Управление безопасностью, v2: реагирование на инциденты
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Эта область охватывает аспекты управления в жизненном цикле реагирования на инциденты, к которому относятся подготовка, обнаружение и анализ, локализация и действия после инцидента. Она также включает автоматизацию процесса реагирования с помощью Центра безопасности Azure, Sentinel и других служб Azure.
Соответствующую встроенную Политику Azure см. в разделе Сведения о встроенной инициативе Azure Security Benchmark по соответствию нормативным требованиям — Реагирование на инциденты.
IR-1: подготовка — процесс обновления реагирования на инциденты для Azure
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IR-1 | 19 | IR-4, IR-8 |
Убедитесь, что организация располагает процессами для реагирования на инциденты безопасности, обновляет эти процессы для Azure и регулярно использует их для обеспечения готовности.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-2: подготовка — настройка уведомлений об инцидентах
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IR-2 | 19.5 | IR-4, IR-5, IR-6, IR-8 |
Настройте информацию об инциденте безопасности в Центре безопасности Azure. Эта контактная информация используется корпорацией Майкрософт для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаруживает, что доступ к данным был осуществлен незаконно или неавторизованным лицом. Вы также можете настроить оповещения и уведомления об инцидентах в разных службах Azure в зависимости от потребностей реагирования на инциденты.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-3: обнаружение и анализ — создание инцидентов на основе высококачественных оповещений
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IR-3 | 19.6 | IR-4, IR-5 |
Убедитесь, что у вас есть рабочий процесс, чтобы создать высококачественные оповещения и оценить их качество. Это позволяет извлекать уроки из прошлых инцидентов и приоритизировать оповещения для аналитиков, чтобы они не тратили время на ложноположительные результаты.
Высококачественные оповещения можно создавать с учетом опыта прошлых инцидентов, проверенных источников сообщества и средств, предназначенных для создания и очистки оповещений путем объединения и сопоставления различных источников сигналов.
Центр безопасности Azure (ASC) предоставляет высококачественные оповещения во многих ресурсах Azure. Вы можете использовать соединитель данных ASC для потоковой передачи оповещений в Azure Sentinel. Azure Sentinel позволяет создавать дополнительные правила оповещений, чтобы автоматически генерировать инциденты для исследования.
Экспортируйте оповещения и рекомендации Центра безопасности Azure с помощью функции экспорта с целью выявления рисков для ресурсов Azure. Экспортируйте оповещения и рекомендации как вручную, так и в постоянном, непрерывном режиме.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-4. Обнаружение и анализ. Исследование инцидента
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IR-4 | 19 | IR-4 |
Убедитесь, что аналитики могут запрашивать и использовать различные источники данных при исследовании потенциальных инцидентов, чтобы создать полное представление о том, что произошло. Чтобы избежать неясностей при отслеживании действий потенциального злоумышленника на этапе нарушения безопасности, необходимо собрать данные из различных журналов. Кроме того, следует убедиться, что аналитические сведения и результаты изучения записываются для других аналитиков и для хронологической справки в будущем.
К источникам данных для исследования относятся централизованные источники ведения журналов, данные которых собраны из соответствующих служб и работающих систем. Кроме того, к этим источникам можно отнести следующие ресурсы:
Сетевые данные. Используйте журналы потоков для групп безопасности сети, службу "Наблюдатель за сетями Azure" и Azure Monitor для сборов данных журналов сетевых потоков сети и других аналитических сведений.
Моментальные снимки работающих систем:
Используйте возможности моментального снимка виртуальной машины Azure для создания моментального снимка диска работающей системы.
Используйте возможности дампа внутренней памяти операционной системы для создания моментального снимка памяти работающей системы.
Используйте функцию моментального снимка служб Azure или возможность программного обеспечения для создания моментальных снимков работающих систем.
Azure Sentinel предоставляет широкие возможности аналитики данных на любом виртуальном источнике журнала и на портале управления обращениями, чтобы контролировать полный жизненный цикл инцидентов. Сведения об анализе во время исследования можно связать с инцидентом с целью отслеживания и ведения отчетности.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-5: обнаружение и анализ — определение приоритетов инцидентов
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IR-5 | 19,8 | CA-2, IR-4 |
Предоставьте для аналитиков контекст, на каких инцидентах следует сосредоточиться в первую очередь, исходя из серьезности предупреждения и чувствительности ресурса.
Центр безопасности Azure назначает каждому оповещению серьезность, которая поможет определить, какие предупреждения следует расследовать первыми. Серьезность основывается на том, насколько уверен Центр безопасности в исследовании или аналитике, используемой для оповещения, а также на уровне достоверности злонамеренности события, приведшего к оповещению.
Кроме того, пометьте ресурсы и создайте систему именования, чтобы определить и классифицировать ресурсы Azure, особенно обрабатывающие конфиденциальные данные. Вы несете ответственность за назначение приоритета оповещениям, требующим действий по исправлению, в зависимости от важности ресурсов Azure и среды, в которой произошел инцидент.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-6: заражение, удаление и восстановление — автоматизация обработки инцидентов
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| IR-6 | 19 | IR-4, IR-5, IR-6 |
Автоматизируйте повторяющиеся задачи, выполняемые вручную, чтобы ускорить время отклика и снизить нагрузку на аналитики. Задачи, выполняемые вручную, выполняются дольше, замедляя обработку каждого инцидента и уменьшая количество инцидентов, которые может обработать аналитик. Задачи, выполняемые вручную, также увеличивают усталость аналитика, что повышает риск возникновения ошибки, вызванной человеческим фактором, и снижает способность аналитиков эффективно сосредоточиться на сложных задачах. Используйте функции автоматизации рабочих процессов в Центре безопасности Azure и Azure Sentinel, чтобы автоматически активировать действия или запустить сборник схем для реагирования на входящие оповещения системы безопасности. Сборник схем отправляет уведомления, отключает учетные записи и изолирует проблемные сети.
Настройка автоматизации рабочих процессов в Центре безопасности
Настройка автоматического реагирования на угрозы в Центре безопасности Azure
настройке автоматического реагирования на угрозы в Azure Sentinel
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):