Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Respuesta a incidentes abarca los controles del ciclo de vida de respuesta a incidentes: preparación, detección y análisis, contención y actividades posteriores a incidentes, incluido el uso de servicios de Azure (como Microsoft Defender para la nube y Sentinel) y/o otros servicios en la nube para automatizar el proceso de respuesta a incidentes.
PIR-1: Preparación: actualización del plan de respuesta ante incidentes y del proceso de control
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Principio de seguridad: asegúrese de que su organización sigue los procedimientos recomendados del sector para desarrollar procesos y planes para responder a incidentes de seguridad en las plataformas en la nube. Tenga en cuenta el modelo de responsabilidad compartida y las variaciones entre los servicios IaaS, PaaS y SaaS. Esto tendrá un impacto directo en la forma en que colabora con el proveedor de nube en las actividades de control y respuesta ante incidentes, como la notificación y evaluación de prioridades de incidentes, la recopilación de evidencias, la investigación, la erradicación y la recuperación.
Pruebe periódicamente tanto el plan de respuesta ante incidentes como el proceso de control para asegurarse de que están actualizados.
Guía de Azure: actualice el proceso de respuesta a incidentes de la organización para incluir el control de incidentes en la plataforma Azure. En función de los servicios de Azure usados y su naturaleza de la aplicación, personalice el plan de respuesta a incidentes y el cuaderno de estrategias para asegurarse de que se pueden usar para responder al incidente en el entorno de nube.
Implementación de Azure y contexto adicional:
- Implemente la seguridad en el entorno empresarial:
- Guía de referencia de respuesta a incidentes
- Guía de control de incidentes de seguridad de equipos de NIST SP800-61
- Introducción a la respuesta a incidentes
Guía de AWS: actualice el proceso de respuesta a incidentes de su organización para incluir el control de incidentes. Asegúrese de que hay un plan unificado de respuesta a incidentes en la nube mediante la actualización del proceso de respuesta a incidentes de la organización para incluir el control de incidentes en la plataforma AWS. En función de los servicios de AWS usados y su naturaleza de la aplicación, siga la Guía de respuesta a incidentes de seguridad de AWS para personalizar el plan de respuesta a incidentes y el cuaderno de estrategias para asegurarse de que se pueden usar para responder al incidente en el entorno en la nube.
Implementación de AWS y contexto adicional:
Guía de GCP: actualice el proceso de respuesta a incidentes de su organización para incluir el control de incidentes. Asegúrese de que hay un plan unificado de respuesta a incidentes en la nube mediante la actualización del proceso de respuesta a incidentes de su organización para incluir el control de incidentes en la plataforma Google Cloud.
Implementación de GCP y contexto adicional:
Partes interesadas en la seguridad del cliente (más información):
IR-2: Preparación: configuración de la notificación de incidentes
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Principio de seguridad: asegúrese de que las alertas de seguridad y las notificaciones de incidentes de la plataforma del proveedor de servicios en la nube y sus entornos se pueden recibir mediante un contacto correcto en la organización de respuesta a incidentes.
Guía de Azure: configure la información de contacto de incidentes de seguridad en Microsoft Defender for Cloud. Microsoft usa esta información de contacto para ponerse en contacto con usted si el Centro de respuesta de seguridad de Microsoft (MSRC) detecta que un usuario ilegal o no autorizado ha accedido a sus datos. También tiene opciones para personalizar las alertas y notificaciones de incidentes en diferentes servicios de Azure en función de sus necesidades de respuesta a incidentes.
Implementación de Azure y contexto adicional:
Guía de AWS: Configure la información de contacto de incidentes de seguridad en AWS Systems Manager Incident Manager (el centro de administración de incidentes para AWS). Esta información de contacto se usa para la comunicación de administración de incidentes entre usted y AWS a través de los diferentes canales (es decir, correo electrónico, SMS o voz). Puede definir el plan de compromiso y el plan de escalación de un contacto para describir cómo y cuándo el Administrador de Incidentes se comunica con el contacto y para escalar la situación si el contacto no responde a un incidente.
Implementación de AWS y contexto adicional:
Guía de GCP: configure notificaciones de incidentes de seguridad para contactos concretos mediante Security Command Center o Chronic. Utiliza los servicios de Google Cloud y las API de terceros para proporcionar notificaciones de chat y correo electrónico en tiempo real para alertar de los hallazgos de seguridad del Security Command Center, o libros de estrategias para desencadenar acciones para enviar notificaciones en Chronicle.
