Control de seguridad: respuesta a incidentes
La respuesta a incidentes cubre controles del ciclo de vida de respuesta a incidentes: preparación, detección y análisis, contención y actividades posteriores a los incidentes, incluido el uso de servicios de Azure (como Microsoft Defender for Cloud y Sentinel) y otros servicios en la nube para automatizar el proceso de respuesta a incidentes.
PIR-1: Preparación: actualización del plan de respuesta ante incidentes y del proceso de control
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10,8 |
Principio de seguridad: asegúrese de que su organización sigue los procedimientos recomendados del sector para desarrollar procesos y planes para responder a incidentes de seguridad en las plataformas en la nube. Tenga en cuenta el modelo de responsabilidad compartida y las variaciones entre los servicios IaaS, PaaS y SaaS. Esto tendrá un impacto directo en la forma en que colabora con el proveedor de nube en las actividades de control y respuesta ante incidentes, como la notificación y evaluación de prioridades de incidentes, la recopilación de evidencias, la investigación, la erradicación y la recuperación.
Pruebe periódicamente tanto el plan de respuesta ante incidentes como el proceso de control para asegurarse de que están actualizados.
Guía de Azure: actualice el proceso de respuesta a incidentes de la organización para incluir el control de incidentes en la plataforma Azure. En función de los servicios de Azure usados y de la naturaleza de la aplicación, personalice el plan de respuesta ante incidentes y el cuaderno de estrategias para asegurarse de que se pueden usar para responder al incidente en el entorno de la nube.
Implementación de Azure y contexto adicional:
- Implemente la seguridad en el entorno empresarial:
- Guía de referencia de respuesta a incidentes
- Guía de control de incidentes de seguridad en equipos NIST SP800-61
- Información general sobre la respuesta a incidentes
Guía de AWS: actualice el proceso de respuesta a incidentes de su organización para incluir el control de incidentes. Asegúrese de que hay un plan unificado de respuesta a incidentes en la nube mediante la actualización del proceso de respuesta a incidentes de la organización para incluir el control de incidentes en la plataforma AWS. En función de los servicios de AWS usados y su naturaleza de la aplicación, siga la Guía de respuesta a incidentes de seguridad de AWS para personalizar el plan de respuesta a incidentes y el cuaderno de estrategias para asegurarse de que se pueden usar para responder al incidente en el entorno de nube.
Implementación de AWS y contexto adicional:
Guía de GCP: actualice el proceso de respuesta a incidentes de su organización para incluir el control de incidentes. Asegúrese de que hay un plan unificado de respuesta a incidentes en la nube mediante la actualización del proceso de respuesta a incidentes de su organización para incluir el control de incidentes en la plataforma Google Cloud.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
IR-2: Preparación: configuración de la notificación de incidentes
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Principio de seguridad: asegúrese de que las alertas de seguridad y las notificaciones de incidentes de la plataforma del proveedor de servicios en la nube y los entornos se pueden recibir mediante un contacto correcto en la organización de respuesta a incidentes.
Guía de Azure: configure la información de contacto de incidentes de seguridad en Microsoft Defender for Cloud. Microsoft utilizará esta información para ponerse en contacto con usted si el Centro de respuestas de seguridad de Microsoft (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a sus datos. También tiene opciones para personalizar alertas y notificaciones de incidentes en diferentes servicios de Azure en función de sus necesidades de respuesta a incidentes.
Implementación de Azure y contexto adicional:
Guía de AWS: Configure la información de contacto de incidentes de seguridad en AWS Systems Manager Incident Manager (el centro de administración de incidentes para AWS). Esta información de contacto se usa para la comunicación de administración de incidentes entre usted y AWS a través de los diferentes canales (es decir, Email, SMS o Voz). Puede definir el plan de involucración y el plan de escalación de un contacto para describir cómo y cuándo el Administrador de incidentes interactúa con el contacto y escalar si los contactos no responde a un incidente.
Implementación de AWS y contexto adicional:
Guía de GCP: configure notificaciones de incidentes de seguridad para contactos concretos mediante Security Command Center o Chronicle. Use los servicios en la nube de Google y las API de terceros para proporcionar notificaciones de chat y correo electrónico en tiempo real para alertar de los resultados de seguridad de Security Command Center, o cuadernos de estrategias para desencadenar acciones para enviar notificaciones en Crónica.
