Sicherheitskontrolle: Reaktion auf Vorfälle
Reaktion auf Incidents umfasst Kontrollmechanismen im Lebenszyklus der Reaktion auf Incidents. Dazu gehören Vorbereitung, Erkennung und Analyse, Eindämmung und Nachbereitung von Incidents, einschließlich der Nutzung von Azure-Diensten (z. B. Microsoft Defender for Cloud und Sentinel) und/oder Clouddiensten zur Automatisierung des Prozesses zur Reaktion auf Incidents.
IR-1: Vorbereitung – Plan für Vorfallsreaktion und Bearbeitungsprozess aktualisieren
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10,8 |
Sicherheitsprinzip: Stellen Sie sicher, dass Ihre organization bewährten Methoden der Branche folgt, um Prozesse und Pläne zur Reaktion auf Sicherheitsvorfälle auf den Cloudplattformen zu entwickeln. Beachten Sie das Modell der gemeinsamen Verantwortung und die Abweichungen zwischen IaaS-, PaaS- und SaaS-Diensten. Dies wirkt sich direkt auf Ihre Zusammenarbeit mit Ihrem Cloudanbieter bei der Reaktion auf Incidents und bei der Handhabung von Aktivitäten aus, z. B. Incidentbenachrichtigung und Selektierung, Beweissammlung, Untersuchung, Beseitigung und Wiederherstellung.
Testen Sie regelmäßig den Plan für die Reaktion auf Vorfälle und den Bearbeitungsprozess, um sicherzustellen, dass sie auf dem neuesten Stand sind.
Azure-Leitfaden: Aktualisieren Sie den Prozess zur Reaktion auf Vorfälle Ihrer organization, um die Behandlung von Vorfällen auf der Azure-Plattform einzuschließen. Passen Sie basierend auf den verwendeten Azure-Diensten und der Art Ihrer Anwendung den Plan zur Reaktion auf Vorfälle und das Playbook an, um sicherzustellen, dass sie für die Reaktion auf den Vorfall in der Cloudumgebung verwendet werden können.
Azure-Implementierung und zusätzlicher Kontext:
- Implementieren Sie Die Sicherheit in der gesamten Unternehmensumgebung:
- Referenzleitfaden für die Reaktion auf Vorfälle
- NIST SP800-61 Computer Security Incident Handling Guide (Leitfaden SP800-61 für den Umgang mit Computersicherheitsincidents des NIST (National Institute of Standards and Technology))
- Übersicht über die Reaktion auf Vorfälle
AWS-Leitfaden: Aktualisieren Sie den Prozess zur Reaktion auf Vorfälle Ihrer organization, um die Behandlung von Vorfällen einzubeziehen. Stellen Sie sicher, dass ein einheitlicher Multi-Cloud-Plan zur Reaktion auf Vorfälle vorhanden ist, indem Sie den Reaktionsprozess Ihrer organization so aktualisieren, dass er die Behandlung von Vorfällen auf der AWS-Plattform umfasst. Befolgen Sie basierend auf den verwendeten AWS-Diensten und ihrer Anwendungsnatur den Leitfaden zur Reaktion auf Sicherheitsvorfälle, um den Plan und das Playbook anzupassen, um sicherzustellen, dass sie für die Reaktion auf den Incident in der Cloudumgebung verwendet werden können.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Aktualisieren Sie den Prozess zur Reaktion auf Vorfälle Ihrer organization, um die Behandlung von Vorfällen einzuschließen. Stellen Sie sicher, dass ein einheitlicher Multi-Cloud-Plan für die Reaktion auf Vorfälle vorhanden ist, indem Sie den Reaktionsprozess Ihrer organization aktualisieren, um die Behandlung von Vorfällen in der Google Cloud-Plattform einzuschließen.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-2: Vorbereitung – Einrichten von Ereignisbenachrichtigungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Sicherheitsprinzip: Stellen Sie sicher, dass die Sicherheitswarnungen und Incidentbenachrichtigungen von der Plattform des Clouddienstanbieters und Ihrer Umgebungen durch den richtigen Kontakt in Ihrem organization empfangen werden können.
Azure-Leitfaden: Richten Sie Kontaktinformationen für Sicherheitsvorfälle in Microsoft Defender für Cloud ein. Microsoft wendet sich unter den angegebenen Kontaktdaten an Sie, wenn das Microsoft Security Response Center (MSRC) feststellt, dass Personen unrechtmäßig oder unbefugt auf Ihre Daten zugegriffen haben. Sie haben auch Optionen zum Anpassen von Incidentwarnungen und Benachrichtigungen in verschiedenen Azure-Diensten basierend auf Ihren Anforderungen an die Reaktion auf Vorfälle.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Richten Sie Kontaktinformationen für Sicherheitsvorfälle in AWS Systems Manager Incident Manager (dem Incident Management Center für AWS) ein. Diese Kontaktinformationen werden für die Kommunikation zwischen Ihnen und AWS über die verschiedenen Kanäle (z. B. Email, SMS oder Voice) verwendet. Sie können den Engagement- und Eskalationsplan eines Kontakts definieren, um zu beschreiben, wie und wann der Incident Manager den Kontakt einbezieht, und eskalieren, wenn der/die Kontakt(en) nicht auf einen Incident reagiert.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Richten Sie mithilfe von Security Command Center oder Chronicle Benachrichtigungen über Sicherheitsvorfälle für bestimmte Kontakte ein. Verwenden Sie Google Cloud-Dienste und Drittanbieter-APIs, um E-Mail- und Chatbenachrichtigungen in Echtzeit bereitzustellen, um auf Sicherheitsergebnisse für Security Command Center hinzuweisen, oder Playbooks, um Aktionen zum Senden von Benachrichtigungen in Chronicle auszulösen.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-3: Erkennung und Analyse – Erstellen von Vorfällen basierend auf Warnungen mit hoher Qualität
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10,8 |
Sicherheitsprinzip: Stellen Sie sicher, dass Sie über einen Prozess verfügen, um qualitativ hochwertige Warnungen zu erstellen und die Qualität von Warnungen zu messen. Auf diese Weise können Sie Lehren aus vergangenen Vorfällen ziehen und Warnungen für Analysten priorisieren, damit diese keine Zeit mit falsch positiven Ergebnissen verschwenden.
Qualitativ hochwertige Warnungen können auf der Grundlage von Erfahrungen aus früheren Vorfällen, validierten Communityquellen und Tools zur Generierung und Bereinigung von Warnmeldungen durch Verschmelzung und Korrelation verschiedener Signalquellen erstellt werden.
Azure-Leitfaden: Microsoft Defender für Cloud bietet hochwertige Warnungen für viele Azure-Ressourcen. Sie können den Microsoft Defender für Cloud-Datenconnector verwenden, um die Warnungen an Microsoft Sentinel zu streamen. Mit Microsoft Sentinel können Sie erweiterte Warnregeln erstellen, um Vorfälle automatisch für eine Untersuchung zu generieren.
Exportieren Sie die Microsoft Defender für Cloud-Warnungen und -Empfehlungen über die Funktion „Fortlaufender Export“, um Risiken für Azure-Ressourcen zu ermitteln. Exportieren Sie Warnungen und Empfehlungen entweder manuell oder fortlaufend, kontinuierlich.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Verwenden Sie Sicherheitstools wie SecurityHub oder GuardDuty und andere Tools von Drittanbietern, um Warnungen an Amazon CloudWatch oder Amazon EventBridge zu senden, damit Incidents automatisch im Incident Manager basierend auf den definierten Kriterien und Regelsätzen erstellt werden können. Sie können Vorfälle auch manuell im Incident-Manager erstellen, um weitere Incidents zu behandeln und zu verfolgen.
Wenn Sie Microsoft Defender for Cloud verwenden, um Ihre AWS-Konten zu überwachen, können Sie auch Microsoft Sentinel verwenden, um die von Microsoft Defender für Cloud on AWS-Ressourcen identifizierten Incidents zu überwachen und zu warnen.
