Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga / Notatka
Najbardziej up-to— data testu porównawczego zabezpieczeń platformy Azure jest dostępna tutaj.
Reagowanie na incydenty obejmuje mechanizmy kontroli w cyklu życia reagowania na incydenty — przygotowanie, wykrywanie i analizę, ograniczanie oraz działania po incydencie. Obejmuje to korzystanie z usług platformy Azure, takich jak Azure Security Center i Sentinel, w celu zautomatyzowania procesu reagowania na zdarzenia.
Aby wyświetlić odpowiednią wbudowaną zasadę Azure Policy, zapoznaj się ze Szczegółami wbudowanej inicjatywy zgodności z regulacjami Azure Security Benchmark: Reagowanie na incydenty
IR-1: Przygotowanie — aktualizacja procesu reagowania na zdarzenia dla platformy Azure
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IR-1 | 19 | IR-4, IR-8 |
Upewnij się, że twoja organizacja ma procesy reagowania na zdarzenia zabezpieczeń, zaktualizowała te procesy dla platformy Azure i regularnie wykonuje je w celu zapewnienia gotowości.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-2: Przygotowanie – konfiguracja powiadomień o incydentach
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IR-2 | 19.5 | IR-4, IR-5, IR-6, IR-8 |
Skonfiguruj informacje kontaktowe dotyczące incydentów bezpieczeństwa w usłudze Azure Security Center. Te informacje kontaktowe są używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że twoje dane zostały użyte przez bezprawną lub nieautoryzowaną stronę. Dostępne są również opcje dostosowywania alertu zdarzeń i powiadomień w różnych usługach platformy Azure w zależności od potrzeb związanych z reagowaniem na zdarzenia.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-3: Wykrywanie i analiza — tworzenie zdarzeń na podstawie alertów wysokiej jakości
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IR-3 | 19,6 | IR-4, IR-5 |
Upewnij się, że masz proces tworzenia alertów wysokiej jakości i mierzenia jakości alertów. Dzięki temu możesz wyciągać wnioski z poprzednich zdarzeń i ustalać priorytety alertów dla analityków, dzięki czemu nie marnują czasu na fałszywie dodatnie wyniki.
Alerty wysokiej jakości można tworzyć na podstawie doświadczeń z poprzednich zdarzeń, zweryfikowanych źródeł społeczności i narzędzi przeznaczonych do generowania i czyszczenia alertów przez łączenie i korelowanie różnych źródeł sygnałów.
Usługa Azure Security Center udostępnia alerty wysokiej jakości w wielu zasobach platformy Azure. Łącznik danych z Azure Security Center (ASC) umożliwia przesyłanie strumieniowe alertów do Azure Sentinel. Usługa Azure Sentinel umożliwia tworzenie zaawansowanych reguł alertów w celu automatycznego generowania zdarzeń na potrzeby badania.
Wyeksportuj alerty i zalecenia usługi Azure Security Center przy użyciu funkcji eksportu, aby ułatwić identyfikowanie zagrożeń dla zasobów platformy Azure. Eksportuj alerty i zalecenia ręcznie lub w ciągły sposób.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-4: Wykrywanie i analiza — badanie zdarzenia
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IR-4 | 19 | IR-4 |
Upewnij się, że analitycy mogą wykonywać zapytania dotyczące różnych źródeł danych i korzystać z nich podczas badania potencjalnych zdarzeń, aby utworzyć pełny widok tego, co się stało. Należy zbierać różne dzienniki, aby śledzić działania potencjalnej osoby atakującej w ramach całego łańcucha zagrożeń, aby uniknąć efektu martwego pola. Należy również upewnić się, że szczegółowe informacje i wnioski są rejestrowane dla innych analityków i na potrzeby przyszłych badań.
Źródła danych do badań obejmują scentralizowane źródła rejestrowania, które są już zbierane z usług objętych zakresem i działających systemów, ale mogą również obejmować:
Dane sieciowe — użyj dzienników przepływów sieciowych grup zabezpieczeń, usługi Azure Network Watcher i usługi Azure Monitor, aby przechwycić dzienniki przepływu sieci i inne informacje analityczne.
Migawki uruchomionych systemów:
Użyj możliwości migawki maszyny wirtualnej platformy Azure, aby utworzyć migawkę dysku uruchomionego systemu.
Użyj funkcji zrzutu pamięci natywnej systemu operacyjnego, aby utworzyć migawkę pamięci uruchomionego systemu.
Użyj funkcji migawki usług platformy Azure lub własnych możliwości oprogramowania, aby utworzyć migawki uruchomionych systemów.
Usługa Azure Sentinel zapewnia obszerną analizę danych w praktycznie dowolnym źródle dziennika i portalu zarządzania przypadkami w celu zarządzania pełnym cyklem życia zdarzeń. Informacje wywiadowcze podczas badania mogą być skojarzone z incydentem na potrzeby śledzenia i raportowania.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-5: Wykrywanie i analiza — określanie priorytetów zdarzeń
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IR-5 | 19.8 | CA-2, IR-4 |
Dostarcz analitykom informacji kontekstowych, na które incydenty powinni najpierw zwrócić uwagę na podstawie ważności alertu i wrażliwości zasobów.
Usługa Azure Security Center przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Ważność jest oparta na tym, jak bardzo pewny jest Security Center co do wyniku lub analizy używanej do zgłoszenia alertu, a także na poziomie przekonania o złośliwych zamiarach stojących za działaniem, które doprowadziło do alertu.
Ponadto oznaczanie zasobów przy użyciu tagów i tworzenie systemu nazewnictwa w celu identyfikowania i kategoryzowania zasobów platformy Azure, zwłaszcza tych, które przetwarzają poufne dane. Twoim zadaniem jest ustalenie priorytetów korygowania alertów w oparciu o krytyczne znaczenie zasobów i środowiska platformy Azure, w którym wystąpiło zdarzenie.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-6: Ograniczanie, eliminowanie i odzyskiwanie — automatyzowanie obsługi zdarzeń
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IR-6 (wersja IR-6) | 19 | IR-4, IR-5, IR-6 |
Automatyzowanie ręcznych powtarzających się zadań w celu przyspieszenia czasu odpowiedzi i zmniejszenia obciążenia analityków. Wykonywanie ręcznych zadań trwa dłużej, spowalniając każde zdarzenie i zmniejszając liczbę zdarzeń, które może obsłużyć analityk. Zadania ręczne zwiększają również zmęczenie analityków, co zwiększa ryzyko błędu ludzkiego, który powoduje opóźnienia i obniża zdolność analityków do efektywnego skupienia się na złożonych zadaniach. Funkcje automatyzacji przepływu pracy w usługach Azure Security Center i Azure Sentinel umożliwiają automatyczne wyzwalanie działań lub uruchamianie planu działań w celu reagowania na napływające alerty bezpieczeństwa. Podręcznik wykonuje akcje, takie jak wysyłanie powiadomień, wyłączanie kont i izolowanie problematycznych sieci.
Konfigurowanie automatyzacji przepływu pracy w usłudze Security Center
Konfigurowanie automatycznych odpowiedzi na zagrożenia w usłudze Azure Security Center
Konfigurowanie automatycznych odpowiedzi na zagrożenia w usłudze Azure Sentinel
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):