Implementación de GCP y contexto adicional:
- Habilitación de notificaciones de chat y correo electrónico en tiempo real
- Uso de acciones en cuadernos de estrategias:
Partes interesadas de la seguridad del cliente (más información):
IR-3: Detección y análisis: creación de incidentes en función de alertas de alta calidad
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10.8 |
Principio de seguridad: asegúrese de que tiene un proceso para crear alertas de alta calidad y medir la calidad de las alertas. Esto le permite aprender de incidentes anteriores y clasificar las alertas para los analistas, de modo que no pierdan tiempo con falsos positivos.
Las alertas de alta calidad se pueden crear en función de la experiencia de pasados incidentes, información validada procedente de la comunidad y herramientas diseñadas para generar y limpiar alertas mediante la fusión y correlación de diversos orígenes de la señal.
Guía de Azure: Microsoft Defender for Cloud proporciona alertas de alta calidad en muchos recursos de Azure. Puede usar el conector de datos de Microsoft Defender for Cloud para transmitir las alertas a Microsoft Sentinel. Microsoft Sentinel le permite crear reglas de alerta avanzadas con el fin de generar automáticamente incidentes para su investigación.
Exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica de exportación y que así pueda identificar los riesgos para los recursos de Azure. Esta exportación puede hacerse de forma manual o de modo continuo.
Implementación de Azure y contexto adicional:
Guía de AWS: use herramientas de seguridad como SecurityHub o GuardDuty y otras herramientas de terceros para enviar alertas a Amazon CloudWatch o Amazon EventBridge para que los incidentes se puedan crear automáticamente en Incident Manager en función de los criterios y conjuntos de reglas definidos. También puede crear manualmente incidentes en el Administrador de incidentes para un mayor control y seguimiento de incidentes.
Si usa Microsoft Defender for Cloud para supervisar sus cuentas de AWS, también puede usar Microsoft Sentinel para supervisar y alertar sobre los incidentes identificados por Microsoft Defender para los recursos de AWS en la nube.
Implementación de AWS y contexto adicional:
- Creación de incidentes en el Administrador de incidentes
- Ayuda a la protección de un entorno de Amazon Web Services (AWS) con Defender for Cloud Apps
Guía de GCP: integre Google Cloud y servicios de terceros para enviar registros y alertas a Security Command Center o Crónica para que los incidentes se puedan crear automáticamente en función de los criterios definidos. También puede crear y editar manualmente los resultados de incidentes en Security Command Center o las reglas de Crónica para un mayor control y seguimiento de incidentes.
Si usa Microsoft Defender for Cloud para supervisar los proyectos de GCP, también puede usar Microsoft Sentinel para supervisar y alertar los incidentes identificados por Microsoft Defender para los recursos de GCP o transmitir registros de GCP directamente a Microsoft Sentinel.
Implementación de GCP y contexto adicional:
- Configuración del Centro de comandos de seguridad
- Administrar reglas mediante el Editor de reglas
- Conexión de cuentas de GCP a Microsoft Defender for Cloud
- Transmisión de registros de Google Cloud Platform en Microsoft Sentinel
Partes interesadas de la seguridad del cliente (más información):
IR-4: Detección y análisis: investigación de incidentes
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IR-4 | 12.10 |
Principio de seguridad: asegúrese de que el equipo de operaciones de seguridad puede consultar y usar diversos orígenes de datos a medida que investigan posibles incidentes, para crear una vista completa de lo que ha ocurrido. Se deben recopilar diversos registros para realizar un seguimiento de las actividades de un posible atacante en la cadena de eliminación para evitar puntos ciegos. También debe asegurarse de que se capturan detalles y aprendizajes para otros analistas y para futuras referencias históricas.
Use la solución de administración de incidentes y SIEM nativa en la nube si su organización no tiene una solución para agregar información de alertas y registros de seguridad. Correlacione los datos de incidentes en función de los datos procedentes de diferentes orígenes para instalar las investigaciones de incidentes.
