Partilhar via


Controlo de Segurança v3: Resposta a incidentes

Incident Response abrange controlos no ciclo de vida de resposta a incidentes - preparação, deteção e análise, contenção e atividades pós-incidente, incluindo a utilização de serviços Azure, como Microsoft Defender para a Cloud e Sentinel para automatizar o processo de resposta a incidentes.

IR-1: Preparação - atualizar o plano de resposta a incidentes e o processo de manuseamento

Controlos do CIS v8 ID(s) NIST SP 800-53 r4 ID ID(s) PCI-DSS v3.2.1
17.4, 17.7 IR-4, IR-8 10.8

Princípio de segurança: Certifique-se de que a sua organização segue as melhores práticas da indústria para desenvolver processos e planos para responder a incidentes de segurança nas plataformas da nuvem. Esteja atento ao modelo de responsabilidade partilhada e às variações nos serviços IaaS, PaaS e SaaS. Isto terá um impacto direto na forma como colabora com o seu fornecedor de nuvem em atividades de resposta e manuseamento de incidentes, tais como notificação de incidentes e triagem, recolha de provas, investigação, erradicação e recuperação.

Teste regularmente o plano de resposta a incidentes e o processo de manuseamento para garantir que estão atualizados.

Orientação Azure: Atualize o processo de resposta a incidentes da sua organização para incluir o tratamento do incidente na plataforma Azure. Com base nos serviços Azure utilizados e na natureza da sua aplicação, personalize o plano de resposta a incidentes e o livro de jogadas para garantir que podem ser usados para responder ao incidente no ambiente de nuvem.

Implementação e contexto adicional:

Stakeholders de Segurança do Cliente (Saiba mais):

IR-2: Preparação - notificação de incidente de configuração

Controlos do CIS v8 ID(s) NIST SP 800-53 r4 ID ID(s) PCI-DSS v3.2.1
17.1, 17.3, 17.6 IR-4, IR-8, IR-5, IR-6 12.10

Princípio de segurança: Certifique-se de que os alertas de segurança e a notificação de incidentes da plataforma do fornecedor de serviços de nuvem e dos seus ambientes podem ser recebidos através de um contacto correto na sua organização de resposta a incidentes.

Orientação Azure: Configurar informações de contacto com incidentes de segurança em Microsoft Defender para a Cloud. A Microsoft utiliza estas informações de contacto para o contactar caso o Microsoft Security Response Center (MSRC) descobrir que os seus dados foram acedidos de forma ilícita ou não autorizada. Também tem opções para personalizar os alertas e as notificações de incidentes em diferentes serviços do Azure de acordo com as suas necessidades de resposta aos incidentes.

Implementação e contexto adicional:

Stakeholders de Segurança do Cliente (Saiba mais):

IR-3: Deteção e análise - criar incidentes baseados em alertas de alta qualidade

Controlos do CIS v8 ID(s) NIST SP 800-53 r4 ID ID(s) PCI-DSS v3.2.1
17,9 IR-4, IR-5, IR-7 10.8

Princípio de segurança: Certifique-se de que tem um processo para criar alertas de alta qualidade e medir a qualidade dos alertas. Isto permite-lhe aprender lições de incidentes passados e priorizar alertas para analistas, para que não percam tempo com falsos positivos.

Podem ser desenvolvidos alertas de alta qualidade com base na experiência de incidentes passados, origens da comunidade validadas e ferramentas designadas para gerar e limpar alertas através da fusão e correlação de origens de sinais diversas.

Azure Guidance: Microsoft Defender para a Cloud fornece alertas de alta qualidade em muitos ativos da Azure. Pode utilizar o conector de dados Microsoft Defender para a Cloud para transmitir os alertas ao Azure Sentinel. O Azure Sentinel permite-lhe criar regras de alertas avançadas para gerar incidentes automaticamente para investigações.

Exporte os seus alertas e recomendações de Microsoft Defender para a Cloud utilizando a funcionalidade de exportação para ajudar a identificar riscos para os recursos da Azure. Exporte os alertas e as recomendações manualmente ou de forma contínua.

Implementação e contexto adicional:

Stakeholders de Segurança do Cliente (Saiba mais):

IR-4: Deteção e análise - investigue um incidente

Controlos do CIS v8 ID(s) NIST SP 800-53 r4 ID ID(s) PCI-DSS v3.2.1
N/D IR-4 12.10

Princípio de segurança: Garantir que a equipa de operações de segurança pode consultar e usar diversas fontes de dados à medida que investigam potenciais incidentes, para construir uma visão completa do que aconteceu. Para monitorizar as atividades de um potencial atacante em toda a rede do ataque e evitar ângulos mortos, devem ser recolhidos diversos registos. Também deve assegurar que são apreendidas informações e aprendizagens para outros analistas e para informação histórica futura.

Orientação Azure: As fontes de dados para investigação são as fontes centralizadas de registo que já estão a ser recolhidas dos serviços de âmbito e dos sistemas de funcionamento, mas também podem incluir:

  • Dados da rede: Utilize os registos de fluxo dos grupos de segurança da rede, o Azure Observador de Rede e o Azure Monitor para capturar registos de fluxo de rede e outras informações analíticas.
  • Instantâneos de sistemas de funcionamento: a) Capacidade de instantâneo da máquina virtual Azure, para criar uma imagem do disco do sistema de funcionamento. b) A capacidade de despejo de memória nativa do sistema operativo, para criar uma imagem da memória do sistema de funcionamento. c) A funcionalidade instantânea dos serviços Azure ou a capacidade do seu próprio software, para criar instantâneos dos sistemas de execução.

O Azure Sentinel disponibiliza uma grande quantidade de análises de dados em praticamente qualquer origem de registos e um portal de gestão de casos para gerir o ciclo de vida completo dos incidentes. As informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de monitorização e reporte.

Implementação e contexto adicional:

Stakeholders de Segurança do Cliente (Saiba mais):

IR-5: Deteção e análise - priorizar incidentes

Controlos do CIS v8 ID(s) NIST SP 800-53 r4 ID ID(s) PCI-DSS v3.2.1
17.4, 17.9 IR-4 12.10

Princípio de segurança: Fornecer contexto às equipas de operações de segurança para ajudá-los a determinar quais incidentes devem ser focados primeiro, com base na gravidade de alerta e sensibilidade do ativo definida no plano de resposta a incidentes da sua organização.

Azure Guidance: Microsoft Defender para a Cloud atribui uma gravidade a cada alerta para ajudá-lo a priorizar quais os alertas que devem ser investigados primeiro. A gravidade baseia-se no quão confiante Microsoft Defender para a Cloud está na descoberta ou na análise usada para emitir o alerta, bem como no nível de confiança de que havia uma intenção maliciosa por trás da atividade que levou ao alerta.

Além disso, marque os recursos com etiquetas e crie um sistema de nomenclatura para identificar e categorizar os recursos do Azure, especialmente aqueles que processam dados confidenciais. É da sua responsabilidade priorizar a remediação dos alertas de acordo com a criticalidade dos recursos do Azure e o ambiente em que os incidentes ocorreram.

Implementação e contexto adicional:

Stakeholders de Segurança do Cliente (Saiba mais):

IR-6: Contenção, erradicação e recuperação - automatizar o tratamento do incidente

Controlos do CIS v8 ID(s) NIST SP 800-53 r4 ID ID(s) PCI-DSS v3.2.1
N/D IR-4, IR-5, IR-6 12.10

Princípio de segurança: Automatizar as tarefas manuais e repetitivas para acelerar o tempo de resposta e reduzir o fardo sobre os analistas. As tarefas manuais são mais morosas e atrasam todos os incidentes, reduzindo o número daqueles com que um analista pode lidar. As tarefas manuais também aumentam a fadiga dos analistas, o que aumenta o risco de erro humano que causa atrasos e degrada a capacidade dos analistas de se concentrarem eficazmente em tarefas complexas.

Orientação Azure: Utilize funcionalidades de automatização de fluxos de trabalho em Microsoft Defender para a Cloud e Azure Sentinel para desencadear automaticamente ações ou executar um livro de jogadas para responder aos alertas de segurança que chegam. O manual de procedimentos efetua ações, como o envio de notificações, a desativação de contas e o isolamento de redes problemáticas.

Implementação e contexto adicional:

Stakeholders de Segurança do Cliente (Saiba mais):

IR-7: Atividade pós-incidente - lição de conduta aprendida e reter provas

Controlos do CIS v8 ID(s) NIST SP 800-53 r4 ID ID(s) PCI-DSS v3.2.1
17.8 IR-4 12.10

Princípio de segurança: Lição de conduta aprendida na sua organização periodicamente e/ou após grandes incidentes, para melhorar a sua capacidade futura na resposta e manuseamento de incidentes.

Com base na natureza do incidente, mantenha as provas relacionadas com o incidente durante o período definido na norma de tratamento de incidentes para posterior análise ou ações legais.

Orientação Azure: Utilize o resultado da lição aprendida para atualizar o seu plano de resposta a incidentes, playbook (como o livro de jogadas Azure Sentinel) e reincorporar as descobertas nos seus ambientes (como a deteção de registos e ameaças para resolver quaisquer áreas de lacunas de registo) para melhorar a sua capacidade futura de deteção, resposta e tratamento do incidente em Azure.

Mantenha as provas recolhidas durante a "Deteção e análise - investigue um passo de incidente" como registos de sistemas, despejo de tráfego de rede e instantâneo do sistema de execução no armazenamento, como a Azure Armazenamento conta para a retenção.

Implementação e contexto adicional:

Stakeholders de Segurança do Cliente (Saiba mais):