Implementación de GCP y contexto adicional:
- Habilitación de notificaciones de chat y correo electrónico en tiempo real
- Uso de acciones en cuadernos de estrategias:
Partes interesadas en la seguridad del cliente (más información):
IR-3: Detección y análisis: creación de incidentes en función de alertas de alta calidad
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10.8 |
Principio de seguridad: asegúrese de que tiene un proceso para crear alertas de alta calidad y medir la calidad de las alertas. Esto le permite aprender de incidentes anteriores y clasificar las alertas para los analistas, de modo que no pierdan tiempo con falsos positivos.
Las alertas de alta calidad se pueden crear en función de la experiencia de pasados incidentes, información validada procedente de la comunidad y herramientas diseñadas para generar y limpiar alertas mediante la fusión y correlación de diversos orígenes de la señal.
Guía de Azure: Microsoft Defender for Cloud proporciona alertas de alta calidad en muchos recursos de Azure. Puede usar el conector de datos de Microsoft Defender for Cloud para transmitir las alertas a Microsoft Sentinel. Microsoft Sentinel le permite crear reglas de alerta avanzadas para generar incidentes automáticamente para una investigación.
Exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica de exportación para ayudar a identificar riesgos para los recursos de Azure. Exporte alertas y recomendaciones manualmente o de forma continua.
Implementación de Azure y contexto adicional:
Guía de AWS: use herramientas de seguridad como SecurityHub o GuardDuty y otras herramientas de terceros para enviar alertas a Amazon CloudWatch o Amazon EventBridge para que los incidentes se puedan crear automáticamente en Incident Manager en función de los criterios definidos y los conjuntos de reglas. También puede crear manualmente incidentes en el Administrador de incidentes para seguir control y seguimiento de incidentes.
Si usa Microsoft Defender for Cloud para supervisar sus cuentas de AWS, también puede usar Microsoft Sentinel para supervisar y alertar de los incidentes identificados por Microsoft Defender for Cloud en los recursos de AWS.
Implementación de AWS y contexto adicional:
- Creación de incidentes en el Administrador de incidentes
- Cómo Defender for Cloud Apps ayuda a proteger su entorno de Amazon Web Services (AWS)
Guía de GCP: integre Google Cloud y servicios de terceros para enviar registros y alertas a Security Command Center o Crónica para que los incidentes se puedan crear automáticamente en función de los criterios definidos. También puede crear y editar manualmente los hallazgos de incidentes en Security Command Center o reglas de Crónica para el seguimiento y el control de incidentes adicionales.
Si usa Microsoft Defender for Cloud para supervisar los proyectos de GCP, también puede usar Microsoft Sentinel para supervisar y alertar los incidentes identificados por Microsoft Defender for Cloud en recursos de GCP o transmitir registros de GCP directamente a Microsoft Sentinel.
Implementación de GCP y contexto adicional:
- Configuración del Centro de comandos de seguridad
- Administrar reglas mediante el Editor de reglas
- Conexión de los proyectos de GCP a Microsoft Defender for Cloud
- Transmisión de registros de Google Cloud Platform a Microsoft Sentinel
Partes interesadas en la seguridad del cliente (más información):
IR-4: Detección y análisis: investigación de incidentes
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| No disponible | IR-4 | 12.10 |
Principio de seguridad: asegúrese de que el equipo de operaciones de seguridad puede consultar y usar diversos orígenes de datos a medida que investigan posibles incidentes, para crear una vista completa de lo que ha ocurrido. Se deben recopilar diversos registros para realizar un seguimiento de las actividades de un posible atacante en la cadena de eliminación para evitar puntos ciegos. También debe asegurarse de que se capturan detalles y aprendizajes para otros analistas y para futuras referencias históricas.
Use la solución de administración de incidentes y SIEM nativa en la nube si su organización no tiene una solución para agregar información de alertas y registros de seguridad. Correlacione los datos de incidentes en función de los datos procedentes de diferentes orígenes para instalar las investigaciones de incidentes.
Guía de Azure: asegúrese de que el equipo de operaciones de seguridad puede consultar y usar diversos orígenes de datos que se recopilan de los servicios y sistemas dentro del ámbito. Además, las fuentes también pueden incluir:
- Datos de registro de identidad y acceso: use registros y cargas de trabajo de Azure AD (como sistemas operativos o nivel de aplicación) para correlacionar eventos de identidad y acceso.
- Datos de red: use los registros de flujo de los grupos de seguridad de red, Azure Network Watcher y Azure Monitor para capturar registros de flujo de red y otra información de análisis.
- Datos de actividad relacionados con incidentes provenientes de las instantáneas de los sistemas afectados, que se pueden obtener a través de:
- La funcionalidad de instantáneas de la máquina virtual de Azure para crear una instantánea del disco del sistema en ejecución.
- Capacidad nativa del sistema operativo para volcar memoria y crear una instantánea de la memoria en ejecución del sistema.
- La característica de instantánea de otros servicios de Azure compatibles o la propia funcionalidad de su software, para crear instantáneas de los sistemas en ejecución.
Microsoft Sentinel proporciona análisis de datos exhaustivos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar el ciclo de vida completo de los incidentes. La información de inteligencia durante una investigación se puede asociar a un incidente con fines de seguimiento e informes.
Nota: Cuando los datos relacionados con incidentes se capturan para su investigación, asegúrese de que haya una seguridad adecuada para proteger los datos frente a alteraciones no autorizadas, como deshabilitar el registro o quitar registros, que los atacantes pueden realizar durante una actividad de vulneración de datos en curso.
Implementación de Azure y contexto adicional:
- Crear una instantánea del disco de una máquina Windows
- Instantánea del disco de una máquina Linux
- Recopilación de información diagnóstica del soporte de Microsoft Azure y de volcados de memoria
- Investigación de incidentes con Azure Sentinel
Guía de AWS: Los orígenes de datos para la investigación son los orígenes de registro centralizados que recopilan de los servicios dentro del ámbito y los sistemas en ejecución, pero también pueden incluir:
- Datos de registros de identidad y acceso: utilice los registros de IAM y los registros de acceso a cargas de trabajo (como sistemas operativos o a nivel de aplicación) para correlacionar eventos de identidad y acceso.
- Datos de red: use registros de flujo de VPC, reflejos del tráfico de VPC y Azure CloudTrail y CloudWatch para capturar registros de flujo de red y otra información de análisis.
- Instantáneas de sistemas en ejecución, que se pueden obtener a través de:
- Funcionalidad de instantánea en Amazon EC2(EBS) para crear una instantánea del disco del sistema en ejecución.
- Capacidad nativa del sistema operativo para volcar memoria y crear una instantánea de la memoria en ejecución del sistema.
- La función de instantáneas de los servicios de AWS o la funcionalidad de su propio software, para crear instantáneas de los sistemas en ejecución.
Si agrega los datos relacionados con SIEM en Microsoft Sentinel, proporciona análisis de datos exhaustivos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar todo el ciclo de vida de los incidentes. La información de inteligencia durante una investigación se puede asociar a un incidente con fines de seguimiento e informes.
Nota: Cuando los datos relacionados con incidentes se capturan para su investigación, asegúrese de que haya una seguridad adecuada para proteger los datos frente a alteraciones no autorizadas, como deshabilitar el registro o quitar registros, que los atacantes pueden realizar durante una actividad de vulneración de datos en curso.
Implementación de AWS y contexto adicional:
- Creación de reflejo del tráfico
- Creación de copias de seguridad de volúmenes EBS con AMIs y instantáneas EBS
- Uso del almacenamiento inmutable
Guía de GCP: las fuentes de datos para la investigación son los registros centralizados que se recopilan de los servicios dentro del ámbito y de los sistemas en ejecución, pero también pueden incluir:
- Datos de registros de identidad y acceso: utilice los registros de IAM y los registros de acceso a cargas de trabajo (como sistemas operativos o a nivel de aplicación) para correlacionar eventos de identidad y acceso.
- Datos de red: use registros de flujo de VPC y controles de servicio de VPC para capturar registros de flujo de red y otra información de análisis.
- Instantáneas de sistemas en ejecución, que se pueden obtener a través de:
- Funcionalidad de instantánea en máquinas virtuales GCP para crear una instantánea del disco del sistema en ejecución.
- Capacidad nativa del sistema operativo para volcar memoria y crear una instantánea de la memoria en ejecución del sistema.
- La función de instantáneas de los servicios de GCP o la propia capacidad de su software para crear instantáneas de los sistemas en ejecución.