Guía de Azure: asegúrese de que el equipo de operaciones de seguridad puede consultar y usar diversos orígenes de datos que se recopilan de los servicios y sistemas en el ámbito. Además, los orígenes también pueden incluir:
- Datos de registro de identidad y acceso: use registros y cargas de trabajo de Azure AD (como sistemas operativos o nivel de aplicación) para correlacionar eventos de identidad y acceso.
- Datos de red: use registros de flujo de grupos de seguridad de red, Azure Network Watcher y Azure Monitor para capturar registros de flujo de red y otra información de análisis.
- Datos de actividad relacionados con incidentes de instantáneas de los sistemas afectados, que se pueden obtener mediante:
- La funcionalidad de instantáneas de la máquina virtual de Azure para crear una instantánea del disco del sistema en ejecución.
- La funcionalidad de volcado de memoria nativa del sistema operativo para crear una instantánea de la memoria del sistema en ejecución.
- La característica de instantánea de otros servicios de Azure compatibles o la propia funcionalidad del software, para crear instantáneas de los sistemas en ejecución.
Microsoft Sentinel proporciona amplios análisis de datos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar todo el ciclo de vida de los incidentes. La información de inteligencia durante una investigación puede asociarse a un incidente con fines de seguimiento e informes.
Nota: Cuando se capturan datos relacionados con incidentes para la investigación, asegúrese de que haya una seguridad adecuada para proteger los datos frente a alteraciones no autorizadas, como deshabilitar el registro o quitar registros, que los atacantes pueden realizar durante una actividad de vulneración de datos en curso.
Implementación de Azure y contexto adicional:
- Instantánea del disco de una máquina Windows
- Instantánea del disco de una máquina Linux
- Recopilación del volcado de memoria e información de diagnóstico del servicio de soporte técnico de Microsoft Azure
- Investigación de incidentes con Azure Sentinel
Guía de AWS: los orígenes de datos para la investigación son los orígenes de registro centralizados que recopilan de los servicios en el ámbito y los sistemas en ejecución, pero también pueden incluir:
- Datos de registro de identidad y acceso: use registros de IAM y carga de trabajo (como sistemas operativos o nivel de aplicación) para correlacionar eventos de identidad y acceso.
- Datos de red: use registros de flujo de VPC, reflejos del tráfico de VPC y Azure CloudTrail y CloudWatch para capturar registros de flujo de red y otra información de análisis.
- Instantáneas de sistemas en ejecución, que se pueden obtener mediante:
- Funcionalidad de instantánea en Amazon EC2(EBS) para crear una instantánea del disco del sistema en ejecución.
- La funcionalidad de volcado de memoria nativa del sistema operativo para crear una instantánea de la memoria del sistema en ejecución.
- La característica de instantánea de los servicios de AWS o la propia funcionalidad de su software, para crear instantáneas de los sistemas en ejecución.
Si agrega los datos relacionados con SIEM en Microsoft Sentinel, proporciona un amplio análisis de datos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar todo el ciclo de vida de los incidentes. La información de inteligencia durante una investigación puede asociarse a un incidente con fines de seguimiento e informes.
Nota: Cuando se capturan datos relacionados con incidentes para la investigación, asegúrese de que haya una seguridad adecuada para proteger los datos frente a alteraciones no autorizadas, como deshabilitar el registro o quitar registros, que los atacantes pueden realizar durante una actividad de vulneración de datos en curso.
Implementación de AWS y contexto adicional:
- Creación de reflejo del tráfico
- Creación de copias de seguridad de volúmenes EBS con AMI e instantáneas ebS
- Uso de almacenamiento inmutable
Guía de GCP: los orígenes de datos para la investigación son los orígenes de registro centralizados que recopilan de los servicios en el ámbito y los sistemas en ejecución, pero también pueden incluir:
- Datos de registro de identidad y acceso: use registros de IAM y carga de trabajo (como sistemas operativos o nivel de aplicación) para correlacionar eventos de identidad y acceso.
- Datos de red: use los registros de flujo de VPC y los controles de servicio vpc para capturar registros de flujo de red y otra información de análisis.
- Instantáneas de sistemas en ejecución, que se pueden obtener mediante:
- Funcionalidad de instantánea en máquinas virtuales GCP para crear una instantánea del disco del sistema en ejecución.
- La funcionalidad de volcado de memoria nativa del sistema operativo para crear una instantánea de la memoria del sistema en ejecución.
- La característica de instantánea de los servicios GCP o la propia funcionalidad de su software, para crear instantáneas de los sistemas en ejecución.
Si agrega los datos relacionados con SIEM en Microsoft Sentinel, proporciona un amplio análisis de datos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar todo el ciclo de vida de los incidentes. La información de inteligencia durante una investigación puede asociarse a un incidente con fines de seguimiento e informes.
Nota: Cuando se capturan datos relacionados con incidentes para la investigación, asegúrese de que haya una seguridad adecuada para proteger los datos frente a alteraciones no autorizadas, como deshabilitar el registro o quitar registros, que los atacantes pueden realizar durante una actividad de vulneración de datos en curso.
Implementación de GCP y contexto adicional:
- Centro de comandos de seguridad: orígenes de seguridad
- Conjuntos de datos admitidos
- Creación y administración de instantáneas de disco
- Transmisión de registros de Google Cloud Platform en Microsoft Sentinel
Partes interesadas de la seguridad del cliente (más información):
IR-5: Detección y análisis: clasificación de incidentes por orden de seguridad
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Principio de seguridad: proporcione contexto a los equipos de operaciones de seguridad para ayudarles a determinar en qué incidentes deben centrarse primero, en función de la gravedad de las alertas y la confidencialidad de los recursos definidas en el plan de respuesta a incidentes de la organización.
Adicionalmente, marque los recursos con etiquetas y cree un sistema de nomenclatura para identificar y clasificar los recursos en la nube, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno donde se produjo el incidente.
Guía de Azure: Microsoft Defender for Cloud asigna una gravedad a cada alerta para ayudarle a priorizar las alertas que se deben investigar primero. La gravedad se basa en la confianza de Microsoft Defender for Cloud en la búsqueda o en el análisis que se usa para emitir la alerta, así como en el nivel de confianza de que hubo una intención maliciosa detrás de la actividad que condujo a la alerta.
De forma similar, Microsoft Sentinel crea alertas e incidentes con una gravedad asignada y otros detalles basados en reglas de análisis. Use plantillas de reglas analíticas y personalice las reglas según las necesidades de su organización para admitir la priorización de incidentes. Use reglas de automatización en Microsoft Sentinel para administrar y organizar la respuesta a amenazas con el fin de maximizar la eficacia y eficiencia del equipo de la operación de seguridad, incluidos los incidentes de etiquetado para clasificarlos.
Implementación de Azure y contexto adicional:
- Alertas de seguridad en Microsoft Defender for Cloud
- Uso de etiquetas para organizar los recursos de Azure
- Creación de incidentes a partir de alertas de seguridad de Microsoft
Guía de AWS: para cada incidente creado en el Administrador de incidentes, asigne un nivel de impacto basado en los criterios definidos de su organización, como una medida de la gravedad del incidente y el nivel de importancia de los recursos afectados.
Implementación de AWS y contexto adicional:
*Guía de GCP: para cada incidente creado en Security Command Center, determine la prioridad de la alerta en función de las clasificaciones de gravedad asignadas por el sistema y otros criterios definidos por la organización. Mida la gravedad del incidente y el nivel de importancia de los recursos afectados para determinar qué alertas deben investigarse primero.
De forma similar en Chronical, puede definir reglas personalizadas para determinar las prioridades de respuesta a incidentes. Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
IR-6: Contención, erradicación y recuperación: automatización del control de incidentes
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| N/A | IR-4, IR-5, IR-6 | 12.10 |
Principio de seguridad: automatice las tareas manuales y repetitivas para acelerar el tiempo de respuesta y reducir la carga de los analistas. Las tareas manuales tardan más tiempo en ejecutarse, lo que ralentiza cada incidente y reduce el número de incidentes que un analista puede manejar. Las tareas manuales también aumentan la fatiga del analista, lo que aumenta el riesgo de error humano, lo que se traduce en retrasos y en una reducción de la capacidad de los analistas de centrarse de manera efectiva en tareas complejas.
Guía de Azure: use características de automatización de flujos de trabajo en Microsoft Defender for Cloud y Microsoft Sentinel para desencadenar automáticamente acciones o ejecutar cuadernos de estrategias para responder a las alertas de seguridad entrantes. Los cuadernos de estrategias realizan acciones, como enviar notificaciones, deshabilitar cuentas y aislar redes problemáticas.
