Beveiligingsbeheer v3: Reactie op incidenten

  • Artikel

Incidentrespons omvat controles in de levenscyclus van reacties op incidenten: voorbereiding, detectie en analyse, insluiting en incidentactiviteiten, waaronder het gebruik van Azure-services zoals Microsoft Defender voor Cloud en Sentinel om het incidentresponsproces te automatiseren.

IR-1: Voorbereiding - reactieplan voor incidenten bijwerken en verwerken

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
17.4, 17.7 IR-4, IR-8 10.8

Beveiligingsprincipe: Zorg ervoor dat uw organisatie best practice volgt om processen en plannen te ontwikkelen om te reageren op beveiligingsincidenten op de cloudplatforms. Houd rekening met het gedeelde verantwoordelijkheidsmodel en de verschillen tussen IaaS-, PaaS- en SaaS-services. Dit heeft een directe impact op de manier waarop u samenwerkt met uw cloudprovider in incidentrespons en afhandelingsactiviteiten, zoals incidentmeldingen en -triage, verzameling van bewijsmateriaal, onderzoek, uitroeiing en herstel.

Test regelmatig het incidentresponsplan en het afhandelingsproces om ervoor te zorgen dat ze up-to-date zijn.

Richtlijnen voor Azure: Werk het incidentresponsproces van uw organisatie bij om de verwerking van incidenten op te nemen in het Azure-platform. Pas op basis van de gebruikte Azure-services en de aard van uw toepassing het reactieplan en het playbook voor incidenten aan om ervoor te zorgen dat ze kunnen worden gebruikt om te reageren op het incident in de cloudomgeving.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IR-2: Voorbereiding - incidentmelding instellen

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
17.1, 17.3, 17.6 IR-4, IR-8, IR-5, IR-6 12.10

Beveiligingsprincipe: Zorg ervoor dat de beveiligingswaarschuwingen en incidentmeldingen van het platform van de cloudserviceprovider en uw omgevingen kunnen worden ontvangen door de juiste contactpersoon in uw organisatie voor incidentrespons.

Richtlijnen voor Azure: Contactgegevens voor beveiligingsincidenten instellen in Microsoft Defender voor Cloud. Deze contactgegevens worden door Microsoft gebruikt om contact met u op te nemen als het Microsoft Security Response Center (MSRC) vaststelt dat een niet-geautoriseerde partij toegang tot uw gegevens heeft gekregen. Er zijn ook opties waarmee u incidentwaarschuwingen en -meldingen in verschillende Azure-Services kunt aanpassen aan de hand van wat u als incidentrespons nodig acht.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IR-3: Detectie en analyse : incidenten maken op basis van waarschuwingen van hoge kwaliteit

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
17.9 IR-4, IR-5, IR-7 10.8

Beveiligingsprincipe: Zorg ervoor dat u een proces hebt om waarschuwingen van hoge kwaliteit te maken en de kwaliteit van waarschuwingen te meten. Hierdoor kunt u lessen leren uit eerdere incidenten en waarschuwingen prioriteren voor analisten, zodat ze geen tijd verspillen aan fout-positieven.

Waarschuwingen van hoge kwaliteit kunnen worden samengesteld op basis van ervaringen uit eerdere incidenten, op grond van gevalideerde communitybronnen, en door tools te gebruiken die zijn ontworpen om waarschuwingen te genereren en op te schonen door diverse signaalbronnen samen te voegen en er correlaties tussen te ontdekken.

Azure-richtlijnen: Microsoft Defender voor Cloud biedt waarschuwingen van hoge kwaliteit voor veel Azure-assets. U kunt de Microsoft Defender voor Cloud gegevensconnector gebruiken om de waarschuwingen naar Azure Sentinel te streamen. Met Azure Sentinel kunt u geavanceerde waarschuwingsregels opstellen om automatisch incidenten te genereren voor onderzoek.

Exporteer uw Microsoft Defender voor Cloud waarschuwingen en aanbevelingen met behulp van de exportfunctie om risico's voor Azure-resources te identificeren. U kunt waarschuwingen en aanbevelingen handmatig exporteren of doorlopend.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IR-4: Detectie en analyse - een incident onderzoeken

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
N.v.t. IR-4 12.10

Beveiligingsprincipe: Zorg ervoor dat het beveiligingsteam diverse gegevensbronnen kan opvragen en gebruiken tijdens het onderzoeken van mogelijke incidenten, om een volledig overzicht te maken van wat er is gebeurd. Er moeten verschillende logboeken worden verzameld om de activiteiten van een mogelijke aanvaller in de kill chain te volgen om zo blinde vlekken te voorkomen. U moet er ook voor zorgen dat inzichten en resultaten worden vastgelegd voor andere analisten, zodat deze kunnen worden geraadpleegd als historische naslaginformatie.

Richtlijnen voor Azure: De gegevensbronnen voor onderzoek zijn de gecentraliseerde logboekregistratiebronnen die al worden verzameld van de services binnen het bereik en actieve systemen, maar kunnen ook het volgende omvatten:

  • Netwerkgegevens: gebruik de stroomlogboeken van netwerkbeveiligingsgroepen, Azure Network Watcher en Azure Monitor om netwerkstroomlogboeken en andere analysegegevens vast te leggen.
  • Momentopnamen van actieve systemen: a) de momentopnamemogelijkheden van de virtuele Azure-machine om een momentopname te maken van de schijf van het actieve systeem. b) De systeemeigen geheugendumpmogelijkheid van het besturingssysteem om een momentopname te maken van het geheugen van het actieve systeem. c) De momentopnamefunctie van de Azure-services of de eigen mogelijkheid van uw software om momentopnamen van de actieve systemen te maken.

Azure Sentinel biedt uitgebreide voorzieningen voor gegevensanalyse voor vrijwel elke logboekbron en een portal voor dossierbeheer om de volledige levenscyclus van incidenten te beheren. Informatie die wordt verzameld tijdens een onderzoek kan worden gekoppeld aan een incident voor tracerings- en rapportagedoeleinden.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IR-5: Detectie en analyse : incidenten prioriteren

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
17.4, 17.9 IR-4 12.10

Beveiligingsprincipe: Geef context aan beveiligingsteams om te bepalen op welke incidenten eerst moet worden gericht, op basis van de ernst van waarschuwingen en de gevoeligheid van activa die zijn gedefinieerd in het reactieplan voor incidenten van uw organisatie.

Azure Guidance: Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is in de zoekbewerking of de analyse die wordt gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke bedoelingen waren achter de activiteit die tot de waarschuwing leidde.

Daarnaast kunt u resources markeren met behulp van tags en een naamgevingssysteem opzetten om Azure-resources te identificeren en categoriseren, met name voor resources die gevoelige gegevens verwerken. Het is uw verantwoordelijkheid om prioriteit te geven aan het oplossen van waarschuwingen op basis van de ernst van de Azure-resources en -omgeving waarin het incident heeft plaatsgevonden.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IR-6: Insluiting, uitroeiing en herstel - automatiseer de verwerking van incidenten

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
N.v.t. IR-4, IR-5, IR-6 12.10

Beveiligingsprincipe: Automatiseer de handmatige, terugkerende taken om de reactietijd te versnellen en de belasting van analisten te verminderen. Het uitvoeren van handmatige taken duurt langer, waardoor elk incident trager gaat en het aantal incidenten dat een analist kan afhandelen, kleiner wordt. Handmatige taken verhogen ook de vermoeidheid van analisten, waardoor het risico op menselijke fouten toeneemt dat vertragingen veroorzaakt en de mogelijkheid van analisten om zich effectief te richten op complexe taken.

Azure-richtlijnen: Gebruik functies voor werkstroomautomatisering in Microsoft Defender voor Cloud en Azure Sentinel om automatisch acties te activeren of een playbook uit te voeren om te reageren op binnenkomende beveiligingswaarschuwingen. Het playbook voert acties uit, zoals het verzenden van meldingen, het uitschakelen van accounts en het isoleren van problematische netwerken.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

IR-7: Activiteit na incidenten : les geleerd en bewijs uitvoeren

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
17.8 IR-4 12.10

Beveiligingsprincipe: Voer regelmatig en/of na belangrijke incidenten les uit in uw organisatie om uw toekomstige mogelijkheden bij het reageren en afhandelen van incidenten te verbeteren.

Op basis van de aard van het incident behoudt u het bewijs dat betrekking heeft op het incident voor de periode die is gedefinieerd in de standaard voor incidentafhandeling voor verdere analyse of juridische acties.

Azure-richtlijnen: Gebruik het resultaat van de geleerde lesactiviteit om uw plan voor reactie op incidenten bij te werken, playbook (zoals Azure Sentinel-playbook) en bevindingen opnieuw toe te voegen aan uw omgevingen (zoals logboekregistratie en detectie van bedreigingen om eventuele gebieden voor logboekregistraties te verhelpen) om uw toekomstige mogelijkheden te verbeteren bij het detecteren, reageren en afhandelen van het incident in Azure.

Bewaar het bewijs dat wordt verzameld tijdens de 'Detectie en analyse: een incidentstap onderzoeken', zoals systeemlogboeken, netwerkverkeerdump en systeemmomentopnamen uitvoeren in opslag, zoals Azure Storage-account voor retentie.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):