Partager via


Contrôle de sécurité : réponse aux incidents

La réponse aux incidents couvre les contrôles dans le cycle de vie de la réponse aux incidents : préparation, détection et analyse, activités de confinement et post-incident, notamment l’utilisation de services Azure (tels que Microsoft Defender pour Cloud et Sentinel) et/ou d’autres services cloud pour automatiser le processus de réponse aux incidents.

IR-1 : Préparation – mettre à jour le plan de réponse aux incidents et le processus de gestion

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
17.4, 17.7 IR-4, IR-8 10.8

Principe de sécurité : assurez-vous que votre organisation suit les meilleures pratiques du secteur pour développer des processus et des plans de réponse aux incidents de sécurité sur les plateformes cloud. Soyez attentif au modèle de responsabilité partagée et aux variations entre les services IaaS, PaaS et SaaS. Cela aura un impact direct sur la façon dont vous collaborerez avec votre fournisseur de services cloud dans les activités de réponse aux incidents et de gestion des incidents, telles que les notifications et le triage des incidents, la collecte de preuves, l’investigation, l’éradication et la récupération.

Testez régulièrement le plan de réponse aux incidents et le processus de traitement pour vous assurer qu’ils sont à jour.


Conseils Azure : Mettez à jour le processus de réponse aux incidents de votre organisation pour inclure la gestion des incidents dans la plateforme Azure. En fonction des services Azure utilisés et de la nature de votre application, personnalisez le plan de réponse aux incidents et le playbook pour vous assurer qu’ils peuvent être utilisés pour répondre à l’incident dans l’environnement cloud.

Implémentation Azure et contexte supplémentaire :


Conseils AWS : Mettez à jour le processus de réponse aux incidents de votre organisation pour inclure la gestion des incidents. Assurez-vous qu’un plan unifié de réponse aux incidents multicloud est en place en mettant à jour le processus de réponse aux incidents de votre organisation pour inclure la gestion des incidents dans la plateforme AWS. En fonction des services AWS utilisés et de la nature de votre application, suivez le Guide de réponse aux incidents de sécurité AWS pour personnaliser le plan de réponse aux incidents et le playbook afin de vous assurer qu’ils peuvent être utilisés pour répondre à l’incident dans l’environnement cloud.

Implémentation AWS et contexte supplémentaire :


Conseils GCP : Mettez à jour le processus de réponse aux incidents de votre organisation pour inclure la gestion des incidents. Assurez-vous qu’un plan unifié de réponse aux incidents multicloud est en place en mettant à jour le processus de réponse aux incidents de votre organisation afin d’inclure la gestion des incidents dans la plate-forme Google Cloud.

Implémentation GCP et contexte supplémentaire :


Parties prenantes de la sécurité des clients (en savoir plus) :

IR-2 : Préparation – configurer la notification d’incident

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
17.1, 17.3, 17.6 IR-4, IR-8, IR-5, IR-6 12.10

Principe de sécurité : assurez-vous que les alertes de sécurité et les notifications d’incident de la plateforme du fournisseur de services cloud et de vos environnements peuvent être reçues par un contact approprié au sein de votre organisation de réponse aux incidents.


Conseils Azure : Configurer les informations de contact des incidents de sécurité dans Microsoft Defender pour le cloud. Ces informations de contact sont utilisées par Microsoft pour vous contacter si microsoft Security Response Center (MSRC) découvre que vos données ont été consultées par un tiers illégal ou non autorisé. Vous avez également des options pour personnaliser les alertes et les notifications d’incident dans différents services Azure en fonction de vos besoins en réponse aux incidents.

Implémentation Azure et contexte supplémentaire :


Conseils AWS : Configurez les informations de contact en cas d’incident de sécurité dans AWS Systems Manager Incident Manager (le centre de gestion des incidents pour AWS). Ces informations de contact sont utilisées pour la communication de gestion des incidents entre vous et AWS par le biais des différents canaux (e-mail, SMS ou voix). Vous pouvez définir le plan d’engagement et le plan d’escalade d’un contact pour décrire comment et quand le gestionnaire d’incidents engage le contact et pour faire remonter si le ou les contacts ne répondent pas à un incident.

Implémentation AWS et contexte supplémentaire :


Conseils GCP : Configurez les notifications d’incident de sécurité pour des contacts particuliers à l’aide du Centre de commande de sécurité ou de Chronicle. Utilisez les services Google Cloud et les API tierces pour envoyer des notifications par e-mail et par chat en temps réel afin d’alerter des résultats de sécurité pour le centre de commande de sécurité, ou des playbooks pour déclencher des actions d’envoi de notifications dans Chronicle.

