Biztonság szabályozása: Incidenskezelés
Megjegyzés
A legfrissebb Azure Security Benchmark itt érhető el.
A szervezet információinak és hírnevének védelme incidensmegoldási infrastruktúra (például tervek, meghatározott szerepkörök, képzés, kommunikáció, felügyeleti felügyelet) fejlesztésével és implementálásával a támadások gyors felderítéséhez, majd a károk hatékony tárolásához, a támadó jelenlétének megszüntetéséhez, valamint a hálózat és rendszerek integritásának helyreállításához.
10.1: Incidensmegoldási útmutató létrehozása
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 10.1 | 19.1, 19.2, 19.3 | Ügyfél |
Készítsen ki egy incidenskezelési útmutatót a szervezet számára. Gondoskodjon írásos incidenskezelési tervekről, amelyek definiálják az összes résztvevő szerepkörét, valamint az incidenskezelés fázisait az észleléstől az incidens utáni értékelésig.
10.2: Incidenspontozási és rangsorolási eljárás létrehozása
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 10,2 | 19,8 | Ügyfél |
A Security Center minden riasztáshoz hozzárendel egy súlyosságot, így könnyebben rangsorolhatja, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Security Center mennyire bízik a riasztás keresésében vagy elemzésében, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.
Emellett egyértelműen jelöljön meg előfizetéseket (például éles környezetben, nem prod) címkék használatával, és hozzon létre egy elnevezési rendszert az Azure-erőforrások egyértelmű azonosításához és kategorizálásához, különösen a bizalmas adatokat feldolgozók számára. Az Ön felelőssége, hogy rangsorolja a riasztások megoldását azon Azure-erőforrások és -környezetek kritikussága alapján, ahol az incidens történt.
10.3: Biztonsági reagálási eljárások tesztelése
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 10,3 | 19 | Ügyfél |
Rendszeres időközönként tesztelheti a rendszerek incidensmegoldási képességeit az Azure-erőforrások védelme érdekében. Azonosítsa a gyenge pontokat és réseket, és szükség esetén dolgozza át a tervet.
10.4: Biztonsági incidens kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 10.4 | 19.5 | Ügyfél |
A Biztonsági incidensek kapcsolattartási adatait a Microsoft arra használja fel, hogy kapcsolatba lépjen Önnel, ha a Microsoft Security Response Center (MSRC) észleli, hogy adatait egy jogellenes vagy jogosulatlan fél fért hozzá. A problémák megoldásának biztosítása érdekében tekintse át az incidenseket.
10.5: Biztonsági riasztások beépítése az incidensmegoldási rendszerbe
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 10,5 | 19.6 | Ügyfél |
Exportálja Azure Security Center riasztásait és javaslatait a Folyamatos exportálás funkcióval az Azure-erőforrásokat érintő kockázatok azonosításához. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását. Az Azure Security Center adatösszekötő használatával streamelheti a riasztásokat az Azure Sentinelbe.
10.6: A biztonsági riasztásokra adott válasz automatizálása
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 10.6 | 19 | Ügyfél |
A Azure Security Center Munkafolyamat-automatizálás funkciójával automatikusan aktiválhat válaszokat a "Logic Apps" használatával a biztonsági riasztásokra és javaslatokra az Azure-erőforrások védelme érdekében.
Következő lépések
- Lásd a következő biztonsági vezérlőt: Behatolási tesztek és piros csapat gyakorlatok