Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Incidenthantering omfattar kontroller i livscykeln för incidenthantering – förberedelse, identifiering och analys, inneslutning och aktiviteter efter incident, inklusive användning av Azure-tjänster som Microsoft Defender för molnet och Sentinel för att automatisera incidenthanteringsprocessen.
IR-1: Förberedelse – uppdatera incidenthanteringsplan och hanteringsprocess
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Säkerhetsprincip: Se till att din organisation följer branschens bästa praxis för att utveckla processer och planer för att svara på säkerhetsincidenter på molnplattformarna. Tänk på modellen med delat ansvar och varianserna för IaaS-, PaaS- och SaaS-tjänster. Detta påverkar direkt hur du samarbetar med din molnleverantör i incidenthanteringsaktiviteter, till exempel incidentmeddelanden och sortering, insamling av bevis, undersökning, utrotning och återställning.
Testa regelbundet incidenthanteringsplanen och hanteringsprocessen för att säkerställa att de är uppdaterade.
Azure-vägledning: Uppdatera organisationens incidenthanteringsprocess så att den omfattar hantering av incidenter i Azure-plattformen. Baserat på de Azure-tjänster som används och din programkaraktär anpassar du incidenthanteringsplanen och spelboken för att säkerställa att de kan användas för att svara på incidenten i molnmiljön.
Implementering och ytterligare kontext:
- Implementera säkerhet i hela företagsmiljön
- Referensguide för incidenthantering
- NIST SP800-61 Guide för hantering av datorsäkerhetsincidenter
Intressenter för kundsäkerhet (läs mer):
IR-2: Förberedelse – meddelande om konfigurationsincident
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Säkerhetsprincip: Se till att säkerhetsaviseringar och incidentmeddelanden från molntjänstleverantörens plattform och dina miljöer kan tas emot av rätt kontakt i din incidenthanteringsorganisation.
Azure-vägledning: Konfigurera kontaktinformation för säkerhetsincidenter i Microsoft Defender för molnet. Den här kontaktinformationen används av Microsoft för att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker att dina data har använts av en olaglig eller obehörig part. Du har också alternativ för att anpassa incidentaviseringar och meddelanden i olika Azure-tjänster baserat på dina incidenthanteringsbehov.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
IR-3: Identifiering och analys – skapa incidenter baserat på aviseringar av hög kvalitet
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10.8 |
Säkerhetsprincip: Se till att du har en process för att skapa högkvalitativa aviseringar och mäta aviseringarnas kvalitet. På så sätt kan du dra lärdomar av tidigare incidenter och prioritera aviseringar för analytiker, så att de inte slösar tid på falska positiva identifieringar.
Högkvalitativa aviseringar kan byggas baserat på erfarenheter från tidigare incidenter, verifierade communitykällor och verktyg som utformats för att generera och rensa aviseringar genom att fusing och korrelera olika signalkällor.
Azure-vägledning: Microsoft Defender för molnet tillhandahåller högkvalitativa aviseringar för många Azure-tillgångar. Du kan använda dataanslutningsappen Microsoft Defender för molnet för att strömma aviseringarna till Azure Sentinel. Med Azure Sentinel kan du skapa avancerade aviseringsregler för att generera incidenter automatiskt för en undersökning.
Exportera aviseringar och rekommendationer för Microsoft Defender för molnet med hjälp av exportfunktionen för att identifiera risker för Azure-resurser. Exportera aviseringar och rekommendationer manuellt eller kontinuerligt.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):
IR-4: Identifiering och analys – undersöka en incident
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| Inte tillgänglig | IR-4 | 12.10 |
Säkerhetsprincip: Se till att säkerhetsåtgärdsteamet kan fråga och använda olika datakällor när de undersöker potentiella incidenter för att skapa en fullständig vy över vad som hände. Olika loggar bör samlas in för att spåra aktiviteterna för en potentiell angripare i killkedjan för att undvika blinda fläckar. Du bör också se till att insikter och lärdomar samlas in för andra analytiker och för framtida historiska referenser.
Azure-vägledning: Datakällorna för undersökning är de centraliserade loggningskällor som redan samlas in från tjänsterna inom aktuellt område och system som körs, men som också kan innehålla:
- Nätverksdata: Använd nätverkssäkerhetsgruppers flödesloggar, Azure Network Watcher och Azure Monitor för att samla in nätverksflödesloggar och annan analysinformation.
- Ögonblicksbilder av system som körs: a) Den virtuella Azure-datorns ögonblicksbildsfunktion för att skapa en ögonblicksbild av systemets disk som körs. b) Operativsystemets interna minnesdumpfunktion för att skapa en ögonblicksbild av det system som körs. c) Ögonblicksbildsfunktionen i Azure-tjänsterna eller programvarans egen funktion för att skapa ögonblicksbilder av de system som körs.
Azure Sentinel tillhandahåller omfattande dataanalys över praktiskt taget alla loggkällor och en ärendehanteringsportal för att hantera hela livscykeln för incidenter. Information om intelligens under en undersökning kan associeras med en incident i spårnings- och rapporteringssyfte.
Implementering och ytterligare kontext:
- Ögonblicksbild av en Windows-dators disk
- Ögonblicksbild av en Linux-dators disk
- Microsoft Azure Support-diagnostikinformation och insamling av minnesdumpar
- Undersöka incidenter med Azure Sentinel
Intressenter för kundsäkerhet (läs mer):
IR-5: Identifiering och analys – prioritera incidenter
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Säkerhetsprincip: Ge kontext till säkerhetsåtgärdsteam för att hjälpa dem att avgöra vilka incidenter som först bör fokuseras på, baserat på allvarlighetsgrad för aviseringar och tillgångskänslighet som definierats i organisationens incidenthanteringsplan.
Azure-vägledning: Microsoft Defender för molnet tilldelar en allvarlighetsgrad till varje avisering som hjälper dig att prioritera vilka aviseringar som ska undersökas först. Allvarlighetsgraden baseras på hur säker Microsoft Defender för molnet är på sökningen eller den analys som används för att utfärda aviseringen, samt konfidensnivån att det fanns skadlig avsikt bakom aktiviteten som ledde till aviseringen.
Markera dessutom resurser med hjälp av taggar och skapa ett namngivningssystem för att identifiera och kategorisera Azure-resurser, särskilt de som bearbetar känsliga data. Det är ditt ansvar att prioritera reparationen av aviseringar baserat på allvarlighetsgrad för de Azure-resurser och den miljö där incidenten inträffade.
Implementering och ytterligare kontext:
- Säkerhetsaviseringar i Microsoft Defender för molnet
- Använda taggar för att organisera dina Azure-resurser
Intressenter för kundsäkerhet (läs mer):
IR-6: Inneslutning, utrotning och återställning – automatisera incidenthanteringen
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| Inte tillgänglig | IR-4, IR-5, IR-6 | 12.10 |
Säkerhetsprincip: Automatisera manuella, repetitiva uppgifter för att påskynda svarstiden och minska analytikernas belastning. Manuella uppgifter tar längre tid att utföra, vilket gör varje incident långsammare och minskar antalet incidenter som en analytiker kan hantera. Manuella uppgifter ökar också analytikernas trötthet, vilket ökar risken för mänskliga fel som orsakar fördröjningar och försämrar analytikernas förmåga att effektivt fokusera på komplexa uppgifter.
Azure-vägledning: Använd funktioner för arbetsflödesautomatisering i Microsoft Defender för molnet och Azure Sentinel för att automatiskt utlösa åtgärder eller köra en spelbok för att svara på inkommande säkerhetsaviseringar. Spelboken vidtar åtgärder, till exempel att skicka meddelanden, inaktivera konton och isolera problematiska nätverk.
Implementering och ytterligare kontext:
- Konfigurera arbetsflödesautomation i Microsoft Defender för molnet
- Konfigurera automatiserade hotsvar i Microsoft Defender för molnet
- Konfigurera automatiserade hotsvar i Azure Sentinel
Intressenter för kundsäkerhet (läs mer):
IR-7: Aktivitet efter incident – genomföra lärdomar och behålla bevis
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Säkerhetsprincip: Utför lärdomar i din organisation regelbundet och/eller efter större incidenter för att förbättra din framtida kapacitet vid incidenthantering.
Baserat på incidentens art behåller du de bevis som är relaterade till incidenten för den period som definieras i incidenthanteringsstandarden för ytterligare analys eller rättsliga åtgärder.
Azure-vägledning: Använd resultatet från aktiviteten du lärt dig om att uppdatera din incidenthanteringsplan, spelbok (till exempel Azure Sentinel-spelbok) och återkorporera resultat i dina miljöer (till exempel loggning och hotidentifiering för att åtgärda eventuella loggningsluckor) för att förbättra din framtida förmåga att identifiera, svara och hantera incidenten i Azure.
Behåll de bevis som samlas in under "Identifiering och analys – undersök ett incidentsteg", till exempel systemloggar, dumpning av nätverkstrafik och körning av systemögonblicksbild i lagring, till exempel Azure Storage-konto för kvarhållning.
Implementering och ytterligare kontext:
Intressenter för kundsäkerhet (läs mer):