Partager via


Contrôle de sécurité v3 : Réponse aux incidents

La réponse aux incidents couvre les contrôles dans le cycle de vie de la réponse aux incidents : préparation, détection et analyse, activités de confinement et post-incident, notamment l’utilisation de services Azure tels que Microsoft Defender pour Cloud et Sentinel pour automatiser le processus de réponse aux incidents.

IR-1 : Préparation – mettre à jour le plan de réponse aux incidents et le processus de gestion

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
17.4, 17.7 IR-4, IR-8 10.8

Principe de sécurité : Assurez-vous que votre organisation suit la meilleure pratique du secteur pour développer des processus et des plans pour répondre aux incidents de sécurité sur les plateformes cloud. Gardez à l’esprit le modèle de responsabilité partagée et les écarts entre les services IaaS, PaaS et SaaS. Cela aura un impact direct sur la façon dont vous collaborez avec votre fournisseur de cloud dans la réponse aux incidents et la gestion des activités, telles que la notification et le tri des incidents, la collecte de preuves, l’investigation, l’éradication et la récupération.

Testez régulièrement le plan de réponse aux incidents et le processus de traitement pour vous assurer qu’ils sont à jour.

Conseils Azure : Mettez à jour le processus de réponse aux incidents de votre organisation pour inclure la gestion des incidents dans la plateforme Azure. En fonction des services Azure utilisés et de la nature de votre application, personnalisez le plan de réponse aux incidents et le playbook pour vous assurer qu’ils peuvent être utilisés pour répondre à l’incident dans l’environnement cloud.

Implémentation et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :

IR-2 : Préparation – configurer la notification d’incident

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
17.1, 17.3, 17.6 IR-4, IR-8, IR-5, IR-6 12.10

Principe de sécurité : Vérifiez que les alertes de sécurité et les notifications d’incident de la plateforme du fournisseur de services cloud et de vos environnements peuvent être reçues par un contact correct dans votre organisation de réponse aux incidents.

Conseils Azure : Configurez les informations de contact des incidents de sécurité dans Microsoft Defender pour Cloud. Ces informations de contact sont utilisées par Microsoft pour vous contacter si microsoft Security Response Center (MSRC) découvre que vos données ont été consultées par un tiers illégal ou non autorisé. Vous avez également des options pour personnaliser l’alerte d’incident et la notification dans différents services Azure en fonction de vos besoins en réponse aux incidents.

Implémentation et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :

IR-3 : Détection et analyse – créer des incidents en fonction d’alertes de haute qualité

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
17,9 IR-4, IR-5, IR-7 10.8

Principe de sécurité : Assurez-vous que vous disposez d’un processus pour créer des alertes de haute qualité et mesurer la qualité des alertes. Cela vous permet de tirer les leçons des incidents passés et de classer par ordre de priorité les alertes pour les analystes, afin qu’ils ne perdent pas de temps sur les faux positifs.

Vous pouvez créer des alertes de bonne qualité en vous basant sur l’expérience des incidents passés, sur les sources validées par la communauté, et sur des outils conçus pour générer et nettoyer les alertes en fusionnant et en mettant en corrélation différentes sources de signaux.

Conseils Azure : Microsoft Defender pour Cloud fournit des alertes de haute qualité sur de nombreuses ressources Azure. Vous pouvez utiliser le connecteur de données Microsoft Defender pour cloud pour diffuser en continu les alertes vers Azure Sentinel. Azure Sentinel vous permet de créer des règles d’alerte avancées pour générer automatiquement des incidents pour une investigation.

Exportez vos alertes et recommandations Microsoft Defender pour cloud à l’aide de la fonctionnalité d’exportation pour vous aider à identifier les risques liés aux ressources Azure. Exportez des alertes et des recommandations manuellement ou en continu.

Implémentation et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :

IR-4 : Détection et analyse - Examiner un incident

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
N/A IR-4 12.10

Principe de sécurité : Assurez-vous que l’équipe chargée de l’opération de sécurité peut interroger et utiliser diverses sources de données pour examiner les incidents potentiels, afin de créer une vue complète de ce qui s’est passé. Divers journaux d’activité doivent être collectés pour suivre les activités d’un attaquant potentiel sur la chaîne de destruction afin d’éviter les taches aveugles. Vous devez également vous assurer que les insights et les apprentissages sont capturés pour d’autres analystes et pour une référence historique future.

Conseils Azure : Les sources de données à examiner sont les sources de journalisation centralisée qui sont déjà collectées à partir des services concernés et des systèmes actifs, mais peuvent également inclure :

  • Données réseau : utilisez les journaux de flux des groupes de sécurité réseau, Azure Network Watcher et Azure Monitor pour capturer les journaux de flux réseau et d’autres informations d’analyse.
  • Captures instantanées des systèmes en cours d’exécution : fonctionnalité d’instantané d’une machine virtuelle Azure, pour créer un instantané du disque du système en cours d’exécution. b) La fonctionnalité de vidage de mémoire native du système d’exploitation, pour créer un instantané de la mémoire du système en cours d’exécution. c) Fonctionnalité d’instantané des services Azure ou de votre logiciel pour créer des captures instantanées des systèmes en cours d’exécution.

Azure Sentinel fournit une analyse de données étendue sur pratiquement toutes les sources de logs et un portail de gestion des incidents pour gérer le cycle de vie complet des incidents. Les informations de renseignement pendant une enquête peuvent être associées à un incident à des fins de suivi et de création de rapports.

Implémentation et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :

IR-5 : Détection et analyse – classer les incidents par ordre de priorité

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
17.4, 17.9 IR-4 12.10

Principe de sécurité : Fournissez un contexte aux équipes des opérations de sécurité pour les aider à déterminer les incidents qui doivent d’abord être concentrés, en fonction de la gravité des alertes et de la sensibilité des ressources définies dans le plan de réponse aux incidents de votre organisation.

Conseils Azure : Microsoft Defender pour Cloud affecte une gravité à chaque alerte pour vous aider à hiérarchiser les alertes à examiner en premier. La gravité est basée sur le degré de confiance de Microsoft Defender pour Cloud dans la détection ou les analyses utilisées pour émettre l’alerte, ainsi que sur le niveau de certitude qu’une intention malveillante était présente derrière l’activité qui a abouti à l’alerte.

En outre, marquez les ressources à l’aide de balises et créez un système d’affectation de noms pour identifier et classer les ressources Azure, en particulier celles qui traitent des données sensibles. Il vous incombe de hiérarchiser la correction des alertes en fonction de la criticité des ressources et de l’environnement Azure où l’incident s’est produit.

Implémentation et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :

IR-6 : Confinement, éradication et récupération - automatiser la gestion des incidents

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
N/A IR-4, IR-5, IR-6 12.10

Principe de sécurité : Automatisez les tâches manuelles et répétitives pour accélérer le temps de réponse et réduire la charge des analystes. Les tâches manuelles prennent plus de temps pour s’exécuter, ralentir chaque incident et réduire le nombre d’incidents qu’un analyste peut gérer. Les tâches manuelles augmentent également la fatigue des analystes, ce qui augmente le risque d’erreur humaine qui provoque des retards et dégrade la capacité des analystes à se concentrer efficacement sur des tâches complexes.

Conseils Azure : Utilisez les fonctionnalités d’automatisation des flux de travail dans Microsoft Defender pour cloud et Azure Sentinel pour déclencher automatiquement des actions ou exécuter un playbook pour répondre aux alertes de sécurité entrantes. Le playbook prend des mesures, telles que l’envoi de notifications, la désactivation des comptes et l’isolation des réseaux problématiques.

Implémentation et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :

IR-7 : Activité post-incident - effectuer des leçons apprises et conserver des preuves

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
17.8 IR-4 12.10

Principe de sécurité : Effectuez des leçons apprises dans votre organisation régulièrement et/ou après des incidents majeurs, afin d’améliorer votre capacité future en réponse et en gestion des incidents.

Selon la nature de l’incident, conservez les preuves relatives à l’incident pendant la période définie dans la norme de traitement des incidents à des fins d’analyse ultérieure ou d’actions en justice.

Conseils Azure : Utilisez les conclusions tirées de l'activité de retour d'expérience pour mettre à jour votre plan de réponse aux incidents, votre playbook (tel que le playbook Azure Sentinel) et réintégrez les résultats dans vos environnements (par exemple, la journalisation et la détection des menaces pour combler les lacunes dans la journalisation) afin d'améliorer votre capacité future à détecter, répondre et gérer des incidents sur Azure.

Conservez les preuves collectées lors de l'étape "Détection et analyse - enquête sur un incident" telles que les journaux système, le vidage du trafic réseau et l’instantané du système en cours d'exécution, dans un stockage tel qu'un compte de stockage Azure pour conservation.

Implémentation et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :