Sicherheitssteuerung v3: Reaktion auf Vorfälle
Reaktion auf Vorfälle umfasst Kontrollen im Lebenszyklus der Reaktion auf Vorfälle. Dazu gehören Vorbereitung, Erkennung und Analyse, Eindämmung und Nachbereitung von Vorfällen, einschließlich der Nutzung von Azure-Diensten wie Microsoft Defender für Cloud und Sentinel zur Automatisierung des Reaktionsprozesses auf Vorfälle.
IR-1: Vorbereitung – Plan für Vorfallsreaktion und Bearbeitungsprozess aktualisieren
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10,8 |
Sicherheitsprinzip: Stellen Sie sicher, dass Ihre Organisation die bewährten Methoden der Branche bei der Entwicklung von Prozessen und Plänen für die Reaktion auf Sicherheitsvorfälle auf den Cloudplattformen einhält. Beachten Sie das Modell der gemeinsamen Verantwortung und die Abweichungen zwischen IaaS-, PaaS- und SaaS-Diensten. Dies wirkt sich direkt auf Ihre Zusammenarbeit mit Ihrem Cloudanbieter bei der Reaktion auf Vorfälle und bei der Behandlung von Aktivitäten aus, z. B. Ereignisbenachrichtigung und Selektierung, Beweissammlung, Untersuchung, Beseitigung und Wiederherstellung.
Testen Sie regelmäßig den Plan für die Reaktion auf Vorfälle und den Bearbeitungsprozess, um sicherzustellen, dass sie auf dem neuesten Stand sind.
Azure-Leitfaden: Aktualisieren Sie den Prozess zur Reaktion auf Vorfälle Ihrer Organisation, um die Behandlung von Vorfällen auf der Azure-Plattform einzuschließen. Passen Sie basierend auf den verwendeten Azure-Diensten und der Art Ihrer Anwendung den Plan zur Reaktion auf Vorfälle und das Playbook an, um sicherzustellen, dass sie für die Reaktion auf den Vorfall in der Cloudumgebung verwendet werden können.
Implementierung und zusätzlicher Kontext:
- Implement security across the enterprise environment (Implementieren von Sicherheit in der gesamten Unternehmensumgebung)
- Referenzleitfaden für die Reaktion auf Vorfälle
- NIST SP800-61 Computer Security Incident Handling Guide (Leitfaden SP800-61 für den Umgang mit Computersicherheitsincidents des NIST (National Institute of Standards and Technology))
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
IR-2: Vorbereitung – Einrichten von Ereignisbenachrichtigungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Sicherheitsprinzip: Stellen Sie sicher, dass die Sicherheitswarnungen und Ereignisbenachrichtigungen von der Plattform des Clouddienstanbieters und Ihren Umgebungen vom richtigen Kontakt für die Reaktion auf Vorfälle in Ihrer Organisation empfangen werden können.
Azure-Leitfaden: Richten Sie Kontaktinformationen für Sicherheitsvorfälle in Microsoft Defender für Cloud ein. Microsoft wendet sich unter den angegebenen Kontaktdaten an Sie, wenn das Microsoft Security Response Center (MSRC) feststellt, dass Personen unrechtmäßig oder unbefugt auf Ihre Daten zugegriffen haben. Sie haben auch die Möglichkeit, die Warnungen und Benachrichtigungen bei Vorfällen in verschiedenen Azure-Diensten entsprechend Ihrer Anforderungen bezüglich der Reaktion auf Vorfälle anzupassen.
Implementierung und zusätzlicher Kontext:
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
IR-3: Erkennung und Analyse – Erstellen von Vorfällen basierend auf Warnungen mit hoher Qualität
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10,8 |
Sicherheitsprinzip: Stellen Sie sicher, dass Sie über einen Prozess zum Erstellen hochwertiger Warnungen und zum Messen der Qualität von Warnungen verfügen. Auf diese Weise können Sie Lehren aus vergangenen Vorfällen ziehen und Warnungen für Analysten priorisieren, damit diese keine Zeit mit falsch positiven Ergebnissen verschwenden.
Qualitativ hochwertige Warnungen können auf der Grundlage von Erfahrungen aus früheren Vorfällen, validierten Communityquellen und Tools zur Generierung und Bereinigung von Warnmeldungen durch Verschmelzung und Korrelation verschiedener Signalquellen erstellt werden.
Azure-Leitfaden: Microsoft Defender für Cloud bietet hochwertige Warnungen für viele Azure-Ressourcen. Sie können den Microsoft Defender für Cloud-Datenconnector verwenden, um die Warnungen an Azure Sentinel zu streamen. Mit Azure Sentinel können Sie erweiterte Warnregeln erstellen, um Vorfälle automatisch für eine Untersuchung zu generieren.
Exportieren Sie die Microsoft Defender für Cloud-Warnungen und -Empfehlungen über die Funktion „Fortlaufender Export“, um Risiken für Azure-Ressourcen zu ermitteln. Exportieren Sie Warnungen und Empfehlungen entweder manuell oder fortlaufend, kontinuierlich.
Implementierung und zusätzlicher Kontext:
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
IR-4: Erkennung und Analyse – Untersuchen eines Vorfalls
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| N/V | IR-4 | 12.10 |
Sicherheitsprinzip: Stellen Sie sicher, dass das Team für Sicherheitsvorgänge bei der Untersuchung potenzieller Vorfälle verschiedene Datenquellen abfragen und verwenden kann, um eine vollständige Übersicht über den Vorfall zu erhalten. Es empfiehlt sich, verschiedene Protokolle zu sammeln, um die Aktivitäten eines potenziellen Angreifers über das gesamte Kill Chain-Spektrum hinweg nachzuverfolgen und Schwachpunkte zu vermeiden. Stellen Sie außerdem sicher, dass Erkenntnisse und Erfahrungen für andere Analysten und als zukünftige Referenzen erfasst werden.
Azure-Leitfaden: Zu den zu untersuchenden Datenquellen gehören die zentralisierten Protokollierungsquellen, die bereits von den zum Umfang gehörige Diensten und ausgeführten Systemen gesammelt werden, aber auch andere:
- Netzwerkdaten: Verwenden Sie die Datenflussprotokolle von Netzwerksicherheitsgruppen sowie Azure Network Watcher und Azure Monitor, um Netzwerkflussprotokolle und andere Analyseinformationen zu erfassen.
- Momentaufnahmen ausgeführter Systeme: Verwenden Sie die Momentaufnahmenfunktion des virtuellen Azure-Computers, um eine Momentaufnahme der Festplatte des laufenden Systems zu erstellen. b) Die native Speicherabbildfunktion des Betriebssystems, um eine Momentaufnahme des Arbeitsspeichers des laufenden Systems zu erstellen. c) Das Momentaufnahmenfeature der Azure-Dienste oder die Funktion Ihrer Software, um Momentaufnahmen der laufenden Systeme zu erstellen.
Azure Sentinel bietet umfangreiche Datenanalysen über praktisch jede Protokollquelle sowie ein Fallverwaltungsportal zum Verwalten des gesamten Lebenszyklus von Vorfällen. Intelligenceinformationen während einer Untersuchung können zu Verfolgungs- und Berichtszwecken mit einem Vorfall verknüpft werden.
Implementierung und zusätzlicher Kontext:
- Momentaufnahme des Datenträgers eines Windows-Computers
- Momentaufnahme des Datenträgers eines Linux-Computers
- Microsoft Azure-Supportdiagnoseinformationen und Speicherabbilderfassung
- Lesen Sie Untersuchen von Incidents mit Azure Sentinel.
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
IR-5: Erkennung und Analyse – Priorisieren von Vorfällen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Sicherheitsprinzip: Stellen Sie Kontext für Sicherheitsvorgangsteams zur Verfügung, damit sie basierend auf dem Schweregrad der Warnung und der Sensitivität von Ressourcen, die im Plan für die Reaktion auf Vorfälle in Ihrer Organisation definiert ist, Vorfälle priorisieren können.
Azure-Leitfaden: Microsoft Defender für Cloud weist jeder Warnung einen Schweregrad zu, damit Sie priorisieren können, welche Warnungen zuerst untersucht werden sollen. Der Schweregrad basiert darauf, wie zuversichtlich Microsoft Defender für Cloud in Bezug auf den Befund oder die Analysen ist, die zum Auslösen der Warnung verwendet werden, sowie auf dem Zuverlässigkeitsgrad, dass hinter der Aktivität, die zu der Warnung führte, eine böswillige Absicht stand.
Markieren Sie Ressourcen außerdem mithilfe von Tags, und erstellen Sie ein Benennungssystem, um Azure-Ressourcen eindeutig zu identifizieren und zu kategorisieren – insbesondere solche, von denen vertrauliche Daten verarbeitet werden. Die Priorisierung der Behebung von Warnungen basierend auf der Wichtigkeit der Azure-Ressourcen und der Umgebung, in der der Vorfall aufgetreten ist, liegt in Ihrer Verantwortung.
Implementierung und zusätzlicher Kontext:
- Sicherheitswarnungen in Microsoft Defender für Cloud
- Verwenden von Tags zum Organisieren von Azure-Ressourcen
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
IR-6: Eindämmung, Beseitigung und Wiederherstellung – Automatisieren der Behandlung von Vorfällen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| – | IR-4, IR-5, IR-6 | 12.10 |
Sicherheitsprinzip: Automatisieren Sie manuelle, sich wiederholende Aufgaben, um die Antwortzeit zu beschleunigen und die Belastung der Analysten zu verringern. Manuelle Aufgaben dauern länger, verlangsamen jeden Vorfall und reduzieren die Anzahl der Vorfälle, die ein Analyst bewältigen kann. Manuelle Aufgaben erhöhen auch die Ermüdung der Analytiker. Dadurch erhöht sich das Risiko menschlicher Fehler, die zu Verzögerungen führen, und es verschlechtert sich die Fähigkeit der Analytiker, sich effektiv auf komplexe Aufgaben zu konzentrieren.
Azure-Leitfaden: Verwenden Sie die Workflowautomatisierungsfeatures in Microsoft Defender für Cloud und Azure Sentinel, um automatisch Aktionen auszulösen oder ein Playbook auszuführen, um auf eingehende Sicherheitswarnungen zu reagieren. Das Playbook führt Aktionen aus, wie das Versenden von Benachrichtigungen, das Deaktivieren von Konten und das Isolieren problematischer Netzwerke.
Implementierung und zusätzlicher Kontext:
- Konfigurieren von Workflowautomatisierung in Microsoft Defender für Cloud
- Einrichten automatisierter Reaktionen auf Bedrohungen in Microsoft Defender für Cloud
- Machen Sie sich mit dem Einrichten automatisierter Reaktionen auf Bedrohungen in Azure Sentinel vertraut.
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
IR-7: Aktivität nach einem Vorfall – Gelernte Lektion durchführen und Beweise aufbewahren
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Sicherheitsprinzip: Nehmen Sie in regelmäßigen Abständen und/oder nach größeren Vorfällen gelernte Lektionen in Ihrer Organisation durch, um Ihre zukünftige Fähigkeit bei der Reaktion auf Vorfälle und bei der Behandlung von Vorfällen zu verbessern.
Behalten Sie basierend auf der Art des Incidents die Beweise im Zusammenhang mit dem Incident für den Zeitraum bei, der im Behandlungsstandard für den Incident für weitere Analysen oder rechtliche Maßnahmen definiert ist.
Azure-Leitfaden: Aktualisieren Sie mit dem Ergebnis der in der Lektion erlernten Aktivität Ihren Plan für die Reaktion auf Vorfälle, Playbooks (z. B. Azure Sentinel-Playbook) und integrieren Sie die Ergebnisse wieder in Ihre Umgebungen (z. B. Protokollierung und Bedrohungserkennung zur Behebung von Protokollierungslücken), um Ihre zukünftige Fähigkeit zur Erkennung von Incidents, die Reaktion darauf und deren Behandlung in Azure zu verbessern.
Speichern Sie die während des Schritts „Erkennung und Analyse – Untersuchung eines Incidents“ erfassten Beweise bei, z. B. Systemprotokolle, Sicherung des Netzwerkdatenverkehrs und ausgeführte Systemmomentaufnahmen im Speicher, z. B. Azure Storage-Konto.
Implementierung und zusätzlicher Kontext:
Sicherheitsverantwortliche beim Kunden (weitere Informationen):