Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Incidenthantering omfattar kontroller i livscykeln för incidenthantering – förberedelse, identifiering och analys, inneslutning och aktiviteter efter incident, inklusive användning av Azure-tjänster (till exempel Microsoft Defender för molnet och Sentinel) och/eller andra molntjänster för att automatisera incidenthanteringsprocessen.
IR-1: Förberedelse – uppdatera incidenthanteringsplan och hanteringsprocess
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Säkerhetsprincip: Se till att din organisation följer branschens bästa praxis för att utveckla processer och planer för att svara på säkerhetsincidenter på molnplattformarna. Tänk på modellen med delat ansvar och varianserna för IaaS-, PaaS- och SaaS-tjänster. Detta påverkar direkt hur du samarbetar med din molnleverantör i incidenthanteringsaktiviteter, till exempel incidentmeddelanden och sortering, insamling av bevis, undersökning, utrotning och återställning.
Testa regelbundet incidenthanteringsplanen och hanteringsprocessen för att säkerställa att de är uppdaterade.
Azure-vägledning: Uppdatera din organisations incidenthanteringsprocess så att den omfattar hantering av incidenter på Azure-plattformen. Baserat på de Azure-tjänster som används och din programkaraktär anpassar du incidenthanteringsplanen och spelboken för att säkerställa att de kan användas för att svara på incidenten i molnmiljön.
Azure-implementering och ytterligare kontext:
- Implementera säkerhet i hela företagsmiljön:
- Referensguide för incidenthantering
- NIST SP800-61 Guide för hantering av datorsäkerhetsincidenter
- Översikt över incidenthantering
AWS-vägledning: Uppdatera organisationens incidenthanteringsprocess så att den omfattar hantering av incidenter. Se till att en enhetlig incidenthanteringsplan för flera moln finns på plats genom att uppdatera organisationens incidenthanteringsprocess så att den inkluderar hanteringen av incidenter på AWS-plattformen. Baserat på de AWS-tjänster som används och din programkaraktär följer du AWS-guiden för säkerhetsincidenter för att anpassa planen för incidenthantering och spelboken för att säkerställa att de kan användas för att svara på incidenten i molnmiljön.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Uppdatera organisationens incidenthanteringsprocess så att den omfattar hantering av incidenter. Se till att en enhetlig incidenthanteringsplan för flera moln finns på plats genom att uppdatera organisationens incidenthanteringsprocess så att den inkluderar hanteringen av incidenter på Google Cloud-plattformen.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
IR-2: Förberedelse – meddelande om konfigurationsincident
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Säkerhetsprincip: Se till att säkerhetsaviseringar och incidentaviseringar från molntjänstleverantörens plattform och dina miljöer kan tas emot av rätt kontakt i din incidenthanteringsorganisation.
Azure-vägledning: Konfigurera kontaktinformation för säkerhetsincidenter i Microsoft Defender för molnet. Den här kontaktinformationen används av Microsoft för att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker att dina data har använts av en olaglig eller obehörig part. Du har också alternativ för att anpassa incidentaviseringar och meddelanden i olika Azure-tjänster baserat på dina incidenthanteringsbehov.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Konfigurera kontaktinformation för säkerhetsincidenter i AWS Systems Manager Incident Manager (incidenthanteringscentret för AWS). Den här kontaktinformationen används för incidenthanteringskommunikation mellan dig och AWS via de olika kanalerna (t.ex. e-post, SMS eller röst). Du kan definiera en kontakts engagemangsplan och eskaleringsplan för att beskriva hur och när Incidenthanteraren kontaktar kontakten och eskalera om kontakterna inte svarar på en incident.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Konfigurera meddelanden om säkerhetsincidenter för vissa kontakter med hjälp av Security Command Center eller Chronicle. Använd Google Cloud-tjänster och API:er från tredje part för att tillhandahålla e-post- och chattmeddelanden i realtid för att varna om säkerhetsresultat för Security Command Center eller spelböcker för att utlösa åtgärder för att skicka meddelanden i Chronicle.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
IR-3: Identifiering och analys – skapa incidenter baserat på aviseringar av hög kvalitet
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10.8 |
Säkerhetsprincip: Se till att du har en process för att skapa högkvalitativa aviseringar och mäta aviseringarnas kvalitet. På så sätt kan du dra lärdomar av tidigare incidenter och prioritera aviseringar för analytiker, så att de inte slösar tid på falska positiva identifieringar.
Högkvalitativa aviseringar kan byggas baserat på erfarenheter från tidigare incidenter, verifierade communitykällor och verktyg som utformats för att generera och rensa aviseringar genom att fusing och korrelera olika signalkällor.
Azure-vägledning: Microsoft Defender för molnet tillhandahåller aviseringar av hög kvalitet för många Azure-tillgångar. Du kan använda dataanslutningsappen Microsoft Defender för molnet för att strömma aviseringarna till Microsoft Sentinel. Med Microsoft Sentinel kan du skapa avancerade aviseringsregler för att generera incidenter automatiskt för en undersökning.
Exportera aviseringar och rekommendationer för Microsoft Defender för molnet med hjälp av exportfunktionen för att identifiera risker för Azure-resurser. Exportera aviseringar och rekommendationer manuellt eller kontinuerligt.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Använd säkerhetsverktyg som SecurityHub eller GuardDuty och andra verktyg från tredje part för att skicka aviseringar till Amazon CloudWatch eller Amazon EventBridge så att incidenter automatiskt kan skapas i Incident Manager baserat på de definierade kriterierna och regeluppsättningarna. Du kan också skapa incidenter manuellt i Incidenthanteraren för ytterligare incidenthantering och spårning.
Om du använder Microsoft Defender för molnet för att övervaka dina AWS-konton kan du också använda Microsoft Sentinel för att övervaka och varna de incidenter som identifieras av Microsoft Defender för molnet på AWS-resurser.
AWS-implementering och ytterligare kontext:
- Incidentskapande i Incidenthanteraren
- Så här skyddar Defender för Cloud Apps din Amazon Web Services-miljö (AWS)
GCP-vägledning: Integrera Google Cloud och tjänster från tredje part för att skicka loggar och aviseringar till Security Command Center eller Chronicle så att incidenter kan skapas automatiskt baserat på definierade kriterier. Du kan också manuellt skapa och redigera incidentresultat i Security Command Center eller regler i Chronicle för ytterligare incidenthantering och spårning.
Om du använder Microsoft Defender för molnet för att övervaka dina GCP-projekt kan du också använda Microsoft Sentinel för att övervaka och varna de incidenter som identifierats av Microsoft Defender för molnet på GCP-resurser eller strömma GCP-loggar direkt till Microsoft Sentinel.
GCP-implementering och ytterligare kontext:
- Konfigurera Security Command Center
- Hantera regler med regelredigeraren
- Ansluta dina GCP-projekt till Microsoft Defender för molnet
- Strömma Google Cloud Platform-loggar till Microsoft Sentinel
Kunders säkerhetsintressenter (Läs mer):
IR-4: Identifiering och analys – undersöka en incident
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| Inte tillgänglig | IR-4 | 12.10 |
Säkerhetsprincip: Se till att säkerhetsåtgärdsteamet kan fråga och använda olika datakällor när de undersöker potentiella incidenter för att skapa en fullständig vy över vad som hände. Olika loggar bör samlas in för att spåra aktiviteterna för en potentiell angripare i killkedjan för att undvika blinda fläckar. Du bör också se till att insikter och lärdomar samlas in för andra analytiker och för framtida historiska referenser.
Använd den molnbaserade SIEM- och incidenthanteringslösningen om din organisation inte har någon befintlig lösning för att aggregera säkerhetsloggar och aviseringsinformation. Korrelera incidentdata baserat på data som kommer från olika källor för att utföra incidentutredningarna.
Azure-vägledning: Se till att ditt säkerhetsteam kan fråga efter och använda olika datakällor som samlas in från tjänster och system inom omfånget. Dessutom kan källorna innehålla:
- Identitets- och åtkomstloggdata: Använd Azure AD-loggar och -arbetsbelastningar (till exempel operativsystem eller programnivå) för att korrelera identitets- och åtkomsthändelser.
- Nätverksdata: Använd nätverkssäkerhetsgruppers flödesloggar, Azure Network Watcher och Azure Monitor för att samla in nätverksflödesloggar och annan analysinformation.
- Incidentrelaterade aktivitetsdata från ögonblicksbilder av de berörda systemen, som kan hämtas via:
- Azure:s virtuella dators ögonblicksbildsfunktion för att ta en ögonblicksbild av den körande systemdisken.
- Operativsystemets interna minnesdumpfunktion för att skapa en ögonblicksbild av det system som körs.
- Ögonblicksbildsfunktionen i andra Azure-tjänster som stöds eller programvarans egen funktion för att skapa ögonblicksbilder av de system som körs.
Microsoft Sentinel tillhandahåller omfattande dataanalys över praktiskt taget alla loggkällor och en ärendehanteringsportal för att hantera hela livscykeln för incidenter. Information om intelligens under en undersökning kan associeras med en incident i spårnings- och rapporteringssyfte.
Obs! När incidentrelaterade data samlas in för undersökning, se till att det finns tillräcklig säkerhet för att skydda data från obehöriga ändringar, till exempel att inaktivera loggning eller ta bort loggar, som kan utföras av angriparna under en aktivitet med dataintrång under flygning.
Azure-implementering och ytterligare kontext:
- Ögonblicksbild av en Windows-dators disk
- Ögonblicksbild av en Linux-dators disk
- Microsoft Azure Support-diagnostikinformation och insamling av minnesdumpar
- Undersöka incidenter med Azure Sentinel
AWS-vägledning: Datakällorna för undersökning är de centraliserade loggningskällorna som samlar in data från tjänster inom omfånget och från aktiva system, men kan även innehålla:
- Identitets- och åtkomstloggdata: Använd IAM-loggar och arbetsbelastningar (till exempel operativsystem eller programnivå) för att korrelera identitets- och åtkomsthändelser.
- Nätverksdata: Använd VPC-flödesloggar, VPC Traffic Mirrors och Azure CloudTrail och CloudWatch för att samla in nätverksflödesloggar och annan analysinformation.
- Ögonblicksbilder av system som körs, som kan hämtas via:
- Ögonblicksbildsfunktion i Amazon EC2 (EBS) för att skapa en ögonblicksbild av det system som körs på disken.
- Operativsystemets interna minnesdumpfunktion för att skapa en ögonblicksbild av det system som körs.
- Ögonblicksbildsfunktionen i AWS-tjänsterna eller programvarans egen funktion för att skapa ögonblicksbilder av de system som körs.
Om du aggregerar dina SIEM-relaterade data till Microsoft Sentinel tillhandahåller den omfattande dataanalys över praktiskt taget alla loggkällor och en ärendehanteringsportal för att hantera hela livscykeln för incidenter. Information om intelligens under en undersökning kan associeras med en incident i spårnings- och rapporteringssyfte.
Obs! När incidentrelaterade data samlas in för undersökning, se till att det finns tillräcklig säkerhet för att skydda data från obehöriga ändringar, till exempel att inaktivera loggning eller ta bort loggar, som kan utföras av angriparna under en aktivitet med dataintrång under flygning.
AWS-implementering och ytterligare kontext:
- Trafikspegling
- Skapa säkerhetskopior av EBS-volymer med hjälp av AMIs och EBS snapshots
- Använda oföränderlig lagring
GCP-vägledning: Datakällorna för utredning är de centraliserade loggningskällorna som samlar in från tjänster som omfattas och aktiva system, men som också kan omfatta:
- Identitets- och åtkomstloggdata: Använd IAM-loggar och arbetsbelastningar (till exempel operativsystem eller programnivå) för att korrelera identitets- och åtkomsthändelser.
- Nätverksdata: Använd VPC-flödesloggar och VPC-tjänstkontroller för att samla in nätverksflödesloggar och annan analysinformation.
- Ögonblicksbilder av system som körs, som kan hämtas via:
- Funktioner för ögonblicksbilder i virtuella GCP-datorer för att skapa en ögonblicksbild av systemets disk som körs.
- Operativsystemets interna minnesdumpfunktion för att skapa en ögonblicksbild av det system som körs.
- Ögonblicksbildsfunktionen i GCP-tjänsterna eller programvarans egen funktion för att skapa ögonblicksbilder av de system som körs.
Om du aggregerar dina SIEM-relaterade data till Microsoft Sentinel tillhandahåller den omfattande dataanalys över praktiskt taget alla loggkällor och en ärendehanteringsportal för att hantera hela livscykeln för incidenter. Information om intelligens under en undersökning kan associeras med en incident i spårnings- och rapporteringssyfte.
Obs! När incidentrelaterade data samlas in för undersökning, se till att det finns tillräcklig säkerhet för att skydda data från obehöriga ändringar, till exempel att inaktivera loggning eller ta bort loggar, som kan utföras av angriparna under en aktivitet med dataintrång under flygning.
GCP-implementering och ytterligare kontext:
- Security Command Center – Säkerhetskällor
- Datauppsättningar som stöds
- Skapa och hantera diskögonblicksbilder
- Strömma Google Cloud Platform-loggar till Microsoft Sentinel
Kunders säkerhetsintressenter (Läs mer):
IR-5: Identifiering och analys – prioritera incidenter
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Säkerhetsprincip: Ge kontext till säkerhetsåtgärdsteam för att hjälpa dem att avgöra vilka incidenter som först bör fokuseras på, baserat på allvarlighetsgrad för aviseringar och tillgångskänslighet som definieras i organisationens incidenthanteringsplan.
Markera dessutom resurser med hjälp av taggar och skapa ett namngivningssystem för att identifiera och kategorisera dina molnresurser, särskilt de som bearbetar känsliga data. Det är ditt ansvar att prioritera reparationen av aviseringar baserat på hur kritiska resurserna och miljön var incidenten inträffade.
Azure-vägledning: Microsoft Defender för molnet tilldelar en allvarlighetsgrad till varje avisering som hjälper dig att prioritera vilka aviseringar som ska undersökas först. Allvarlighetsgraden baseras på hur säker Microsoft Defender för molnet är på sökningen eller den analys som används för att utfärda aviseringen, samt konfidensnivån att det fanns skadlig avsikt bakom aktiviteten som ledde till aviseringen.
På samma sätt skapar Microsoft Sentinel aviseringar och incidenter med en tilldelad allvarlighetsgrad och annan information baserat på analysregler. Använd analysregelmallar och anpassa reglerna efter organisationens behov för att stödja incidentprioritering. Använd automatiseringsregler i Microsoft Sentinel för att hantera och samordna hotsvar för att maximera säkerhetsåtgärdens teameffektivitet och effektivitet, inklusive taggningsincidenter för att klassificera dem.
Azure-implementering och ytterligare kontext:
- Säkerhetsaviseringar i Microsoft Defender för molnet
- Använda taggar för att organisera dina Azure-resurser
- Skapa incidenter från Microsofts säkerhetsaviseringar
AWS-vägledning: För varje incident som skapas i Incidenthanteraren tilldelar du en påverkansnivå baserat på organisationens definierade kriterier, till exempel ett mått på incidentens allvarlighetsgrad och allvarlighetsnivån för de påverkade tillgångarna.
AWS-implementering och ytterligare kontext:
* GCP-vägledning: För varje incident som skapas i Security Command Center fastställer du prioriteten för aviseringen baserat på de allvarlighetsgradsklassificeringar som tilldelats av systemet och andra kriterier som definierats av din organisation. Mät allvarlighetsgraden för incidenten och kritiskhetsnivån för de tillgångar som påverkas för att avgöra vilka aviseringar som ska undersökas först.
På samma sätt i Kronisk kan du definiera anpassade regler för att fastställa prioriteringarna för incidenthantering. GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
IR-6: Inneslutning, utrotning och återställning – automatisera incidenthanteringen
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| Inte tillgänglig | IR-4, IR-5, IR-6 | 12.10 |
Säkerhetsprincip: Automatisera manuella, repetitiva uppgifter för att påskynda svarstiden och minska analytikernas belastning. Manuella uppgifter tar längre tid att utföra, vilket gör varje incident långsammare och minskar antalet incidenter som en analytiker kan hantera. Manuella uppgifter ökar också analytikernas trötthet, vilket ökar risken för mänskliga fel som orsakar fördröjningar och försämrar analytikernas förmåga att effektivt fokusera på komplexa uppgifter.