Implémentation GCP et contexte supplémentaire :


Parties prenantes de la sécurité des clients (en savoir plus) :

IR-3 : Détection et analyse – créer des incidents en fonction d’alertes de haute qualité

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
17,9 IR-4, IR-5, IR-7 10.8

Principe de sécurité : assurez-vous de disposer d’un processus permettant de créer des alertes de haute qualité et de mesurer la qualité des alertes. Cela vous permet de tirer les leçons des incidents passés et de classer par ordre de priorité les alertes pour les analystes, afin qu’ils ne perdent pas de temps sur les faux positifs.

Vous pouvez créer des alertes de bonne qualité en vous basant sur l’expérience des incidents passés, sur les sources validées par la communauté, et sur des outils conçus pour générer et nettoyer les alertes en fusionnant et en mettant en corrélation différentes sources de signaux.


Conseils Azure : Microsoft Defender pour le cloud fournit des alertes de haute qualité sur de nombreuses ressources Azure. Vous pouvez utiliser le connecteur de données Microsoft Defender pour cloud pour diffuser en continu les alertes vers Microsoft Sentinel. Microsoft Sentinel vous permet de créer des règles d’alerte avancées pour générer automatiquement des incidents pour une investigation.

Exportez vos alertes et recommandations Microsoft Defender pour cloud à l’aide de la fonctionnalité d’exportation pour vous aider à identifier les risques liés aux ressources Azure. Exportez des alertes et des recommandations manuellement ou en continu.

Implémentation Azure et contexte supplémentaire :


Conseils AWS : utilisez des outils de sécurité tels que SecurityHub ou GuardDuty et d’autres outils tiers pour envoyer des alertes à Amazon CloudWatch ou Amazon EventBridge afin que les incidents puissent être automatiquement créés dans Incident Manager en fonction des critères et des ensembles de règles définis. Vous pouvez également créer manuellement des incidents dans le gestionnaire d’incidents pour une gestion et un suivi ultérieurs des incidents.

Si vous utilisez Microsoft Defender pour le cloud pour surveiller vos comptes AWS, vous pouvez également utiliser Microsoft Sentinel pour surveiller et alerter les incidents identifiés par les ressources Microsoft Defender pour le cloud sur AWS.

Implémentation AWS et contexte supplémentaire :


Conseils GCP : intégrez Google Cloud et des services tiers pour envoyer des journaux et des alertes au Security Command Center ou à Chronicle afin que les incidents puissent être créés automatiquement en fonction de critères définis. Vous pouvez également créer et modifier manuellement les résultats d’incident dans le Centre de commande de sécurité ou des règles dans Chronicle pour une gestion et un suivi ultérieurs des incidents.

Si vous utilisez Microsoft Defender pour le cloud pour surveiller vos projets GCP, vous pouvez également utiliser Microsoft Sentinel pour surveiller et alerter les incidents identifiés par Microsoft Defender pour le cloud sur les ressources GCP, ou diffuser les journaux GCP directement dans Microsoft Sentinel.

Implémentation GCP et contexte supplémentaire :


Parties prenantes de la sécurité des clients (en savoir plus) :

IR-4 : Détection et analyse - Examiner un incident

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
N/A IR-4 12.10

Principe de sécurité : assurez-vous que l’équipe des opérations de sécurité peut interroger et utiliser diverses sources de données lorsqu’elle enquête sur des incidents potentiels, afin d’avoir une vue complète de ce qui s’est passé. Divers journaux d’activité doivent être collectés pour suivre les activités d’un attaquant potentiel sur la chaîne de destruction afin d’éviter les taches aveugles. Vous devez également vous assurer que les insights et les apprentissages sont capturés pour d’autres analystes et pour une référence historique future.

Utilisez la solution SIEM native cloud et la solution de gestion des incidents si votre organisation n’a pas de solution existante pour agréger les journaux de sécurité et les informations d’alerte. Mettre en corrélation les données d’incident basées sur les données provenant de différentes sources pour permettre l’installation des enquêtes sur les incidents.


Conseils Azure : Assurez-vous que votre équipe des opérations de sécurité peut interroger et utiliser diverses sources de données collectées à partir des services et systèmes concernés. En outre, les sources peuvent également inclure :

  • Données de journal d’identité et d’accès : utilisez les journaux d’activité et la charge de travail Azure AD (par exemple, les systèmes d’exploitation ou le niveau de l’application) pour la corrélation des événements d’identité et d’accès.
  • Données réseau : utilisez les journaux de flux des groupes de sécurité réseau, Azure Network Watcher et Azure Monitor pour capturer les journaux de flux réseau et d’autres informations d’analyse.
  • Données d’activité liées aux incidents provenant de captures instantanées des systèmes impactés, qui peuvent être obtenues via :
    • La fonctionnalité d’instantanés de la machine virtuelle Azure, pour créer un instantané du disque du système en cours d’exécution.
    • La fonctionnalité de vidage de mémoire native du système d’exploitation permet de créer un instantané de la mémoire du système en cours d’exécution.
    • Fonctionnalité d’instantané d’autres services Azure pris en charge ou de votre logiciel, pour créer des instantanés des systèmes en cours d’exécution.

Microsoft Sentinel fournit une analytique complète des données sur pratiquement toutes les sources de journaux et un portail de gestion des cas pour gérer le cycle de vie complet des incidents. Les informations de renseignement pendant une enquête peuvent être associées à un incident à des fins de suivi et de création de rapports.

Remarque : Lorsque des données liées à un incident sont capturées à des fins d’enquête, assurez-vous qu’une sécurité adéquate est en place pour protéger les données contre toute modification non autorisée, telle que la désactivation de la journalisation ou la suppression des journaux, qui peut être effectuée par les attaquants lors d’une activité de violation de données en vol.

Implémentation Azure et contexte supplémentaire :


Conseils AWS : Les sources de données à examiner sont les sources de journalisation centralisées qui collectent à partir des services concernés et des systèmes en cours d’exécution, mais peuvent également inclure :

  • Données de journal d’identité et d’accès : utilisez les journaux d’activité IAM et la charge de travail (tels que les systèmes d’exploitation ou le niveau de l’application) pour la corrélation des événements d’identité et d’accès.
  • Données réseau : utilisez les journaux de flux DU VPC, les miroirs de trafic VPC et Azure CloudTrail et CloudWatch pour capturer les journaux de flux réseau et d’autres informations d’analyse.
  • Captures instantanées des systèmes en cours d’exécution, qui peuvent être obtenues via :
    • Fonctionnalité d’instantané dans Amazon EC2(EBS) pour créer un instantané du disque du système en cours d’exécution.
    • La fonctionnalité de vidage de mémoire native du système d’exploitation permet de créer un instantané de la mémoire du système en cours d’exécution.
    • Fonctionnalité d’instantané des services AWS ou de votre logiciel pour créer des captures instantanées des systèmes en cours d’exécution.

Si vous agrègez vos données liées à SIEM dans Microsoft Sentinel, elles fournissent une analytique complète des données sur pratiquement n’importe quelle source de journal et un portail de gestion des cas pour gérer le cycle de vie complet des incidents. Les informations de renseignement pendant une enquête peuvent être associées à un incident à des fins de suivi et de création de rapports.

Remarque : Lorsque des données liées à un incident sont capturées à des fins d’enquête, assurez-vous qu’une sécurité adéquate est en place pour protéger les données contre toute modification non autorisée, telle que la désactivation de la journalisation ou la suppression des journaux, qui peut être effectuée par les attaquants lors d’une activité de violation de données en vol.

Implémentation AWS et contexte supplémentaire :


Conseils GCP : Les sources de données pour l’investigation sont les sources de journalisation centralisées qui collectent à partir des services concernés et des systèmes en cours d’exécution, mais peuvent également inclure :

  • Données de journal d’identité et d’accès : utilisez les journaux d’activité IAM et la charge de travail (tels que les systèmes d’exploitation ou le niveau de l’application) pour la corrélation des événements d’identité et d’accès.
  • Données réseau : utilisez les journaux de flux DU VPC et les contrôles de service VPC pour capturer les journaux de flux réseau et d’autres informations d’analyse.
  • Captures instantanées des systèmes en cours d’exécution, qui peuvent être obtenues via :
    1. Fonctionnalité d’instantané dans les machines virtuelles GCP pour créer un instantané du disque du système en cours d’exécution.
    2. La fonctionnalité de vidage de mémoire native du système d’exploitation permet de créer un instantané de la mémoire du système en cours d’exécution.
    3. Fonctionnalité d’instantané des services GCP ou de votre logiciel pour créer des captures instantanées des systèmes en cours d’exécution.

Si vous agrègez vos données liées à SIEM dans Microsoft Sentinel, elles fournissent une analytique complète des données sur pratiquement n’importe quelle source de journal et un portail de gestion des cas pour gérer le cycle de vie complet des incidents. Les informations de renseignement pendant une enquête peuvent être associées à un incident à des fins de suivi et de création de rapports.

Remarque : Lorsque des données liées à un incident sont capturées à des fins d’enquête, assurez-vous qu’une sécurité adéquate est en place pour protéger les données contre toute modification non autorisée, telle que la désactivation de la journalisation ou la suppression des journaux, qui peut être effectuée par les attaquants lors d’une activité de violation de données en vol.

Implémentation GCP et contexte supplémentaire :


Parties prenantes de la sécurité des clients (en savoir plus) :

IR-5 : Détection et analyse – classer les incidents par ordre de priorité

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
17.4, 17.9 IR-4 12.10

Principe de sécurité : fournissez un contexte aux équipes d’opérations de sécurité pour les aider à déterminer les incidents sur lesquels il faut se concentrer en premier, en fonction de la gravité des alertes et de la sensibilité des actifs définies dans le plan de réponse aux incidents de votre organisation.

En outre, marquez les ressources avec des étiquettes et créez un système de nommage pour identifier et classifier vos ressources cloud, en particulier celles qui traitent des données sensibles. Il vous incombe de hiérarchiser le traitement des alertes en fonction de la criticité des ressources et de l’environnement où l’incident s’est produit.


Conseils Azure : Microsoft Defender pour le cloud attribue une gravité à chaque alerte pour vous aider à hiérarchiser les alertes qui doivent être examinées en premier. La gravité est basée sur le degré de confiance de Microsoft Defender pour Cloud dans la détection ou les analyses utilisées pour émettre l’alerte, ainsi que sur le niveau de certitude qu’une intention malveillante était présente derrière l’activité qui a abouti à l’alerte.

De même, Microsoft Sentinel crée des alertes et des incidents avec une gravité affectée et d’autres détails basés sur des règles d’analyse. Utilisez des modèles de règles analytiques et personnalisez les règles en fonction des besoins de votre organisation pour prendre en charge la hiérarchisation des incidents. Utilisez des règles d’automatisation dans Microsoft Sentinel pour gérer et orchestrer la réponse aux menaces afin d’optimiser l’efficacité et l’efficacité de votre opération de sécurité, y compris les incidents de balisage pour les classifier.

Implémentation Azure et contexte supplémentaire :


Conseils AWS : Pour chaque incident créé dans le gestionnaire d’incidents, attribuez un niveau d’impact en fonction des critères définis par votre organisation, tels qu’une mesure de la gravité de l’incident et du niveau de criticité des ressources affectées.

Implémentation AWS et contexte supplémentaire :


* Instructions GCP : Pour chaque incident créé dans le Centre de commande de sécurité, déterminez la priorité de l’alerte en fonction des indices de gravité attribués par le système et d’autres critères définis par votre organisation. Mesurez la gravité de l’incident et le niveau de criticité des actifs impactés pour déterminer quelles alertes doivent être examinées en premier.

De même, dans Chronical, vous pouvez définir des règles personnalisées pour déterminer vos priorités de réponse aux incidents. Implémentation GCP et contexte supplémentaire :


Parties prenantes de la sécurité des clients (en savoir plus) :

IR-6 : Confinement, éradication et récupération - automatiser la gestion des incidents

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
N/A IR-4, IR-5, IR-6 12.10

Principe de sécurité : automatisez les tâches manuelles et répétitives pour accélérer le temps de réponse et réduire la charge des analystes. Les tâches manuelles prennent plus de temps pour s’exécuter, ralentir chaque incident et réduire le nombre d’incidents qu’un analyste peut gérer. Les tâches manuelles augmentent également la fatigue des analystes, ce qui augmente le risque d’erreur humaine qui provoque des retards et dégrade la capacité des analystes à se concentrer efficacement sur des tâches complexes.


Conseils Azure : Utilisez les fonctionnalités d’automatisation des flux de travail dans Microsoft Defender pour le cloud et Microsoft Sentinel pour déclencher automatiquement des actions ou exécuter des playbooks pour répondre aux alertes de sécurité entrantes. Les playbooks prennent des mesures, telles que l’envoi de notifications, la désactivation des comptes et l’isolation des réseaux problématiques.

Implémentation Azure et contexte supplémentaire :


Conseils AWS : Si vous utilisez Microsoft Sentinel pour gérer votre incident de manière centralisée, vous pouvez également créer des actions automatisées ou exécuter des playbooks pour répondre aux alertes de sécurité entrantes.

Vous pouvez également utiliser des fonctionnalités d’automatisation dans AWS System Manager pour déclencher automatiquement des actions définies dans le plan de réponse aux incidents, notamment avertir les contacts et/ou exécuter un runbook pour répondre aux alertes, telles que la désactivation des comptes et l’isolation des réseaux problématiques.

Implémentation AWS et contexte supplémentaire :


Conseils GCP : Si vous utilisez Microsoft Sentinel pour gérer votre incident de manière centralisée, vous pouvez également créer des actions automatisées ou exécuter des playbooks pour répondre aux alertes de sécurité entrantes.

Vous pouvez également utiliser des automatisations de Playbook dans Chronicle pour déclencher automatiquement des actions définies dans le plan de réponse aux incidents, notamment l’notification des contacts et/ou l’exécution d’un playbook pour répondre aux alertes.

Implémentation GCP et contexte supplémentaire :


Parties prenantes de la sécurité des clients (en savoir plus) :

IR-7 : Activité post-incident - mener des leçons apprises et conserver des preuves

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
17.8 IR-4 12.10

Principe de sécurité : Tirez les leçons apprises dans votre organisation périodiquement et/ou après des incidents majeurs, afin d’améliorer votre capacité future en matière de réponse et de traitement des incidents.

Selon la nature de l’incident, conservez les preuves relatives à l’incident pendant la période définie dans la norme de traitement des incidents à des fins d’analyse ultérieure ou d’actions en justice.


Conseils Azure : Utilisez le résultat de l’activité Leçons apprises pour mettre à jour votre plan de réponse aux incidents, votre playbook (par exemple, un playbook Microsoft Sentinel) et réintégrer les résultats dans vos environnements (tels que la journalisation et la détection des menaces pour combler les lacunes dans la journalisation) afin d’améliorer vos capacités futures en matière de détection, de réponse et de gestion des incidents dans Azure.

Conservez les preuves collectées lors de l’étape « Détection et analyse - Examiner un incident », telles que les journaux système, les vidages du trafic réseau et l’exécution d’instantanés système dans le stockage, tels qu’un compte de stockage Azure, pour une conservation immuable.

Implémentation Azure et contexte supplémentaire :


Conseils AWS : Créez une analyse d’incident pour un incident clôturé dans Incident Manager à l’aide du modèle d’analyse d’incident standard ou de votre propre modèle personnalisé. Utilisez le résultat de l’activité Leçons apprises pour mettre à jour votre plan de réponse aux incidents, votre guide (tel que le runbook AWS Systems Manager et le manuel Microsoft Sentinel) et réintégrer les résultats dans vos environnements (tels que la journalisation et la détection des menaces pour combler les lacunes dans la journalisation) afin d’améliorer votre capacité future de détection, de réponse et de gestion des incidents dans AWS.

Conservez les preuves recueillies lors de l’étape « Détection et analyse - Enquêter sur un incident », telles que les journaux système, les vidages du trafic réseau et l’instantané système en cours d’exécution dans le stockage, tel qu’un compartiment Amazon S3 ou un compte de stockage Azure, pour une conservation immuable.

Implémentation AWS et contexte supplémentaire :


Conseils GCP : utilisez le résultat de l’activité Leçons apprises pour mettre à jour votre plan de réponse aux incidents, votre playbook (par exemple, un playbook Chronicle ou Microsoft Sentinel) et réintégrer les résultats dans vos environnements (tels que la journalisation et la détection des menaces pour combler les lacunes dans la journalisation) afin d’améliorer votre capacité future de détection, de réponse et de gestion des incidents dans GCP.

Conservez les éléments de preuve recueillis lors de l’étape « Détection et analyse - Examiner un incident », tels que les journaux système, les vidages du trafic réseau et l’exécution d’instantanés système dans un stockage, tel qu’un compte Google Cloud Storage ou Azure Storage, pour une conservation immuable.

Implémentation GCP et contexte supplémentaire :


Parties prenantes de la sécurité des clients (en savoir plus) :