Share via


Beveiligingsbeheer: reactie op incidenten

Reactie op incidenten omvat besturingselementen in de levenscyclus van reacties op incidenten: voorbereiding, detectie en analyse, insluiting en post-incidentactiviteiten, waaronder het gebruik van Azure-services (zoals Microsoft Defender voor Cloud en Sentinel) en/of andere cloudservices om het reactieproces voor incidenten te automatiseren.

IR-1: Voorbereiding - plan voor het reageren op incidenten bijwerken en proces afhandelen

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
17.4, 17.7 IR-4, IR-8 10.8

Beveiligingsprincipe: zorg ervoor dat uw organisatie best practices in de branche volgt voor het ontwikkelen van processen en plannen om te reageren op beveiligingsincidenten op de cloudplatforms. Houd rekening met het model voor gedeelde verantwoordelijkheid en de afwijkingen in IaaS-, PaaS- en SaaS-services. Dit heeft een directe invloed op de manier waarop u met uw cloudprovider samenwerkt bij het reageren op incidenten en het afhandelen van activiteiten, zoals het melden en sorteren van incidenten, het verzamelen van bewijs, onderzoek, uitroeiing en herstel.

Test regelmatig het plan voor het reageren op incidenten en het verwerkingsproces om ervoor te zorgen dat ze up-to-date zijn.


Azure-richtlijnen: werk het reactieproces voor incidenten van uw organisatie bij om de afhandeling van incidenten in het Azure-platform op te nemen. Op basis van de gebruikte Azure-services en de aard van uw toepassing past u het incidentresponsplan en playbook aan om ervoor te zorgen dat ze kunnen worden gebruikt om te reageren op het incident in de cloudomgeving.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: werk het incidentresponsproces van uw organisatie bij met de afhandeling van incidenten. Zorg ervoor dat er een uniform reactieplan voor incidenten in meerdere clouds is door het reactieproces voor incidenten van uw organisatie bij te werken, zodat de afhandeling van incidenten in het AWS-platform wordt opgenomen. Op basis van de gebruikte AWS-services en de aard van uw toepassing, volgt u de AWS Security Incident Response Guide om het incidentresponsplan en playbook aan te passen om ervoor te zorgen dat ze kunnen worden gebruikt om te reageren op het incident in de cloudomgeving.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: werk het reactieproces voor incidenten van uw organisatie bij met de afhandeling van incidenten. Zorg ervoor dat er een uniform reactieplan voor incidenten in meerdere clouds is door het reactieproces voor incidenten van uw organisatie bij te werken, zodat de afhandeling van incidenten in het Google Cloud-platform wordt opgenomen.

GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie):

IR-2: Voorbereiding - melding van incident instellen

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
17.1, 17.3, 17.6 IR-4, IR-8, IR-5, IR-6 12.10

Beveiligingsprincipe: zorg ervoor dat de beveiligingswaarschuwingen en incidentmeldingen van het platform van de cloudserviceprovider en uw omgevingen kunnen worden ontvangen door de juiste contactpersoon in uw incidentresponsorganisatie.


Azure-richtlijnen: contactgegevens voor beveiligingsincidenten instellen in Microsoft Defender for Cloud. Deze contactgegevens worden door Microsoft gebruikt om contact met u op te nemen als het Microsoft Security Response Center (MSRC) vaststelt dat een niet-geautoriseerde partij toegang tot uw gegevens heeft gekregen. U hebt ook opties voor het aanpassen van incidentwaarschuwingen en -meldingen in verschillende Azure-services op basis van uw behoeften voor het reageren op incidenten.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: contactgegevens voor beveiligingsincidenten instellen in AWS Systems Manager Incident Manager (het incidentenbeheercentrum voor AWS). Deze contactgegevens worden gebruikt voor incidentbeheercommunicatie tussen u en AWS via de verschillende kanalen (bijvoorbeeld Email, sms of spraak). U kunt het betrokkenheidsplan en escalatieplan van een contactpersoon definiëren om te beschrijven hoe en wanneer de incidentmanager contact opneemt met de contactpersoon en om te escaleren als de contactpersoon(en) niet op een incident reageert.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: stel meldingen voor beveiligingsincidenten in voor bepaalde contactpersonen met behulp van Security Command Center of Chronicle. Gebruik Google Cloud-services en API's van derden om realtime e-mail- en chatmeldingen te bieden om te waarschuwen over beveiligingsresultaten voor Security Command Center, of playbooks om acties te activeren voor het verzenden van meldingen in Chronicle.

GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie):

IR-3: Detectie en analyse: incidenten maken op basis van waarschuwingen van hoge kwaliteit

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
17.9 IR-4, IR-5, IR-7 10.8

Beveiligingsprincipe: zorg ervoor dat u een proces hebt voor het maken van waarschuwingen van hoge kwaliteit en het meten van de kwaliteit van waarschuwingen. Hierdoor kunt u lessen trekken uit eerdere incidenten en waarschuwingen voor analisten prioriteren, zodat ze geen tijd verspillen aan fout-positieven.

Waarschuwingen van hoge kwaliteit kunnen worden samengesteld op basis van ervaringen uit eerdere incidenten, op grond van gevalideerde communitybronnen, en door tools te gebruiken die zijn ontworpen om waarschuwingen te genereren en op te schonen door diverse signaalbronnen samen te voegen en er correlaties tussen te ontdekken.


Azure-richtlijnen: Microsoft Defender for Cloud biedt waarschuwingen van hoge kwaliteit voor veel Azure-assets. U kunt de gegevensconnector Microsoft Defender for Cloud gebruiken om de waarschuwingen naar Microsoft Sentinel te streamen. Met Microsoft Sentinel kunt u geavanceerde waarschuwingsregels maken om incidenten automatisch te genereren voor een onderzoek.

Exporteer uw Microsoft Defender voor cloudwaarschuwingen en -aanbevelingen met behulp van de exportfunctie om risico's voor Azure-resources te identificeren. U kunt waarschuwingen en aanbevelingen handmatig exporteren of doorlopend.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: gebruik beveiligingshulpprogramma's zoals SecurityHub of GuardDuty en andere hulpprogramma's van derden om waarschuwingen te verzenden naar Amazon CloudWatch of Amazon EventBridge, zodat incidenten automatisch kunnen worden gemaakt in Incident Manager op basis van de gedefinieerde criteria en regelsets. U kunt ook handmatig incidenten maken in Incident Manager voor verdere afhandeling en tracering van incidenten.

Als u Microsoft Defender for Cloud gebruikt om uw AWS-accounts te bewaken, kunt u ook Microsoft Sentinel gebruiken om de incidenten te bewaken en te waarschuwen die zijn geïdentificeerd door Microsoft Defender voor Cloud op AWS-resources.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: Integreer Google Cloud en services van derden om logboeken en waarschuwingen te verzenden naar Security Command Center of Chronicle, zodat incidenten automatisch kunnen worden gemaakt op basis van gedefinieerde criteria. U kunt ook handmatig incidentresultaten maken en bewerken in Security Command Center of regels in Chronicle voor verdere afhandeling en tracering van incidenten.

Als u Microsoft Defender for Cloud gebruikt om uw GCP-projecten te bewaken, kunt u microsoft Sentinel ook gebruiken om de incidenten te bewaken en te waarschuwen die zijn geïdentificeerd door Microsoft Defender voor Cloud op GCP-resources, of om GCP-logboeken rechtstreeks naar Microsoft Sentinel te streamen.

GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie):

IR-4: Detectie en analyse : een incident onderzoeken

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
N.v.t. IR-4 12.10

Beveiligingsprincipe: Zorg ervoor dat het beveiligingsteam verschillende gegevensbronnen kan opvragen en gebruiken bij het onderzoeken van mogelijke incidenten, om een volledig overzicht te maken van wat er is gebeurd. Er moeten verschillende logboeken worden verzameld om de activiteiten van een mogelijke aanvaller in de kill chain te volgen om zo blinde vlekken te voorkomen. U moet er ook voor zorgen dat inzichten en resultaten worden vastgelegd voor andere analisten, zodat deze kunnen worden geraadpleegd als historische naslaginformatie.

Gebruik de cloudeigen SIEM- en incidentbeheeroplossing als uw organisatie geen bestaande oplossing heeft voor het samenvoegen van beveiligingslogboeken en informatie over waarschuwingen. Correleert incidentgegevens op basis van de gegevens uit verschillende bronnen om het incidentonderzoek mogelijk te maken.


