安全控制:事件响应

事件响应涵盖事件响应生命周期的控制 - 准备、检测和分析、遏制和事件后活动,包括使用 Azure 服务(如 Microsoft Defender for Cloud 和 Sentinel)和其他云服务自动执行事件响应过程。

IR-1:准备 - 更新事件响应计划和处理过程

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.4, 17.7 IR-4、IR-8 10.8

安全原则:确保您的组织遵循行业最佳实践来制定流程和计划来响应云平台上的安全事件。 请注意共担责任模型以及 IaaS、PaaS 和 SaaS 服务之间的差异。 这将直接影响你与云提供商在事件响应和处理活动方面的协作方式,例如事件通知和会审、证据收集、调查、清除和恢复。

定期测试事件响应计划和处理流程,以确保它们是最新的。


Azure 指南:更新组织的事件响应流程,以包括 Azure 平台中的事件处理。 根据所使用的 Azure 服务以及应用程序性质,自定义事件响应计划和 playbook,以确保它们可用于响应云环境中的事件。

Azure 实现和额外背景信息:


AWS 指南:更新组织的事故响应流程,以包括事故的处理。 通过更新组织的事件响应流程,将事件处理纳入 AWS 平台,确保制定统一的多云事件响应计划。 根据使用的 AWS 服务和您的应用程序性质,按照 AWS 安全事件响应指南自定义事件响应计划和手册,以确保它们可用于响应云环境中的事件。

AWS 实现和其他上下文


GCP 指南:更新组织的事件响应流程,以包括事件的处理。 通过更新组织的事件响应流程,将事件处理纳入 Google Cloud 平台,确保制定统一的多云事件响应计划。

GCP 实现和其他上下文


客户安全利益干系人(了解详细信息

IR-2:准备 - 设置事件通知

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.1, 17.3, 17.6 IR-4、IR-8、IR-5、IR-6 12.10

安全原则:确保事件响应组织中的正确联系人可以接收来自云服务提供商平台和环境的安全警报和事件通知。


Azure 指南:在 Microsoft Defender for Cloud 中设置安全事件联系人信息。 如果Microsoft安全响应中心(MSRC)发现你的数据已被非法或未经授权的方访问,则Microsoft使用此联系信息与你联系。 还可以根据事件响应需求,在不同的 Azure 服务中自定义事件警报和通知。

Azure 实现和额外背景信息:


AWS 指南:在 AWS Systems Manager Incident Manager(AWS 的事件管理中心)中设置安全事件联系信息。 此联系信息用于您与 AWS 之间通过不同渠道(即电子邮件、短信或语音)进行事件管理通信。 您可以定义联系人的参与计划和升级计划,以描述 Incident Manager 如何以及何时与联系人接洽,并在联系人未响应事件时进行升级。

AWS 实现和其他上下文


GCP 指南:使用 Security Command Center 或 Chronicle 为特定联系人设置安全事件通知。 使用 Google Cloud 服务和第三方 API 提供实时电子邮件和聊天通知,以提醒 Security Command Center 的安全检测结果,或使用 playbook 触发作以在 Chronicle 中发送通知。

GCP 实现和其他上下文


客户安全利益干系人(了解详细信息

IR-3:检测和分析 - 基于高质量警报创建事件

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.9 IR-4、IR-5、IR-7 10.8

安全原则:确保有一个过程来创建高质量的警报并衡量警报的质量。 这样,你就可以从过去的事件中吸取经验,并为分析人员确定警报的优先级,确保他们不会浪费时间来处理误报。

可以基于过去的事件经验、经验证的社区源以及旨在通过融合和关联各种信号源来生成和清理警报的工具构建高质量警报。


Azure 指南:Microsoft Defender for Cloud 跨许多 Azure 资产提供高质量的警报。 可以使用 Microsoft Defender for Cloud 数据连接器将警报流式传输到 Microsoft Sentinel。 Microsoft Sentinel 允许你创建高级警报规则,以便自动生成事件以供调查。

使用导出功能导出 Microsoft Defender for Cloud 警报和建议,以帮助识别 Azure 资源的风险。 手动导出或持续导出警报和建议。

Azure 实现和额外背景信息:


AWS 指南:使用 SecurityHub 或 GuardDuty 等安全工具以及其他第三方工具向 Amazon CloudWatch 或 Amazon EventBridge 发送警报,以便可以根据定义的标准和规则集在 Incident Manager 中自动创建事件。 您还可以在 Incident Manager 中手动创建事件,以便进一步处理和跟踪事件。

如果使用 Microsoft Defender for Cloud 监视 AWS 帐户,还可以使用 Microsoft Sentinel 监视 AWS 资源上的 Microsoft Defender for Cloud 识别的事件并发出警报。

AWS 实现和其他上下文


GCP 指南:集成 Google Cloud 和第三方服务,将日志和警报发送到 Security Command Center 或 Chronicle,以便根据定义的条件自动创建事件。 您还可以在 Security Command Center 中手动创建和编辑事件调查结果,或在 Chronicle 中手动创建和编辑规则,以便进一步处理和跟踪事件。

如果使用 Microsoft Defender for Cloud 监视 GCP 项目,还可以使用 Microsoft Sentinel 监视 Microsoft Defender for Cloud 在 GCP 资源上识别的事件并发出警报,或将 GCP 日志直接流式传输到 Microsoft Sentinel。

GCP 实现和其他上下文


客户安全利益干系人(了解详细信息

IR-4:检测和分析 - 调查事件

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
IR-4 12.10

安全原则:确保安全运营团队在调查潜在事件时可以查询和使用不同的数据源,以构建所发生情况的完整视图。 应收集各种各样的日志,以跟踪整个终止链中潜在攻击者的活动,避免出现盲点。 还应确保收集见解和经验,以供其他分析人员使用和用作将来的历史参考资料。

如果你的组织没有用于聚合安全日志和警报信息的现有解决方案,请使用云原生 SIEM 和事件管理解决方案。 根据来自不同源的数据关联事件数据来促进事件调查。


Azure 指南:确保安全运营团队可以查询和使用从范围内的服务和系统收集的各种数据源。 此外,其来源还可以包括:

  • 标识和访问日志数据:使用 Azure AD 日志和工作负荷(例如作系统或应用程序级别)访问日志来关联标识和访问事件。
  • 网络数据:使用网络安全组的流日志、Azure 网络观察程序和 Azure Monitor 捕获网络流日志和其他分析信息。
  • 来自受影响系统的快照的事件相关活动数据,可通过以下方法获取:
    • azure 虚拟机的快照功能,用于创建正在运行的系统磁盘的快照。
    • 操作系统的本地内存转储功能,用于创建正在运行系统的内存快照。
    • 通过其他受支持的 Azure 服务的快照功能或软件自身的功能,可以创建运行中的系统的快照。

Microsoft Sentinel 提供跨几乎所有日志源和案例管理门户进行广泛的数据分析,以管理事件的完整生命周期。 调查过程中的情报信息可与事件相关联,以便进行跟踪和报告。

注意:在捕获事件相关数据进行调查时,请确保有足够的安全性来保护数据免受未经授权的更改,例如禁用日志记录或删除日志,攻击者可以在正在进行的数据泄露活动期间执行这些作。

Azure 实现和额外背景信息:


AWS 指南:用于调查的数据源是从范围内服务和正在运行的系统收集的集中式日志记录源,但还可以包括:

  • 身份和访问日志数据:使用 IAM 日志和工作负荷(例如操作系统或应用程序级别)访问日志来关联身份和访问事件。
  • 网络数据:使用VP流日志、VP 流量镜像和 Azure CloudTrail 和 CloudWatch 捕获网络流日志和其他分析信息。
  • 运行系统的快照,可通过以下方法获取:
    • Amazon EC2(EBS)中的快照功能,用于创建正在运行的系统磁盘的快照。
    • 操作系统的本地内存转储功能,用于创建正在运行系统的内存快照。
    • AWS 服务的快照功能或软件自身的快照功能,可以用于创建运行中系统的快照。

如果将 SIEM 相关数据聚合到 Microsoft Sentinel 中,它将跨几乎所有日志源和案例管理门户提供广泛的数据分析,以管理事件的完整生命周期。 调查过程中的情报信息可与事件相关联,以便进行跟踪和报告。

注意:在捕获事件相关数据进行调查时,请确保有足够的安全性来保护数据免受未经授权的更改,例如禁用日志记录或删除日志,攻击者可以在正在进行的数据泄露活动期间执行这些作。

AWS 实现和其他上下文


GCP 指南:用于调查的数据源是从范围内服务和正在运行的系统收集的集中式日志记录源,但也可以包括:

  • 身份和访问日志数据:使用 IAM 日志和工作负荷(例如操作系统或应用程序级别)访问日志来关联身份和访问事件。
  • 网络数据:使用VPC流日志和VPC服务控制来捕获网络流量日志和其他分析信息。
  • 运行系统的快照,可通过以下方法获取:
    1. GCP VM 中的快照功能,用于创建正在运行的系统磁盘的快照。
    2. 操作系统的本地内存转储功能,用于创建正在运行系统的内存快照。
    3. GCP 服务的快照功能或软件自身的功能,用于创建正在运行系统的快照。

如果将 SIEM 相关数据聚合到 Microsoft Sentinel 中,它将跨几乎所有日志源和案例管理门户提供广泛的数据分析,以管理事件的完整生命周期。 调查过程中的情报信息可与事件相关联,以便进行跟踪和报告。

注意:在捕获事件相关数据进行调查时,请确保有足够的安全性来保护数据免受未经授权的更改,例如禁用日志记录或删除日志,攻击者可以在正在进行的数据泄露活动期间执行这些作。

GCP 实现和其他上下文


客户安全利益干系人(了解详细信息

IR-5:检测和分析 - 确定事件的优先级

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.4, 17.9 IR-4 12.10

安全原则:为安全运营团队提供上下文,帮助他们根据组织事件响应计划中定义的警报严重性和资产敏感度确定应首先关注哪些事件。

此外,使用标记来标记资源,并创建命名系统来对云资源(特别是处理敏感数据的资源)进行标识和分类。 你的责任是根据发生事件的资源和环境的关键性确定修正警报的优先级。


Azure 指南:Microsoft Defender for Cloud 为每个警报分配严重性,以帮助你确定应首先调查哪些警报的优先级。 严重性取决于 Microsoft Defender for Cloud 对于发现结果或用于发出警报的分析的置信度,以及对于导致警报的活动中存在恶意意图的置信度。

同样,Microsoft Sentinel 会根据分析规则创建具有分配严重性和其他详细信息的警报和事件。 使用分析规则模板并根据组织需要自定义规则以支持事件优先级。 在 Microsoft Sentinel 中使用自动化规则来管理和协调威胁响应,以最大程度地提高安全作的团队效率和有效性,包括标记事件以对其进行分类。

Azure 实现和额外背景信息:


AWS 指南:对于在 Incident Manager 中创建的每个事件,请根据组织定义的标准分配影响级别,例如事件严重性的度量值和受影响资产的严重性级别。

AWS 实现和其他上下文


* GCP 指南:对于在 Security Command Center 中创建的每个突发事件,请根据系统分配的严重性分级和组织定义的其他条件确定提醒的优先级。 测量事件的严重性和受影响资产的严重性级别,以确定应首先调查哪些警报。

同样,在 Chronic 中,您可以定义自定义规则来确定事件响应优先级。 GCP 实现和其他上下文


客户安全利益干系人(了解详细信息

IR-6:遏制、根除和恢复 - 自动执行事件处理

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
IR-4、IR-5、IR-6 12.10

安全原则:自动执行手动、重复的任务,以加快响应时间并减轻分析师的负担。 执行手动任务需要更长的时间,这会导致减慢每个事件的速度,并减少分析人员可以处理的事件数量。 手动任务还会使分析人员更加疲劳,这会增加可导致延迟的人为错误的风险,并降低分析人员专注于复杂任务的工作效率。


Azure 指南:使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 中的工作流自动化功能自动触发作或运行 playbook 来响应传入的安全警报。 演练手册采取行动,例如发送通知、禁用帐户和隔离有问题的网络。

Azure 实现和额外背景信息:


AWS 指南:如果使用 Microsoft Sentinel 集中管理事件,则还可以创建自动化作或运行 playbook 来响应传入的安全警报。

或者,使用 AWS System Manager 中的自动化功能自动触发事件响应计划中定义的作,包括通知联系人和/或运行 Runbook 以响应警报,例如禁用帐户和隔离有问题的网络。

AWS 实现和其他上下文


GCP 指南:如果使用 Microsoft Sentinel 集中管理事件,还可以创建自动化作或运行 playbook 来响应传入的安全警报。

或者,使用 Chronicle 中的 Playbook 自动化功能,根据事件响应计划中的定义自动触发操作,包括通知联系人和/或执行 playbook 来响应警报。

GCP 实现和其他上下文


客户安全利益干系人(了解详细信息

IR-7:事后活动 - 吸取教训并保留证据

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.8 IR-4 12.10

安全原则:定期和/或在重大事件发生后,在组织中吸取经验教训,以提高未来事件响应和处理能力。

根据事件的性质,在事件处理标准中定义的期限内保留与事件相关的证据,以供进一步分析或采取法律措施。


Azure 指南:使用经验教训活动的结果来更新事件响应计划、playbook(例如 Microsoft Sentinel playbook),并将结果重新合并到环境中(例如日志记录和威胁检测,以解决日志记录中的任何差距),以提高将来在 Azure 中检测、响应和处理事件的能力。

将在“检测和分析 - 调查事件步骤”期间收集的证据(例如系统日志、网络流量转储和在存储(如 Azure 存储帐户)中运行系统快照,以实现不可变保留。

Azure 实现和额外背景信息:


AWS 指南:使用标准事件分析模板或您自己的自定义模板在 Incident Manager 中为已关闭的事件创建事件分析。 使用经验教训活动的结果来更新您的事件响应计划、手册(例如 AWS Systems Manager 运行手册和 Microsoft Sentinel 手册),并将结果重新整合到您的环境中(例如日志记录和威胁检测,以解决日志记录中的任何差距),以提高您未来在 AWS 中检测、响应和处理事件的能力。

将在“检测和分析 - 调查事件步骤”期间收集的证据(例如系统日志、网络流量转储和正在运行的系统快照)保存在存储(如 Amazon S3 存储桶或 Azure 存储帐户)中,以实现不可变保留。

AWS 实现和其他上下文


GCP 指南:使用经验教训活动的结果来更新事件响应计划、playbook(例如 Chronicle 或 Microsoft Sentinel playbook),并将结果重新合并到环境中(例如日志记录和威胁检测,以解决日志记录中的任何差距),以提高将来在 GCP 中检测、响应和处理事件的能力。

在“检测和分析 - 调查事件步骤”期间收集的证据,例如系统日志、网络流量转储和在存储(如 Google Cloud Storage 或 Azure 存储帐户)中运行系统快照,以实现不可变保留。

GCP 实现和其他上下文


客户安全利益干系人(了解详细信息