Contrôle de sécurité : réponse aux incidents
La réponse aux incidents couvre les contrôles du cycle de vie de la réponse aux incidents : préparation, détection et analyse, autonomie et activités post-incident, y compris l’utilisation de services Azure (comme Microsoft Defender pour le cloud et Sentinel) et/ou d’autres services cloud pour automatiser le processus de réponse aux incidents.
IR-1 : Préparation – mettre à jour le plan de réponse aux incidents et le processus de gestion
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Principe de sécurité : Assurez-vous que votre organization suit les meilleures pratiques du secteur pour développer des processus et des plans pour répondre aux incidents de sécurité sur les plateformes cloud. Soyez attentif au modèle de responsabilité partagée et aux variations entre les services IaaS, PaaS et SaaS. Cela aura un impact direct sur la façon dont vous collaborerez avec votre fournisseur de services cloud dans les activités de réponse aux incidents et de gestion des incidents, telles que les notifications et le triage des incidents, la collecte de preuves, l’investigation, l’éradication et la récupération.
Testez régulièrement le plan de réponse aux incidents et le processus de traitement pour vous assurer qu’ils sont à jour.
Conseils Azure : Mettez à jour le processus de réponse aux incidents de votre organization pour inclure la gestion des incidents dans la plateforme Azure. En fonction des services Azure utilisés et de la nature de votre application, personnalisez le plan de réponse aux incidents et le playbook pour vous assurer qu’ils peuvent être utilisés pour répondre à l’incident dans l’environnement cloud.
Implémentation Azure et contexte supplémentaire :
- Implémentez la sécurité dans l’environnement d’entreprise :
- Guide de référence sur les réponses aux incidents
- Guide de gestion des incidents de sécurité informatique SP800-61 du NIST
- Vue d’ensemble des réponse aux incidents
Conseils AWS : Mettez à jour le processus de réponse aux incidents de votre organization pour inclure la gestion des incidents. Assurez-vous qu’un plan de réponse aux incidents multicloud unifié est en place en mettant à jour le processus de réponse aux incidents de votre organization pour inclure la gestion des incidents dans la plateforme AWS. En fonction des services AWS utilisés et de la nature de votre application, suivez le Guide de réponse aux incidents de sécurité AWS pour personnaliser le plan de réponse aux incidents et le playbook afin de vous assurer qu’ils peuvent être utilisés pour répondre à l’incident dans l’environnement cloud.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Mettez à jour le processus de réponse aux incidents de votre organization pour inclure la gestion des incidents. Assurez-vous qu’un plan de réponse aux incidents multicloud unifié est en place en mettant à jour le processus de réponse aux incidents de votre organization pour inclure la gestion des incidents dans la plateforme Google Cloud.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
IR-2 : Préparation – configurer la notification d’incident
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Principe de sécurité : Assurez-vous que les alertes de sécurité et les notifications d’incident provenant de la plateforme du fournisseur de services cloud et de vos environnements peuvent être reçues par un contact correct dans votre organization de réponse aux incidents.
Conseils Azure : Configurez les informations de contact des incidents de sécurité dans Microsoft Defender pour le cloud. Microsoft utilisera ces coordonnées afin de vous contacter si le Microsoft Security Response Center (MSRC) découvre que vos données ont été consultées de manière illégale ou par un tiers non autorisé. Vous disposez également d’options pour personnaliser les alertes et les notifications d’incident dans différents services Azure en fonction de vos besoins de réponse aux incidents.
Implémentation Azure et contexte supplémentaire :
Conseils AWS : Configurez les informations de contact des incidents de sécurité dans AWS Systems Manager Incident Manager (le centre de gestion des incidents pour AWS). Ces informations de contact sont utilisées pour la communication de gestion des incidents entre vous et AWS via les différents canaux (par exemple, Email, SMS ou Voix). Vous pouvez définir le plan d’engagement et le plan d’escalade d’un contact pour décrire comment et quand le gestionnaire d’incidents engage le contact et pour remonter si le ou les contacts ne répondent pas à un incident.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Configurez des notifications d’incident de sécurité pour des contacts particuliers à l’aide du Centre de commandes de sécurité ou de la Chronique. Utilisez les services Google Cloud et les API tierces pour fournir un e-mail et une notification par conversation en temps réel pour alerter des résultats de sécurité pour Security Command Center, ou des playbooks pour déclencher des actions d’envoi de notifications dans Chronicle.
Implémentation GCP et contexte supplémentaire :
- Activation des notifications par e-mail et par conversation en temps réel
- Utilisation d’actions dans playbooks :
Parties prenantes de la sécurité des clients (En savoir plus) :
IR-3 : Détection et analyse – créer des incidents en fonction d’alertes de haute qualité
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10.8 |
Principe de sécurité : assurez-vous que vous disposez d’un processus permettant de créer des alertes de haute qualité et de mesurer la qualité des alertes. Cela vous permet de tirer les leçons des incidents passés et de classer par ordre de priorité les alertes pour les analystes, afin qu’ils ne perdent pas de temps sur les faux positifs.
Vous pouvez créer des alertes de bonne qualité en vous basant sur l’expérience des incidents passés, sur les sources validées par la communauté, et sur des outils conçus pour générer et nettoyer les alertes en fusionnant et en mettant en corrélation différentes sources de signaux.
Conseils Azure : Microsoft Defender pour le cloud fournit des alertes de haute qualité sur de nombreuses ressources Azure. Vous pouvez utiliser le connecteur de données Microsoft Defender pour le cloud pour diffuser les alertes vers Microsoft Sentinel. Microsoft Sentinel vous permet de créer des règles d’alerte avancées pour générer automatiquement des incidents à des fins d’investigation.
Exportez vos alertes et recommandations Microsoft Defender pour le cloud à l’aide de la fonctionnalité d’exportation pour mieux identifier les risques concernant les ressources Azure. Exportez les alertes et les recommandations manuellement ou automatiquement de manière continue.
Implémentation Azure et contexte supplémentaire :
Conseils AWS : Utilisez des outils de sécurité tels que SecurityHub ou GuardDuty et d’autres outils tiers pour envoyer des alertes à Amazon CloudWatch ou Amazon EventBridge afin que les incidents puissent être créés automatiquement dans Incident Manager en fonction des critères et des ensembles de règles définis. Vous pouvez également créer manuellement des incidents dans le Gestionnaire d’incidents pour une gestion et un suivi des incidents supplémentaires.
Si vous utilisez Microsoft Defender pour le cloud pour surveiller vos comptes AWS, vous pouvez également utiliser Microsoft Sentinel pour surveiller et alerter les incidents identifiés par Microsoft Defender pour les ressources Cloud sur AWS.
Implémentation AWS et contexte supplémentaire :
- Création d’incidents dans le Gestionnaire d’incidents
- Comment Defender for Cloud Apps contribue à la protection de votre environnement AWS (Amazon Web Services)
Conseils GCP : Intégrez Google Cloud et des services tiers pour envoyer des journaux et des alertes au Centre de commandes de sécurité ou à La Chronique afin que les incidents puissent être créés automatiquement en fonction de critères définis. Vous pouvez également créer et modifier manuellement les résultats des incidents dans le Centre de commandes de sécurité ou des règles dans Chronicle pour une gestion et un suivi supplémentaires des incidents.
Si vous utilisez Microsoft Defender pour le cloud pour surveiller vos projets GCP, vous pouvez également utiliser Microsoft Sentinel pour surveiller et alerter les incidents identifiés par Microsoft Defender pour les ressources Cloud sur GCP, ou diffuser directement les journaux GCP dans Microsoft Sentinel.
Implémentation GCP et contexte supplémentaire :
- Configuration du Centre de commandes de sécurité
- Gérer les règles à l’aide de l’Éditeur de règles
- Connexion de projets GCP à Microsoft Defender pour le cloud
- Diffuser en continu les journaux Google Cloud Platform vers Microsoft Sentinel
Parties prenantes de la sécurité des clients (En savoir plus) :
IR-4 : Détection et analyse – enquêter sur un incident
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | IR-4 | 12.10 |
Principe de sécurité : assurez-vous que l’équipe chargée des opérations de sécurité peut interroger et utiliser diverses sources de données pendant qu’elle enquête sur les incidents potentiels, afin de créer une vue complète de ce qui s’est passé. Différents journaux doivent être collectés pour suivre les activités d’un attaquant potentiel tout au long de la chaîne de destruction afin d’éviter les angles morts. Vous devez également vous assurer que les insights et les enseignements sont capturés pour d’autres analystes et pour une référence historique future.
Utilisez la solution SIEM native cloud et de gestion des incidents si votre organisation ne dispose pas d’une solution existante pour agréger les informations des journaux de sécurité et des alertes. Mettez en corrélation les données d’incident basées sur les données de différentes sources afin de permettre l’investigation des incidents.
Conseils Azure : Assurez-vous que votre équipe des opérations de sécurité peut interroger et utiliser diverses sources de données collectées à partir des services et systèmes dans l’étendue. En outre, ses sources peuvent également inclure :
- Données de journal d’identité et d’accès : utilisez les journaux d’activité et la charge de travail Azure AD (tels que les systèmes d’exploitation ou le niveau de l’application) pour mettre en corrélation les événements d’identité et d’accès.
- Données réseau : Utilisez les journaux de flux des groupes de sécurité réseau, Azure Network Watcher et Azure Monitor pour capturer des journaux de flux réseau et d’autres informations analytiques.
- Les données d’activité liées aux incidents de à partir d’instantanés des systèmes affectés, qui peuvent être obtenues via :
- Fonctionnalité de captures instantanées de la machine virtuelle Azure pour créer une instantané du disque du système en cours d’exécution.
- La fonctionnalité de vidage de mémoire native du système d’exploitation, pour créer une instantané de la mémoire du système en cours d’exécution.
- Le instantané fonctionnalité d’autres services Azure pris en charge ou de la propre fonctionnalité de votre logiciel, pour créer des instantanés des systèmes en cours d’exécution.
Microsoft Sentinel fournit une analytique données approfondie sur pratiquement toutes les sources de journal et un portail de gestion des cas pour gérer le cycle de vie complet des incidents. Les renseignements obtenus au cours d’une enquête peuvent être associés à un incident à des fins de suivi et de rapport.
Remarque : Lorsque les données relatives aux incidents sont capturées à des fins d’investigation, assurez-vous qu’une sécurité adéquate est en place pour protéger les données contre toute modification non autorisée, telle que la désactivation de la journalisation ou la suppression des journaux, qui peuvent être effectuées par les attaquants lors d’une activité de violation de données en vol.
Implémentation Azure et contexte supplémentaire :
- Capture instantanée du disque d’un ordinateur Windows
- Capture instantanée du disque d’un ordinateur Linux
- Collecte de l’image mémoire et des informations de diagnostic par le support Microsoft Azure
- Examiner les incidents avec Azure Sentinel
Conseils AWS : Les sources de données à examiner sont les sources de journalisation centralisées qui collectent à partir des services dans l’étendue et des systèmes en cours d’exécution, mais peuvent également inclure :
- Données du journal d’identité et d’accès : utilisez les journaux iam et les journaux d’accès de charge de travail (tels que les systèmes d’exploitation ou au niveau de l’application) pour mettre en corrélation les événements d’identité et d’accès.
- Données réseau : utilisez les journaux de flux VPC, les miroirs de trafic VPC et Azure CloudTrail et CloudWatch pour capturer les journaux de flux réseau et d’autres informations d’analyse.
- Captures instantanées des systèmes en cours d’exécution, qui peuvent être obtenues via :
- Fonctionnalité d’instantané dans Amazon EC2 (EBS) pour créer une instantané du disque du système en cours d’exécution.
- La fonctionnalité de vidage de mémoire native du système d’exploitation, pour créer une instantané de la mémoire du système en cours d’exécution.
- La instantané fonctionnalité des services AWS ou de la propre fonctionnalité de votre logiciel, pour créer des instantanés des systèmes en cours d’exécution.
Si vous agrégez vos données liées à SIEM dans Microsoft Sentinel, il fournit une analytique des données complète sur pratiquement n’importe quelle source de journal et un portail de gestion des cas pour gérer le cycle de vie complet des incidents. Les renseignements obtenus au cours d’une enquête peuvent être associés à un incident à des fins de suivi et de rapport.
Remarque : Lorsque les données relatives aux incidents sont capturées à des fins d’investigation, assurez-vous qu’une sécurité adéquate est en place pour protéger les données contre toute modification non autorisée, telle que la désactivation de la journalisation ou la suppression des journaux, qui peuvent être effectuées par les attaquants lors d’une activité de violation de données en vol.
Implémentation AWS et contexte supplémentaire :
- Mise en miroir du trafic
- Création de sauvegardes de volumes EBS avec des INSTANTANÉS ET DES INSTANTANÉS EBS
- Utiliser le stockage immuable
Conseils GCP : Les sources de données à examiner sont les sources de journalisation centralisées qui collectent à partir des services dans l’étendue et des systèmes en cours d’exécution, mais peuvent également inclure :
- Données du journal d’identité et d’accès : utilisez les journaux iam et les journaux d’accès de charge de travail (tels que les systèmes d’exploitation ou au niveau de l’application) pour mettre en corrélation les événements d’identité et d’accès.
- Données réseau : utilisez les journaux de flux VPC et les contrôles de service VPC pour capturer les journaux de flux réseau et d’autres informations d’analytique.
- Captures instantanées des systèmes en cours d’exécution, qui peuvent être obtenues via :
- Fonctionnalité d’instantané dans les machines virtuelles GCP pour créer une instantané du disque du système en cours d’exécution.
- La fonctionnalité de vidage de mémoire native du système d’exploitation, pour créer une instantané de la mémoire du système en cours d’exécution.
- La instantané fonctionnalité des services GCP ou de la propre fonctionnalité de votre logiciel, pour créer des instantanés des systèmes en cours d’exécution.
Si vous agrégez vos données liées à SIEM dans Microsoft Sentinel, il fournit une analytique des données complète sur pratiquement n’importe quelle source de journal et un portail de gestion des cas pour gérer le cycle de vie complet des incidents. Les renseignements obtenus au cours d’une enquête peuvent être associés à un incident à des fins de suivi et de rapport.
Remarque : Lorsque les données relatives aux incidents sont capturées à des fins d’investigation, assurez-vous qu’une sécurité adéquate est en place pour protéger les données contre toute modification non autorisée, telle que la désactivation de la journalisation ou la suppression des journaux, qui peuvent être effectuées par les attaquants lors d’une activité de violation de données en vol.
Implémentation gcp et contexte supplémentaire :
- Centre de commandes de sécurité - Sources de sécurité
- Jeux de données pris en charge
- Créer et gérer des instantanés de disque
- Diffuser en continu les journaux Google Cloud Platform vers Microsoft Sentinel
Parties prenantes de la sécurité des clients (En savoir plus) :
IR-5 : Détection et analyse – classer les incidents par ordre de priorité
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Principe de sécurité : fournissez un contexte aux équipes des opérations de sécurité pour les aider à déterminer les incidents qui doivent d’abord être ciblés, en fonction de la gravité des alertes et de la sensibilité des ressources définies dans le plan de réponse aux incidents de votre organization.
En outre, marquez les ressources avec des étiquettes et créez un système de nommage pour identifier et classifier vos ressources cloud, en particulier celles qui traitent des données sensibles. Il vous incombe de hiérarchiser le traitement des alertes en fonction de la criticité des ressources et de l’environnement où l’incident s’est produit.
Conseils Azure : Microsoft Defender pour le cloud affecte une gravité à chaque alerte pour vous aider à hiérarchiser les alertes qui doivent être examinées en premier. La gravité dépend du niveau de confiance que Microsoft Defender pour le cloud accorde au résultat ou à l’analytique utilisés pour émettre l’alerte, ainsi que du niveau de confiance concernant le caractère malveillant de l’intention derrière l’activité à l’origine de l’alerte.
De même, Microsoft Sentinel crée des alertes et des incidents avec une gravité affectée et d’autres détails basés sur des règles d’analytique. Utilisez des modèles de règles analytiques et personnalisez les règles en fonction des besoins de votre organization pour prendre en charge la hiérarchisation des incidents. Utilisez des règles d’automatisation dans Microsoft Sentinel pour gérer et orchestrer la réponse aux menaces afin d’optimiser l’efficacité et l’efficacité de l’équipe de votre opération de sécurité, y compris l’étiquetage des incidents pour les classer.
Implémentation Azure et contexte supplémentaire :
- Alertes de sécurité dans Microsoft Defender pour le cloud
- Organisation des ressources Azure à l’aide de catégories
- Créer des incidents à partir d’alertes de sécurité Microsoft
Conseils AWS : Pour chaque incident créé dans le gestionnaire d’incidents, attribuez un niveau d’impact en fonction des critères définis par votre organization, tels qu’une mesure de la gravité de l’incident et du niveau de criticité des ressources affectées.
Implémentation AWS et contexte supplémentaire :
* Conseils GCP : Pour chaque incident créé dans le Centre de commandes de sécurité, déterminez la priorité de l’alerte en fonction des niveaux de gravité attribués par le système et d’autres critères définis par votre organization. Mesurez la gravité de l’incident et le niveau de criticité des ressources affectées pour déterminer quelles alertes doivent être examinées en premier.
De même, dans Chronical, vous pouvez définir des règles personnalisées pour déterminer les priorités de votre réponse aux incidents. Implémentation gcp et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
IR-6 : Confinement, éradication et récupération – automatiser le traitement des incidents
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | IR-4, IR-5, IR-6 | 12.10 |
Principe de sécurité : automatisez les tâches manuelles et répétitives pour accélérer le temps de réponse et réduire la charge pesant sur les analystes. Les tâches manuelles sont plus longues à exécuter, ce qui ralentit chaque incident et réduit le nombre d’incidents qu’un analyste peut traiter. Les tâches manuelles augmentent également la fatigue des analystes, ce qui accroît le risque d’erreur humaine entraînant des retards et dégrade la capacité des analystes à se concentrer efficacement sur des tâches complexes.
Conseils Azure : Utilisez les fonctionnalités d’automatisation de flux de travail dans Microsoft Defender pour le cloud et Microsoft Sentinel afin de déclencher automatiquement des actions ou d’exécuter des playbooks pour répondre aux alertes de sécurité entrantes. Les playbooks effectuent des actions, telles que l’envoi de notifications, la désactivation de comptes et l’isolation des réseaux problématiques.
Implémentation Azure et contexte supplémentaire :
- Configurer l’automatisation du workflow dans Security Center
- Configurer des réponses automatisées aux menaces dans Microsoft Defender pour le cloud
- Configurer des réponses automatisées aux menaces dans Azure Sentinel
Conseils AWS : Si vous utilisez Microsoft Sentinel pour gérer votre incident de manière centralisée, vous pouvez également créer des actions automatisées ou exécuter des playbooks pour répondre aux alertes de sécurité entrantes.
Vous pouvez également utiliser les fonctionnalités d’automatisation dans AWS System Manager pour déclencher automatiquement des actions définies dans le plan de réponse aux incidents, notamment la notification des contacts et/ou l’exécution d’un runbook pour répondre aux alertes, telles que la désactivation des comptes et l’isolation des réseaux problématiques.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Si vous utilisez Microsoft Sentinel pour gérer de manière centralisée votre incident, vous pouvez également créer des actions automatisées ou exécuter des playbooks pour répondre aux alertes de sécurité entrantes.
Vous pouvez également utiliser les automatisations playbook dans Chronicle pour déclencher automatiquement des actions définies dans le plan de réponse aux incidents, notamment la notification des contacts et/ou l’exécution d’un playbook pour répondre aux alertes.
Implémentation gcp et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
IR-7 : Activités post-incident : tirer les leçons apprises et conserver les preuves
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Principe de sécurité : effectuez les leçons apprises dans votre organization régulièrement et/ou après les incidents majeurs, afin d’améliorer vos capacités futures en matière de réponse et de gestion des incidents.
Selon la nature de l’incident, conservez les preuves relatives à l’incident pendant la période définie dans la norme de traitement des incidents à des fins d’analyse ultérieure ou d’actions en justice.
Conseils Azure : utilisez les résultats de l’activité des leçons apprises pour mettre à jour votre plan de réponse aux incidents, votre playbook (tel qu’un playbook Microsoft Sentinel) et réincorporaisez les résultats dans vos environnements (par exemple, la journalisation et la détection des menaces pour combler les lacunes dans la journalisation) afin d’améliorer vos capacités futures en matière de détection, de réponse et de gestion des incidents dans Azure.
Conservez les preuves collectées pendant l’étape « Détection et analyse - examiner un incident », telles que les journaux système, les vidages du trafic réseau et les instantanés système en cours d’exécution dans un stockage tel qu’un compte de stockage Azure pour une rétention immuable.
Implémentation Azure et contexte supplémentaire :
Conseils AWS : Créez une analyse des incidents pour un incident fermé dans Incident Manager à l’aide du modèle d’analyse d’incident standard ou de votre propre modèle personnalisé. Utilisez le résultat de l’activité tirée des leçons apprises pour mettre à jour votre plan de réponse aux incidents, votre playbook (par exemple, le runbook AWS Systems Manager et le playbook Microsoft Sentinel) et réincorporer les résultats dans vos environnements (comme la journalisation et la détection des menaces pour combler les lacunes dans la journalisation) afin d’améliorer vos capacités futures en matière de détection, de réponse et de gestion des incidents dans AWS.
Conservez les preuves collectées pendant l’étape « Détection et analyse - examiner un incident », comme les journaux système, les vidages du trafic réseau et les instantané système en cours d’exécution dans le stockage, comme un compartiment Amazon S3 ou un compte stockage Azure pour une rétention immuable.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : utilisez les résultats de l’activité tirée des leçons apprises pour mettre à jour votre plan de réponse aux incidents, votre playbook (tel qu’un playbook Chronicle ou Microsoft Sentinel) et réincorporer les résultats dans vos environnements (comme la journalisation et la détection des menaces pour combler les lacunes dans la journalisation) afin d’améliorer vos capacités futures en matière de détection, de réponse et de gestion des incidents dans GCP.
Conservez les preuves collectées pendant l’étape « Détection et analyse - examiner un incident », telles que les journaux système, les vidages du trafic réseau et les instantanés système en cours d’exécution dans un stockage tel qu’un stockage Google Cloud ou un compte de stockage Azure pour une rétention immuable.
Implémentation gcp et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :