Compartilhar via

Controle de Segurança: Resposta a incidentes

A Resposta a Incidentes abrange controles no ciclo de vida de resposta a incidentes – preparação, detecção e análise, contenção e atividades pós-incidente, incluindo o uso de serviços do Azure (como o Microsoft Defender para Nuvem e Sentinel) e/ou outros serviços de nuvem para automatizar o processo de resposta a incidentes.

IR-1: Preparação - atualizar o plano de resposta a incidentes e o processo de tratamento

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
17.4, 17.7 IR-4, IR-8 10.8

Princípio de segurança: verifique se sua organização segue as práticas recomendadas do setor para desenvolver processos e planos para responder a incidentes de segurança nas plataformas de nuvem. Lembre-se do modelo de responsabilidade compartilhada e das variações nos serviços de IaaS, PaaS e SaaS. Isso terá um impacto direto sobre como você colabora com seu provedor de nuvem em atividades de tratamento e resposta a incidentes, como notificação e triagem de incidentes, coleta de evidências, investigação, erradicação e recuperação.

Teste regularmente o processo de tratamento e o plano de resposta a incidentes para garantir que eles estejam atualizados.

Diretrizes do Azure: atualize o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes na plataforma do Azure. Com base nos serviços do Azure usados e na natureza do aplicativo, personalize o plano de resposta a incidentes e o guia estratégico para garantir que eles possam ser usados para responder ao incidente no ambiente de nuvem.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: atualize o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes. Verifique se um plano unificado de resposta a incidentes de várias nuvens está em vigor atualizando o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes na plataforma AWS. Com base nos serviços AWS usados e na natureza do aplicativo, siga o Guia de Resposta a Incidentes de Segurança da AWS para personalizar o plano de resposta a incidentes e o guia estratégico para garantir que eles possam ser usados para responder ao incidente no ambiente de nuvem.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: atualize o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes. Verifique se um plano unificado de resposta a incidentes de várias nuvens está em vigor atualizando o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes na plataforma Google Cloud.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

IR-2: preparação - configurar a notificação de incidentes

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
17.1, 17.3, 17.6 IR-4, IR-8, IR-5, IR-6 12.10

Princípio de segurança: verifique se os alertas de segurança e as notificações de incidentes da plataforma do provedor de serviços de nuvem e seus ambientes podem ser recebidos pelo contato correto em sua organização de resposta a incidentes.

Diretrizes do Azure: configurar informações de contato de incidentes de segurança no Microsoft Defender para Nuvem. Essas informações de contato são usadas pela Microsoft para contatá-lo se o MSRC (Centro de Resposta de Segurança da Microsoft) descobrir que seus dados foram acessados por uma parte ilegal ou não autorizada. Você também tem opções para personalizar alertas de incidentes e notificação em diferentes serviços do Azure com base em suas necessidades de resposta a incidentes.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: configurar informações de contato de incidentes de segurança no Gerenciador de Incidentes do AWS Systems Manager (o centro de gerenciamento de incidentes para AWS). Essas informações de contato são usadas para comunicação de gerenciamento de incidentes entre você e a AWS por meio dos diferentes canais (ou seja, Email, SMS ou Voz). Você pode definir o plano de interação e o plano de escalonamento de contatos para descrever como e quando o Gerenciador de Incidentes aciona os contatos e escalona caso eles não respondam a um incidente.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: configurar notificações de incidentes de segurança para contatos específicos usando a Central de Comandos de Segurança ou o Chronicle. Use os serviços do Google Cloud e APIs de terceiros para fornecer notificações em tempo real por email e chat, alertando sobre descobertas de segurança no Security Command Center, ou playbooks para desencadear ações e enviar notificações no Chronicle.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

IR-3: detecção e análise - criar incidentes com base em alertas de alta qualidade

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
17.9 IR-4, IR-5, IR-7 10.8

Princípio de segurança: verifique se você tem um processo para criar alertas de alta qualidade e medir a qualidade dos alertas. Isso permite que você aprenda as lições dos últimos incidentes e priorize os alertas para os analistas, de modo a não perderem tempo em falsos positivos.

Alertas de alta qualidade podem ser criados com base na experiência com incidentes passados, fontes de comunidade validadas e ferramentas projetadas para gerar e limpar alertas, focando e correlacionando várias fontes de sinal.

Diretrizes do Azure: o Microsoft Defender para Nuvem fornece alertas de alta qualidade em muitos ativos do Azure. Você pode usar o conector de dados do Microsoft Defender para Nuvem para transmitir os alertas para o Microsoft Sentinel. O Microsoft Sentinel permite criar regras de alerta avançadas para gerar incidentes automaticamente para uma investigação.

Exporte seus alertas e recomendações do Microsoft Defender para Nuvem usando o recurso de exportação para ajudar a identificar riscos para os recursos do Azure. Exportar alertas e recomendações manualmente ou de forma contínua.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: use ferramentas de segurança como SecurityHub ou GuardDuty e outras ferramentas de terceiros para enviar alertas para o Amazon CloudWatch ou Amazon EventBridge para que os incidentes possam ser criados automaticamente no Gerenciador de Incidentes com base nos critérios e conjuntos de regras definidos. Você também pode criar incidentes manualmente no Gerenciador de Incidentes para tratamento e acompanhamento de incidentes adicionais.

Se você usar o Microsoft Defender para Nuvem para monitorar suas contas do AWS, também poderá usar o Microsoft Sentinel para monitorar e alertar os incidentes identificados pelo Microsoft Defender para Nuvem nos recursos da AWS.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: integre o Google Cloud e serviços de terceiros para enviar logs e alertas ao Centro de Comandos de Segurança ou ao Chronicle para que os incidentes possam ser criados automaticamente com base em critérios definidos. Você também pode criar e editar manualmente as descobertas de incidentes no Centro de Comando de Segurança ou nas regras do Chronicle para tratamento e acompanhamento de incidentes adicionais.

Se você usar o Microsoft Defender para Nuvem para monitorar seus projetos do GCP, também poderá usar o Microsoft Sentinel para monitorar e alertar os incidentes identificados pelo Microsoft Defender para Nuvem em recursos do GCP ou transmitir logs do GCP diretamente para o Microsoft Sentinel.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

IR-4: Detecção e análise - investigar um incidente

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
Não aplicável IR-4 12.10

Princípio de segurança: verifique se a equipe de operação de segurança pode consultar e usar fontes de dados diversas à medida que investigam possíveis incidentes, para criar uma visão completa do que aconteceu. Diversos logs devem ser coletados para acompanhar as atividades de um potencial invasor na cadeia de eliminação para evitar pontos cegos. Você também deve garantir que insights e aprendizados sejam capturados para outros analistas e para referência histórica futura.

Use o SIEM nativo da nuvem e a solução de gerenciamento de incidentes se sua organização não tiver uma solução existente para agregar informações de alertas e logs de segurança. Correlacionar dados de incidentes com base nos dados provenientes de diferentes fontes para facilitar as investigações de incidentes.

Diretrizes do Azure: verifique se sua equipe de operações de segurança pode consultar e usar diversas fontes de dados coletadas dos serviços e sistemas no escopo. Além disso, as fontes de ti também podem incluir:

  • Dados de log de identidade e acesso: use logs do Azure AD e logs de acesso de carga de trabalho (como sistemas operacionais ou nível de aplicativo) para correlacionar eventos de identidade e acesso.
  • Dados de rede: use os logs de fluxo dos grupos de segurança de rede, o Observador de Rede do Azure e o Azure Monitor para capturar logs de fluxo de rede e outras informações de análise.
  • Dados de atividade relacionados a incidentes de instantâneos dos sistemas afetados, que podem ser obtidos por meio de:
    • A funcionalidade de captura instantânea da máquina virtual do Azure, para criar uma imagem do disco do sistema em execução.
    • A funcionalidade de despejo de memória nativa do sistema operacional, para criar um instantâneo da memória do sistema em execução.
    • O recurso de instantâneo de outros serviços do Azure com suporte ou a própria funcionalidade do software, para criar instantâneos dos sistemas em execução.

O Microsoft Sentinel fornece análise de dados abrangente em praticamente qualquer fonte de log e um portal de gerenciamento de casos para gerenciar todo o ciclo de vida de incidentes. Informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de acompanhamento e relatório.

Observação: quando os dados relacionados a incidentes são capturados para investigação, verifique se há segurança adequada em vigor para proteger os dados contra alterações não autorizadas, como desabilitar logs ou remover logs, que podem ser executados pelos invasores durante uma atividade de violação de dados em voo.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: as fontes de dados para investigação são as fontes de log centralizadas que coletam dos serviços no escopo e dos sistemas em execução, mas também podem incluir:

  • Dados de log de identidade e acesso: use logs de IAM e carga de trabalho (como sistemas operacionais ou nível de aplicativo) logs de acesso para correlacionar eventos de identidade e acesso.
  • Dados de rede: use logs de fluxo de VPC, espelhos de tráfego VPC e Azure CloudTrail e CloudWatch para capturar logs de fluxo de rede e outras informações de análise.
  • Instantâneos de sistemas em execução, que podem ser obtidos por meio de:
    • Funcionalidade de instantâneo no Amazon EC2 (EBS) para criar um instantâneo do disco do sistema em execução.
    • A funcionalidade de despejo de memória nativa do sistema operacional, para criar um instantâneo da memória do sistema em execução.
    • O recurso de instantâneo dos serviços do AWS ou da própria funcionalidade do software para criar instantâneos dos sistemas em execução.

Se você agregar seus dados relacionados ao SIEM no Microsoft Sentinel, ele fornecerá análise de dados abrangente em praticamente qualquer fonte de log e um portal de gerenciamento de casos para gerenciar todo o ciclo de vida dos incidentes. Informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de acompanhamento e relatório.

Observação: quando os dados relacionados a incidentes são capturados para investigação, verifique se há segurança adequada em vigor para proteger os dados contra alterações não autorizadas, como desabilitar logs ou remover logs, que podem ser executados pelos invasores durante uma atividade de violação de dados em voo.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: as fontes de dados para investigação são as fontes de log centralizadas que coletam dos serviços no escopo e dos sistemas em execução, mas também podem incluir:

  • Dados de log de identidade e acesso: use logs de IAM e carga de trabalho (como sistemas operacionais ou nível de aplicativo) logs de acesso para correlacionar eventos de identidade e acesso.
  • Dados de rede: use logs de fluxo VPC e controles de serviço VPC para capturar logs de fluxo de rede e outras informações de análise.
  • Instantâneos de sistemas em execução, que podem ser obtidos por meio de:
    1. Funcionalidade de instantâneo em VMs GCP para criar um instantâneo do disco do sistema em execução.
    2. A funcionalidade de despejo de memória nativa do sistema operacional, para criar um instantâneo da memória do sistema em execução.
    3. O recurso de instantâneo dos serviços GCP ou da própria funcionalidade do software, para criar instantâneos dos sistemas em execução.

Se você agregar seus dados relacionados ao SIEM no Microsoft Sentinel, ele fornecerá análise de dados abrangente em praticamente qualquer fonte de log e um portal de gerenciamento de casos para gerenciar todo o ciclo de vida dos incidentes. Informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de acompanhamento e relatório.

Observação: quando os dados relacionados a incidentes são capturados para investigação, verifique se há segurança adequada em vigor para proteger os dados contra alterações não autorizadas, como desabilitar logs ou remover logs, que podem ser executados pelos invasores durante uma atividade de violação de dados em voo.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

IR-5: detecção e análise - priorizar incidentes

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
17.4, 17.9 IR-4 12.10

Princípio de segurança: forneça contexto às equipes de operações de segurança para ajudá-los a determinar em quais incidentes devem se concentrar primeiro, com base na severidade do alerta e na sensibilidade do ativo definida no plano de resposta a incidentes da sua organização.

Além disso, marque os recursos usando marcas e crie um sistema de nomenclatura para identificar e categorizar os recursos de nuvem, em especial aqueles que processam dados confidenciais. É sua responsabilidade priorizar a correção de alertas com base na criticalidade dos recursos e do ambiente em que o incidente ocorreu.

Diretrizes do Azure: o Microsoft Defender para Nuvem atribui uma severidade a cada alerta para ajudá-lo a priorizar quais alertas devem ser investigados primeiro. A gravidade baseia-se no quão confiante o Microsoft Defender para Nuvem está na descoberta ou na análise usada para emitir o alerta, bem como no nível de confiança de que houve intenção mal-intencionada por trás da atividade que levou ao alerta.

Da mesma forma, o Microsoft Sentinel cria alertas e incidentes com uma severidade atribuída e outros detalhes com base em regras de análise. Use modelos de regra analítica e personalize as regras de acordo com as necessidades da sua organização para dar suporte à priorização de incidentes. Use regras de automação no Microsoft Sentinel para gerenciar e orquestrar a resposta a ameaças para maximizar a eficiência e a eficácia da equipe da operação de segurança, incluindo a marcação de incidentes para classificá-los.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: para cada incidente criado no Gerenciador de Incidentes, atribua um nível de impacto com base nos critérios definidos da sua organização, como uma medida da gravidade do incidente e do nível de crítico dos ativos afetados.

Implementação do AWS e contexto adicional:

* Diretrizes do GCP: para cada incidente criado na Central de Comandos de Segurança, determine a prioridade do alerta com base nas classificações de severidade atribuídas pelo sistema e outros critérios definidos pela sua organização. Meça a gravidade do incidente e o nível de criticidade dos ativos afetados para determinar quais alertas devem ser investigados primeiro.

