Security Control V2: Incidenskezelés

Megjegyzés

A legfrissebb Azure Security Benchmark itt érhető el.

Az incidensmegoldás az incidenskezelés életciklusának vezérlőire terjed ki– előkészítésre, észlelésre és elemzésre, elszigetelésre és incidens utáni tevékenységekre. Ez magában foglalja az Olyan Azure-szolgáltatások használatát, mint a Azure Security Center és a Sentinel az incidensmegoldási folyamat automatizálásához.

A vonatkozó beépített Azure Policy megtekintéséhez tekintse meg az Azure Security Benchmark jogszabályi megfelelőség beépített kezdeményezésének részleteit: Incidenskezelés

IR-1: Előkészítés – incidensválasz-folyamat frissítése az Azure-hoz

Azure ID	CIS-vezérlők v7.1 ID(k)	NIST SP 800-53 r4 ID(k)
IR-1	19	IR-4, IR-8

Győződjön meg arról, hogy a szervezet rendelkezik a biztonsági incidensekre reagáló folyamatokkal, frissítette ezeket a folyamatokat az Azure-ban, és rendszeresen gyakorolja azokat a felkészültség biztosítása érdekében.

• Biztonság implementálása a teljes nagyvállalati környezetben

• Incidensválasz referencia-útmutató

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Biztonsági műveletek

• Incidens előkészítése

• Fenyegetésfelderítés

IR-2: Előkészítés – incidensről szóló értesítés beállítása

Azure ID	CIS-vezérlők v7.1 ID(k)	NIST SP 800-53 r4 ID(k)
IR-2	19.5	IR-4, IR-5, IR-6, IR-8

Biztonsági incidensek kapcsolattartási adatainak beállítása Azure Security Center. A Microsoft ezen kapcsolattartási adatok használatával keresi meg Önt, ha a Microsoft Security Response Center (MSCR) felfedezi, hogy az adataihoz törvénytelen vagy jogosulatlan módon fértek hozzá. Lehetősége van az incidensekkel kapcsolatos riasztások és értesítések testreszabására a különböző Azure-szolgáltatásokban az incidensválasz-igények alapján.

• Az Azure Security Center biztonsági kapcsolattartójának beállítása

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Biztonsági műveletek

• Incidens előkészítése

IR-3: Észlelés és elemzés – incidensek létrehozása jó minőségű riasztások alapján

Azure ID	CIS-vezérlők v7.1 ID(k)	NIST SP 800-53 r4 ID(k)
IR-3	19.6	IR-4, IR-5

Győződjön meg arról, hogy rendelkezik egy kiváló minőségű riasztások létrehozására és a riasztások minőségének mérésére vonatkozó eljárással. Ez lehetővé teszi, hogy tanuljon a korábbi incidensekből, és rangsorolja a riasztásokat az elemzők számára, hogy ne pazarolják az időt a téves pozitív eredményekre.

Kiváló minőségű riasztások a korábbi incidensek tapasztalatai és ellenőrzött közösségi források alapján, valamint a riasztások létrehozásához és tisztításához tervezett eszközökkel hozhatók létre a különböző jelforrások egyesítésével és összehasonlításával.

Az Azure Security Center számos Azure-objektum esetében kiváló minőségű riasztásokat biztosít. Az ASC adatösszekötővel streamelheti a riasztásokat az Azure Sentinelbe. Az Azure Sentinellel speciális riasztási szabályokat hozhat létre, amelyekkel automatikusan hozhat létre incidenseket a vizsgálatokhoz.

Az exportálási funkcióval exportálhatja az Azure Security Center riasztásait és javaslatait, amelyek segítenek az Azure-erőforrások kockázatainak azonosításában. A riasztásokat és javaslatokat manuálisan vagy folyamatosan is exportálhatja.

• Az exportálás konfigurálása

• Riasztások streamelése az Azure Sentinelbe

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Biztonsági műveletek

• Incidens előkészítése

• Fenyegetésfelderítés

IR-4: Észlelés és elemzés – incidensek kivizsgálása

Azure ID	CIS-vezérlők v7.1 ID(k)	NIST SP 800-53 r4 ID(k)
IR-4	19	IR-4

Győződjön meg arról, hogy az elemzők különböző adatforrásokat kérdezhetnek le és használhatnak a lehetséges incidensek kivizsgálása során, hogy teljes képet alkothassanak a történtekről. A vakfoltok elkerülése érdekében különböző naplókat kell gyűjteni a potenciális támadók tevékenységének követéséhez a támadási útvonalon. A megállapítások és eredmények rögzítéséről is érdemes gondoskodnia, hogy később más elemzők referenciaként használhassák őket.