AWS-Implementierung und zusätzlicher Kontext:
- Erstellen von Incidents im Incident-Manager
- Wie Defender for Cloud Apps Sie beim Schutz Ihrer AWS-Umgebung (Amazon Web Services) unterstützt
GCP-Leitfaden: Integrieren Sie Google Cloud und Drittanbieterdienste, um Protokolle und Warnungen an Security Command Center oder Chronicle zu senden, damit Incidents automatisch basierend auf definierten Kriterien erstellt werden können. Sie können Incidentergebnisse auch manuell im Security Command Center oder regeln in Chronicle für die weitere Behandlung und Nachverfolgung von Vorfällen erstellen und bearbeiten.
Wenn Sie Microsoft Defender für Cloud verwenden, um Ihre GCP-Projekte zu überwachen, können Sie auch Microsoft Sentinel verwenden, um die durch Microsoft Defender für Cloud on GCP-Ressourcen identifizierten Vorfälle zu überwachen und zu warnen oder GCP-Protokolle direkt an Microsoft Sentinel zu streamen.
GCP-Implementierung und zusätzlicher Kontext:
- Konfigurieren von Security Command Center
- Verwalten von Regeln mithilfe des Regel-Editors
- Verbinden eines GCP-Projekts mit Microsoft Defender für Cloud
- Streamen von Google Cloud Platform-Protokollen in Microsoft Sentinel
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-4: Erkennung und Analyse – Untersuchen eines Vorfalls
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| N/V | IR-4 | 12.10 |
Sicherheitsprinzip: Stellen Sie sicher, dass das Sicherheitsbetriebsteam bei der Untersuchung potenzieller Vorfälle verschiedene Datenquellen abfragen und verwenden kann, um eine vollständige Übersicht über das Geschehen zu erhalten. Es empfiehlt sich, verschiedene Protokolle zu sammeln, um die Aktivitäten eines potenziellen Angreifers über das gesamte Kill Chain-Spektrum hinweg nachzuverfolgen und Schwachpunkte zu vermeiden. Stellen Sie außerdem sicher, dass Erkenntnisse und Erfahrungen für andere Analysten und als zukünftige Referenzen erfasst werden.
Verwenden Sie die cloudnative SIEM-Lösung und Incidentverwaltungslösung, wenn Ihre Organisation nicht über eine vorhandene Lösung zum Aggregieren von Sicherheitsprotokollen und Warnungen verfügt. Korrelieren Sie Incidentdaten basierend auf den Daten aus verschiedenen Quellen, um die Incidentuntersuchungen zu unterstützen.
Azure-Leitfaden: Stellen Sie sicher, dass Ihr Sicherheitsbetriebsteam verschiedene Datenquellen abfragen und verwenden kann, die aus den Diensten und Systemen im Bereich erfasst werden. Darüber hinaus können sie folgende Quellen enthalten:
- Identitäts- und Zugriffsprotokolldaten: Verwenden Sie Azure AD-Protokolle und Workload-Zugriffsprotokolle (z. B. Betriebssysteme oder Anwendungsebene) zum Korrelieren von Identitäts- und Zugriffsereignissen.
- Netzwerkdaten: Verwenden Sie die Datenflussprotokolle von Netzwerksicherheitsgruppen sowie Azure Network Watcher und Azure Monitor, um Netzwerkflussprotokolle und andere Analyseinformationen zu erfassen.
- Incidentbezogene Aktivitätsdaten von aus Momentaufnahmen der betroffenen Systeme, die abgerufen werden können durch:
- Die Momentaufnahmefunktion des virtuellen Azure-Computers, um eine Momentaufnahme des Datenträgers des ausgeführten Systems zu erstellen.
- Die native Speicherabbildfunktion des Betriebssystems, um eine Momentaufnahme des Arbeitsspeichers des ausgeführten Systems zu erstellen.
- Das Momentaufnahme Feature anderer unterstützter Azure-Dienste oder der eigenen Funktion Ihrer Software, um Momentaufnahmen der ausgeführten Systeme zu erstellen.