Da mesma forma no Chronical, você pode definir regras personalizadas para determinar as prioridades de resposta a incidentes. Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

IR-6: Contenção, erradicação e recuperação – automatizar o tratamento de incidentes

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
Não aplicável IR-4, IR-5, IR-6 12.10

Princípio de segurança: automatizar as tarefas manuais e repetitivas para acelerar o tempo de resposta e reduzir a carga sobre os analistas. Tarefas manuais levam mais tempo para serem executadas, retardando cada incidente e reduzindo quantos incidentes um analista pode lidar. Tarefas manuais também aumentam a fadiga dos analistas, o que aumenta o risco de erro humano que causa atrasos e degrada a capacidade dos analistas de se concentrarem efetivamente em tarefas complexas.

Diretrizes do Azure: use os recursos de automação de fluxo de trabalho no Microsoft Defender para Nuvem e no Microsoft Sentinel para disparar ações automaticamente ou executar guias estratégicos para responder a alertas de segurança de entrada. Os guias estratégicos tomam ações, como enviar notificações, desabilitar contas e isolar redes problemáticas.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: se você usar o Microsoft Sentinel para gerenciar centralmente o incidente, também poderá criar ações automatizadas ou executar guias estratégicos para responder a alertas de segurança de entrada.

Como alternativa, use recursos de automação no AWS System Manager para disparar automaticamente ações definidas no plano de resposta a incidentes, incluindo notificar os contatos e/ou executar um runbook para responder a alertas, como desabilitar contas e isolar redes problemáticas.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: se você usar o Microsoft Sentinel para gerenciar centralmente o incidente, também poderá criar ações automatizadas ou executar guias estratégicos para responder a alertas de segurança de entrada.

Como alternativa, use automações de guia estratégico no Chronicle para disparar automaticamente ações definidas no plano de resposta a incidentes, incluindo notificar os contatos e/ou executar um guia estratégico para responder aos alertas.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):

IR-7: Atividade pós-incidente - conduzir lições aprendidas e reter evidências

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
17.8 IR-4 12.10

Princípio de segurança: realize lições aprendidas em sua organização periodicamente e/ou após grandes incidentes, para melhorar sua capacidade futura em resposta e tratamento de incidentes.

Com base na natureza do incidente, mantenha as evidências relacionadas ao incidente para o período definido no padrão de tratamento de incidentes para análise posterior ou ações legais.

Diretrizes do Azure: use o resultado das lições aprendidas para atualizar seu plano de resposta a incidentes, o guia estratégico (como um guia estratégico do Microsoft Sentinel) e reincorpore as descobertas em seus ambientes (como registro em log e detecção de ameaças para resolver quaisquer lacunas no registro em log) para melhorar sua capacidade futura de detectar, responder e lidar com incidentes no Azure.

Mantenha as evidências coletadas durante a etapa "Detecção e análise – investigar um incidente", como logs do sistema, despejos de tráfego de rede e instantâneos de sistemas em execução, em um armazenamento como uma conta do Armazenamento do Azure para retenção imutável.

Implementação do Azure e contexto adicional:

Diretrizes da AWS: crie uma análise de incidentes para um incidente fechado no Gerenciador de Incidentes usando o modelo de análise de incidentes padrão ou seu próprio modelo personalizado. Use o resultado das lições aprendidas da atividade para atualizar seu plano de resposta a incidentes, o guia estratégico (como o runbook do AWS Systems Manager e o guia estratégico do Microsoft Sentinel) e reincorpore as descobertas em seus ambientes (como registro em log e detecção de ameaças para resolver quaisquer lacunas no registro em log) para melhorar sua capacidade futura na detecção, resposta e tratamento dos incidentes no AWS.

Mantenha as evidências coletadas durante a etapa de "Detecção e análise - investigar um incidente", como logs do sistema, despejos de tráfego de rede e instantâneos de execução do sistema, armazenados em locais como um bucket do Amazon S3 ou uma conta de Armazenamento do Azure, para retenção imutável.

Implementação do AWS e contexto adicional:

Diretrizes do GCP: use o resultado das lições aprendidas da atividade para atualizar seu plano de resposta a incidentes, o guia estratégico (como um guia estratégico do Chronicle ou do Microsoft Sentinel) e reincorpore as descobertas em seus ambientes (como registro em log e detecção de ameaças para resolver quaisquer lacunas no registro em log) para melhorar sua capacidade futura na detecção, resposta e tratamento de incidentes no GCP.

Mantenha as evidências coletadas durante a "Detecção e análise – investigar um incidente", como logs do sistema, despejos de tráfego de rede e execução de snapshots do sistema em armazenamento, como uma conta do Google Cloud Storage ou uma conta de Azure Storage para retenção imutável.

Implementação do GCP e contexto adicional:

Partes interessadas em segurança do cliente (Saiba mais):