Contrôle de sécurité v3 : réponse aux incidents
La réponse aux incidents recouvre les contrôles du cycle de vie de la réponse aux incidents : préparation, détection et analyse, confinement et activités post-incident, y compris l’utilisation de services Azure comme Microsoft Defender pour le cloud et Sentinel pour automatiser le processus de réponse aux incidents.
IR-1 : Préparation – mettre à jour le plan de réponse aux incidents et le processus de gestion
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Principe de sécurité : Veillez à ce que votre organisation suive les meilleures pratiques du secteur pour élaborer des processus et des plans de réponse aux incidents de sécurité sur les plateformes cloud. Soyez attentif au modèle de responsabilité partagée et aux variations entre les services IaaS, PaaS et SaaS. Cela aura un impact direct sur la façon dont vous collaborerez avec votre fournisseur de cloud dans les activités de réponse aux incidents et de traitement, telles que les notifications et le triage des incidents, la collecte de preuves, l’investigation, l’éradication et la récupération.
Testez régulièrement le plan de réponse aux incidents et le processus de traitement pour vous assurer qu’ils sont à jour.
Conseil d’Azure : Mettez à jour le processus de réponse aux incidents de votre organisation afin d’inclure le traitement des incidents sur la plateforme Azure. En fonction des services Azure utilisés et de la nature de votre application, personnalisez le plan de réponse aux incidents et le playbook pour vous assurer qu’ils peuvent être utilisés pour répondre à l’incident dans l’environnement cloud.
Implémentation et contexte supplémentaire :
- Implémenter la sécurité dans l’environnement de l’entreprise
- Guide de référence sur les réponses aux incidents
- Guide de gestion des incidents de sécurité informatique SP800-61 du NIST
Parties prenantes de la sécurité des clients (En savoir plus) :
IR-2 : Préparation – configurer la notification d’incident
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Principe de sécurité : Veillez à ce que les alertes de sécurité et les notifications d’incidents provenant de la plateforme du fournisseur de services cloud et de vos environnements puissent être reçues par le contact approprié dans votre organisation de réponse aux incidents.
Conseil d’Azure : Configurez les coordonnées de la personne à contacter en cas d’incident de sécurité dans Microsoft Defender pour le cloud. Microsoft utilisera ces coordonnées afin de vous contacter si le Microsoft Security Response Center (MSRC) découvre que vos données ont été consultées de manière illégale ou par un tiers non autorisé. Vous avez également la possibilité de personnaliser les alertes et les notifications d’incidents dans différents services Azure en fonction de vos besoins en matière de réponse aux incidents.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
IR-3 : Détection et analyse – créer des incidents en fonction d’alertes de haute qualité
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10.8 |
Principe de sécurité : Veillez à disposer d’un processus de création d’alertes de haute qualité et de mesure de leur qualité. Cela vous permet de tirer les leçons des incidents passés et de classer par ordre de priorité les alertes pour les analystes, afin qu’ils ne perdent pas de temps sur les faux positifs.
Vous pouvez créer des alertes de bonne qualité en vous basant sur l’expérience des incidents passés, sur les sources validées par la communauté, et sur des outils conçus pour générer et nettoyer les alertes en fusionnant et en mettant en corrélation différentes sources de signaux.
Conseil d’Azure : Microsoft Defender pour le cloud fournit des alertes de haute qualité sur de nombreuses ressources Azure. Vous pouvez utiliser le connecteur de données Microsoft Defender pour le cloud pour transmettre en continu les alertes à Azure Sentinel. Azure Sentinel vous permet de créer des règles d’alerte avancées pour générer automatiquement des incidents à des fins d’enquête.
Exportez vos alertes et recommandations Microsoft Defender pour le cloud à l’aide de la fonctionnalité d’exportation pour mieux identifier les risques concernant les ressources Azure. Exportez les alertes et les recommandations manuellement ou automatiquement de manière continue.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
IR-4 : Détection et analyse – enquêter sur un incident
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | IR-4 | 12.10 |
Principe de sécurité : Veillez à ce que l’équipe chargée des opérations de sécurité puisse interroger et utiliser diverses sources de données lorsqu’elle enquête sur des incidents potentiels, afin d’obtenir une vision complète de ce qu’il s’est passé. Différents journaux doivent être collectés pour suivre les activités d’un attaquant potentiel tout au long de la chaîne de destruction afin d’éviter les angles morts. Vous devez également vous assurer que les insights et les enseignements sont capturés pour d’autres analystes et pour une référence historique future.
Conseil d’Azure : Les sources de données à examiner sont les sources de journalisation centralisées qui sont déjà collectées auprès des services et des systèmes en fonctionnement concernés, mais elles peuvent également inclure les éléments suivants :
- Données réseau : Utilisez les journaux de flux des groupes de sécurité réseau, Azure Network Watcher et Azure Monitor pour capturer des journaux de flux réseau et d’autres informations analytiques.
- Instantanés des systèmes en fonctionnement : a) la capacité d’instantané de la machine virtuelle Azure, pour créer un instantané du disque du système en fonctionnement ; b) la capacité native de sauvegarde de la mémoire du système d’exploitation, pour créer un instantané de la mémoire du système en fonctionnement ; c) la fonctionnalité d’instantané des services Azure ou la capacité propre à votre logiciel, pour créer des instantanés des systèmes en fonctionnement.
Azure Sentinel fournit des analyses de données approfondies sur pratiquement toutes les sources de journal et un portail de gestion des cas pour gérer le cycle de vie complet des incidents. Les renseignements obtenus au cours d’une enquête peuvent être associés à un incident à des fins de suivi et de rapport.
Implémentation et contexte supplémentaire :
- Capture instantanée du disque d’un ordinateur Windows
- Capture instantanée du disque d’un ordinateur Linux
- Collecte de l’image mémoire et des informations de diagnostic par le support Microsoft Azure
- Examiner les incidents avec Azure Sentinel
Parties prenantes de la sécurité des clients (En savoir plus) :
IR-5 : Détection et analyse – classer les incidents par ordre de priorité
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Principe de sécurité : Fournissez un contexte aux équipes chargées des opérations de sécurité pour les aider à déterminer les incidents sur lesquels il convient de se concentrer en premier lieu, en fonction de la gravité de l’alerte et de la sensibilité des ressources définies dans le plan de réponse aux incidents de votre organisation.
Conseil d’Azure : Microsoft Defender pour le cloud attribue un niveau de gravité à chaque alerte afin de vous aider à les classer par ordre de priorité pour savoir lesquelles investiguer en premier. La gravité dépend du niveau de confiance que Microsoft Defender pour le cloud accorde au résultat ou à l’analytique utilisés pour émettre l’alerte, ainsi que du niveau de confiance concernant le caractère malveillant de l’intention derrière l’activité à l’origine de l’alerte.
En outre, marquez les ressources à l’aide d’étiquettes et créez un système de nommage pour identifier et classer les ressources Azure, en particulier celles qui traitent des données sensibles. Il vous incombe de hiérarchiser le traitement des alertes en fonction de la criticité des ressources et de l’environnement Azure où l’incident s’est produit.
Implémentation et contexte supplémentaire :
- Alertes de sécurité dans Microsoft Defender pour le cloud
- Utiliser des étiquettes pour organiser vos ressources Azure
Parties prenantes de la sécurité des clients (En savoir plus) :
IR-6 : Confinement, éradication et récupération – automatiser le traitement des incidents
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | IR-4, IR-5, IR-6 | 12.10 |
Principe de sécurité : Automatisez les tâches manuelles et répétitives pour accélérer le temps de réponse et réduire la charge de travail des analystes. Les tâches manuelles sont plus longues à exécuter, ce qui ralentit chaque incident et réduit le nombre d’incidents qu’un analyste peut traiter. Les tâches manuelles augmentent également la fatigue des analystes, ce qui accroît le risque d’erreur humaine entraînant des retards et dégrade la capacité des analystes à se concentrer efficacement sur des tâches complexes.
Conseil d’Azure : Utilisez les fonctionnalités d’automatisation des workflows dans Microsoft Defender pour le cloud et Azure Sentinel afin de déclencher automatiquement des actions ou d’exécuter un playbook pour répondre aux alertes de sécurité entrantes. Le playbook prend des mesures, telles que l’envoi de notifications, la désactivation de comptes et l’isolement des réseaux problématiques.
Implémentation et contexte supplémentaire :
- Configurer l’automatisation des flux de travail dans Microsoft Defender pour le cloud
- Configurer des réponses automatisées aux menaces dans Microsoft Defender pour le cloud
- Configurer des réponses automatisées aux menaces dans Azure Sentinel
Parties prenantes de la sécurité des clients (En savoir plus) :
IR-7 : Activité post-incident – tirer les leçons et conserver les preuves
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Principe de sécurité : Tirez régulièrement des enseignements dans votre organisation et/ou après des incidents majeurs afin d’améliorer vos capacités futures en matière de réponse aux incidents et de traitement.
Selon la nature de l’incident, conservez les preuves relatives à l’incident pendant la période définie dans la norme de traitement des incidents à des fins d’analyse ultérieure ou d’actions en justice.
Conseil d’Azure : Utilisez les résultats des enseignements tirés pour mettre à jour votre plan de réponse aux incidents et votre playbook (tel que le playbook Azure Sentinel) et réincorporez les résultats dans vos environnements (tels que la journalisation et la détection des menaces pour combler les lacunes de la journalisation) afin d’améliorer vos capacités futures en matière de détection des incidents, de réponse à ceux-ci et de traitement de ces derniers dans Azure.
Conservez les preuves recueillies au cours de l’étape « Détection et analyse – enquêter sur un incident », telles que les journaux système, la sauvegarde du trafic et l’instantané du système en fonctionnement, dans un espace de stockage comme un compte Stockage Azure à des fins de conservation des données.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :