Controlo de Segurança: Resposta a incidentes
A Resposta a Incidentes abrange controlos no ciclo de vida da resposta a incidentes – preparação, deteção e análise, contenção e atividades pós-incidente, incluindo a utilização de serviços do Azure (como Microsoft Defender para a Cloud e Sentinel) e/ou outros serviços cloud para automatizar o processo de resposta a incidentes.
IR-1: Preparação – atualizar o plano de resposta a incidentes e o processo de processamento
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Princípio de segurança: certifique-se de que a sua organização segue as melhores práticas do setor para desenvolver processos e planos para responder a incidentes de segurança nas plataformas da cloud. Tenha em atenção o modelo de responsabilidade partilhada e as variâncias nos serviços IaaS, PaaS e SaaS. Isto terá um impacto direto na forma como colabora com o seu fornecedor de cloud em atividades de resposta a incidentes e processamento, tais como notificação e triagem de incidentes, recolha de provas, investigação, erradicação e recuperação.
Teste regularmente o plano de resposta a incidentes e o processo de processamento para garantir que estão atualizados.
Orientação do Azure: atualize o processo de resposta a incidentes da sua organização para incluir o processamento de incidentes na plataforma do Azure. Com base nos serviços do Azure utilizados e na natureza da aplicação, personalize o plano de resposta a incidentes e o manual de procedimentos para garantir que podem ser utilizados para responder ao incidente no ambiente da cloud.
Implementação do Azure e contexto adicional:
- Implementar a segurança em todo o ambiente empresarial:
- Guia de referência da resposta a incidentes
- NIST SP800-61 Computer Security Incident Handling Guide
- Descrição geral da resposta a incidentes
Orientação do AWS: atualize o processo de resposta a incidentes da sua organização para incluir o processamento de incidentes. Certifique-se de que existe um plano de resposta a incidentes em várias clouds unificado ao atualizar o processo de resposta a incidentes da sua organização para incluir o processamento de incidentes na plataforma AWS. Com base nos serviços AWS utilizados e na natureza da sua aplicação, siga o Guia de Resposta a Incidentes de Segurança do AWS para personalizar o plano de resposta a incidentes e o manual de procedimentos para garantir que podem ser utilizados para responder ao incidente no ambiente da cloud.
Implementação do AWS e contexto adicional:
Orientação do GCP: atualize o processo de resposta a incidentes da sua organização para incluir o processamento de incidentes. Certifique-se de que existe um plano de resposta a incidentes em várias clouds unificado ao atualizar o processo de resposta a incidentes da sua organização para incluir o processamento de incidentes na plataforma Google Cloud.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
IR-2: Preparação – configurar a notificação de incidentes
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Princípio de segurança: certifique-se de que os alertas de segurança e as notificações de incidentes da plataforma do fornecedor de serviços cloud e os seus ambientes podem ser recebidos pelo contacto correto na sua organização de resposta a incidentes.
Orientação do Azure: configurar informações de contacto de incidentes de segurança no Microsoft Defender para a Cloud. A Microsoft utiliza estas informações de contacto para o contactar caso o Microsoft Security Response Center (MSRC) descobrir que os seus dados foram acedidos de forma ilícita ou não autorizada. Também tem opções para personalizar alertas de incidentes e notificações em diferentes serviços do Azure com base nas suas necessidades de resposta a incidentes.
Implementação do Azure e contexto adicional:
Orientação do AWS: configurar informações de contacto de incidentes de segurança no Gestor de Incidentes do AWS Systems Manager (o centro de gestão de incidentes do AWS). Estas informações de contacto são utilizadas para a comunicação de gestão de incidentes entre si e o AWS através dos diferentes canais (ou seja, Email, SMS ou Voz). Pode definir o plano de envolvimento e o plano de escalamento de um contacto para descrever como e quando o Gestor de Incidentes interage com o contacto e para escalar se os contactos não responderem a um incidente.
Implementação do AWS e contexto adicional:
Orientação do GCP: configure notificações de incidentes de segurança para contactos específicos com o Centro de Comandos de Segurança ou o Chronicle. Utilize os serviços Google Cloud e APIs de terceiros para fornecer notificações de chat e e-mail em tempo real para alertar sobre os resultados de segurança do Centro de Comandos de Segurança ou manuais de procedimentos para acionar ações para enviar notificações no Chronicle.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
IR-3: Deteção e análise – criar incidentes com base em alertas de alta qualidade
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10.8 |
Princípio de segurança: certifique-se de que tem um processo para criar alertas de alta qualidade e medir a qualidade dos alertas. Isto permite-lhe aprender lições com incidentes anteriores e priorizar alertas para analistas, para que não percam tempo com falsos positivos.
Podem ser desenvolvidos alertas de alta qualidade com base na experiência de incidentes passados, origens da comunidade validadas e ferramentas designadas para gerar e limpar alertas através da fusão e correlação de origens de sinais diversas.
Orientação do Azure: Microsoft Defender para a Cloud fornece alertas de alta qualidade em muitos recursos do Azure. Pode utilizar o Microsoft Defender para o conector de dados da Cloud para transmitir os alertas para o Microsoft Sentinel. O Microsoft Sentinel permite-lhe criar regras de alerta avançadas para gerar incidentes automaticamente para uma investigação.
Exporte os seus Microsoft Defender para alertas e recomendações da Cloud com a funcionalidade de exportação para ajudar a identificar os riscos para os recursos do Azure. Exporte os alertas e as recomendações manualmente ou de forma contínua.
Implementação do Azure e contexto adicional:
Orientação do AWS: utilize ferramentas de segurança como o SecurityHub ou o GuardDuty e outras ferramentas de terceiros para enviar alertas para o Amazon CloudWatch ou o Amazon EventBridge para que os incidentes possam ser criados automaticamente no Gestor de Incidentes com base nos critérios e conjuntos de regras definidos. Também pode criar incidentes manualmente no Gestor de Incidentes para processamento e controlo de incidentes adicionais.
Se utilizar Microsoft Defender para a Cloud para monitorizar as suas contas do AWS, também pode utilizar o Microsoft Sentinel para monitorizar e alertar os incidentes identificados pelo Microsoft Defender para a Cloud nos recursos do AWS.
Implementação do AWS e contexto adicional:
- Criação de incidentes no Gestor de Incidentes
- Como o Defender para Cloud Apps ajuda a proteger o seu ambiente do Amazon Web Services (AWS)
Orientação do GCP: integre o Google Cloud e serviços de terceiros para enviar registos e alertas para o Centro de Comandos de Segurança ou o Chronicle para que os incidentes possam ser criados automaticamente com base em critérios definidos. Também pode criar e editar manualmente os resultados de incidentes no Centro de Comandos de Segurança ou regras no Chronicle para processamento e controlo de incidentes adicionais.
Se utilizar Microsoft Defender para a Cloud para monitorizar os seus projetos de GCP, também pode utilizar o Microsoft Sentinel para monitorizar e alertar os incidentes identificados pelo Microsoft Defender para a Cloud nos recursos do GCP ou transmitir os registos do GCP diretamente para o Microsoft Sentinel.
Implementação do GCP e contexto adicional:
- Configurar o Centro de Comandos de Segurança
- Gerir regras com o Editor de Regras
- Ligar os seus projetos GCP ao Microsoft Defender para a Cloud
- Transmitir registos do Google Cloud Platform no Microsoft Sentinel
Intervenientes na segurança do cliente (Saiba mais):
IR-4: Deteção e análise – investigar um incidente
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/D | IR-4 | 12.10 |
Princípio de segurança: certifique-se de que a equipa de operações de segurança pode consultar e utilizar diversas origens de dados à medida que investiga potenciais incidentes, para criar uma vista completa do que aconteceu. Para monitorizar as atividades de um potencial atacante em toda a rede do ataque e evitar ângulos mortos, devem ser recolhidos diversos registos. Também deve assegurar que são apreendidas informações e aprendizagens para outros analistas e para informação histórica futura.
Utilize o SIEM nativo da cloud e a solução de gestão de incidentes se a sua organização não tiver uma solução existente para agregar informações de alertas e registos de segurança. Correlacione os dados do incidente com base nos dados provenientes de diferentes origens para instalar as investigações de incidentes.
Orientação do Azure: certifique-se de que a sua equipa de operações de segurança pode consultar e utilizar diversas origens de dados que são recolhidas a partir dos sistemas e serviços no âmbito. Além disso, as origens também podem incluir:
- Dados de registo de identidade e acesso: utilize registos de Azure AD e registos de carga de trabalho (como sistemas operativos ou ao nível da aplicação) registos de acesso para correlacionar eventos de identidade e acesso.
- Dados de rede: utilize os registos de fluxo dos grupos de segurança de rede, o Azure Observador de Rede e o Azure Monitor para capturar registos de fluxo de rede e outras informações de análise.
- Dados de atividade relacionados com incidentes de instantâneos dos sistemas afetados, que podem ser obtidos através de:
- A capacidade de instantâneos da máquina virtual do Azure, para criar um instantâneo do disco do sistema em execução.
- A capacidade de captura de memória nativa do sistema operativo, para criar um instantâneo da memória do sistema em execução.
- A funcionalidade de instantâneo de outros serviços suportados do Azure ou a própria capacidade do seu software, para criar instantâneos dos sistemas em execução.
O Microsoft Sentinel fornece análises de dados extensas em praticamente qualquer origem de registos e num portal de gestão de casos para gerir o ciclo de vida completo dos incidentes. As informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de monitorização e reporte.
Nota: quando os dados relacionados com incidentes são capturados para investigação, certifique-se de que existe segurança adequada para proteger os dados contra alterações não autorizadas, como desativar o registo ou remover registos, que podem ser executados pelos atacantes durante uma atividade de violação de dados em voo.
Implementação do Azure e contexto adicional:
- Criar um instantâneo de um disco de uma máquina Windows
- Criar um instantâneo de um disco de uma máquina Linux
- Informações de diagnóstico e recolha da captura da memória do Suporte do Microsoft Azure
- Investigar incidentes com o Azure Sentinel
Orientação do AWS: as origens de dados para investigação são as origens de registo centralizadas que recolhem dos serviços no âmbito e dos sistemas em execução, mas também podem incluir:
- Dados de registo de identidade e acesso: utilize registos de IAM e registos de carga de trabalho (como sistemas operativos ou ao nível da aplicação) registos de acesso para correlacionar eventos de identidade e acesso.
- Dados de rede: utilize Registos do Fluxo VPC, Espelhos de Tráfego VPC e CloudTrail do Azure e CloudWatch para capturar registos de fluxo de rede e outras informações de análise.
- Instantâneos de sistemas em execução, que podem ser obtidos através de:
- Capacidade de instantâneo no Amazon EC2 (EBS) para criar um instantâneo do disco do sistema em execução.
- A capacidade de captura de memória nativa do sistema operativo, para criar um instantâneo da memória do sistema em execução.
- A funcionalidade de instantâneo dos serviços do AWS ou a própria capacidade do seu software, para criar instantâneos dos sistemas em execução.
Se agregar os seus dados relacionados com SIEM no Microsoft Sentinel, este fornece análises de dados extensas em praticamente qualquer origem de registos e um portal de gestão de casos para gerir o ciclo de vida completo dos incidentes. As informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de monitorização e reporte.
Nota: quando os dados relacionados com incidentes são capturados para investigação, certifique-se de que existe segurança adequada para proteger os dados contra alterações não autorizadas, como desativar o registo ou remover registos, que podem ser executados pelos atacantes durante uma atividade de violação de dados em voo.
Implementação do AWS e contexto adicional:
- Espelhamento de Tráfego
- Criar cópias de segurança de volume EBS com AMIs e instantâneos EBS
- Utilizar o Armazenamento Imutável
Orientação do GCP: as origens de dados para investigação são as origens de registo centralizadas que recolhem dos serviços no âmbito e dos sistemas em execução, mas também podem incluir:
- Dados de registo de identidade e acesso: utilize registos de IAM e registos de carga de trabalho (como sistemas operativos ou ao nível da aplicação) registos de acesso para correlacionar eventos de identidade e acesso.
- Dados de rede: utilize os Registos do Fluxo VPC e os controlos de serviço VPC para capturar registos de fluxo de rede e outras informações de análise.
- Instantâneos de sistemas em execução, que podem ser obtidos através de:
- Capacidade de instantâneo em VMs GCP para criar um instantâneo do disco do sistema em execução.
- A capacidade de captura de memória nativa do sistema operativo, para criar um instantâneo da memória do sistema em execução.
- A funcionalidade de instantâneo dos serviços GCP ou a própria capacidade do seu software, para criar instantâneos dos sistemas em execução.
Se agregar os seus dados relacionados com SIEM no Microsoft Sentinel, este fornece análises de dados extensas em praticamente qualquer origem de registos e um portal de gestão de casos para gerir o ciclo de vida completo dos incidentes. As informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de monitorização e reporte.
Nota: quando os dados relacionados com incidentes são capturados para investigação, certifique-se de que existe segurança adequada para proteger os dados contra alterações não autorizadas, como desativar o registo ou remover registos, que podem ser executados pelos atacantes durante uma atividade de violação de dados em voo.
Implementação do GCP e contexto adicional:
- Centro de Comandos de Segurança - Origens de Segurança
- Conjuntos de dados suportados
- Criar e gerir instantâneos de disco
- Transmitir registos do Google Cloud Platform no Microsoft Sentinel
Intervenientes na segurança do cliente (Saiba mais):
IR-5: Deteção e análise – priorizar incidentes
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Princípio de segurança: forneça contexto às equipas de operações de segurança para ajudá-las a determinar em que incidentes devem primeiro estar focados, com base na gravidade do alerta e na confidencialidade dos recursos definidas no plano de resposta a incidentes da sua organização.
Além disso, marque recursos com etiquetas e crie um sistema de nomenclatura para identificar e categorizar os recursos da cloud, especialmente aqueles que processam dados confidenciais. É da sua responsabilidade priorizar a remediação de alertas com base na importância dos recursos e do ambiente em que o incidente ocorreu.
Orientação do Azure: Microsoft Defender para a Cloud atribui uma gravidade a cada alerta para o ajudar a priorizar os alertas que devem ser investigados primeiro. A gravidade baseia-se na confiança Microsoft Defender para a Cloud na localização ou na análise utilizada para emitir o alerta, bem como no nível de confiança de que havia uma intenção maliciosa por trás da atividade que levou ao alerta.
Da mesma forma, o Microsoft Sentinel cria alertas e incidentes com uma gravidade atribuída e outros detalhes com base nas regras de análise. Utilize modelos de regras analíticas e personalize as regras de acordo com as necessidades da sua organização para suportar a atribuição de prioridades a incidentes. Utilize as regras de automatização no Microsoft Sentinel para gerir e orquestrar a resposta a ameaças para maximizar a eficiência e eficácia da equipa da operação de segurança, incluindo identificar incidentes para os classificar.
Implementação do Azure e contexto adicional:
- Alertas de segurança no Microsoft Defender para a Cloud
- Utilizar etiquetas para organizar os recursos do Azure
- Criar incidentes a partir de alertas de segurança da Microsoft
Orientação do AWS: para cada incidente criado no Gestor de Incidentes, atribua um nível de impacto com base nos critérios definidos da sua organização, como uma medida da gravidade do incidente e o nível de criticidade dos recursos afetados.
Implementação do AWS e contexto adicional:
* Orientação do GCP: para cada incidente criado no Centro de Comandos de Segurança, determine a prioridade do alerta com base nas classificações de gravidade atribuídas pelo sistema e outros critérios definidos pela sua organização. Meça a gravidade do incidente e o nível de criticidade dos recursos afetados para determinar quais os alertas que devem ser investigados primeiro.
Da mesma forma, em Chronical, pode definir regras personalizadas para determinar as prioridades de resposta a incidentes. Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
IR-6: Contenção, erradicação e recuperação – automatizar o processamento de incidentes
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/D | IR-4, IR-5, IR-6 | 12.10 |
Princípio de segurança: automatize as tarefas manuais e repetitivas para acelerar o tempo de resposta e reduzir a carga sobre os analistas. As tarefas manuais são mais morosas e atrasam todos os incidentes, reduzindo o número daqueles com que um analista pode lidar. As tarefas manuais também aumentam a fadiga dos analistas, o que aumenta o risco de erro humano que causa atrasos e degrada a capacidade dos analistas de se concentrarem eficazmente em tarefas complexas.
Orientação do Azure: utilize funcionalidades de automatização de fluxo de trabalho no Microsoft Defender para a Cloud e o Microsoft Sentinel para acionar automaticamente ações ou executar manuais de procedimentos para responder a alertas de segurança recebidos. Os manuais de procedimentos efetuam ações, como o envio de notificações, a desativação de contas e a isolação de redes problemáticas.
Implementação do Azure e contexto adicional:
- Configurar a automatização dos fluxos de trabalho no Centro de Segurança
- Configurar respostas de ameaças automatizadas no Microsoft Defender para a Cloud
- Configurar respostas automatizadas a ameaças no Azure Sentinel
Orientação do AWS: se utilizar o Microsoft Sentinel para gerir centralmente o incidente, também pode criar ações automatizadas ou executar manuais de procedimentos para responder a alertas de segurança recebidos.
Em alternativa, utilize funcionalidades de automatização no AWS System Manager para acionar automaticamente ações definidas no plano de resposta a incidentes, incluindo notificar os contactos e/ou executar um runbook para responder a alertas, como desativar contas e isolar redes problemáticas.
Implementação do AWS e contexto adicional:
Orientação do GCP: se utilizar o Microsoft Sentinel para gerir centralmente o incidente, também pode criar ações automatizadas ou executar manuais de procedimentos para responder a alertas de segurança recebidos.
Em alternativa, utilize as automatizações do Manual de Procedimentos no Chronicle para acionar automaticamente as ações definidas no plano de resposta a incidentes, incluindo notificar os contactos e/ou executar um manual de procedimentos para responder a alertas.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
IR-7: Atividade pós-incidente - realizar lições aprendidas e reter provas
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Princípio de segurança: realize lições aprendidas na sua organização periodicamente e/ou após incidentes importantes, para melhorar a sua capacidade futura na resposta e no processamento de incidentes.
Com base na natureza do incidente, mantenha as provas relacionadas com o incidente para o período definido no padrão de processamento de incidentes para análise adicional ou ações legais.
Orientação do Azure: utilize o resultado das lições aprendidas para atualizar o seu plano de resposta a incidentes, manual de procedimentos (como um manual de procedimentos do Microsoft Sentinel) e reincorporar as conclusões nos seus ambientes (como registo e deteção de ameaças para resolver eventuais lacunas no registo) para melhorar a sua capacidade futura na deteção, resposta e processamento de incidentes no Azure.
Mantenha as provas recolhidas durante a "Deteção e análise – investigar um passo de incidente", como registos do sistema, capturas de tráfego de rede e instantâneos de sistema em execução no armazenamento, como uma conta de Armazenamento do Azure para retenção imutável.
Implementação do Azure e contexto adicional:
Orientação do AWS: crie a análise de incidentes para um incidente fechado no Gestor de Incidentes com o modelo de análise de incidentes padrão ou o seu próprio modelo personalizado. Utilize o resultado da atividade aprendida nas lições para atualizar o seu plano de resposta a incidentes, manual de procedimentos (como o runbook do AWS Systems Manager e o manual de procedimentos do Microsoft Sentinel) e reincorporar as conclusões nos seus ambientes (como registo e deteção de ameaças para resolver eventuais lacunas no registo) para melhorar a sua capacidade futura na deteção, resposta e processamento dos incidentes no AWS.
Mantenha as provas recolhidas durante a "Deteção e análise – investigar um passo de incidente", como registos do sistema, capturas de tráfego de rede e instantâneos de sistema em execução no armazenamento, como um registo do Amazon S3 ou uma conta de Armazenamento do Azure para retenção imutável.
Implementação do AWS e contexto adicional:
Documentação de orientação do GCP: utilize o resultado das lições aprendidas para atualizar o seu plano de resposta a incidentes, manual de procedimentos (como um manual de procedimentos do Chronicle ou do Microsoft Sentinel) e reincorporar as conclusões nos seus ambientes (como registo e deteção de ameaças para resolver eventuais lacunas no registo) para melhorar a sua capacidade futura na deteção, resposta e processamento de incidentes no GCP.
Mantenha as provas recolhidas durante a "Deteção e análise – investigar um passo de incidente", como registos do sistema, capturas de tráfego de rede e instantâneos de sistema em execução no armazenamento, como um Google Cloud Storage ou uma conta de Armazenamento do Azure para retenção imutável.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):