Microsoft Sentinel bietet umfangreiche Datenanalysen über praktisch jede Protokollquelle sowie ein Fallverwaltungsportal zum Verwalten des gesamten Lebenszyklus von Vorfällen. Intelligenceinformationen während einer Untersuchung können zu Verfolgungs- und Berichtszwecken mit einem Vorfall verknüpft werden.
Hinweis: Wenn Incident-bezogene Daten zur Untersuchung erfasst werden, stellen Sie sicher, dass eine angemessene Sicherheit vorhanden ist, um die Daten vor nicht autorisierten Änderungen zu schützen, z. B. das Deaktivieren der Protokollierung oder das Entfernen von Protokollen, die von den Angreifern während einer Datenverletzungsaktivität während des Flugs ausgeführt werden können.
Azure-Implementierung und zusätzlicher Kontext:
- Momentaufnahme des Datenträgers eines Windows-Computers
- Momentaufnahme des Datenträgers eines Linux-Computers
- Microsoft Azure-Supportdiagnoseinformationen und Speicherabbilderfassung
- Lesen Sie Untersuchen von Incidents mit Azure Sentinel.
AWS-Leitfaden: Die Datenquellen für die Untersuchung sind die zentralen Protokollierungsquellen, die von den im Rahmen verfügbaren Diensten und ausgeführten Systemen erfasst werden, können aber auch Folgendes umfassen:
- Identitäts- und Zugriffsprotokolldaten: Verwenden Sie IAM-Protokolle und Workload-Zugriffsprotokolle (z. B. Betriebssystem- oder Anwendungsebene) zum Korrelieren von Identitäts- und Zugriffsereignissen.
- Netzwerkdaten: Verwenden Sie VPC Flow Logs, VPC Traffic Mirrors sowie Azure CloudTrail und CloudWatch, um Netzwerkflussprotokolle und andere Analyseinformationen zu erfassen.
- Momentaufnahmen ausgeführter Systeme, die über folgendes abgerufen werden können:
- Momentaufnahmefunktion in Amazon EC2(EBS), um eine Momentaufnahme des Datenträgers des ausgeführten Systems zu erstellen.
- Die native Speicherabbildfunktion des Betriebssystems, um eine Momentaufnahme des Arbeitsspeichers des ausgeführten Systems zu erstellen.
- Das Momentaufnahme Feature der AWS-Dienste oder der eigenen Funktion Ihrer Software, um Momentaufnahmen der ausgeführten Systeme zu erstellen.
Wenn Sie Ihre SIEM-bezogenen Daten in Microsoft Sentinel aggregieren, werden umfangreiche Datenanalysen für praktisch jede Protokollquelle und ein Fallverwaltungsportal bereitgestellt, um den gesamten Lebenszyklus von Incidents zu verwalten. Intelligenceinformationen während einer Untersuchung können zu Verfolgungs- und Berichtszwecken mit einem Vorfall verknüpft werden.
Hinweis: Wenn Incident-bezogene Daten zur Untersuchung erfasst werden, stellen Sie sicher, dass eine angemessene Sicherheit vorhanden ist, um die Daten vor nicht autorisierten Änderungen zu schützen, z. B. das Deaktivieren der Protokollierung oder das Entfernen von Protokollen, die von den Angreifern während einer Datenverletzungsaktivität während des Flugs ausgeführt werden können.
AWS-Implementierung und zusätzlicher Kontext:
- Verkehrsspiegelung
- Erstellen von EBS-Volumesicherungen mit AMIs und EBS-Momentaufnahmen
- Verwenden des unveränderlichen Speichers
GCP-Leitfaden: Die Datenquellen für die Untersuchung sind die zentralisierten Protokollierungsquellen, die von den bereichsinternen Diensten und ausgeführten Systemen erfasst werden, können aber auch Folgendes umfassen:
- Identitäts- und Zugriffsprotokolldaten: Verwenden Sie IAM-Protokolle und Workload-Zugriffsprotokolle (z. B. Betriebssystem- oder Anwendungsebene) zum Korrelieren von Identitäts- und Zugriffsereignissen.
