Controle de Segurança: Resposta a incidentes
A Resposta a Incidentes aborda controles no ciclo de vida de resposta a incidentes - preparação, detecção e análise, contenção e atividades pós-incidente, incluindo o uso de serviços do Azure, como o Microsoft Defender para Nuvem e o Sentinel e/ou outros serviços de nuvem para automatizar o processo de resposta a incidentes.
IR-1: Preparação - atualizar o plano de resposta a incidentes e o processo de tratamento
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10,8 |
Princípio de segurança: verifique se sua organização segue as melhores práticas do setor para desenvolver processos e planos para responder a incidentes de segurança nas plataformas de nuvem. Lembre-se do modelo de responsabilidade compartilhada e das variações nos serviços de IaaS, PaaS e SaaS. Isso terá um impacto direto sobre como você colabora com seu provedor de nuvem em atividades de tratamento e resposta a incidentes, como notificação e triagem de incidentes, coleta de evidências, investigação, erradicação e recuperação.
Teste regularmente o processo de tratamento e o plano de resposta a incidentes para garantir que eles estejam atualizados.
Diretrizes do Azure: atualize o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes na plataforma do Azure. Com base nos serviços do Azure utilizados e na natureza do aplicativo, personalize o plano e o guia estratégico de resposta a incidentes para garantir que eles possam ser usados para responder a incidentes no ambiente de nuvem.
Implementação do Azure e contexto adicional:
- Implementar a segurança em todo o ambiente corporativo:
- Guia de referência da resposta a incidentes
- Guia de tratamento de incidentes de segurança do computador SP800-61 do NIST
- Visão geral da resposta a incidentes
Diretrizes da AWS: atualize o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes. Verifique se um plano unificado de resposta a incidentes em várias nuvens está em vigor atualizando o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes na plataforma AWS. Com base nos serviços da AWS usados e na natureza do aplicativo, siga o Guia de Resposta a Incidentes de Segurança da AWS para personalizar o plano de resposta a incidentes e o guia estratégico para garantir que eles possam ser usados para responder ao incidente no ambiente de nuvem.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: atualize o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes. Verifique se um plano unificado de resposta a incidentes em várias nuvens está em vigor atualizando o processo de resposta a incidentes da sua organização para incluir o tratamento de incidentes na plataforma Google Cloud.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
IR-2: preparação - configurar a notificação de incidentes
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Princípio de segurança: verifique se os alertas de segurança e as notificações de incidentes da plataforma do provedor de serviços de nuvem e seus ambientes podem ser recebidos pelo contato correto em sua organização de resposta a incidentes.
Diretrizes do Azure: configurar informações de contato de incidentes de segurança no Microsoft Defender para Nuvem. Essas informações de contato serão usadas pela Microsoft para entrar em contato com você se o MSRC (Microsoft Security Response Center) descobrir que os seus dados foram acessados por uma pessoa não autorizada ou ilegal. Você também tem opções para personalizar alertas de incidentes e notificação em diferentes serviços do Azure com base em suas necessidades de resposta a incidentes.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: configurar informações de contato de incidentes de segurança no Gerenciador de Incidentes do AWS Systems Manager (o centro de gerenciamento de incidentes para AWS). Essas informações de contato são usadas para comunicação de gerenciamento de incidentes entre você e a AWS por meio dos diferentes canais (ou seja, Email, SMS ou Voz). Você pode definir o plano de envolvimento e o plano de escalonamento de um contato para descrever como e quando o Gerenciador de Incidentes envolve o contato e escalonar se os contatos não responderem a um incidente.
Implementação do AWS e contexto adicional:
Diretrizes do GCP: configure notificações de incidentes de segurança para contatos específicos usando o Centro de Comando de Segurança ou o Chronicle. Use os serviços do Google Cloud e APIs de terceiros para fornecer notificação por email e chat em tempo real para alertar sobre as descobertas de segurança do Centro de Comandos de Segurança ou guias estratégicos para disparar ações para enviar notificações no Chronicle.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
IR-3: detecção e análise - criar incidentes com base em alertas de alta qualidade
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10,8 |
Princípio de segurança: verifique se você tem um processo para criar alertas de alta qualidade e medir a qualidade dos alertas. Isso permite que você aprenda as lições dos últimos incidentes e priorize os alertas para os analistas, de modo a não perderem tempo em falsos positivos.
Alertas de alta qualidade podem ser criados com base na experiência com incidentes passados, fontes de comunidade validadas e ferramentas projetadas para gerar e limpar alertas, focando e correlacionando várias fontes de sinal.
Diretrizes do Azure: Microsoft Defender para Nuvem fornece alertas de alta qualidade em muitos ativos do Azure. É possível usar o conector de dados do Microsoft Defender para Nuvem a fim de transmitir alertas ao Microsoft Sentinel. O Microsoft Sentinel permite criar regras de alerta avançadas para gerar incidentes automaticamente para uma investigação.
Exporte seus alertas e recomendações do Microsoft Defender para Nuvem usando o recurso de exportação para ajudar a identificar riscos para os recursos do Azure. Exporte os alertas e as recomendações de modo manual ou contínuo.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: use ferramentas de segurança como o SecurityHub ou o GuardDuty e outras ferramentas de terceiros para enviar alertas para o Amazon CloudWatch ou o Amazon EventBridge para que os incidentes possam ser criados automaticamente no Gerenciador de Incidentes com base nos critérios e conjuntos de regras definidos. Você também pode criar incidentes manualmente no Gerenciador de Incidentes para tratamento e acompanhamento de incidentes adicionais.
Se você usar Microsoft Defender para Nuvem para monitorar suas contas da AWS, também poderá usar o Microsoft Sentinel para monitorar e alertar os incidentes identificados pelo Microsoft Defender para Nuvem em recursos da AWS.
Implementação do AWS e contexto adicional:
- Criação de incidentes no Gerenciador de Incidentes
- Como o Defender for Cloud Apps ajuda a proteger seu ambiente do Amazon Web Services (AWS)
Diretrizes do GCP: integre o Google Cloud e serviços de terceiros para enviar logs e alertas para o Centro de Comando de Segurança ou o Chronicle para que os incidentes possam ser criados automaticamente com base em critérios definidos. Você também pode criar e editar manualmente as conclusões de incidentes no Centro de Comandos de Segurança ou nas regras no Chronicle para tratamento e acompanhamento de incidentes adicionais.
Se você usar Microsoft Defender para Nuvem para monitorar seus projetos GCP, também poderá usar o Microsoft Sentinel para monitorar e alertar os incidentes identificados pelo Microsoft Defender para Nuvem em recursos GCP ou transmitir logs do GCP diretamente para o Microsoft Sentinel.
Implementação do GCP e contexto adicional:
- Configurando o Centro de Comandos de Segurança
- Gerenciar regras usando o Editor de Regras
- Conectar seus projetos do GCP ao Microsoft Defender para Nuvem
- Transmita os logs da Google Cloud Platform para o Microsoft Sentinel
Stakeholders de segurança do cliente (Saiba mais):
IR-4: Detecção e análise - investigar um incidente
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IR-4 | 12.10 |
Princípio de segurança: verifique se a equipe de operação de segurança pode consultar e usar diversas fontes de dados à medida que investiga possíveis incidentes, para criar uma visão completa do que aconteceu. Logs diversificados devem ser coletados para acompanhar as atividades de um invasor potencial na cadeia de eliminação para evitar pontos cegos. Você também deve garantir que os insights e os aprendizados sejam capturados para outros analistas e para referência histórica futura.
Use o SIEM nativo de nuvem e a solução de gerenciamento de incidentes se sua organização não tiver uma solução existente para agregar informações de alertas e logs de segurança. Correlacione dados de incidentes com base nos dados provenientes de diferentes fontes para facilitar as investigações de incidentes.
Diretrizes do Azure: verifique se sua equipe de operações de segurança pode consultar e usar diversas fontes de dados coletadas dos serviços e sistemas no escopo. Além disso, as fontes de ti também podem incluir:
- Dados de log de identidade e acesso: use logs de Azure AD e logs de acesso de carga de trabalho (como sistemas operacionais ou nível de aplicativo) para correlacionar eventos de identidade e acesso.