Azure-richtlijnen: Zorg ervoor dat uw beveiligingsteam query's kan uitvoeren op en gebruik kan maken van diverse gegevensbronnen die worden verzameld uit de services en systemen binnen het bereik. Daarnaast kunnen de bronnen ook het volgende omvatten:

  • Identiteits- en toegangslogboekgegevens: gebruik Azure AD logboeken en werkbelasting (zoals besturingssystemen of toepassingsniveau) toegangslogboeken voor het correleren van identiteits- en toegangsevenementen.
  • Netwerkgegevens: gebruik stroomlogboeken van netwerkbeveiligingsgroepen, Azure Network Watcher en Azure Monitor om netwerkstroomlogboeken en andere analysegegevens vast te leggen.
  • Incidentgerelateerde activiteitsgegevens van uit momentopnamen van de betrokken systemen, die kunnen worden verkregen via:
    • De mogelijkheid voor momentopnamen van de virtuele Azure-machine om een momentopname van de schijf van het actieve systeem te maken.
    • De systeemeigen geheugendumpmogelijkheid van het besturingssysteem om een momentopname van het actieve systeemgeheugen te maken.
    • De momentopnamefunctie van andere ondersteunde Azure-services of de eigen mogelijkheden van uw software om momentopnamen van de actieve systemen te maken.

Microsoft Sentinel biedt uitgebreide gegevensanalyse voor vrijwel elke logboekbron en een casebeheerportal om de volledige levenscyclus van incidenten te beheren. Informatie die wordt verzameld tijdens een onderzoek kan worden gekoppeld aan een incident voor tracerings- en rapportagedoeleinden.

Opmerking: wanneer incidentgerelateerde gegevens worden vastgelegd voor onderzoek, moet u ervoor zorgen dat er voldoende beveiliging is om de gegevens te beschermen tegen onbevoegde wijzigingen, zoals het uitschakelen van logboekregistratie of het verwijderen van logboeken, die door de aanvallers kunnen worden uitgevoerd tijdens een activiteit met gegevensschending tijdens een in-flight gegevensschending.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: de gegevensbronnen voor onderzoek zijn de gecentraliseerde logboekregistratiebronnen die afkomstig zijn van de services binnen het bereik en actieve systemen, maar kunnen ook het volgende omvatten:

  • Identiteits- en toegangslogboekgegevens: gebruik IAM-logboeken en toegangslogboeken (zoals besturingssystemen of toepassingsniveau) voor het correleren van identiteits- en toegangsevenementen.
  • Netwerkgegevens: gebruik VPC-stroomlogboeken, VPC-verkeersspiegels en Azure CloudTrail en CloudWatch om netwerkstroomlogboeken en andere analysegegevens vast te leggen.
  • Momentopnamen van actieve systemen, die kunnen worden verkregen via:
    • Momentopnamemogelijkheid in Amazon EC2 (EBS) om een momentopname van de schijf van het actieve systeem te maken.
    • De systeemeigen geheugendumpmogelijkheid van het besturingssysteem om een momentopname van het actieve systeemgeheugen te maken.
    • De momentopnamefunctie van de AWS-services of de eigen mogelijkheid van uw software om momentopnamen van de actieve systemen te maken.

Als u uw SIEM-gerelateerde gegevens samenvoegt in Microsoft Sentinel, biedt het uitgebreide gegevensanalyse in vrijwel elke logboekbron en een portal voor casebeheer om de volledige levenscyclus van incidenten te beheren. Informatie die wordt verzameld tijdens een onderzoek kan worden gekoppeld aan een incident voor tracerings- en rapportagedoeleinden.

Opmerking: wanneer incidentgerelateerde gegevens worden vastgelegd voor onderzoek, moet u ervoor zorgen dat er voldoende beveiliging is om de gegevens te beschermen tegen onbevoegde wijzigingen, zoals het uitschakelen van logboekregistratie of het verwijderen van logboeken, die door de aanvallers kunnen worden uitgevoerd tijdens een activiteit met gegevensschending tijdens een in-flight gegevensschending.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: de gegevensbronnen voor onderzoek zijn de gecentraliseerde logboekregistratiebronnen die worden verzameld van de services binnen het bereik en actieve systemen, maar kunnen ook het volgende omvatten:

  • Identiteits- en toegangslogboekgegevens: gebruik IAM-logboeken en toegangslogboeken (zoals besturingssystemen of toepassingsniveau) voor het correleren van identiteits- en toegangsevenementen.
  • Netwerkgegevens: gebruik VPC-stroomlogboeken en VPC-servicebesturingselementen om netwerkstroomlogboeken en andere analysegegevens vast te leggen.
  • Momentopnamen van actieve systemen, die kunnen worden verkregen via:
    1. Mogelijkheid voor momentopnamen in GCP-VM's om een momentopname van de schijf van het actieve systeem te maken.
    2. De systeemeigen geheugendumpmogelijkheid van het besturingssysteem om een momentopname van het actieve systeemgeheugen te maken.
    3. De momentopnamefunctie van de GCP-services of de eigen mogelijkheid van uw software om momentopnamen van de actieve systemen te maken.

Als u uw SIEM-gerelateerde gegevens samenvoegt in Microsoft Sentinel, biedt het uitgebreide gegevensanalyse in vrijwel elke logboekbron en een portal voor casebeheer om de volledige levenscyclus van incidenten te beheren. Informatie die wordt verzameld tijdens een onderzoek kan worden gekoppeld aan een incident voor tracerings- en rapportagedoeleinden.

Opmerking: wanneer incidentgerelateerde gegevens worden vastgelegd voor onderzoek, moet u ervoor zorgen dat er voldoende beveiliging is om de gegevens te beschermen tegen onbevoegde wijzigingen, zoals het uitschakelen van logboekregistratie of het verwijderen van logboeken, die door de aanvallers kunnen worden uitgevoerd tijdens een activiteit met gegevensschending tijdens een in-flight gegevensschending.

GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie)::

IR-5: Detectie en analyse - incidenten prioriteren

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
17.4, 17.9 IR-4 12.10

Beveiligingsprincipe: Bied context aan beveiligingsteams om hen te helpen bepalen op welke incidenten zich het eerst moeten richten, op basis van de ernst van de waarschuwingen en de gevoeligheid van assets die zijn gedefinieerd in het plan voor incidentrespons van uw organisatie.

Daarnaast markeert u resources met behulp van tags en maakt u een naamgevingssysteem om uw cloudresources te identificeren en te categoriseren, met name resources die gevoelige gegevens verwerken. Het is uw verantwoordelijkheid om prioriteit te geven aan het herstel van waarschuwingen op basis van de ernst van de resources en omgeving waar het incident heeft plaatsgevonden.


Azure-richtlijnen: Microsoft Defender for Cloud wijst een ernst toe aan elke waarschuwing, zodat u prioriteit kunt geven aan welke waarschuwingen het eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender for Cloud is in de bevinding of de analyse die is gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er kwaadwillende bedoelingen achter de activiteit zitten die tot de waarschuwing heeft geleid.

Op dezelfde manier maakt Microsoft Sentinel waarschuwingen en incidenten met een toegewezen ernst en andere details op basis van analyseregels. Gebruik analytische regelsjablonen en pas de regels aan op basis van de behoeften van uw organisatie om de prioriteitstelling van incidenten te ondersteunen. Gebruik automatiseringsregels in Microsoft Sentinel om bedreigingsreacties te beheren en te organiseren om de efficiëntie en effectiviteit van uw beveiligingsbewerking te maximaliseren, inclusief het taggen van incidenten om ze te classificeren.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: wijs voor elk incident dat in incidentmanager wordt gemaakt, een impactniveau toe op basis van de gedefinieerde criteria van uw organisatie, zoals een meting van de ernst van het incident en het ernstniveau van de betrokken assets.

AWS-implementatie en aanvullende context:


* GCP-richtlijnen: voor elk incident dat in Security Command Center wordt gemaakt, bepaalt u de prioriteit van de waarschuwing op basis van de ernstclassificaties die zijn toegewezen door het systeem en andere criteria die door uw organisatie zijn gedefinieerd. Meet de ernst van het incident en het ernstniveau van de betrokken assets om te bepalen welke waarschuwingen het eerst moeten worden onderzocht.

Op dezelfde manier kunt u in Chronical aangepaste regels definiëren om de prioriteiten voor het reageren op incidenten te bepalen. GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie)::

IR-6: Insluiting, uitroeiing en herstel - automatiseer de incidentafhandeling

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
N.v.t. IR-4, IR-5, IR-6 12.10

Beveiligingsprincipe: automatiseer de handmatige, terugkerende taken om de reactietijd te versnellen en de belasting voor analisten te verminderen. Het uitvoeren van handmatige taken duurt langer, waardoor elk incident trager gaat en het aantal incidenten dat een analist kan afhandelen, kleiner wordt. Handmatige taken vergroten ook de vermoeidheid van analisten, waardoor het risico op menselijke fouten toeneemt dat vertragingen veroorzaakt en het vermogen van analisten om zich effectief op complexe taken te concentreren, wordt verminderd.


Azure-richtlijnen: Gebruik functies voor werkstroomautomatisering in Microsoft Defender voor Cloud en Microsoft Sentinel om automatisch acties te activeren of playbooks uit te voeren om te reageren op binnenkomende beveiligingswaarschuwingen. Playbooks voeren acties uit, zoals het verzenden van meldingen, het uitschakelen van accounts en het isoleren van problematische netwerken.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: als u Microsoft Sentinel gebruikt om uw incident centraal te beheren, kunt u ook geautomatiseerde acties maken of playbooks uitvoeren om te reageren op binnenkomende beveiligingswaarschuwingen.

U kunt ook automatiseringsfuncties in AWS System Manager gebruiken om automatisch acties te activeren die zijn gedefinieerd in het reactieplan voor incidenten, waaronder het waarschuwen van de contactpersonen en/of het uitvoeren van een runbook om te reageren op waarschuwingen, zoals het uitschakelen van accounts en het isoleren van problematische netwerken.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: als u Microsoft Sentinel gebruikt om uw incident centraal te beheren, kunt u ook geautomatiseerde acties maken of playbooks uitvoeren om te reageren op binnenkomende beveiligingswaarschuwingen.

U kunt ook Playbook-automatiseringen in Chronicle gebruiken om automatisch acties te activeren die zijn gedefinieerd in het reactieplan voor incidenten, waaronder het op de hoogte stellen van de contactpersonen en/of het uitvoeren van een playbook om te reageren op waarschuwingen.

GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie):

IR-7: Activiteit na incidenten - geleerde lessen uitvoeren en bewijs bewaren

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
17.8 IR-4 12.10

Beveiligingsprincipe: voer regelmatig en/of na grote incidenten lessen uit die u in uw organisatie hebt geleerd om uw toekomstige mogelijkheden bij het reageren op en afhandelen van incidenten te verbeteren.

Op basis van de aard van het incident bewaart u het bewijsmateriaal met betrekking tot het incident gedurende de periode die is gedefinieerd in de standaard voor incidentafhandeling voor verdere analyse of juridische acties.


Azure-richtlijnen: gebruik het resultaat van de geleerde activiteiten om uw plan voor incidentrespons, playbook (zoals een Microsoft Sentinel-playbook) bij te werken en bevindingen opnieuw in uw omgevingen te implementeren (zoals logboekregistratie en detectie van bedreigingen om eventuele hiaten in logboekregistratie op te lossen) om uw toekomstige mogelijkheden bij het detecteren, reageren en afhandelen van incidenten in Azure te verbeteren.

Bewaar het bewijsmateriaal dat is verzameld tijdens de stap 'Detectie en analyse- een incident onderzoeken', zoals systeemlogboeken, netwerkverkeerdumps en actieve systeemmomentopnamen in de opslag, zoals een Azure Storage-account, voor onveranderbare retentie.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: maak een incidentanalyse voor een gesloten incident in Incident Manager met behulp van de standaardsjabloon voor incidentanalyse of uw eigen aangepaste sjabloon. Gebruik het resultaat van de geleerde activiteiten om uw plan voor het reageren op incidenten, playbook (zoals het AWS Systems Manager-runbook en het Microsoft Sentinel-playbook) bij te werken en bevindingen opnieuw in uw omgevingen bij te werken (zoals logboekregistratie en detectie van bedreigingen om eventuele hiaten in logboekregistratie aan te pakken) om uw toekomstige mogelijkheden bij het detecteren, reageren en afhandelen van de incidenten in AWS te verbeteren.

Bewaar het bewijsmateriaal dat is verzameld tijdens de stap 'Detectie en analyse - een incident onderzoeken', zoals systeemlogboeken, netwerkverkeerdumps en actieve systeemmomentopnamen in opslag, zoals een Amazon S3-bucket of Een Azure Storage-account voor onveranderbare retentie.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: Gebruik het resultaat van de geleerde activiteiten om uw reactieplan voor incidenten, playbook (zoals een Chronicle- of Microsoft Sentinel-playbook) bij te werken en bevindingen opnieuw in uw omgevingen te verwerken (zoals logboekregistratie en detectie van bedreigingen om hiaten in logboekregistratie op te lossen) om uw toekomstige mogelijkheden bij het detecteren, reageren en afhandelen van incidenten in GCP te verbeteren.

Bewaar het bewijsmateriaal dat is verzameld tijdens de stap 'Detectie en analyse- een incident onderzoeken', zoals systeemlogboeken, netwerkverkeerdumps en actieve systeemmomentopnamen in de opslag, zoals een Google Cloud Storage- of een Azure Storage-account voor onveranderbare retentie.

GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie):