注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
攻撃をすばやく検出し、損害を効果的に封じ込め、攻撃者の存在を根絶し、ネットワークとシステムの整合性を復元するためのインシデント対応インフラストラクチャ (計画、定義された役割、トレーニング、通信、管理監視など) を開発して実装することで、組織の情報と評判を保護します。
10.1:インシデント対応ガイドを作成する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 10.1 | 19.1, 19.2, 19.3 | カスタマー |
組織のインシデント対応ガイドを作成します。 要員のすべてのロールを定義するインシデント対応計画が記述されていることと、検出からインシデント後のレビューまでのインシデント対応/管理のフェーズがあることを確認します。
10.2:インシデントのスコアリングと優先順位付けの手順を作成する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 10.2 | 19.8 | カスタマー |
Security Center では、各アラートに重大度が割り当てられ、最初に調査する必要があるアラートに優先順位を付けることができます。 重大度は、アラートの発行に使用される Security Center の信頼性や分析、およびアラートの原因となったアクティビティの背後に悪意のある意図があったという信頼度に基づいています。
さらに、タグを使用してサブスクリプション (運用、非運用など) を明確にマークし、Azure リソース 、特に機密データを処理するリソースを明確に識別して分類する名前付けシステムを作成します。 インシデントが発生した Azure リソースと環境の重要度に基づいて、アラートの修復に優先順位を付ける必要があります。
10.3:セキュリティ対応手順のテスト
| Azure ID | CISのID | 責任 |
|---|---|---|
| 10.3 | 19 | カスタマー |
Azure リソースを保護するために、システムのインシデント対応機能を定期的にテストする演習を実施します。 弱点とギャップを特定し、必要に応じて計画を修正します。
10.4:セキュリティ インシデントの連絡先の詳細を指定し、セキュリティ インシデントのアラート通知を構成します
| Azure ID | CISのID | 責任 |
|---|---|---|
| 10.4 | 19.5 | カスタマー |
セキュリティ インシデントの連絡先情報は、Microsoft Security Response Center (MSRC) によって、データが違法または未承認の当事者によってアクセスされたことが検出された場合に、お客様に連絡するために Microsoft によって使用されます。 事後のインシデントを確認して、問題が解決されていることを確認します。
10.5:インシデント対応システムにセキュリティ アラートを組み込む
| Azure ID | CISのID | 責任 |
|---|---|---|
| 10.5 | 19.6 | カスタマー |
継続的エクスポート機能を使用して Azure Security Center のアラートと推奨事項をエクスポートし、Azure リソースに対するリスクを特定します。 連続エクスポートを使用すると、アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートできます。 Azure Security Center データ コネクタを使用して、アラートを Azure Sentinel にストリーミングできます。
10.6: セキュリティ アラートへの対応を自動化する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 10.6 | 19 | カスタマー |
Azure Security Center のワークフロー自動化機能を使用して、Azure リソースを保護するためのセキュリティ アラートと推奨事項に関する "Logic Apps" を介して応答を自動的にトリガーします。
次のステップ
- 次のセキュリティ コントロール: 侵入テストと Red Team 演習を参照してください