- Dados de rede: use os logs de fluxo dos grupos de segurança de rede, o Observador de Rede do Azure e o Azure Monitor para capturar logs de fluxo de rede e outras informações de análise.
- Dados de atividade relacionados a incidentes de instantâneos dos sistemas afetados, que podem ser obtidos por meio de:
- A funcionalidade de instantâneos da máquina virtual do Azure, para criar uma instantâneo do disco do sistema em execução.
- A funcionalidade de despejo de memória nativa do sistema operacional, para criar uma instantâneo da memória do sistema em execução.
- O instantâneo recurso de outros serviços do Azure com suporte ou da própria funcionalidade do software, para criar instantâneos dos sistemas em execução.
O Microsoft Sentinel fornece ampla análise de dados em praticamente toda origem de log e um portal de gerenciamento de casos para gerenciar o ciclo de vida completo de incidentes. As informações de inteligência coletadas durante uma investigação podem ser associadas a um incidente para fins de rastreamento e relatório.
Observação: quando os dados relacionados a incidentes são capturados para investigação, verifique se há segurança adequada para proteger os dados contra alterações não autorizadas, como desabilitar o registro em log ou remover logs, que podem ser executados pelos invasores durante uma atividade de violação de dados em andamento.
Implementação do Azure e contexto adicional:
- Criar um instantâneo de disco de um computador Windows
- Criar um instantâneo de disco de um computador Linux
- Informações de diagnóstico e coleta de despejo de memória do Suporte do Microsoft Azure
- Investigar incidentes com o Azure Sentinel
Diretrizes da AWS: as fontes de dados para investigação são as fontes de log centralizadas que coletam dos serviços no escopo e dos sistemas em execução, mas também podem incluir:
- Dados de log de identidade e acesso: use logs de IAM e logs de acesso de carga de trabalho (como sistemas operacionais ou nível de aplicativo) para correlacionar eventos de identidade e acesso.
- Dados de rede: use logs de fluxo de VPC, espelhos de tráfego VPC e Azure CloudTrail e CloudWatch para capturar logs de fluxo de rede e outras informações de análise.
- Instantâneos de sistemas em execução, que podem ser obtidos por meio de:
- Funcionalidade de instantâneo no Amazon EC2 (EBS) para criar uma instantâneo do disco do sistema em execução.
- A funcionalidade de despejo de memória nativa do sistema operacional, para criar uma instantâneo da memória do sistema em execução.
- O recurso instantâneo dos serviços da AWS ou da própria funcionalidade do software, para criar instantâneos dos sistemas em execução.
Se você agregar seus dados relacionados ao SIEM no Microsoft Sentinel, ele fornecerá ampla análise de dados em praticamente qualquer fonte de log e um portal de gerenciamento de casos para gerenciar todo o ciclo de vida dos incidentes. As informações de inteligência coletadas durante uma investigação podem ser associadas a um incidente para fins de rastreamento e relatório.
Observação: quando os dados relacionados a incidentes são capturados para investigação, verifique se há segurança adequada para proteger os dados contra alterações não autorizadas, como desabilitar o registro em log ou remover logs, que podem ser executados pelos invasores durante uma atividade de violação de dados em andamento.
Implementação da AWS e contexto adicional:
- Espelhamento de Tráfego
- Criando backups de volume do EBS com AMIs e instantâneos de EBS
- Usar o Armazenamento Imutável
Diretrizes do GCP: as fontes de dados para investigação são as fontes de log centralizadas que coletam dos serviços no escopo e dos sistemas em execução, mas também podem incluir:
- Dados de log de identidade e acesso: use logs de IAM e logs de acesso de carga de trabalho (como sistemas operacionais ou nível de aplicativo) para correlacionar eventos de identidade e acesso.
- Dados de rede: use logs de fluxo de VPC e controles de serviço VPC para capturar logs de fluxo de rede e outras informações de análise.
- Instantâneos de sistemas em execução, que podem ser obtidos por meio de:
- Funcionalidade de instantâneo em VMs do GCP para criar uma instantâneo do disco do sistema em execução.
- A funcionalidade de despejo de memória nativa do sistema operacional, para criar uma instantâneo da memória do sistema em execução.
- O recurso instantâneo dos serviços do GCP ou da própria funcionalidade do software, para criar instantâneos dos sistemas em execução.
Se você agregar seus dados relacionados ao SIEM no Microsoft Sentinel, ele fornecerá ampla análise de dados em praticamente qualquer fonte de log e um portal de gerenciamento de casos para gerenciar todo o ciclo de vida dos incidentes. As informações de inteligência coletadas durante uma investigação podem ser associadas a um incidente para fins de rastreamento e relatório.
Observação: quando os dados relacionados a incidentes são capturados para investigação, verifique se há segurança adequada para proteger os dados contra alterações não autorizadas, como desabilitar o registro em log ou remover logs, que podem ser executados pelos invasores durante uma atividade de violação de dados em andamento.
Implementação do GCP e contexto adicional:
- Central de Comandos de Segurança – Fontes de Segurança
- Conjuntos de dados com suporte
- Criar e gerenciar instantâneos de disco
- Transmita os logs da Google Cloud Platform para o Microsoft Sentinel
Stakeholders de segurança do cliente (Saiba mais):
IR-5: detecção e análise - priorizar incidentes
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Princípio de segurança: forneça contexto às equipes de operações de segurança para ajudá-las a determinar em quais incidentes devem se concentrar primeiro, com base na severidade do alerta e na sensibilidade do ativo definida no plano de resposta a incidentes da sua organização.
Além disso, marque os recursos usando marcas e crie um sistema de nomenclatura para identificar e categorizar os recursos de nuvem, em especial aqueles que processam dados confidenciais. É sua responsabilidade priorizar a correção de alertas com base na criticalidade dos recursos e do ambiente em que o incidente ocorreu.
Diretrizes do Azure: Microsoft Defender para Nuvem atribui uma severidade a cada alerta para ajudá-lo a priorizar quais alertas devem ser investigados primeiro. A gravidade é baseada na confiança do Microsoft Defender para Nuvem na descoberta ou na análise usada para emitir o alerta, bem como no nível de confiança de que havia uma intenção maliciosa por trás da atividade que levou ao alerta.
Da mesma forma, o Microsoft Sentinel cria alertas e incidentes com uma severidade atribuída e outros detalhes com base em regras de análise. Use modelos de regra analítica e personalize as regras de acordo com as necessidades da sua organização para dar suporte à priorização de incidentes. Use regras de automação no Microsoft Sentinel para gerenciar e orquestrar a resposta a ameaças para maximizar a eficiência e a eficácia da equipe da operação de segurança, incluindo a marcação de incidentes para classificá-los.
Implementação do Azure e contexto adicional:
- Alertas de segurança no Microsoft Defender para Nuvem
- Usar marcas para organizar seus recursos do Azure
- Criar incidentes com base em alertas de segurança da Microsoft
Diretrizes da AWS: para cada incidente criado no Gerenciador de Incidentes, atribua um nível de impacto com base nos critérios definidos da sua organização, como uma medida da gravidade do incidente e do nível de criticalidade dos ativos afetados.
Implementação da AWS e contexto adicional:
*Diretrizes do GCP: para cada incidente criado no Centro de Comandos de Segurança, determine a prioridade do alerta com base nas classificações de severidade atribuídas pelo sistema e outros critérios definidos pela sua organização. Meça a gravidade do incidente e o nível de criticalidade dos ativos afetados para determinar quais alertas devem ser investigados primeiro.
Da mesma forma em Chronical, você pode definir regras personalizadas para determinar as prioridades de resposta a incidentes. Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
IR-6: independência, erradicação e recuperação - automatizar o tratamento de incidentes
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IR-4, IR-5, IR-6 | 12.10 |
Princípio de segurança: automatize as tarefas manuais e repetitivas para acelerar o tempo de resposta e reduzir a carga sobre os analistas. As tarefas manuais demoram mais para serem executadas, atrasando cada incidente e reduzindo o número de incidentes que um analista pode processar. Elas também aumentam a fadiga do analista, o que aumenta o risco de erros humanos que causam atrasos, prejudicando a capacidade dos analistas de se concentrarem efetivamente em tarefas complexas.