Azure-vägledning: Använd funktioner för arbetsflödesautomatisering i Microsoft Defender för molnet och Microsoft Sentinel för att automatiskt utlösa åtgärder eller köra en spelbok för att svara på inkommande säkerhetsaviseringar. Spelböcker vidtar åtgärder, till exempel att skicka meddelanden, inaktivera konton och isolera problematiska nätverk.
Azure-implementering och ytterligare kontext:
- Konfigurera arbetsflödesautomation i Security Center
- Konfigurera automatiserade hotsvar i Microsoft Defender för molnet
- Konfigurera automatiserade hotsvar i Azure Sentinel
AWS-vägledning: Om du använder Microsoft Sentinel för att hantera din incident centralt kan du också skapa automatiserade åtgärder eller köra en spelbok för att svara på inkommande säkerhetsaviseringar.
Du kan också använda automatiseringsfunktioner i AWS System Manager för att automatiskt utlösa åtgärder som definierats i planen för incidenthantering, inklusive att meddela kontakterna och/eller köra en runbook för att svara på aviseringar, till exempel inaktivera konton och isolera problematiska nätverk.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Om du använder Microsoft Sentinel för att hantera din incident centralt kan du också skapa automatiserade åtgärder eller köra spelböcker för att svara på inkommande säkerhetsaviseringar.
Du kan också använda spelboksautomatiseringar i Chronicle för att automatiskt utlösa åtgärder som definierats i planen för incidenthantering, inklusive att meddela kontakterna och/eller köra en spelbok för att svara på aviseringar.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):
IR-7: Aktivitet efter incident – genomföra lärdomar och behålla bevis
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Säkerhetsprincip: Utför lärdomar i din organisation regelbundet och/eller efter större incidenter för att förbättra din framtida kapacitet vid incidenthantering och hantering.
Baserat på incidentens art behåller du de bevis som är relaterade till incidenten för den period som definieras i incidenthanteringsstandarden för ytterligare analys eller rättsliga åtgärder.
Azure-vägledning: Använd resultatet från aktiviteten du lärt dig när du uppdaterar din incidenthanteringsplan, din spelbok (till exempel en Microsoft Sentinel-spelbok) och återkorporerar resultaten i dina miljöer (till exempel loggning och hotidentifiering för att åtgärda eventuella luckor i loggningen) för att förbättra din framtida förmåga att identifiera, svara och hantera incidenter i Azure.
Behåll de bevis som samlas in under "Identifiering och analys – undersök ett incidentsteg", till exempel systemloggar, nätverkstrafikdumpar och körning av systemögonblicksbilder i lagring, till exempel ett Azure Storage-konto för oföränderlig kvarhållning.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Skapa incidentanalys för en stängd incident i Incidenthanteraren med hjälp av standardmallen för incidentanalys eller din egen anpassade mall. Använd resultatet från aktiviteten som du har lärt dig för att uppdatera din incidenthanteringsplan, spelbok (till exempel AWS Systems Manager-runbooken och Microsoft Sentinel-spelboken) och återinkorporera resultaten i dina miljöer (till exempel loggning och hotidentifiering för att åtgärda eventuella luckor i loggningen) för att förbättra din framtida förmåga att identifiera, svara och hantera incidenter i AWS.
Behåll de bevis som samlas in under "Identifiering och analys – undersöka ett incidentsteg", såsom systemloggar, nätverkstrafikdumpar och systemögonblicksbilder i lagring, till exempel Amazon S3-buckets eller ett Azure Storage-konto för oföränderlig kvarhållning.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd resultatet från den lärdomar som du har lärt dig för att uppdatera din incidenthanteringsplan, spelbok (till exempel en Krönika eller Microsoft Sentinel-spelbok) och återskapa resultat i dina miljöer (till exempel loggning och hotidentifiering för att åtgärda eventuella luckor i loggningen) för att förbättra din framtida förmåga att identifiera, svara och hantera incidenter i GCP.
Behåll de bevis som samlas in under "Identifiering och analys – undersök ett incidentsteg", till exempel systemloggar, nätverkstrafikdumpar och körning av systemögonblicksbilder i lagring, till exempel en Google Cloud Storage eller ett Azure Storage-konto för oföränderlig kvarhållning.
GCP-implementering och ytterligare kontext:
Kunders säkerhetsintressenter (Läs mer):