Implementación de Azure y contexto adicional:
- Configuración de la automatización de flujos de trabajo en Security Center
- Configuración de respuestas automatizadas frente a amenazas en Microsoft Defender for Cloud
- Configuración de respuestas automatizadas frente a amenazas en Azure Sentinel
Guía de AWS: si usa Microsoft Sentinel para administrar de forma centralizada el incidente, también puede crear acciones automatizadas o ejecutar cuadernos de estrategias para responder a las alertas de seguridad entrantes.
Como alternativa, use características de automatización en AWS System Manager para desencadenar automáticamente las acciones definidas en el plan de respuesta a incidentes, incluida la notificación a los contactos o la ejecución de un runbook para responder a alertas, como deshabilitar cuentas y aislar redes problemáticas.
Implementación de AWS y contexto adicional:
Guía de GCP: si usa Microsoft Sentinel para administrar de forma centralizada el incidente, también puede crear acciones automatizadas o ejecutar cuadernos de estrategias para responder a las alertas de seguridad entrantes.
Como alternativa, use automatizaciones de cuadernos de estrategias en Crónica para desencadenar automáticamente las acciones definidas en el plan de respuesta a incidentes, incluida la notificación a los contactos o la ejecución de un cuaderno de estrategias para responder a las alertas.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
IR-7: Actividad posterior al incidente: realizar lecciones aprendidas y conservar pruebas
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Principio de seguridad: realice lecciones aprendidas en su organización periódicamente o después de incidentes importantes, para mejorar su capacidad futura en la respuesta y el control de incidentes.
En función de la naturaleza del incidente, conserve la evidencia relacionada con el incidente durante el período definido en el estándar de control de incidentes para realizar más análisis o acciones legales.
Guía de Azure: use el resultado de la actividad aprendida de las lecciones para actualizar el plan de respuesta a incidentes, el cuaderno de estrategias (por ejemplo, un cuaderno de estrategias de Microsoft Sentinel) y reincorporar los resultados en sus entornos (como el registro y la detección de amenazas para solucionar cualquier brecha en el registro) para mejorar la capacidad futura de detectar, responder y controlar incidentes en Azure.
Mantenga la evidencia recopilada durante el "Análisis y detección: investigar un paso de incidente", como los registros del sistema, los volcados de tráfico de red y las instantáneas del sistema en ejecución en el almacenamiento, como una cuenta de Azure Storage para la retención inmutable.
Implementación de Azure y contexto adicional:
Guía de AWS: cree un análisis de incidentes para un incidente cerrado en Incident Manager mediante la plantilla de análisis de incidentes estándar o su propia plantilla personalizada. Use el resultado de la actividad aprendida de las lecciones para actualizar el plan de respuesta a incidentes, el cuaderno de estrategias (como el runbook de AWS Systems Manager y el cuaderno de estrategias de Microsoft Sentinel) y reincorporar los resultados en sus entornos (como el registro y la detección de amenazas para solucionar cualquier brecha en el registro) para mejorar la capacidad futura de detectar, responder y controlar los incidentes en AWS.
Mantenga la evidencia recopilada durante el "Análisis y detección: investigar un paso de incidente", como los registros del sistema, los volcados de tráfico de red y la instantánea del sistema en ejecución en el almacenamiento, como un cubo de Amazon S3 o una cuenta de Azure Storage para la retención inmutable.
Implementación de AWS y contexto adicional:
Guía de GCP: use el resultado de la actividad aprendida de las lecciones para actualizar el plan de respuesta a incidentes, el cuaderno de estrategias (por ejemplo, un cuaderno de estrategias de Crónica o Microsoft Sentinel) y reincorporar los resultados en sus entornos (como el registro y la detección de amenazas para solucionar cualquier brecha en el registro) para mejorar la capacidad futura de detectar, responder y controlar incidentes en GCP.
Mantenga la evidencia recopilada durante el "Análisis y detección: investigar un paso de incidente", como los registros del sistema, los volcados de tráfico de red y las instantáneas del sistema en ejecución en el almacenamiento, como Google Cloud Storage o una cuenta de Azure Storage para la retención inmutable.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):