Säkerhetskontroll: Incidenthantering
Incidenthantering omfattar kontroller i livscykeln för incidenthantering – förberedelse, identifiering och analys, inneslutning och aktiviteter efter incident, inklusive användning av Azure-tjänster (till exempel Microsoft Defender för molnet och Sentinel) och/eller andra molntjänster för att automatisera incidenthanteringsprocessen.
IR-1: Förberedelse – uppdatera incidenthanteringsplan och hanteringsprocess
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10,8 |
Säkerhetsprincip: Se till att din organisation följer branschens bästa praxis för att utveckla processer och planer för att svara på säkerhetsincidenter på molnplattformarna. Tänk på modellen med delat ansvar och varianserna för IaaS-, PaaS- och SaaS-tjänster. Detta påverkar direkt hur du samarbetar med din molnleverantör vid incidenthantering och hantering av aktiviteter, till exempel incidentmeddelande och sortering, insamling av bevis, undersökning, utrotning och återställning.
Testa regelbundet incidenthanteringsplanen och hanteringsprocessen för att säkerställa att de är uppdaterade.
Azure-vägledning: Uppdatera organisationens incidenthanteringsprocess så att den inkluderar hanteringen av incidenter på Azure-plattformen. Baserat på de Azure-tjänster som används och din programkaraktär anpassar du incidenthanteringsplanen och spelboken för att säkerställa att de kan användas för att svara på incidenten i molnmiljön.
Azure-implementering och ytterligare kontext:
- Implementera säkerhet i företagsmiljön:
- Referensguide för incidentsvar
- NIST SP800-61 Guide för incidenthantering av datorsäkerhet
- Översikt över incidenthantering
AWS-vägledning: Uppdatera organisationens incidenthanteringsprocess så att den omfattar hanteringen av incidenter. Se till att det finns en enhetlig incidenthanteringsplan för flera moln genom att uppdatera organisationens incidenthanteringsprocess så att den inkluderar hanteringen av incidenter i AWS-plattformen. Baserat på de AWS-tjänster som används och din programkaraktär följer du AWS Security Incident Response Guide för att anpassa planen för incidenthantering och spelboken för att säkerställa att de kan användas för att svara på incidenten i molnmiljön.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Uppdatera organisationens incidenthanteringsprocess så att den omfattar hantering av incidenter. Se till att det finns en enhetlig incidenthanteringsplan för flera moln genom att uppdatera organisationens incidenthanteringsprocess så att den inkluderar hanteringen av incidenter på Google Cloud-plattformen.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
IR-2: Förberedelse – meddelande om installation av incident
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Säkerhetsprincip: Se till att säkerhetsaviseringar och incidentaviseringar från molntjänstleverantörens plattform och dina miljöer kan tas emot av rätt kontakt i din incidenthanteringsorganisation.
Azure-vägledning: Konfigurera kontaktinformation för säkerhetsincidenter i Microsoft Defender för molnet. Microsoft använder de här kontaktuppgifterna till att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker obehörig åtkomst till dina data. Du har också alternativ för att anpassa incidentaviseringar och meddelanden i olika Azure-tjänster baserat på dina incidenthanteringsbehov.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Konfigurera kontaktinformation för säkerhetsincidenter i AWS Systems Manager Incident Manager (incidenthanteringscentret för AWS). Den här kontaktinformationen används för incidenthanteringskommunikation mellan dig och AWS via de olika kanalerna (t.ex. Email, SMS eller Röst). Du kan definiera en kontakts åtagandeplan och eskaleringsplan för att beskriva hur och när Incidenthanteraren kontaktar kontakten och eskalerar om kontakterna inte svarar på en incident.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Konfigurera meddelanden om säkerhetsincidenter för vissa kontakter med hjälp av Security Command Center eller Chronicle. Använd Google Cloud-tjänster och API:er från tredje part för att tillhandahålla e-post- och chattmeddelanden i realtid för att varna om säkerhetsresultat för Security Command Center eller spelböcker för att utlösa åtgärder för att skicka meddelanden i Chronicle.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
IR-3: Identifiering och analys – skapa incidenter baserat på högkvalitativa aviseringar
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10,8 |
Säkerhetsprincip: Se till att du har en process för att skapa högkvalitativa aviseringar och mäta aviseringarnas kvalitet. På så sätt kan du dra lärdom av tidigare incidenter och prioritera aviseringar för analytiker, så att de inte slösar tid på falska positiva identifieringar.
Du kan basera aviseringar av hög kvalitet på erfarenheter från tidigare incidenter, validerade community-källor och verktyg som utformats för att skapa och rensa aviseringar genom att sammanfoga och korrelera olika signalkällor.
Azure-vägledning: Microsoft Defender för molnet ger högkvalitativa aviseringar för många Azure-tillgångar. Du kan använda Microsoft Defender för Cloud Data Connector för att strömma aviseringarna till Microsoft Sentinel. Med Microsoft Sentinel kan du skapa avancerade aviseringsregler för att generera incidenter automatiskt för en undersökning.
Exportera dina Microsoft Defender för molnaviseringar och rekommendationer med hjälp av exportfunktionen för att identifiera risker för Azure-resurser. Exportera aviseringar och rekommendationer antingen manuellt eller löpande.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Använd säkerhetsverktyg som SecurityHub eller GuardDuty och andra verktyg från tredje part för att skicka aviseringar till Amazon CloudWatch eller Amazon EventBridge så att incidenter automatiskt kan skapas i Incident Manager baserat på de definierade kriterierna och regeluppsättningarna. Du kan också skapa incidenter manuellt i Incidenthanteraren för ytterligare incidenthantering och spårning.
Om du använder Microsoft Defender för molnet för att övervaka dina AWS-konton kan du också använda Microsoft Sentinel för att övervaka och varna de incidenter som identifieras av Microsoft Defender för molnet på AWS-resurser.
AWS-implementering och ytterligare kontext:
- Incidentskapande i Incidenthanteraren
- Så här skyddar Defender för Cloud Apps din Amazon Web Services-miljö (AWS)
GCP-vägledning: Integrera Google Cloud och tjänster från tredje part för att skicka loggar och aviseringar till Security Command Center eller Chronicle så att incidenter kan skapas automatiskt baserat på definierade kriterier. Du kan också skapa och redigera incidentresultat manuellt i Security Command Center eller regler i Chronicle för ytterligare incidenthantering och spårning.
Om du använder Microsoft Defender för molnet för att övervaka dina GCP-projekt kan du också använda Microsoft Sentinel för att övervaka och varna de incidenter som identifieras av Microsoft Defender för molnet på GCP-resurser eller strömma GCP-loggar direkt till Microsoft Sentinel.
GCP-implementering och ytterligare kontext:
- Konfigurera Security Command Center
- Hantera regler med hjälp av regelredigeraren
- Ansluta dina GCP-projekt till Microsoft Defender för molnet
- Strömma Google Cloud Platform-loggar till Microsoft Sentinel
Kunders säkerhetsintressenter (Läs mer):
IR-4: Identifiering och analys – undersöka en incident
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| Ej tillämpligt | IR-4 | 12.10 |
Säkerhetsprincip: Se till att säkerhetsåtgärdsteamet kan fråga och använda olika datakällor när de undersöker potentiella incidenter för att skapa en fullständig vy över vad som hände. Diverse loggar bör samlas in för att spåra en potentiell angripares aktiviteter över hela händelsekedjan för att undvika att blinda fläckar. Du bör också se till att insikter och kunskaper fångas upp för andra analytiker och för framtida historiska referenser.
Använd den molnbaserade SIEM- och incidenthanteringslösningen om din organisation inte har någon befintlig lösning för att aggregera information om säkerhetsloggar och aviseringar. Korrelera incidentdata baserat på data som hämtats från olika källor till anläggningen för incidentutredningarna.
Azure-vägledning: Se till att ditt säkerhetsteam kan köra frågor mot och använda olika datakällor som samlas in från tjänster och system inom omfånget. Dessutom kan källorna innehålla:
- Identitets- och åtkomstloggdata: Använd Azure AD loggar och arbetsbelastningsloggar (till exempel operativsystem eller programnivå) för att korrelera identitets- och åtkomsthändelser.
- Nätverksdata: Använd flödesloggar för nätverkssäkerhetsgrupper, Azure Network Watcher och Azure Monitor för att samla in nätverksflödesloggar och annan analysinformation.
- Incidentrelaterade aktivitetsdata från ögonblicksbilder av de berörda systemen, som kan hämtas via:
- Den virtuella Azure-datorns funktion för ögonblicksbilder för att skapa en ögonblicksbild av det system som körs på disken.
- Operativsystemets interna minnesdumpfunktion för att skapa en ögonblicksbild av det system som körs minne.
- Funktionen för ögonblicksbilder av andra Azure-tjänster som stöds eller din programvaras egen funktion för att skapa ögonblicksbilder av de system som körs.
Microsoft Sentinel tillhandahåller omfattande dataanalys i praktiskt taget alla loggkällor och en ärendehanteringsportal för att hantera hela livscykeln för incidenter. Affärsinformation under en undersökning kan associeras med en incident för spårning och rapportering.
Obs! När incidentrelaterade data samlas in för undersökning, se till att det finns tillräcklig säkerhet för att skydda data från obehöriga ändringar, till exempel att inaktivera loggning eller ta bort loggar, som kan utföras av angriparna under en pågående dataintrångsaktivitet.
Azure-implementering och ytterligare kontext:
- Ögonblicksbild av en Windows-dators disk
- Ögonblicksbild av en Linux-dators disk
- Microsoft Azure har stöd för diagnostikinformation och insamling av minnesdumpar
- Undersöka incidenter med Azure Sentinel
AWS-vägledning: Datakällorna för undersökning är de centraliserade loggningskällorna som samlas in från tjänsterna inom omfånget och som kör system, men kan även innehålla:
- Identitets- och åtkomstloggdata: Använd IAM-loggar och arbetsbelastningsloggar (till exempel operativsystem eller programnivå) för att korrelera identitets- och åtkomsthändelser.
- Nätverksdata: Använd VPC-flödesloggar, VPC Traffic Mirrors och Azure CloudTrail och CloudWatch för att samla in nätverksflödesloggar och annan analysinformation.
- Ögonblicksbilder av system som körs, som kan hämtas via:
- Funktionen för ögonblicksbilder i Amazon EC2 (EBS) för att skapa en ögonblicksbild av det system som körs på disken.
- Operativsystemets interna minnesdumpfunktion för att skapa en ögonblicksbild av det system som körs minne.
- Ögonblicksbildsfunktionen i AWS-tjänsterna eller programvarans egen funktion för att skapa ögonblicksbilder av de system som körs.
Om du aggregerar dina SIEM-relaterade data i Microsoft Sentinel innehåller den omfattande dataanalys över praktiskt taget alla loggkällor och en ärendehanteringsportal för att hantera hela livscykeln för incidenter. Affärsinformation under en undersökning kan associeras med en incident för spårning och rapportering.
Obs! När incidentrelaterade data samlas in för undersökning, se till att det finns tillräcklig säkerhet för att skydda data från obehöriga ändringar, till exempel att inaktivera loggning eller ta bort loggar, som kan utföras av angriparna under en pågående dataintrångsaktivitet.
AWS-implementering och ytterligare kontext:
- Trafikspegling
- Skapa EBS-volymsäkerhetskopior med AMI:er och EBS-ögonblicksbilder
- Använda oföränderlig lagring
GCP-vägledning: Datakällorna för undersökning är de centraliserade loggningskällorna som samlas in från tjänster inom omfånget och system som körs, men kan även innehålla:
- Identitets- och åtkomstloggdata: Använd IAM-loggar och arbetsbelastningsloggar (till exempel operativsystem eller programnivå) för att korrelera identitets- och åtkomsthändelser.
- Nätverksdata: Använd VPC-flödesloggar och VPC-tjänstkontroller för att samla in nätverksflödesloggar och annan analysinformation.
- Ögonblicksbilder av system som körs, som kan hämtas via:
- Funktionen för ögonblicksbilder på virtuella GCP-datorer för att skapa en ögonblicksbild av det system som körs på disken.
- Operativsystemets interna minnesdumpfunktion för att skapa en ögonblicksbild av det system som körs minne.
- Ögonblicksbildsfunktionen i GCP-tjänsterna eller programvarans egen funktion för att skapa ögonblicksbilder av de system som körs.
