Security Control v3: Incidenskezelés

  • Cikk

Az incidenskezelés magában foglalja az incidensmegoldás életciklusának szabályozását – előkészítést, észlelést és elemzést, elszigetelést és incidens utáni tevékenységeket, beleértve az Azure-szolgáltatások, például a Felhőhöz készült Microsoft Defender és a Sentinel használatát az incidensmegoldási folyamat automatizálásához.

IR-1: Előkészítés – incidenskezelési terv és kezelési folyamat frissítése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
17.4, 17.7 IR-4, IR-8 10,8

Biztonsági elv: Győződjön meg arról, hogy szervezete az iparági ajánlott eljárásokat követve dolgozza ki a felhőplatformokon a biztonsági incidensekre reagáló folyamatokat és terveket. Ügyeljen a megosztott felelősségi modellre és az IaaS-, PaaS- és SaaS-szolgáltatások eltérésére. Ez közvetlen hatással lesz arra, hogyan működik együtt a felhőszolgáltatóval az incidensmegoldási és kezelési tevékenységekben, például incidensértesítésekben és osztályozásokban, bizonyítékok gyűjtésében, kivizsgálásban, felszámolásban és helyreállításban.

Rendszeresen tesztelje az incidenskezelési tervet és a kezelési folyamatot, hogy biztosan naprakészek legyenek.

Azure-útmutató: Frissítse a szervezet incidenskezelési folyamatát úgy, hogy az tartalmazza az incidens kezelését az Azure platformon. A használt Azure-szolgáltatások és az alkalmazás természete alapján testre szabhatja az incidensmegoldási tervet és a forgatókönyvet, hogy azok felhasználhatók legyenek az incidensre való reagáláshoz a felhőkörnyezetben.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

IR-2: Előkészítés – incidensértesítés beállítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
17.1, 17.3, 17.6 IR-4, IR-8, IR-5, IR-6 12.10

Biztonsági elv: Győződjön meg arról, hogy a felhőszolgáltató platformjáról és környezeteiből érkező biztonsági riasztások és incidensértesítések megfelelő kapcsolattartóval érkeznek az incidensmegoldási szervezetben.

Azure-útmutató: Biztonsági incidensek kapcsolattartási adatainak beállítása Felhőhöz készült Microsoft Defender. A Microsoft ezen kapcsolattartási adatok használatával keresi meg Önt, ha a Microsoft Security Response Center (MSCR) felfedezi, hogy az adataihoz törvénytelen vagy jogosulatlan módon fértek hozzá. Lehetősége van az incidensekkel kapcsolatos riasztások és értesítések testreszabására a különböző Azure-szolgáltatásokban az incidensválasz-igények alapján.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

IR-3: Észlelés és elemzés – incidensek létrehozása kiváló minőségű riasztások alapján

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
17,9 IR-4, IR-5, IR-7 10,8

Biztonsági elv: Győződjön meg arról, hogy rendelkezik egy kiváló minőségű riasztások létrehozására és a riasztások minőségének mérésére vonatkozó folyamatával. Ez lehetővé teszi, hogy tanuljon a korábbi incidensekből, és rangsorolja a riasztásokat az elemzők számára, hogy ne pazarolják az időt a téves pozitív eredményekre.

A magas minőségű riasztások készítése épülhet a korábbi incidensek tapasztalataira, az ellenőrzött közösségi forrásokra, valamint azokra az eszközökre, amelyek a riasztások generálását és tisztítását a különböző jelforrások egyesítésével és egyeztetésével végzik.

Azure-útmutató: Felhőhöz készült Microsoft Defender kiváló minőségű riasztásokat biztosít számos Azure-eszközre vonatkozóan. Az Felhőhöz készült Microsoft Defender adatösszekötő használatával streamelheti a riasztásokat az Azure Sentinelbe. Az Azure Sentinellel speciális riasztási szabályokat hozhat létre, amelyekkel automatikusan hozhat létre incidenseket a vizsgálatokhoz.

Exportálja Felhőhöz készült Microsoft Defender riasztásait és javaslatait az exportálási funkcióval az Azure-erőforrásokra vonatkozó kockázatok azonosításához. A riasztásokat és javaslatokat manuálisan vagy folyamatosan is exportálhatja.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

IR-4: Észlelés és elemzés – incidens kivizsgálása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
N/A IR-4 12.10

Biztonsági elv: Győződjön meg arról, hogy a biztonsági műveleti csapat különböző adatforrásokat kérdezhet le és használhat a lehetséges incidensek kivizsgálása során, hogy teljes képet alkothasson a történtekről. A vakfoltok elkerülése érdekében különböző naplókat kell gyűjteni a potenciális támadók tevékenységének követéséhez a támadási útvonalon. A megállapítások és eredmények rögzítéséről is érdemes gondoskodnia, hogy később más elemzők referenciaként használhassák őket.