A vizsgálathoz használt adatforrások közé tartoznak azok a központi naplózási források, amelyeket a rendszer már gyűjt a hatókörbeli szolgáltatásokból és a futó rendszerekről, de a következők is lehetnek:

• Hálózati adatok – az Azure Network Watcher, az Azure Monitor és a hálózati biztonsági csoportok forgalmi naplóinak használata a hálózati forgalom naplóinak és más elemzési adatok rögzítéséhez.

• A futó rendszerek pillanatképei:

  • Az Azure-beli virtuális gép pillanatkép-készítési funkciójával pillanatképet készíthet a futó rendszer lemezéről.

  • Az operációs rendszer natív memóriakép-készítési funkciójával pillanatképet készíthet a futó rendszer memóriájáról.

  • Az Azure-szolgáltatások vagy saját szoftvere pillanatkép-készítési funkciójával pillanatképeket készíthet a futó rendszerekről.

Az Azure Sentinel széles körű adatelemzést tesz lehetővé szinte bármely naplózási forráson és egy esetfelügyeleti portálon az incidensek teljes életciklusának kezeléséhez. A vizsgálatok során kapott információk társíthatók egy incidenssel nyomkövetés és jelentéskészítés céljából.

• Windows rendszerű gép lemezének pillanatképe

• Linux rendszerű gép lemezének pillanatképe

• Microsoft Azure-támogatás – diagnosztikai információk és memóriaképek gyűjtése

• Incidensek vizsgálata az Azure Sentinellel

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Biztonsági műveletek

• Incidens előkészítése

• Fenyegetésfelderítés

IR-5: Észlelés és elemzés – incidensek rangsorolása

Azure ID	CIS-vezérlők v7.1 ID(k)	NIST SP 800-53 r4 ID(k)
IR-5	19,8	CA-2, IR-4

Kontextus biztosítása az elemzők számára, hogy mely incidensekre kell először összpontosítani a riasztás súlyossága és az eszköz érzékenysége alapján.

Az Azure Security Center súlyossági szintet rendel az egyes riasztásokhoz, és segít rangsorolni, hogy melyik riasztásokat kell először kivizsgálni. A súlyosság azon alapul, hogy a Security Center mennyire biztos a találatban vagy a riasztás kibocsátásához használt elemzésben, valamint abban, hogy a riasztáshoz vezető tevékenység rosszindulatú volt.

Emellett a címkék használatával megjelölheti az erőforrásokat, és létrehozhat egy elnevezési rendszert az Azure-erőforrások, különösen a bizalmas adatok feldolgozását végző erőforrások azonosításához és kategorizálásához. Az Ön felelőssége, hogy rangsorolja a riasztások megoldását azon Azure-erőforrások és -környezetek kritikussága alapján, ahol az incidens történt.

• Biztonsági riasztások az Azure Security Centerben

• Címkék használata az Azure-erőforrások rendszerezéséhez

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Biztonsági műveletek

• Incidens előkészítése

• Fenyegetésfelderítés

IR-6: Elszigetelés, kiiktatás és helyreállítás – az incidenskezelés automatizálása

Azure ID	CIS-vezérlők v7.1 ID(k)	NIST SP 800-53 r4 ID(k)
IR-6	19	IR-4, IR-5, IR-6

Automatizálhatja a manuális ismétlődő feladatokat, hogy felgyorsítsa a válaszidőt, és csökkentse az elemzőkre nehezedő terheket. A manuális tevékenységek végrehajtása több időt vesz igénybe, emiatt az elemzők kevesebb incidenst képesek kezelni. A manuális feladatok ki is merítik az elemzőket, ami növeli az emberi hiba lehetőségét, és az elemzők kevésbé tudnak hatékonyan összpontosítani az összetett feladatokra. Az Azure Security Center és az Azure Sentinel munkafolyamat-automatizálási funkcióival automatikusan indíthat el műveleteket és futtathat forgatókönyveket, hogy reagáljon a bejövő biztonsági riasztásokra. A forgatókönyv műveleteket hajt végre, például értesítéseket küld, fiókokat tilt le, és elkülöníti a problémás hálózatokat.

• Munkafolyamat-automatizálás konfigurálása a Security Centerben

• Fenyegetésre adott automatikus válaszok beállítása az Azure Security Centerben

• Fenyegetésre adott automatikus válaszok beállítása az Azure Sentinelben

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

• Biztonsági műveletek

• Incidens előkészítése

• Fenyegetésfelderítés