Si agrega los datos relacionados con SIEM en Microsoft Sentinel, proporciona análisis de datos exhaustivos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar todo el ciclo de vida de los incidentes. La información de inteligencia durante una investigación se puede asociar a un incidente con fines de seguimiento e informes.
Nota: Cuando los datos relacionados con incidentes se capturan para su investigación, asegúrese de que haya una seguridad adecuada para proteger los datos frente a alteraciones no autorizadas, como deshabilitar el registro o quitar registros, que los atacantes pueden realizar durante una actividad de vulneración de datos en curso.
Implementación de GCP y contexto adicional:
- Centro de comandos de seguridad: orígenes de seguridad
- Conjuntos de datos admitidos
- Creación y administración de instantáneas de disco
- Transmisión de registros de Google Cloud Platform a Microsoft Sentinel
Partes interesadas en la seguridad del cliente (más información):
IR-5: Detección y análisis: clasificación de incidentes por orden de seguridad
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Principio de seguridad: proporcione contexto a los equipos de operaciones de seguridad para ayudarles a determinar qué incidentes deben centrarse en primer lugar, en función de la gravedad de alerta y la confidencialidad de los recursos definidos en el plan de respuesta a incidentes de la organización.
Adicionalmente, marque los recursos con etiquetas y cree un sistema de nomenclatura para identificar y clasificar los recursos en la nube, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno donde se produjo el incidente.
Guía de Azure: Microsoft Defender for Cloud asigna una gravedad a cada alerta para ayudarle a priorizar las alertas que se deben investigar primero. La gravedad se basa en el nivel de confianza que Microsoft Defender for Cloud tiene en el hallazgo o en los análisis utilizados para emitir la alerta, así como en el nivel de confianza de que hubo una intención malintencionada detrás de la actividad que llevó a la alerta.
De forma similar, Microsoft Sentinel crea alertas e incidentes con una gravedad asignada y otros detalles basados en reglas de análisis. Use plantillas de reglas analíticas y personalice las reglas según las necesidades de su organización para admitir la priorización de incidentes. Use reglas de automatización en Microsoft Sentinel para administrar y orquestar la respuesta a amenazas con el fin de maximizar la eficiencia y eficacia del equipo de operaciones de seguridad, incluyendo el etiquetado de incidentes para clasificarlos.
Implementación de Azure y contexto adicional:
- Alertas de seguridad en Microsoft Defender for Cloud
- Uso de etiquetas para organizar los recursos de Azure
- Creación de incidentes a partir de alertas de seguridad de Microsoft
Guía de AWS: para cada incidente creado en el Administrador de incidentes, asigne un nivel de impacto basado en los criterios definidos de su organización, como una medida de la gravedad del incidente y el nivel de importancia de los recursos afectados.
Implementación de AWS y contexto adicional:
* Guía de GCP: para cada incidente creado en Security Command Center, determine la prioridad de la alerta en función de las clasificaciones de gravedad asignadas por el sistema y otros criterios definidos por la organización. Mida la gravedad del incidente y el nivel de importancia de los recursos afectados para determinar qué alertas se deben investigar primero.
De forma similar, en Chronical, puede definir reglas personalizadas para determinar las prioridades de respuesta a incidentes. Implementación de GCP y contexto adicional:
Partes interesadas en la seguridad del cliente (más información):
IR-6: Contención, erradicación y recuperación: automatización del control de incidentes
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| No disponible | IR-4, IR-5, IR-6 | 12.10 |
Principio de seguridad: automatice las tareas manuales y repetitivas para acelerar el tiempo de respuesta y reducir la carga de los analistas. Las tareas manuales tardan más tiempo en ejecutarse, lo que ralentiza cada incidente y reduce el número de incidentes que un analista puede manejar. Las tareas manuales también aumentan la fatiga del analista, lo que aumenta el riesgo de error humano, lo que se traduce en retrasos y en una reducción de la capacidad de los analistas de centrarse de manera efectiva en tareas complejas.
Guía de Azure: use las características de automatización de flujos de trabajo en Microsoft Defender for Cloud y Microsoft Sentinel para desencadenar automáticamente acciones o ejecutar cuadernos de estrategias para responder a las alertas de seguridad entrantes. Las guías operativas realizan acciones, como el envío de notificaciones, la deshabilitación de cuentas y el aislamiento de redes problemáticas.
Implementación de Azure y contexto adicional:
- Configuración de la automatización del flujo de trabajo en Security Center
- Configuración de respuestas automatizadas de amenazas en Microsoft Defender for Cloud
- Configuración de respuestas automatizadas a amenazas en Azure Sentinel
Guía de AWS: si usa Microsoft Sentinel para administrar de forma centralizada el incidente, también puede crear acciones automatizadas o ejecutar cuadernos de estrategias para responder a las alertas de seguridad entrantes.
Como alternativa, use características de automatización en AWS System Manager para desencadenar automáticamente acciones definidas en el plan de respuesta a incidentes, incluida la notificación a los contactos o la ejecución de un runbook para responder a alertas, como deshabilitar cuentas y aislar redes problemáticas.
Implementación de AWS y contexto adicional:
Guía de GCP: si usa Microsoft Sentinel para administrar de forma centralizada el incidente, también puede crear acciones automatizadas o ejecutar cuadernos de estrategias para responder a las alertas de seguridad entrantes.
Como alternativa, use automatizaciones de cuadernos de estrategias en Crónica para desencadenar automáticamente acciones definidas en el plan de respuesta a incidentes, incluida la notificación a los contactos o la ejecución de un cuaderno de estrategias para responder a las alertas.
Implementación de GCP y contexto adicional:
Partes interesadas en la seguridad del cliente (más información):
IR-7: Actividad posterior al incidente: llevar a cabo lecciones aprendidas y conservar pruebas
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Principio de seguridad: lleve a cabo lecciones aprendidas en su organización periódicamente o después de incidentes importantes, para mejorar su capacidad futura en la respuesta y el control de incidentes.
En función de la naturaleza del incidente, conserve la evidencia relacionada con el incidente durante el período definido en el estándar de control de incidentes para realizar más análisis o acciones legales.
Guía de Azure: use el resultado de la actividad aprendida de las lecciones aprendidas para actualizar el plan de respuesta a incidentes, el cuaderno de estrategias (como un cuaderno de estrategias de Microsoft Sentinel) y reincorporar los resultados en sus entornos (como el registro y la detección de amenazas para abordar las brechas en el registro) para mejorar la capacidad futura de detectar, responder y controlar incidentes en Azure.
Mantenga la evidencia recopilada durante el "paso de detección y análisis - investigación de un incidente", como los registros del sistema, los volcados de tráfico de red y las instantáneas del sistema en ejecución en una cuenta de almacenamiento de Azure para una retención inmutable.
Implementación de Azure y contexto adicional:
Guía de AWS: cree un análisis de incidentes para un incidente cerrado en Incident Manager mediante la plantilla de análisis de incidentes estándar o su propia plantilla personalizada. Utilice el resultado de la actividad de lecciones aprendidas para actualizar su plan de respuesta a incidentes, el playbook (como el runbook de AWS Systems Manager y el playbook de Microsoft Sentinel) y reincorporar los hallazgos en sus entornos (como el registro y la detección de amenazas para solucionar cualquier brecha en el registro) para mejorar la capacidad futura de detectar, responder y gestionar los incidentes en los entornos de AWS.
Mantenga la evidencia recopilada durante el paso "Detección y análisis - investigar un incidente", como los registros del sistema, los volcados de tráfico de red y la instantánea del sistema en ejecución, en un almacenamiento como un bucket de Amazon S3 o una cuenta de Azure Storage para conservación inmutable.
Implementación de AWS y contexto adicional:
Guía de GCP: use el resultado de la actividad aprendida de las lecciones aprendidas para actualizar el plan de respuesta a incidentes, el cuaderno de estrategias (por ejemplo, un cuaderno de estrategias de Crónica o Microsoft Sentinel) y los hallazgos de reincorporación en sus entornos (como el registro y la detección de amenazas para abordar las brechas en el registro) para mejorar la capacidad futura de detectar, responder y controlar incidentes en GCP.
Mantenga la evidencia recopilada durante el paso de "detección y análisis - investigación de un incidente", como los registros del sistema, los volcados de tráfico de red y las instantáneas del sistema en ejecución, en un almacenamiento como Google Cloud Storage o una cuenta de Azure Storage para la retención inmutable.
Implementación de GCP y contexto adicional:
Partes interesadas en la seguridad del cliente (más información):