- Netzwerkdaten: Verwenden Sie VPC Flow Logs und VPC-Dienststeuerelemente, um Netzwerkflussprotokolle und andere Analyseinformationen zu erfassen.
- Momentaufnahmen ausgeführter Systeme, die über folgendes abgerufen werden können:
- Momentaufnahmefunktion auf GCP-VMs, um eine Momentaufnahme des Datenträgers des ausgeführten Systems zu erstellen.
- Die native Speicherabbildfunktion des Betriebssystems, um eine Momentaufnahme des Arbeitsspeichers des ausgeführten Systems zu erstellen.
- Das Momentaufnahme Feature der GCP-Dienste oder die eigene Funktion Ihrer Software, um Momentaufnahmen der ausgeführten Systeme zu erstellen.
Wenn Sie Ihre SIEM-bezogenen Daten in Microsoft Sentinel aggregieren, werden umfangreiche Datenanalysen für praktisch jede Protokollquelle und ein Fallverwaltungsportal bereitgestellt, um den gesamten Lebenszyklus von Incidents zu verwalten. Intelligenceinformationen während einer Untersuchung können zu Verfolgungs- und Berichtszwecken mit einem Vorfall verknüpft werden.
Hinweis: Wenn Incident-bezogene Daten zur Untersuchung erfasst werden, stellen Sie sicher, dass eine angemessene Sicherheit vorhanden ist, um die Daten vor nicht autorisierten Änderungen zu schützen, z. B. das Deaktivieren der Protokollierung oder das Entfernen von Protokollen, die von den Angreifern während einer Datenverletzungsaktivität während des Flugs ausgeführt werden können.
GCP-Implementierung und zusätzlicher Kontext:
- Security Command Center – Sicherheitsquellen
- Unterstützte Datasets
- Erstellen und Verwalten von Datenträgermomentaufnahmen
- Streamen von Google Cloud Platform-Protokollen in Microsoft Sentinel
Kundensicherheitsbeteiligte (weitere Informationen):
IR-5: Erkennung und Analyse – Priorisieren von Vorfällen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Sicherheitsprinzip: Stellen Sie Sicherheitsbetriebsteams Kontext bereit, um zu ermitteln, auf welche Vorfälle sie sich zuerst konzentrieren sollten, basierend auf dem Schweregrad der Warnung und der Vertraulichkeit der Ressourcen, die im Reaktionsplan Ihres organization für Vorfälle definiert sind.
Markieren Sie Ressourcen außerdem mithilfe von Tags, und erstellen Sie ein Benennungssystem, um die Ressourcen Ihrer Cloud eindeutig zu identifizieren und zu kategorisieren – insbesondere solche, die vertrauliche Daten verarbeiten. Die Priorisierung der Behebung von Warnungen basierend auf der Wichtigkeit der Ressourcen und der Umgebung, in der der Vorfall aufgetreten ist, liegt in Ihrer Verantwortung.
Azure-Leitfaden: Microsoft Defender für Cloud weist jeder Warnung einen Schweregrad zu, damit Sie priorisieren können, welche Warnungen zuerst untersucht werden sollten. Der Schweregrad basiert darauf, wie zuversichtlich Microsoft Defender für Cloud in Bezug auf den Befund oder die Analysen ist, die zum Auslösen der Warnung verwendet werden, sowie auf dem Zuverlässigkeitsgrad, dass hinter der Aktivität, die zu der Warnung führte, eine böswillige Absicht stand.
Auf ähnliche Weise erstellt Microsoft Sentinel Warnungen und Incidents mit einem zugewiesenen Schweregrad und anderen Details basierend auf Analyseregeln. Verwenden Sie Analyseregelvorlagen, und passen Sie die Regeln entsprechend den Anforderungen Ihrer organization an, um die Incidentpriorisierung zu unterstützen. Verwenden Sie Automatisierungsregeln in Microsoft Sentinel, um die Reaktion auf Bedrohungen zu verwalten und zu orchestrieren, um die Effizienz und Effektivität Ihres Sicherheitsbetriebs zu maximieren, einschließlich tagging Incidents, um sie zu klassifizieren.
