Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Respuesta a incidentes cubre los controles del ciclo de vida de respuesta a incidentes: preparación, detección y análisis, contención y actividades posteriores a los incidentes, incluido el uso de servicios de Azure como Microsoft Defender for Cloud y Sentinel para automatizar el proceso de respuesta a incidentes.
PIR-1: Preparación: actualización del plan de respuesta ante incidentes y del proceso de control
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Principio de seguridad: Asegúrese de que su organización sigue los procedimientos recomendados del sector para desarrollar procesos y planes para responder a incidentes de seguridad en las plataformas en la nube. Tenga en cuenta el modelo de responsabilidad compartida y las variaciones en los servicios IaaS, PaaS y SaaS. Esto tendrá un impacto directo sobre cómo colaborar con su proveedor de nube en las actividades de respuesta a incidentes y control, como la notificación de incidentes y la evaluación de prioridades, la recopilación de evidencias, la investigación, la erradicación y la recuperación.
Pruebe periódicamente tanto el plan de respuesta ante incidentes como el proceso de control para asegurarse de que están actualizados.
Guía de Azure: Actualice el proceso de respuesta a incidentes de su organización para incluir el control de incidentes en la plataforma Azure. En función de los servicios de Azure usados y su naturaleza de la aplicación, personalice el plan de respuesta a incidentes y el cuaderno de estrategias para asegurarse de que se pueden usar para responder al incidente en el entorno de nube.
Implementación y contexto adicional:
- Implementación de la seguridad en el entorno empresarial
- Guía de referencia de respuesta a incidentes
- Guía de control de incidentes de seguridad de equipos de NIST SP800-61
Partes interesadas de la seguridad del cliente (más información)::
IR-2: Preparación: configuración de la notificación de incidentes
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Principio de seguridad: Asegúrese de que las alertas de seguridad y la notificación de incidentes de la plataforma del proveedor de servicios en la nube y los entornos se pueden recibir mediante un contacto correcto en la organización de respuesta a incidentes.
Guía de Azure: Configure la información de contacto de incidentes de seguridad en Microsoft Defender for Cloud. Microsoft usa esta información de contacto para ponerse en contacto con usted si el Centro de respuesta de seguridad de Microsoft (MSRC) detecta que un usuario ilegal o no autorizado ha accedido a sus datos. También tiene opciones para personalizar las alertas y notificaciones de incidentes en diferentes servicios de Azure en función de las necesidades de respuesta a incidentes.
Implementación y contexto adicional:
Partes interesadas de la seguridad del cliente (más información)::
IR-3: Detección y análisis: creación de incidentes en función de alertas de alta calidad
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10.8 |
Principio de seguridad: Asegúrese de que tiene un proceso para crear alertas de alta calidad y medir la calidad de las alertas. Esto le permite aprender de incidentes anteriores y clasificar las alertas para los analistas, de modo que no pierdan tiempo con falsos positivos.
Las alertas de alta calidad se pueden crear en función de la experiencia de pasados incidentes, información validada procedente de la comunidad y herramientas diseñadas para generar y limpiar alertas mediante la fusión y correlación de diversos orígenes de la señal.
Guía de Azure: Microsoft Defender for Cloud proporciona alertas de alta calidad en muchos recursos de Azure. Puede usar el conector de datos de Microsoft Defender for Cloud para transmitir las alertas a Azure Sentinel. Azure Sentinel permite crear reglas de alerta avanzadas para generar incidentes automáticamente para una investigación.
Exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica de exportación para ayudar a identificar riesgos para los recursos de Azure. Exporte alertas y recomendaciones manualmente o de forma continua.
Implementación y contexto adicional:
Partes interesadas de la seguridad del cliente (más información)::
IR-4: Detección y análisis: investigación de incidentes
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| No disponible | IR-4 | 12.10 |
Principio de seguridad: Asegúrese de que el equipo de operaciones de seguridad puede consultar y usar diversos orígenes de datos a medida que investigan posibles incidentes, para crear una vista completa de lo que ha ocurrido. Se deben recopilar diversos registros para realizar un seguimiento de las actividades de un posible atacante en la cadena de eliminación para evitar puntos ciegos. También debe asegurarse de que se capturan detalles y aprendizajes para otros analistas y para futuras referencias históricas.
Guía de Azure: Los orígenes de datos para la investigación son los orígenes de registro centralizados que ya se recopilan de los servicios en el ámbito y los sistemas en ejecución, pero también pueden incluir:
- Datos de red: use los registros de flujo de los grupos de seguridad de red, Azure Network Watcher y Azure Monitor para capturar registros de flujo de red y otra información de análisis.
- Instantáneas de sistemas en ejecución: a) capacidad de instantánea de la máquina virtual de Azure, para crear una instantánea del disco del sistema en ejecución. b) La funcionalidad de volcado de memoria nativa del sistema operativo, para crear una instantánea de la memoria del sistema en ejecución. c) La característica de instantánea de los servicios de Azure o la propia funcionalidad de su software, para crear instantáneas de los sistemas en ejecución.
Azure Sentinel proporciona análisis de datos exhaustivos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar el ciclo de vida completo de los incidentes. La información de inteligencia durante una investigación se puede asociar a un incidente con fines de seguimiento e informes.
Implementación y contexto adicional:
- Crear una instantánea del disco de una máquina Windows
- Instantánea del disco de una máquina Linux
- Recopilación de información diagnóstica del soporte de Microsoft Azure y de volcados de memoria
- Investigación de incidentes con Azure Sentinel
Partes interesadas de la seguridad del cliente (más información)::
IR-5: Detección y análisis: clasificación de incidentes por orden de seguridad
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Principio de seguridad: Proporcione contexto a los equipos de operaciones de seguridad para ayudarles a determinar qué incidentes deben centrarse primero, en función de la gravedad de la alerta y la confidencialidad de los recursos definidos en el plan de respuesta a incidentes de la organización.
Guía de Azure: Microsoft Defender for Cloud asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas deben investigarse primero. La gravedad se basa en el nivel de confianza que Microsoft Defender for Cloud tiene en el hallazgo o en los análisis utilizados para emitir la alerta, así como en el nivel de confianza de que hubo una intención malintencionada detrás de la actividad que llevó a la alerta.
Además, marque los recursos mediante etiquetas y cree un sistema de nomenclatura para identificar y clasificar los recursos de Azure, especialmente aquellos que procesan datos confidenciales. Es su responsabilidad priorizar la corrección de alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.
Implementación y contexto adicional:
- Alertas de seguridad en Microsoft Defender for Cloud
- Uso de etiquetas para organizar los recursos de Azure
Partes interesadas de la seguridad del cliente (más información)::
IR-6: Contención, erradicación y recuperación: automatización del control de incidentes
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| No disponible | IR-4, IR-5, IR-6 | 12.10 |
Principio de seguridad: Automatice las tareas manuales y repetitivas para acelerar el tiempo de respuesta y reducir la carga de los analistas. Las tareas manuales tardan más tiempo en ejecutarse, lo que ralentiza cada incidente y reduce el número de incidentes que un analista puede manejar. Las tareas manuales también aumentan la fatiga del analista, lo que aumenta el riesgo de error humano, lo que se traduce en retrasos y en una reducción de la capacidad de los analistas de centrarse de manera efectiva en tareas complejas.
Guía de Azure: Use las características de automatización de flujos de trabajo en Microsoft Defender for Cloud y Azure Sentinel para desencadenar automáticamente acciones o ejecutar un cuaderno de estrategias para responder a las alertas de seguridad entrantes. El cuaderno de estrategias realiza acciones, como enviar notificaciones, deshabilitar cuentas y aislar redes problemáticas.
Implementación y contexto adicional:
- Configuración de la automatización de flujos de trabajo en Microsoft Defender for Cloud
- Configuración de respuestas automatizadas de amenazas en Microsoft Defender for Cloud
- Configuración de respuestas automatizadas a amenazas en Azure Sentinel
Partes interesadas de la seguridad del cliente (más información)::
IR-7: actividad posterior al incidente: llevar a cabo lecciones aprendidas y conservar pruebas
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Principio de seguridad: Realice las lecciones aprendidas en su organización periódicamente o después de incidentes importantes para mejorar su capacidad futura en la respuesta y el control de incidentes.
En función de la naturaleza del incidente, conserve la evidencia relacionada con el incidente durante el período definido en el estándar de control de incidentes para realizar más análisis o acciones legales.
Guía de Azure: Utilice el resultado de la actividad de lecciones aprendidas para actualizar su plan de respuesta a incidentes, el manual de procedimientos (como el manual de procedimientos de Azure Sentinel) y reincorpore los hallazgos en sus entornos (como el registro y la detección de amenazas para abordar las brechas de registro) para mejorar su capacidad futura de detección, respuesta y manejo del incidente en Azure.
Mantenga la evidencia recopilada durante el paso de "Detección y análisis: investigar un incidente", como registros del sistema, volcado de tráfico de red y una instantánea del sistema en ejecución, en un almacenamiento como una cuenta de Azure Storage para su retención.
Implementación y contexto adicional:
Partes interesadas de la seguridad del cliente (más información)::