Security Control v3: Reagowanie na zdarzenia

  • Artykuł

Reagowanie na zdarzenia obejmuje mechanizmy kontroli w cyklu życia reagowania na zdarzenia — przygotowywanie, wykrywanie i analizowanie, ograniczanie i działania po zdarzeniu, w tym korzystanie z usług platformy Azure, takich jak Microsoft Defender dla Chmury i Sentinel w celu zautomatyzowania procesu reagowania na zdarzenia.

IR-1: Przygotowanie — aktualizowanie planu reagowania na zdarzenia i proces obsługi

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
17.4, 17.7 IR-4, IR-8 10,8

Zasada zabezpieczeń: Upewnij się, że organizacja przestrzega najlepszych rozwiązań branżowych w celu opracowania procesów i planów reagowania na zdarzenia zabezpieczeń na platformach w chmurze. Należy pamiętać o modelu wspólnej odpowiedzialności i wariancjach w usługach IaaS, PaaS i SaaS. Będzie to miało bezpośredni wpływ na sposób współpracy z dostawcą usług w chmurze w zakresie reagowania na zdarzenia i obsługi działań, takich jak powiadamianie o zdarzeniach i klasyfikacja, zbieranie dowodów, badanie, eliminowanie i odzyskiwanie.

Regularnie przetestuj plan reagowania na zdarzenia i proces obsługi, aby upewnić się, że są aktualne.

Wskazówki dotyczące platformy Azure: Zaktualizuj proces reagowania na zdarzenia w organizacji, aby uwzględnić obsługę zdarzenia na platformie Azure. Na podstawie używanych usług platformy Azure i charakteru aplikacji dostosuj plan reagowania na zdarzenia i podręcznik, aby upewnić się, że mogą one służyć do reagowania na zdarzenie w środowisku chmury.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IR-2: Przygotowanie — powiadomienie o zdarzeniu konfiguracji

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
17.1, 17.3, 17.6 IR-4, IR-8, IR-5, IR-6 12.10

Zasada zabezpieczeń: Upewnij się, że alerty zabezpieczeń i powiadomienia o zdarzeniach z platformy dostawcy usług w chmurze oraz środowiska mogą być odbierane przez prawidłowy kontakt w organizacji reagowania na zdarzenia.

Wskazówki dotyczące platformy Azure: Skonfiguruj informacje kontaktowe o zdarzeniach zabezpieczeń w Microsoft Defender dla Chmury. Informacje kontaktowe są używane przez firmę Microsoft do skontaktowania się z Tobą, jeśli centrum Microsoft Security Response Center (MSRC) wykryje, że dostęp do danych jest uzyskiwany przez nieuprawnioną lub nieautoryzowaną osobę. Dostępne są również opcje dostosowywania alertów dotyczących zdarzeń i powiadomień w różnych usługach platformy Azure w zależności od potrzeb związanych z odpowiedzią na zdarzenia.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IR-3: Wykrywanie i analiza — tworzenie zdarzeń na podstawie alertów wysokiej jakości

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
17,9 IR-4, IR-5, IR-7 10,8

Zasada zabezpieczeń: Upewnij się, że masz proces tworzenia alertów wysokiej jakości i mierzenia jakości alertów. Dzięki temu można uczyć się lekcji z poprzednich zdarzeń i ustalać priorytety alertów dla analityków, dzięki czemu nie tracą czasu na fałszywie dodatnie wyniki.

Alerty o wysokiej jakości można tworzyć na podstawie doświadczeń z przeszłych zdarzeń, sprawdzonych źródeł społeczności oraz narzędzi przeznaczonych do generowania i czyszczenia alertów przez połączenie i skorelowanie różnorodnych źródeł sygnałów.

Wskazówki dotyczące platformy Azure: Microsoft Defender dla Chmury udostępnia alerty wysokiej jakości w wielu zasobach platformy Azure. Łącznik danych Microsoft Defender dla Chmury umożliwia przesyłanie strumieniowe alertów do usługi Azure Sentinel. Usługa Azure Sentinel umożliwia tworzenie zaawansowanych reguł alertów w celu automatycznego generowania zdarzeń na potrzeby badania.

Wyeksportuj alerty i zalecenia dotyczące Microsoft Defender dla Chmury przy użyciu funkcji eksportu, aby ułatwić identyfikowanie zagrożeń dla zasobów platformy Azure. Eksportuj alerty i zalecenia ręcznie lub w stały, ciągły sposób.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IR-4: Wykrywanie i analiza — badanie zdarzenia

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy ŚRODOWISKO IR-4 12.10

Zasada zabezpieczeń: Upewnij się, że zespół ds. operacji zabezpieczeń może wykonywać zapytania i używać różnych źródeł danych podczas badania potencjalnych zdarzeń, aby utworzyć pełny widok tego, co się stało. Należy zbierać różne dzienniki, aby śledzić działania potencjalnej osoby atakującej w ramach całego łańcucha zagrożeń, aby uniknąć efektu martwego pola. Należy również upewnić się, że szczegółowe informacje i wnioski są rejestrowane dla innych analityków i na potrzeby przyszłych badań.

Wskazówki dotyczące platformy Azure: Źródła danych do badania to scentralizowane źródła rejestrowania, które są już zbierane z usług w zakresie i uruchomionych systemów, ale mogą również obejmować:

  • Dane sieciowe: użyj dzienników przepływów sieciowych grup zabezpieczeń, usługi Azure Network Watcher i usługi Azure Monitor, aby przechwycić dzienniki przepływu sieci i inne informacje analityczne.
  • Migawki uruchomionych systemów: a) możliwości migawek maszyny wirtualnej platformy Azure w celu utworzenia migawki dysku uruchomionego systemu. b) Możliwość zrzutu pamięci natywnej systemu operacyjnego w celu utworzenia migawki pamięci uruchomionego systemu. c) Funkcja migawki usług platformy Azure lub własnych możliwości oprogramowania w celu utworzenia migawek uruchomionych systemów.

Usługa Azure Sentinel zapewnia szeroką analizę danych dla praktycznie każdego źródła dzienników i portalu zarządzania przypadkami do zarządzania pełnym cyklem życia zdarzeń. Informacje analityczne podczas badania mogą być powiązane ze zdarzeniami pod kątem śledzenia i raportowania.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IR-5: Wykrywanie i analiza — określanie priorytetów zdarzeń

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
17.4, 17.9 ŚRODOWISKO IR-4 12.10

Zasada zabezpieczeń: Zapewnij kontekst zespołom ds. operacji zabezpieczeń, aby pomóc im określić, na których zdarzeniach należy najpierw skupić się, na podstawie ważności alertu i poufności zasobów zdefiniowanych w planie reagowania na zdarzenia w organizacji.

Wskazówki dotyczące platformy Azure: Microsoft Defender dla Chmury przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być najpierw badane. Ważność jest oparta na tym, jak pewna pewność, Microsoft Defender dla Chmury znajduje się w znalezieniu lub analizie używanej do wystawiania alertu, a także na poziomie pewności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziły do alertu.

Ponadto oznacz zasoby przy użyciu tagów i utwórz system nazewnictwa, aby zidentyfikować i sklasyfikować zasoby platformy Azure, szczególnie te, które przetwarzają dane poufne. Odpowiedzialność za korygowanie alertów w oparciu o krytyczne znaczenie zasobów platformy Azure i środowisko, w którym wystąpiło zdarzenie, leży po stronie użytkownika.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IR-6: Zawieranie, eliminowanie i odzyskiwanie — automatyzowanie obsługi zdarzeń

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy IR-4, IR-5, IR-6 12.10

Zasada zabezpieczeń: Automatyzuj ręczne, powtarzalne zadania, aby przyspieszyć czas odpowiedzi i zmniejszyć obciążenie analityków. Wykonanie ręcznych zadań trwa dłużej, spowalnia każde zdarzenie i zmniejsza liczbę zdarzeń, które może obsłużyć analityk. Zadania ręczne zwiększają również zmęczenie analityków, co zwiększa ryzyko błędu ludzkiego, który powoduje opóźnienia i obniża zdolność analityków do efektywnego skupienia się na złożonych zadaniach.

Wskazówki dotyczące platformy Azure: Użyj funkcji automatyzacji przepływu pracy w usługach Microsoft Defender dla Chmury i Azure Sentinel, aby automatycznie wyzwalać akcje lub uruchamiać podręcznik w celu reagowania na przychodzące alerty zabezpieczeń. Element playbook wykonuje akcje, takie jak wysyłanie powiadomień, wyłączanie kont i izolowanie problematycznych sieci.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

IR-7: Działanie po zdarzeniu — naucz się lekcji postępowania i zachowaj dowody

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
17.8 ŚRODOWISKO IR-4 12.10

Zasada zabezpieczeń: Przeprowadzanie lekcji poznanej w organizacji okresowo i/lub po poważnych zdarzeniach w celu poprawy przyszłej możliwości reagowania na zdarzenia i obsługi.

Na podstawie charakteru zdarzenia zachowaj dowody związane z incydentem przez okres zdefiniowany w standardzie obsługi zdarzeń w celu dalszej analizy lub działań prawnych.

Wskazówki dotyczące platformy Azure: Skorzystaj z wyniku zdobytej lekcji działania, aby zaktualizować plan reagowania na zdarzenia, podręcznik (taki jak podręcznik usługi Azure Sentinel) i przywrócić wyniki w środowiskach (takie jak rejestrowanie i wykrywanie zagrożeń w celu rozwiązania wszelkich obszarów luk w rejestrowaniu), aby poprawić przyszłe możliwości wykrywania, reagowania i obsługi zdarzenia na platformie Azure.

Zachowaj dowody zebrane podczas "Wykrywanie i analiza — badanie kroku zdarzenia", takie jak dzienniki systemu, zrzut ruchu sieciowego i uruchamianie migawki systemu w magazynie, na przykład konto usługi Azure Storage do przechowywania.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):