Om du aggregerar dina SIEM-relaterade data i Microsoft Sentinel innehåller den omfattande dataanalys över praktiskt taget alla loggkällor och en ärendehanteringsportal för att hantera hela livscykeln för incidenter. Affärsinformation under en undersökning kan associeras med en incident för spårning och rapportering.
Obs! När incidentrelaterade data samlas in för undersökning, se till att det finns tillräcklig säkerhet för att skydda data från obehöriga ändringar, till exempel att inaktivera loggning eller ta bort loggar, som kan utföras av angriparna under en pågående dataintrångsaktivitet.
GCP-implementering och ytterligare kontext:
- Security Command Center – Säkerhetskällor
- Datauppsättningar som stöds
- Skapa och hantera ögonblicksbilder av diskar
- Strömma Google Cloud Platform-loggar till Microsoft Sentinel
Intressenter för kundsäkerhet (Läs mer):
IR-5: Identifiering och analys – prioritera incidenter
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Säkerhetsprincip: Ge säkerhetsåtgärdsteam kontext för att hjälpa dem att avgöra vilka incidenter som först bör fokuseras på, baserat på allvarlighetsgrad och tillgångskänslighet som definieras i organisationens incidenthanteringsplan.
Markera dessutom resurser med taggar och skapa ett namngivningssystem för att identifiera och kategorisera dina molnresurser, särskilt de som bearbetar känsliga data. Det är ditt ansvar att prioritera reparationen av aviseringar baserat på allvarlighetsgrad för resurserna och miljön där incidenten inträffade.
Azure-vägledning: Microsoft Defender för molnet tilldelar varje avisering en allvarlighetsgrad som hjälper dig att prioritera vilka aviseringar som ska undersökas först. Allvarlighetsgraden baseras på hur säker Microsoft Defender för molnet är i sökningen eller den analys som används för att utfärda aviseringen, samt konfidensnivån att det fanns skadlig avsikt bakom aktiviteten som ledde till aviseringen.
På samma sätt skapar Microsoft Sentinel aviseringar och incidenter med en tilldelad allvarlighetsgrad och annan information baserat på analysregler. Använd analysregelmallar och anpassa reglerna efter organisationens behov för att stödja incidentprioritering. Använd automatiseringsregler i Microsoft Sentinel för att hantera och samordna hotsvar för att maximera säkerhetsåtgärdens teameffektivitet och effektivitet, inklusive taggning av incidenter för att klassificera dem.
Azure-implementering och ytterligare kontext:
- Säkerhetsaviseringar i Microsoft Defender för molnet
- Använda taggar för att organisera dina Azure-resurser
- Skapa incidenter från Microsofts säkerhetsaviseringar
AWS-vägledning: För varje incident som skapas i Incidenthanteraren tilldelar du en effektnivå baserat på organisationens definierade kriterier, till exempel ett mått på incidentens allvarlighetsgrad och allvarlighetsnivån för de tillgångar som påverkas.
AWS-implementering och ytterligare kontext:
*GCP-vägledning: För varje incident som skapas i Security Command Center fastställer du aviseringens prioritet baserat på allvarlighetsgraderna som tilldelats av systemet och andra kriterier som definierats av din organisation. Mät allvarlighetsgraden för incidenten och allvarlighetsgraden för de tillgångar som påverkas för att avgöra vilka aviseringar som ska undersökas först.
På samma sätt kan du i Kronisk definiera anpassade regler för att fastställa prioriteringarna för incidenthantering. GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
IR-6: Inneslutning, utrotning och återställning – automatisera incidenthanteringen
| CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
|---|---|---|
| Ej tillämpligt | IR-4, IR-5, IR-6 | 12.10 |
Säkerhetsprincip: Automatisera manuella, repetitiva uppgifter för att påskynda svarstiden och minska analytikernas belastning. Det tar längre tid att köra uppgifter manuellt, så att varje incident tar längre tid att hantera och analytikerna hinner med färre incidenter. Manuella uppgifter ökar också analytikernas trötthet, vilket ökar risken för mänskliga fel som orsakar fördröjningar och försämrar analytikernas förmåga att effektivt fokusera på komplexa uppgifter.
Azure-vägledning: Använd funktioner för arbetsflödesautomatisering i Microsoft Defender för molnet och Microsoft Sentinel för att automatiskt utlösa åtgärder eller köra en spelbok för att svara på inkommande säkerhetsaviseringar. Spelböcker vidtar åtgärder, till exempel att skicka meddelanden, inaktivera konton och isolera problematiska nätverk.
Azure-implementering och ytterligare kontext:
- Konfigurera arbetsflödesautomation i Security Center
- Konfigurera automatiska hotsvar i Microsoft Defender för molnet
- Konfigurera automatiska svar på hot i Azure Sentinel
AWS-vägledning: Om du använder Microsoft Sentinel för att centralt hantera din incident kan du också skapa automatiserade åtgärder eller köra en spelbok för att svara på inkommande säkerhetsaviseringar.
Du kan också använda automatiseringsfunktioner i AWS System Manager för att automatiskt utlösa åtgärder som definierats i incidenthanteringsplanen, inklusive att meddela kontakterna och/eller köra en runbook för att svara på aviseringar, till exempel inaktivera konton och isolera problematiska nätverk.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Om du använder Microsoft Sentinel för att centralt hantera din incident kan du också skapa automatiserade åtgärder eller köra spelböcker för att svara på inkommande säkerhetsaviseringar.
Du kan också använda spelboksautomatiseringar i Chronicle för att automatiskt utlösa åtgärder som definierats i incidenthanteringsplanen, inklusive att meddela kontakterna och/eller köra en spelbok för att svara på aviseringar.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
IR-7: Aktivitet efter incident – utför lärdomar och behåller bevis
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Säkerhetsprincip: Utför lärdomar i din organisation med jämna mellanrum och/eller efter större incidenter för att förbättra din framtida kapacitet vid incidenthantering och hantering.
Baserat på incidentens art behåller du bevis relaterade till incidenten för den period som definieras i incidenthanteringsstandarden för ytterligare analys eller rättsliga åtgärder.
Azure-vägledning: Använd resultatet från den lärdomar du lärt dig för att uppdatera din incidenthanteringsplan, spelbok (till exempel en Microsoft Sentinel-spelbok) och återkorporera resultat i dina miljöer (till exempel loggning och hotidentifiering för att åtgärda eventuella luckor i loggningen) för att förbättra din framtida förmåga att identifiera, svara och hantera incidenter i Azure.
Behåll de bevis som samlas in under "Identifiering och analys – undersök ett incidentsteg", till exempel systemloggar, nätverkstrafikdumpar och körning av systemögonblicksbilder i lagring, till exempel ett Azure Storage-konto för oföränderlig kvarhållning.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Skapa incidentanalys för en stängd incident i Incident manager med hjälp av standardmallen för incidentanalys eller din egen anpassade mall. Använd resultatet från aktiviteten för lärdomar för att uppdatera din incidenthanteringsplan, spelbok (till exempel AWS Systems Manager-runbooken och Microsoft Sentinel-spelboken) och återskapa resultat i dina miljöer (till exempel loggning och hotidentifiering för att åtgärda eventuella loggningsluckor) för att förbättra din framtida förmåga att identifiera, svara och hantera incidenter i AWS.
Behåll de bevis som samlas in under "Identifiering och analys – undersök ett incidentsteg", till exempel systemloggar, nätverkstrafikdumpar och körning av systemögonblicksbild i lagring, till exempel en Amazon S3-bucket eller Ett Azure Storage-konto för oföränderlig kvarhållning.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd resultatet från den lärdomar du lärt dig för att uppdatera din incidenthanteringsplan, spelbok (till exempel en Krönika eller Microsoft Sentinel-spelbok) och återskapa resultat i dina miljöer (till exempel loggning och hotidentifiering för att åtgärda eventuella loggningsluckor) för att förbättra din framtida förmåga att identifiera, svara och hantera incidenter i GCP.
Behåll de bevis som samlas in under "Identifiering och analys – undersök ett incidentsteg", till exempel systemloggar, nätverkstrafikdumpar och köra systemögonblicksbilder i lagring, till exempel en Google Cloud Storage eller ett Azure Storage-konto för oföränderlig kvarhållning.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):