Azure-Implementierung und zusätzlicher Kontext:
- Sicherheitswarnungen in Microsoft Defender für Cloud
- Verwenden von Tags zum Organisieren von Azure-Ressourcen
- Erstellen von Incidents aus Microsoft-Sicherheitswarnungen
AWS-Leitfaden: Weisen Sie für jeden im Incident Manager erstellten Incident eine Auswirkungsebene basierend auf den von Ihrem organization definierten Kriterien zu, z. B. einem Maß für den Schweregrad des Incidents und der Kritikalitätsgrad der betroffenen Ressourcen.
AWS-Implementierung und zusätzlicher Kontext:
*GCP-Leitfaden: Bestimmen Sie für jeden im Security Command Center erstellten Incident die Priorität der Warnung basierend auf den vom System zugewiesenen Schweregradbewertungen und anderen Kriterien, die von Ihrem organization definiert werden. Messen Sie den Schweregrad des Incidents und die Kritikalitätsgrad der betroffenen Ressourcen, um zu ermitteln, welche Warnungen zuerst untersucht werden sollten.
Auf ähnliche Weise können Sie in Chronical benutzerdefinierte Regeln definieren, um die Prioritäten für die Reaktion auf Vorfälle zu bestimmen. GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):
IR-6: Eindämmung, Beseitigung und Wiederherstellung – Automatisieren der Behandlung von Vorfällen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| – | IR-4, IR-5, IR-6 | 12.10 |
Sicherheitsprinzip: Automatisieren Sie die manuellen, sich wiederholenden Aufgaben, um die Antwortzeit zu beschleunigen und die Belastung der Analysten zu verringern. Manuelle Aufgaben dauern länger, verlangsamen jeden Vorfall und reduzieren die Anzahl der Vorfälle, die ein Analyst bewältigen kann. Manuelle Aufgaben erhöhen auch die Ermüdung der Analytiker. Dadurch erhöht sich das Risiko menschlicher Fehler, die zu Verzögerungen führen, und es verschlechtert sich die Fähigkeit der Analytiker, sich effektiv auf komplexe Aufgaben zu konzentrieren.
Azure-Leitfaden: Verwenden Sie Workflowautomatisierungsfeatures in Microsoft Defender für Cloud und Microsoft Sentinel, um automatisch Aktionen auszulösen oder Playbooks auszuführen, um auf eingehende Sicherheitswarnungen zu reagieren. Playbooks ergreifen Aktionen wie das Senden von Benachrichtigungen, das Deaktivieren von Konten und das Isolieren problematischer Netzwerke.
Azure-Implementierung und zusätzlicher Kontext:
- Konfigurieren der Workflowautomatisierung in Security Center
- Einrichten automatisierter Reaktionen auf Bedrohungen in Microsoft Defender für Cloud
- Machen Sie sich mit dem Einrichten automatisierter Reaktionen auf Bedrohungen in Azure Sentinel vertraut.
AWS-Leitfaden: Wenn Sie Microsoft Sentinel zum zentralen Verwalten Ihres Incidents verwenden, können Sie auch automatisierte Aktionen erstellen oder playbooks ausführen, um auf eingehende Sicherheitswarnungen zu reagieren.
Alternativ können Sie Automatisierungsfeatures in AWS System Manager verwenden, um automatisch Aktionen auszulösen, die im Reaktionsplan für Vorfälle definiert sind, einschließlich der Benachrichtigung der Kontakte und/oder des Ausführens eines Runbooks, um auf Warnungen zu reagieren, z. B. das Deaktivieren von Konten und das Isolieren problematischer Netzwerke.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Wenn Sie Microsoft Sentinel zum zentralen Verwalten Ihres Incidents verwenden, können Sie auch automatisierte Aktionen erstellen oder Playbooks ausführen, um auf eingehende Sicherheitswarnungen zu reagieren.
Alternativ können Sie Playbook-Automatisierungen in Chronicle verwenden, um automatisch Aktionen auszulösen, die im Reaktionsplan für Vorfälle definiert sind, einschließlich der Benachrichtigung der Kontakte und/oder der Ausführung eines Playbooks, um auf Warnungen zu reagieren.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):
IR-7: Post-Incident-Aktivitäten – Erfahrungen durchführen und Beweise aufbewahren
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Sicherheitsprinzip: Führen Sie in regelmäßigen Abständen und/oder nach größeren Vorfällen gelernte Erfahrungen in Ihrem organization durch, um Ihre zukünftigen Fähigkeiten bei der Reaktion und Behandlung von Vorfällen zu verbessern.
Behalten Sie basierend auf der Art des Incidents die Beweise im Zusammenhang mit dem Incident für den Zeitraum bei, der im Behandlungsstandard für den Incident für weitere Analysen oder rechtliche Maßnahmen definiert ist.
Azure-Leitfaden: Verwenden Sie das Ergebnis der lektionenlernten Aktivität, um Ihren Plan zur Reaktion auf Vorfälle, Ihr Playbook (z. B. ein Microsoft Sentinel-Playbook) zu aktualisieren und Ergebnisse in Ihre Umgebungen (z. B. Protokollierung und Bedrohungserkennung, um Lücken in der Protokollierung zu schließen) zu aktualisieren, um Ihre zukünftigen Funktionen bei der Erkennung, Reaktion und Behandlung von Incidents in Azure zu verbessern.
Bewahren Sie die während des Schritts "Erkennung und Analyse – Untersuchung eines Incidents" gesammelten Beweise auf, z. B. Systemprotokolle, Netzwerkdatendatenabbilder und ausführende Systemmomentaufnahmen im Speicher, z. B. ein Azure Storage-Konto, für unveränderliche Aufbewahrung.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Erstellen Sie eine Incidentanalyse für einen geschlossenen Incident in Incident Manager mithilfe der Standardvorlage für die Incidentanalyse oder Ihrer eigenen benutzerdefinierten Vorlage. Verwenden Sie das Ergebnis der lektionenbasierten Aktivität, um Ihren Plan zur Reaktion auf Vorfälle, Ihr Playbook (z. B. das AWS Systems Manager-Runbook und das Microsoft Sentinel-Playbook) zu aktualisieren und Die Ergebnisse in Ihre Umgebungen (z. B. Protokollierung und Bedrohungserkennung zum Beheben von Lücken in der Protokollierung) zu aktualisieren, um Ihre zukünftigen Funktionen bei der Erkennung, Reaktion und Behandlung der Incidents in AWS zu verbessern.
Bewahren Sie die während des Schritts "Erkennung und Analyse – Untersuchung eines Incidents" gesammelten Beweise auf, z. B. Systemprotokolle, Netzwerkdatenverkehrsabbilder und ausführende System-Momentaufnahme im Speicher, z. B. einen Amazon S3-Bucket oder ein Azure Storage-Konto, um unveränderliche Aufbewahrung zu ermöglichen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie das Ergebnis der lektionenlernten Aktivität, um Ihren Plan zur Reaktion auf Vorfälle und Ihr Playbook (z. B. ein Chronik- oder Microsoft Sentinel-Playbook) zu aktualisieren und Ergebnisse in Ihre Umgebungen (z. B. Protokollierung und Bedrohungserkennung) zu integrieren, um ihre zukünftigen Funktionen bei der Erkennung, Reaktion und Behandlung von Incidents in GCP zu verbessern.
Bewahren Sie die während des Schritts "Erkennung und Analyse – Untersuchung eines Incidents" gesammelten Beweise auf, z. B. Systemprotokolle, Netzwerkdatendatenabbilder und ausgeführte Systemmomentaufnahmen im Speicher, z. B. google Cloud Storage oder ein Azure Storage-Konto, für unveränderliche Aufbewahrung.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (weitere Informationen):