Diretrizes do Azure: use recursos de automação de fluxo de trabalho no Microsoft Defender para Nuvem e Microsoft Sentinel para disparar ações automaticamente ou executar guias estratégicos para responder a alertas de segurança de entrada. Os guias estratégicos tomam ações, como enviar notificações, desabilitar contas e isolar redes problemáticas.
Implementação do Azure e contexto adicional:
- Configurar a automação de fluxo de trabalho na Central de Segurança
- Configurar respostas de ameaças automatizadas no Microsoft Defender para Nuvem
- Configurar respostas de ameaças automatizadas no Azure Sentinel
Diretrizes da AWS: se você usar o Microsoft Sentinel para gerenciar centralmente seu incidente, também poderá criar ações automatizadas ou executar guias estratégicos para responder a alertas de segurança de entrada.
Como alternativa, use recursos de automação no AWS System Manager para disparar automaticamente ações definidas no plano de resposta a incidentes, incluindo notificar os contatos e/ou executar um runbook para responder a alertas, como desabilitar contas e isolar redes problemáticas.
Implementação da AWS e contexto adicional:
Diretrizes do GCP: se você usar o Microsoft Sentinel para gerenciar centralmente seu incidente, também poderá criar ações automatizadas ou executar guias estratégicos para responder a alertas de segurança de entrada.
Como alternativa, use automações de guia estratégico no Chronicle para disparar automaticamente ações definidas no plano de resposta a incidentes, incluindo notificar os contatos e/ou executar um guia estratégico para responder a alertas.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
IR-7: Atividade pós-incidente - conduzir lições aprendidas e reter evidências
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Princípio de segurança: realize lições aprendidas em sua organização periodicamente e/ou após incidentes importantes, para melhorar sua capacidade futura em resposta e tratamento de incidentes.
Com base na natureza do incidente, mantenha as evidências relacionadas ao incidente para o período definido no padrão de tratamento de incidentes para análise posterior ou ações legais.
Diretrizes do Azure: use o resultado das lições aprendidas para atualizar seu plano de resposta a incidentes, guia estratégico (como um guia estratégico do Microsoft Sentinel) e reincorpore as descobertas em seus ambientes (como registro em log e detecção de ameaças para resolver quaisquer lacunas no registro em log) para melhorar sua capacidade futura de detecção, resposta e tratamento de incidentes no Azure.
Mantenha as evidências coletadas durante a "Detecção e análise – investigar uma etapa de incidente", como logs do sistema, despejos de tráfego de rede e instantâneos do sistema em execução no armazenamento, como uma conta de Armazenamento do Azure para retenção imutável.
Implementação do Azure e contexto adicional:
Diretrizes da AWS: crie uma análise de incidentes para um incidente fechado no Gerenciador de Incidentes usando o modelo de análise de incidentes padrão ou seu próprio modelo personalizado. Use o resultado das lições aprendidas da atividade para atualizar seu plano de resposta a incidentes, o guia estratégico (como o runbook do AWS Systems Manager e o guia estratégico do Microsoft Sentinel) e reincorpore as descobertas em seus ambientes (como registro em log e detecção de ameaças para resolver quaisquer lacunas no registro em log) para melhorar sua funcionalidade futura na detecção, resposta e tratamento dos incidentes na AWS.
Mantenha as evidências coletadas durante a "Etapa de detecção e análise – investigar um incidente", como logs do sistema, despejos de tráfego de rede e instantâneo do sistema em execução no armazenamento, como um bucket do Amazon S3 ou uma conta de Armazenamento do Azure para retenção imutável.
Implementação da AWS e contexto adicional:
Diretrizes do GCP: use o resultado das lições aprendidas da atividade para atualizar seu plano de resposta a incidentes, guia estratégico (como um guia estratégico do Chronicle ou do Microsoft Sentinel) e reincorpore as descobertas em seus ambientes (como registro em log e detecção de ameaças para resolver quaisquer lacunas no registro em log) para melhorar sua capacidade futura de detecção, resposta e tratamento de incidentes no GCP.
Mantenha as evidências coletadas durante a "Detecção e análise – investigar uma etapa de incidente", como logs do sistema, despejos de tráfego de rede e instantâneos do sistema em execução no armazenamento, como um Google Cloud Storage ou uma conta de Armazenamento do Azure para retenção imutável.
Implementação do GCP e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):