Compartir a través de

Control de seguridad: Respuesta a incidentes

Nota:

El punto de referencia de seguridad de Azure más up-toestá disponible aquí.

Proteja la información de la organización, así como su reputación, mediante el desarrollo e implementación de una infraestructura de respuesta a incidentes (por ejemplo, planes, roles definidos, entrenamiento, comunicaciones, supervisión de la administración) para detectar rápidamente un ataque y, a continuación, contener eficazmente los daños, erradicar la presencia del atacante y restaurar la integridad de la red y los sistemas.

10.1: Creación de una guía de respuesta ante incidentes

Identificador de Azure Identificadores CIS Responsabilidad
10.1 19.1, 19.2, 19.3 Cliente

Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.

10.2: Creación de un procedimiento de priorización y puntuación de incidentes

Identificador de Azure Identificadores CIS Responsabilidad
10,2 19,8 Cliente

Security Center asigna una gravedad a cada alerta para ayudarle a priorizar las alertas que se deben investigar primero. La gravedad se basa en la confianza que tiene Security Center en la búsqueda o en el análisis usado para emitir la alerta, así como en el nivel de confianza de que hubo una intención malintencionada detrás de la actividad que llevó a la alerta.

Además, marque claramente las suscripciones (por ejemplo, producción, no prod) mediante etiquetas y cree un sistema de nomenclatura para identificar y clasificar claramente los recursos de Azure, especialmente aquellos que procesan datos confidenciales. Es su responsabilidad priorizar la corrección de alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.

10.3: Prueba de los procedimientos de respuesta de seguridad

Identificador de Azure Identificadores CIS Responsabilidad
10.3 19 Cliente

Realice ejercicios para probar las funcionalidades de respuesta a incidentes de los sistemas en una cadencia regular para ayudar a proteger los recursos de Azure. Identifique puntos débiles y huecos y revise el plan según sea necesario.

10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad

Identificador de Azure Identificadores CIS Responsabilidad
10,4 19.5 Cliente

Microsoft usará la información de contacto de incidentes de seguridad para ponerse en contacto con usted si el Centro de respuesta de seguridad de Microsoft (MSRC) detecta que un usuario ilegal o no autorizado ha accedido a los datos. Revise los incidentes después del hecho para asegurarse de que los problemas se resuelven.

10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes

Identificador de Azure Identificadores CIS Responsabilidad
10.5 19,6 Cliente

Exporte las alertas y recomendaciones de Azure Security Center mediante la característica Exportación continua para ayudar a identificar los riesgos para los recursos de Azure. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Azure Security Center para transmitir las alertas a Azure Sentinel.

10.6: Automatización de la respuesta a las alertas de seguridad

Identificador de Azure Identificadores CIS Responsabilidad
10.6 19 Cliente

Use la característica Automatización de flujos de trabajo de Azure Security Center para desencadenar automáticamente las respuestas a través de "Logic Apps" en alertas de seguridad y recomendaciones para proteger los recursos de Azure.

Pasos siguientes