azure Network Watcher und Azure Monitor, um Netzwerkflussprotokolle und andere Analyseinformationen zu erfassen.
- Vorfallbezogene Aktivitätsdaten aus Momentaufnahmen der betroffenen Systeme, die über Folgendes abgerufen werden können:
- Die Snapshots-Funktion der virtuellen Azure-Maschine ermöglicht es, eine Momentaufnahme des Datenträgers des laufenden Systems zu erstellen.
- Die systemeigene Speicherabbildfunktion des Betriebssystems, um eine Momentaufnahme des Arbeitsspeichers des ausgeführten Systems zu erstellen.
- Die Momentaufnahmefunktion anderer unterstützter Azure-Dienste oder der eigenen Funktion Ihrer Software zum Erstellen von Momentaufnahmen der ausgeführten Systeme.
Microsoft Sentinel bietet umfassende Datenanalysen in praktisch jeder Protokollquelle und einem Fallverwaltungsportal, um den gesamten Lebenszyklus von Vorfällen zu verwalten. Intelligence-Informationen während einer Untersuchung können einem Vorfall zur Nachverfolgung und Berichterstellung zugeordnet werden.
Hinweis: Wenn Vorfallbezogene Daten zur Untersuchung erfasst werden, stellen Sie sicher, dass eine angemessene Sicherheit vorhanden ist, um die Daten vor unbefugter Änderung zu schützen, z. B. das Deaktivieren der Protokollierung oder das Entfernen von Protokollen, die von den Angreifern während einer In-Flight-Datenverletzungsaktivität durchgeführt werden können.
Azure-Implementierung und zusätzlicher Kontext:
- Momentaufnahme des Datenträgers eines Windows-Computers
- Momentaufnahme des Datenträgers eines Linux-Computers
- Microsoft Azure Support-Diagnoseinformationen und Speicherabbildsammlung
- Untersuchen von Vorfällen mit Azure Sentinel
AWS-Leitfaden: Die Datenquellen für die Untersuchung sind die zentralen Protokollierungsquellen, die aus den in-Scope-Diensten und ausgeführten Systemen gesammelt werden, können aber auch Folgendes umfassen:
- Identitäts- und Zugriffsprotokolldaten: Verwenden Sie IAM-Protokolle und Arbeitsauslastung (z. B. Betriebssysteme oder Anwendungsebene) Zugriffsprotokolle zum Korrelieren von Identitäts- und Zugriffsereignissen.
- Netzwerkdaten: Verwenden Sie ZUM Erfassen von Netzwerkflussprotokollen und anderen Analyseinformationen DIE PROTOKOLLE DES ABLAUFS, DIE DATENFLUSSSPIEGEL UND AZURE CloudTrail und CloudWatch.
- Momentaufnahmen laufender Systeme, die durch:
- Snapshot-Funktion in Amazon EC2(EBS) zum Erstellen einer Momentaufnahme des Datenträgers des ausgeführten Systems.
- Die systemeigene Speicherabbildfunktion des Betriebssystems, um eine Momentaufnahme des Arbeitsspeichers des ausgeführten Systems zu erstellen.
- Das Snapshot-Feature der AWS-Dienste oder der eigenen Funktion Ihrer Software, um Momentaufnahmen der ausgeführten Systeme zu erstellen.
Wenn Sie Ihre SIEM-bezogenen Daten in Microsoft Sentinel aggregieren, bietet es umfassende Datenanalysen in praktisch jeder Protokollquelle und einem Fallverwaltungsportal, um den vollständigen Lebenszyklus von Vorfällen zu verwalten. Intelligence-Informationen während einer Untersuchung können einem Vorfall zur Nachverfolgung und Berichterstellung zugeordnet werden.
Hinweis: Wenn Vorfallbezogene Daten zur Untersuchung erfasst werden, stellen Sie sicher, dass eine angemessene Sicherheit vorhanden ist, um die Daten vor unbefugter Änderung zu schützen, z. B. das Deaktivieren der Protokollierung oder das Entfernen von Protokollen, die von den Angreifern während einer In-Flight-Datenverletzungsaktivität durchgeführt werden können.
AWS-Implementierung und zusätzlicher Kontext:
- Datenverkehrsspiegelung
- Erstellen von EBS-Volumesicherungen mit AMIs und EBS-Momentaufnahmen
- Verwenden von unveränderlichen Speicher-
GCP-Leitfaden: Die Datenquellen für die Untersuchung sind die zentralisierten Protokollierungsquellen, die von den In-Scope-Diensten und ausgeführten Systemen gesammelt werden, können aber auch Folgendes umfassen:
- Identitäts- und Zugriffsprotokolldaten: Verwenden Sie IAM-Protokolle und Arbeitsauslastung (z. B. Betriebssysteme oder Anwendungsebene) Zugriffsprotokolle zum Korrelieren von Identitäts- und Zugriffsereignissen.
- Netzwerkdaten: Verwenden Sie DIE FLOW Logs und STEUERELEMENTE DES DIENSTS FÜR DIE VERWALTUNG VON DIENSTEN, um Netzwerkflussprotokolle und andere Analyseinformationen zu erfassen.
- Momentaufnahmen laufender Systeme, die durch:
- Snapshot-Funktion in GCP-VMs zum Erstellen einer Momentaufnahme des Datenträgers des ausgeführten Systems.
- Die systemeigene Speicherabbildfunktion des Betriebssystems, um eine Momentaufnahme des Arbeitsspeichers des ausgeführten Systems zu erstellen.
- Die Momentaufnahmefunktion der GCP-Dienste oder der eigenen Funktion Ihrer Software, um Momentaufnahmen der ausgeführten Systeme zu erstellen.
Wenn Sie Ihre SIEM-bezogenen Daten in Microsoft Sentinel aggregieren, bietet es umfassende Datenanalysen in praktisch jeder Protokollquelle und einem Fallverwaltungsportal, um den vollständigen Lebenszyklus von Vorfällen zu verwalten. Intelligence-Informationen während einer Untersuchung können einem Vorfall zur Nachverfolgung und Berichterstellung zugeordnet werden.
Hinweis: Wenn Vorfallbezogene Daten zur Untersuchung erfasst werden, stellen Sie sicher, dass eine angemessene Sicherheit vorhanden ist, um die Daten vor unbefugter Änderung zu schützen, z. B. das Deaktivieren der Protokollierung oder das Entfernen von Protokollen, die von den Angreifern während einer In-Flight-Datenverletzungsaktivität durchgeführt werden können.
GCP-Implementierung und zusätzlicher Kontext:
- Security Command Center – Sicherheitsquellen
- Unterstützte Datensätze
- Erstellen und Verwalten von Datenträgermomentaufnahmen
- Stream Google Cloud Platform meldet sich bei Microsoft Sentinel
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-5: Erkennung und Analyse – Priorisieren von Vorfällen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Sicherheitsprinzip: Stellen Sie Kontext für Sicherheitsbetriebsteams bereit, damit sie ermitteln können, auf welche Vorfälle zuerst basierend auf Warnungsschweregrad und Ressourcenempfindlichkeit, die im Vorfallreaktionsplan Ihrer Organisation definiert sind, konzentriert werden sollen.
Markieren Sie Ressourcen außerdem mithilfe von Tags, und erstellen Sie ein Benennungssystem, um die Ressourcen Ihrer Cloud eindeutig zu identifizieren und zu kategorisieren – insbesondere solche, die vertrauliche Daten verarbeiten. Die Priorisierung der Behebung von Warnungen basierend auf der Wichtigkeit der Ressourcen und der Umgebung, in der der Vorfall aufgetreten ist, liegt in Ihrer Verantwortung.
Azure-Leitfaden: Microsoft Defender für Cloud weist jeder Warnung einen Schweregrad zu, damit Sie zuerst priorisieren können, welche Warnungen untersucht werden sollten. Der Schweregrad basiert darauf, wie sicher sich Microsoft Defender für Cloud bei der Feststellung oder Analyse fühlt, die zur Ausgabe der Warnung verwendet wird, sowie auf dem Grad der Gewissheit, dass es böswillige Absichten hinter der Aktivität gab, die zur Warnung führte.
Ebenso erstellt Microsoft Sentinel Warnungen und Vorfälle mit einem zugewiesenen Schweregrad und anderen Details basierend auf Analyseregeln. Verwenden Sie Analyseregelvorlagen, und passen Sie die Regeln entsprechend den Anforderungen Ihrer Organisation an, um die Priorisierung von Vorfällen zu unterstützen. Verwenden Sie Automatisierungsregeln in Microsoft Sentinel, um die Reaktion auf Bedrohungen zu verwalten und zu koordinieren, um die Teameffizienz und Effektivität Ihres Sicherheitsvorgangs zu maximieren, einschließlich kategorisieren von Vorfällen, um sie zu klassifizieren.
Azure-Implementierung und zusätzlicher Kontext:
- Sicherheitswarnungen in Microsoft Defender für Cloud
- Verwenden von Tags zum Organisieren Ihrer Azure-Ressourcen
- Erstellen von Vorfällen aus Microsoft-Sicherheitswarnungen
AWS-Leitfaden: Weisen Sie für jeden Vorfall, der im Incident Manager erstellt wurde, eine Auswirkungsstufe basierend auf den definierten Kriterien Ihrer Organisation zu, z. B. eine Messung des Schweregrads des Vorfalls und der Kritischen Ebene der betroffenen Ressourcen.
AWS-Implementierung und zusätzlicher Kontext:
* GCP-Leitfaden: Bestimmen Sie für jeden vorfall, der im Security Command Center erstellt wurde, die Priorität der Warnung basierend auf den vom System zugewiesenen Schweregradbewertungen und anderen Kriterien, die von Ihrer Organisation definiert wurden. Messen Sie den Schweregrad des Vorfalls und der Kritischen Ebene der betroffenen Ressourcen, um zu ermitteln, welche Warnungen zuerst untersucht werden sollen.
Ebenso können Sie in Chronical benutzerdefinierte Regeln definieren, um die Prioritäten für die Reaktion auf Vorfälle zu bestimmen. GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-6: Eindämmung, Beseitigung und Wiederherstellung – Automatisieren der Behandlung von Vorfällen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| Nicht verfügbar | IR-4, IR-5, IR-6 | 12.10 |
Sicherheitsprinzip: Automatisieren Sie die manuellen, sich wiederholenden Aufgaben, um die Reaktionszeit zu beschleunigen und die Belastung für Analysten zu verringern. Manuelle Aufgaben dauern länger, um jeden Vorfall zu verlangsamen und zu verringern, wie viele Vorfälle ein Analyst verarbeiten kann. Manuelle Aufgaben erhöhen auch die Ermüdung von Analysten, wodurch das Risiko eines menschlichen Fehlers erhöht wird, der Verzögerungen verursacht und die Fähigkeit von Analysten beeinträchtigt, sich effektiv auf komplexe Aufgaben zu konzentrieren.
Azure-Leitfaden: Verwenden Sie Workflowautomatisierungsfeatures in Microsoft Defender für Cloud und Microsoft Sentinel, um Aktionen automatisch auszulösen oder ein Playbooks auszuführen, um auf eingehende Sicherheitswarnungen zu reagieren. Playbooks ergreifen Aktionen, z. B. das Senden von Benachrichtigungen, das Deaktivieren von Konten und das Isolieren problematischer Netzwerke.
Azure-Implementierung und zusätzlicher Kontext:
- Konfigurieren der Workflowautomatisierung im Security Center
- Einrichten automatisierter Bedrohungsantworten in Microsoft Defender für Cloud
- Einrichten automatisierter Bedrohungsantworten in Azure Sentinel
AWS-Leitfaden: Wenn Sie Microsoft Sentinel verwenden, um Ihren Vorfall zentral zu verwalten, können Sie auch automatisierte Aktionen erstellen oder ein Playbooks ausführen, um auf eingehende Sicherheitswarnungen zu reagieren.
Alternativ können Sie automatisierungsfeatures in AWS System Manager verwenden, um im Plan für die Reaktion auf Vorfälle definierte Aktionen automatisch auszulösen, einschließlich der Benachrichtigung der Kontakte und/oder der Ausführung eines Runbooks, um auf Warnungen zu reagieren, z. B. Das Deaktivieren von Konten und das Isolieren problematischer Netzwerke.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Anleitung: Wenn Sie Microsoft Sentinel verwenden, um Ihren Vorfall zentral zu verwalten, können Sie auch automatisierte Aktionen erstellen oder Playbooks ausführen, um auf eingehende Sicherheitswarnungen zu reagieren.
Alternativ können Sie Playbook-Automatisierungen in Chronik verwenden, um im Plan für die Reaktion auf Vorfälle definierte Aktionen automatisch auszulösen, einschließlich der Benachrichtigung der Kontakte und/oder ausführen eines Playbook, um auf Warnungen zu reagieren.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-7: Aktivitäten nach einem Vorfall – Erfahrungen sammeln und Beweise aufbewahren
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Sicherheitsprinzip: Führen Sie in Ihrer Organisation regelmäßig und/oder nach wichtigen Vorfällen Lektionen durch, um Ihre zukünftige Fähigkeit bei der Reaktion auf Vorfälle und der Behandlung zu verbessern.
Behalten Sie basierend auf der Art des Incidents die Beweise im Zusammenhang mit dem Incident für den Zeitraum bei, der im Behandlungsstandard für den Incident für weitere Analysen oder rechtliche Maßnahmen definiert ist.
Azure-Leitfaden: Verwenden Sie das Ergebnis aus den gelernten Aktivitäten, um Ihren Plan für die Reaktion auf Vorfälle, das Playbook (z. B. ein Microsoft Sentinel-Playbook) zu aktualisieren und Erkenntnisse in Ihre Umgebungen einzufügen (z. B. Protokollierung und Bedrohungserkennung, um etwaige Lücken bei der Protokollierung zu beheben), um Ihre zukünftige Funktion beim Erkennen, Reagieren und Behandeln von Vorfällen in Azure zu verbessern.
Bewahren Sie die während der "Erkennung und Analyse – Untersuchen eines Vorfallschritts" gesammelten Nachweise auf, z. B. Systemprotokolle, Netzwerkdatenverkehrsabbilder und laufende Systemmomentaufnahmen im Speicher, z. B. ein Azure Storage-Konto für unveränderliche Aufbewahrung.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Erstellen Sie die Vorfallanalyse für einen geschlossenen Vorfall im Incident Manager mithilfe der Standardvorfallanalysevorlage oder Ihrer eigenen benutzerdefinierten Vorlage. Verwenden Sie das Ergebnis aus der Lessons Learned-Aktivität, um Ihren Plan für die Reaktion auf Vorfälle, das Playbook (z. B. das AWS Systems Manager-Runbook und das Microsoft Sentinel-Playbook) zu aktualisieren und die Ergebnisse in Ihre Umgebungen neu zu integrieren, unter anderem Protokollierung und Bedrohungserkennung, um etwaige Lücken bei der Protokollierung zu beheben und Ihre zukünftigen Fähigkeiten hinsichtlich der Erkennung, Reaktion und Bearbeitung von Vorfällen in AWS zu verbessern.
Bewahren Sie die während der "Erkennung und Analyse - Untersuchen eines Vorfalls" gesammelten Nachweise auf, wie Systemprotokolle, Netzwerkverkehrsabbilder und Schnappschüsse des laufenden Systems im Speicher, wie einem Amazon S3-Bucket oder einem Azure Storage-Konto, für eine unveränderliche Aufbewahrung.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie das Ergebnis der gelernten Aktivitäten, um Ihren Plan für die Reaktion auf Vorfälle zu aktualisieren, playbook (z. B. eine Chronik oder ein Microsoft Sentinel-Playbook) und integrieren Sie Erkenntnisse in Ihre Umgebungen (z. B. Protokollierung und Bedrohungserkennung, um etwaige Lücken bei der Protokollierung zu beheben), um Ihre zukünftige Funktion beim Erkennen, Reagieren und Behandeln von Vorfällen in GCP zu verbessern.
Halten Sie die während des Schritts "Erkennung und Analyse – Untersuchung eines Vorfalls" gesammelten Nachweise, wie Systemprotokolle, Netzwerkverkehrsdaten und laufende Systemabbilder, in einem Speicher wie Google Cloud Storage oder einem Azure Storage-Konto zur unveränderlichen Aufbewahrung.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):