Udostępnij za pośrednictwem


Security Control V2: Reagowanie na zdarzenia

Uwaga

Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.

Reagowanie na zdarzenia obejmuje mechanizmy kontroli w cyklu życia reagowania na zdarzenia — przygotowywanie, wykrywanie i analizę, zawieranie i działania po zdarzeniu. Obejmuje to korzystanie z usług platformy Azure, takich jak Azure Security Center i Sentinel, w celu zautomatyzowania procesu reagowania na zdarzenia.

Aby wyświetlić odpowiednie wbudowane Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: Reagowanie na zdarzenia

IR-1: Przygotowanie — aktualizowanie procesu reagowania na zdarzenia na platformie Azure

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
IR-1 19 IR-4, IR-8

Upewnij się, że Organizacja ma procesy reagowania na zdarzenia związane z bezpieczeństwem, zaktualizowała te procesy dla platformy Azure i regularnie wykonuje je w celu zapewnienia gotowości.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IR-2: Przygotowanie — powiadomienie o zdarzeniu konfiguracji

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
IR-2 19.5 IR-4, IR-5, IR-6, IR-8

Skonfiguruj informacje kontaktowe dotyczące zdarzeń zabezpieczeń w Azure Security Center. Informacje kontaktowe są używane przez firmę Microsoft do skontaktowania się z Tobą, jeśli centrum Microsoft Security Response Center (MSRC) wykryje, że dostęp do danych jest uzyskiwany przez nieuprawnioną lub nieautoryzowaną osobę. Dostępne są również opcje dostosowywania alertów dotyczących zdarzeń i powiadomień w różnych usługach platformy Azure w zależności od potrzeb związanych z odpowiedzią na zdarzenia.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IR-3: Wykrywanie i analiza — tworzenie zdarzeń na podstawie alertów o wysokiej jakości

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
ŚRODOWISKO IR-3 19.6 IR-4, IR-5

Upewnij się, że masz proces tworzenia alertów wysokiej jakości i mierzenia jakości alertów. Dzięki temu można wyciągnąć wnioski z przeszłych zdarzeń i ustalić priorytety alertów dla analityków, dzięki czemu nie tracą czasu na wyniki fałszywie dodatnie.

Alerty o wysokiej jakości mogą być tworzone w oparciu o doświadczenia z poprzednich zdarzeń, sprawdzone źródła społecznościowe i narzędzia przeznaczone do generowania i czyszczenia alertów poprzez łączenie i korelację różnych źródeł sygnałów.

Usługa Azure Security Center oferuje alerty o wysokiej jakości dla wielu zasobów platformy Azure. Można użyć łącznika danych usługi ASC do przesyłania strumieniowego alertów do usługi Azure Sentinel. Usługa Azure Sentinel umożliwia tworzenie zaawansowanych reguł alertów w celu automatycznego generowania zdarzeń na potrzeby badania.

Eksportuj alerty i zalecenia usługi Azure Security Center przy użyciu funkcji eksportowania, aby pomóc identyfikować zagrożenia dla zasobów platformy Azure. Eksportuj alerty i zalecenia ręcznie lub w stały, ciągły sposób.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IR-4: Wykrywanie i analiza — badanie zdarzenia

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
IR-4 19 IR-4

Upewnij się, że analitycy mogą wykonywać zapytania dotyczące różnych źródeł danych i korzystać z nich podczas badania potencjalnych zdarzeń, aby utworzyć pełny widok tego, co się stało. Należy zbierać różne dzienniki, aby śledzić działania potencjalnej osoby atakującej w ramach całego łańcucha zagrożeń, aby uniknąć efektu martwego pola. Należy również upewnić się, że szczegółowe informacje i wnioski są rejestrowane dla innych analityków i na potrzeby przyszłych badań.

Źródła danych do badania obejmują scentralizowane źródła dzienników, które są już zbierane w ramach usług i działających systemów, ale mogą również obejmować:

  • Dane sieciowe — użyj dzienników przepływów sieciowych grup zabezpieczeń, usługi Azure Network Watcher i usługi Azure Monitor do przechwytywania dzienników przepływu sieci i innych informacji analitycznych.

  • Migawki uruchomionych systemów:

    • Użyj funkcji migawek maszyny wirtualnej platformy Azure, aby utworzyć migawkę dysku działającego systemu.

    • Użyj natywnej możliwości zrzutu pamięci systemu operacyjnego, aby utworzyć migawkę pamięci uruchomionego systemu.

    • Użyj funkcji migawki w ramach usług platformy Azure lub w ramach własnego oprogramowania, aby utworzyć migawki uruchomionych systemów.

Usługa Azure Sentinel zapewnia szeroką analizę danych dla praktycznie każdego źródła dzienników i portalu zarządzania przypadkami do zarządzania pełnym cyklem życia zdarzeń. Informacje analityczne podczas badania mogą być powiązane ze zdarzeniami pod kątem śledzenia i raportowania.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IR-5: Wykrywanie i analiza — określanie priorytetów zdarzeń

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
IR-5 19,8 CA-2, IR-4

Podaj kontekst dla analityków, na których zdarzenia mają być skoncentrowane na pierwszej podstawie ważności alertu i poufności zasobów.

Usługa Azure Security Center przypisuje poziom ważności do każdego alertu, aby pomóc w ustaleniu, które alerty powinny być zbadane w pierwszej kolejności. Poziom ważności bazuje na ocenie pewności usługi Security Center względem ustalenia lub danych analitycznych użytych do wygenerowania alertu, a także poziomu pewności, że za działaniem, które doprowadziło do alertu, stał złośliwy zamiar.

Ponadto oznacz zasoby przy użyciu tagów i utwórz system nazewnictwa, aby zidentyfikować i sklasyfikować zasoby platformy Azure, szczególnie te, które przetwarzają dane poufne. Odpowiedzialność za korygowanie alertów w oparciu o krytyczne znaczenie zasobów platformy Azure i środowisko, w którym wystąpiło zdarzenie, leży po stronie użytkownika.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IR-6: Zawieranie, eliminowanie i odzyskiwanie — automatyzacja obsługi zdarzeń

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
IR-6 19 IR-4, IR-5, IR-6

Automatyzuj ręczne powtarzalne zadania, aby skrócić czas odpowiedzi i zmniejszyć obciążenie analityków. Wykonanie ręcznych zadań trwa dłużej, spowalnia każde zdarzenie i zmniejsza liczbę zdarzeń, które może obsłużyć analityk. Zadania wykonywane ręcznie zwiększają również zmęczenie analityków, co zwiększa ryzyko wystąpienia błędu ludzkiego, który powoduje opóźnienia, a także pogarsza zdolność analityków do skoncentrowania się na złożonych zadaniach. Korzystając z funkcji automatyzacji przepływów pracy w usłudze Azure Security Center i Azure Sentinel, można automatycznie wyzwalać akcje lub uruchamiać element playbook w odpowiedzi na przychodzące alerty zabezpieczeń. Element playbook wykonuje akcje, takie jak wysyłanie powiadomień, wyłączanie kont i izolowanie problematycznych sieci.

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):