Partager via

Contrôle de sécurité : Réponse aux incidents

Remarque

Le benchmark de sécurité Azure le plus up-toest disponible ici.

Protégez les informations de l’organisation, ainsi que sa réputation, en développant et en implémentant une infrastructure de réponse aux incidents (par exemple, plans, rôles définis, formation, communications, surveillance de la gestion) pour détecter rapidement une attaque, puis en contenant efficacement les dommages, en éliminant la présence de l’attaquant et en rétablissant l’intégrité du réseau et des systèmes.

10.1 : Créer un guide de réponse aux incidents

Azure ID Identifiants CIS Responsabilité
10.1 19.1, 19.2, 19.3 Client

Créez un guide de réponse aux incidents pour votre organisation. Assurez-vous qu’il existe des plans de réponse aux incidents écrits qui définissent tous les rôles du personnel, ainsi que les phases de gestion des incidents, depuis la détection jusqu’à la revue une fois l’incident terminé.

10.2 : Créer une procédure de notation et de classement des incidents

Azure ID Identifiants CIS Responsabilité
10,2 19,8 Client

Security Center affecte une gravité à chaque alerte pour vous aider à hiérarchiser les alertes à examiner en premier. La gravité est basée sur le niveau de confiance de Security Center dans les résultats ou les analyses utilisées pour émettre l’alerte, ainsi que sur la certitude d'une intention malveillante derrière l’activité qui a conduit à l’alerte.

En outre, marquez clairement les abonnements (par exemple, production, non prod) à l’aide de balises et créez un système d’affectation de noms pour identifier et catégoriser clairement les ressources Azure, en particulier celles qui traitent des données sensibles. Il vous incombe de hiérarchiser la correction des alertes en fonction de la criticité des ressources et de l’environnement Azure où l’incident s’est produit.

10.3 : Tester les procédures de réponse de sécurité

Azure ID Identifiants CIS Responsabilité
10.3 19 Client

Effectuez des exercices pour tester les fonctionnalités de réponse aux incidents de vos systèmes à une cadence régulière pour protéger vos ressources Azure. Identifiez les points faibles et les lacunes et modifiez le plan en fonction des besoins.

10.4 : Fournir des informations de contact pour les incidents de sécurité et configurer des notifications d’alerte pour les incidents de sécurité

Azure ID Identifiants CIS Responsabilité
10,4 19.5 Client

Les informations de contact des incidents de sécurité seront utilisées par Microsoft pour vous contacter si le Centre de réponse à la sécurité Microsoft (MSRC) découvre que vos données ont été accessibles par un tiers illégal ou non autorisé. Passez en revue les incidents après le fait pour vous assurer que les problèmes sont résolus.

10.5 : Intégrer des alertes de sécurité à votre système de réponse aux incidents

Azure ID Identifiants CIS Responsabilité
10.5 19,6 Client

Exportez vos alertes et recommandations Azure Security Center à l’aide de la fonctionnalité Exportation continue pour vous aider à identifier les risques liés aux ressources Azure. L’exportation continue vous permet d’exporter les alertes et les recommandations manuellement, ou automatiquement de manière continue. Vous pouvez utiliser le connecteur de données Azure Security Center pour diffuser en continu les alertes vers Azure Sentinel.

10.6 : Automatiser la réponse aux alertes de sécurité

Azure ID Identifiants CIS Responsabilité
10.6 19 Client

Utilisez la fonctionnalité Workflow Automation dans Azure Security Center pour déclencher automatiquement des réponses via « Logic Apps » sur les alertes de sécurité et les recommandations pour protéger vos ressources Azure.

Étapes suivantes