Azure-útmutató: A vizsgálat adatforrásai azok a központosított naplózási források, amelyeket már gyűjtenek a hatókörön belüli szolgáltatásokból és a futó rendszerekből, de a következőket is tartalmazhatják:

  • Hálózati adatok: A hálózati biztonsági csoportok folyamatnaplóinak, az Azure Network Watcher és az Azure Monitornak a segítségével rögzítheti a hálózati forgalom naplóit és egyéb elemzési adatait.
  • Pillanatképek a futó rendszerekről: a) Az Azure-beli virtuális gép pillanatkép-képessége a futó rendszer lemezének pillanatképének létrehozásához. b) Az operációs rendszer natív memóriaképének képessége a futó rendszer memóriájának pillanatképének létrehozásához. c) Az Azure-szolgáltatások vagy a szoftver saját képességeinek pillanatkép funkciója a futó rendszerek pillanatképeinek létrehozásához.

Az Azure Sentinel széles körű adatelemzést tesz lehetővé szinte bármely naplózási forráson és egy esetfelügyeleti portálon az incidensek teljes életciklusának kezeléséhez. A vizsgálatok során kapott információk társíthatók egy incidenssel nyomkövetés és jelentéskészítés céljából.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

IR-5: Észlelés és elemzés – incidensek rangsorolása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
17.4, 17.9 IR-4 12.10

Biztonsági elv: Adjon kontextust a biztonsági üzemeltetési csapatoknak, hogy könnyebben megállapítsák, mely incidensekre kell először összpontosítani a szervezet incidensmegoldási tervében meghatározott riasztási súlyosság és eszközérzékenység alapján.

Azure-útmutató: Felhőhöz készült Microsoft Defender minden riasztáshoz hozzárendel egy súlyosságot, hogy könnyebben rangsorolhassa, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy milyen magabiztos Felhőhöz készült Microsoft Defender a riasztás kibocsátásához használt megállapításban vagy elemzésben, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.

Emellett a címkék használatával megjelölheti az erőforrásokat, és létrehozhat egy elnevezési rendszert az Azure-erőforrások, különösen a bizalmas adatok feldolgozását végző erőforrások azonosításához és kategorizálásához. Az Ön felelőssége, hogy rangsorolja a riasztások megoldását azon Azure-erőforrások és -környezetek kritikussága alapján, ahol az incidens történt.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

IR-6: Elszigetelés, felszámolás és helyreállítás – az incidenskezelés automatizálása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
N/A IR-4, IR-5, IR-6 12.10

Biztonsági elv: Automatizálja a manuális, ismétlődő feladatokat, hogy felgyorsítsa a válaszidőt, és csökkentse az elemzőkre nehezedő terheket. A manuális tevékenységek végrehajtása több időt vesz igénybe, emiatt az elemzők kevesebb incidenst képesek kezelni. A manuális feladatok növelik az elemzők fáradtságát is, ami növeli az emberi hibák kockázatát, ami késéseket okoz, és rontja az elemzők azon képességét, hogy hatékonyan összpontosítsanak az összetett feladatokra.

Azure-útmutató: Az Felhőhöz készült Microsoft Defender és az Azure Sentinel munkafolyamat-automatizálási funkcióival automatikusan aktiválhat műveleteket, vagy forgatókönyvet futtathat a bejövő biztonsági riasztásokra való válaszadáshoz. A forgatókönyv műveleteket hajt végre, például értesítéseket küld, fiókokat tilt le, és elkülöníti a problémás hálózatokat.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

IR-7: Incidens utáni tevékenység – a tanult leckék végrehajtása és a bizonyítékok megőrzése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 ID(k) PCI-DSS ID(k) v3.2.1
17.8 IR-4 12.10

Biztonsági elv: Rendszeresen és/vagy nagyobb incidensek után tanuljon a szervezetében, hogy javítsa az incidenskezelés és -kezelés jövőbeni képességét.

Az incidens jellegén alapulva az incidenssel kapcsolatos bizonyítékokat az incidenskezelési szabványban meghatározott időtartamra megőrzi további elemzés vagy jogi lépések céljából.

Azure-útmutató: A leckében tanult tevékenység eredményeinek használatával frissítheti incidensmegoldási tervét, forgatókönyvét (például Azure Sentinel-forgatókönyvet), és visszaállíthatja a megállapításokat a környezetekbe (például naplózási és fenyegetésészlelési feladatokat a naplózási hiányosságok kezelésére), hogy javítsa az incidens észlelésére, megválaszolására és kezelésére vonatkozó jövőbeli képességet az Azure-ban.

Őrizze meg az "Észlelés és elemzés – incidenslépés kivizsgálása" során gyűjtött bizonyítékokat, például a rendszernaplókat, a hálózati forgalom memóriaképét és a rendszer pillanatképének a tárolóban való futtatását, például az Azure Storage-fiókot a megőrzéshez.

Implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):