安全控制:事件响应

事件响应涵盖对事件响应生命周期(准备、检测、分析、包含和事后活动)的控制措施,包括使用 Azure 服务(如 Microsoft Defender for Cloud 和 Sentinel)和/或其他云服务自动执行事件响应过程。

IR-1:准备 - 更新事件响应计划和处理过程

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.4、17.7 IR-4、IR-8 10.8

安全原则:确保组织遵循行业最佳做法,以制定流程和计划,以响应云平台上的安全事件。 请注意共担责任模型以及 IaaS、PaaS 和 SaaS 服务之间的差异。 这将直接影响你与云提供商在事件响应和处理活动方面的协作方式,例如事件通知和会审、证据收集、调查、清除和恢复。

定期测试事件响应计划和处理流程,以确保它们是最新的。


Azure 指南:更新组织的事件响应过程,以包括 Azure 平台中的事件处理。 根据所使用的 Azure 服务和应用程序的性质,自定义事件响应计划和 playbook,以确保它们可用于响应云环境中的事件。

Azure 实现和其他上下文:


AWS 指南:更新组织的事件响应过程,以包括事件的处理。 通过更新组织的事件响应流程,在 AWS 平台中包含事件的处理,确保制定统一的多云事件响应计划。 根据使用的 AWS 服务和应用程序性质,按照 AWS 安全事件响应指南自定义事件响应计划和 playbook,以确保它们可用于在云环境中响应事件。

AWS 实现和其他上下文


GCP 指南:更新组织的事件响应过程,以包括事件的处理。 通过更新组织的事件响应流程,在 Google Cloud 平台中包含事件的处理,确保制定统一的多云事件响应计划。

GCP 实现和其他上下文


客户安全利益干系人 (详细了解)

IR-2:准备 - 设置事件通知

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.1、17.3、17.6 IR-4、IR-8、IR-5、IR-6 12.10

安全原则:确保事件响应组织中的正确联系人可以接收来自云服务提供商平台和环境的安全警报和事件通知。


Azure 指南:在 Microsoft Defender for Cloud 中设置安全事件联系信息。 如果 Microsoft 安全响应中心 (MSRC) 发现非法或未经授权的一方访问了你的数据,Microsoft 将使用此联系信息来与你取得联系。 还可以选择根据事件响应需求在不同的 Azure 服务中自定义事件警报和通知。

Azure 实现和其他上下文:


AWS 指南:在 AWS 系统管理器事件管理器中 (AWS) 事件管理中心设置安全事件联系信息。 此联系信息用于通过不同渠道(Email、短信或语音) ) (与 AWS 之间的事件管理通信。 可以定义联系人的参与计划和升级计划,以描述事件管理器如何以及何时与联系人联系,并在联系人 () 不响应事件时升级。

AWS 实现和其他上下文


GCP 指南:使用安全命令中心或 Chronicle 为特定联系人设置安全事件通知。 使用 Google Cloud 服务和第三方 API 提供实时电子邮件和聊天通知,以提醒安全命令中心的安全发现,或使用 playbook 触发操作以在 Chronicle 中发送通知。

GCP 实现和其他上下文


客户安全利益干系人 (详细了解)

IR-3:检测和分析 - 基于高质量警报创建事件

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.9 IR-4、IR-5、IR-7 10.8

安全原则:确保有一个创建高质量警报并衡量警报质量的过程。 这样,你就可以从过去的事件中吸取经验,并为分析人员确定警报的优先级,确保他们不会浪费时间来处理误报。

可以基于过去的事件经验、经验证的社区源以及旨在通过融合和关联各种信号源来生成和清理警报的工具构建高质量警报。


Azure 指南:Microsoft Defender for Cloud 提供跨多个 Azure 资产的高质量警报。 可以使用 Microsoft Defender for Cloud 数据连接器将警报流式传输给 Microsoft Sentinel。 借助 Microsoft Sentinel 创建高级警报规则,以自动生成事件进行调查。

使用导出功能导出 Microsoft Defender for Cloud 警报和建议,以帮助确定 Azure 资源的风险。 手动导出或持续导出警报和建议。

Azure 实现和其他上下文:


AWS 指南:使用 SecurityHub 或 GuardDuty 等安全工具以及其他第三方工具向 Amazon CloudWatch 或 Amazon EventBridge 发送警报,以便可以根据定义的条件和规则集在事件管理器中自动创建事件。 还可以在事件管理器中手动创建事件,以便进一步处理和跟踪事件。

如果使用 Microsoft Defender for Cloud 监视 AWS 帐户,还可以使用 Microsoft Sentinel 监视 Microsoft Defender for Cloud on AWS 资源确定的事件并发出警报。

AWS 实现和其他上下文


GCP 指南:集成 Google Cloud 和第三方服务,将日志和警报发送到安全命令中心或 Chronicle,以便可以根据定义的条件自动创建事件。 还可以在安全命令中心或 Chronicle 中的规则中手动创建和编辑事件发现结果,以便进一步处理和跟踪事件。

如果使用 Microsoft Defender for Cloud 监视 GCP 项目,还可以使用 Microsoft Sentinel 监视 Microsoft Defender 云 GCP 资源确定的事件并发出警报,或将 GCP 日志直接流式传输到 Microsoft Sentinel。

GCP 实现和其他上下文


客户安全利益干系人 (详细了解)

IR-4:检测和分析 - 调查事件

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
空值 IR-4 12.10

安全原则:确保安全操作团队在调查潜在事件时可以查询和使用各种数据源,以全面了解所发生的情况。 应收集各种各样的日志,以跟踪整个终止链中潜在攻击者的活动,避免出现盲点。 还应确保收集见解和经验,以供其他分析人员使用和用作将来的历史参考资料。

如果你的组织没有用于聚合安全日志和警报信息的现有解决方案,请使用云原生 SIEM 和事件管理解决方案。 根据来自不同源的数据关联事件数据来促进事件调查。


Azure 指南:确保安全运营团队可以查询和使用从范围内服务和系统收集的各种数据源。 此外,它的来源还可以包括:

  • 标识和访问日志数据:使用 Azure AD 日志和工作负载 ((如操作系统或应用程序级别) 访问日志)来关联标识和访问事件。
  • 网络数据:使用网络安全组的流日志、Azure 网络观察程序和 Azure Monitor 来捕获网络流日志和其他分析信息。
  • 来自受影响系统的快照的事件相关活动数据,可通过以下方法获取:
    • Azure 虚拟机的快照功能,用于创建正在运行的系统磁盘的快照。
    • 操作系统的本机内存转储功能,用于创建正在运行的系统内存的快照。
    • 快照其他受支持的 Azure 服务的功能或软件自己的功能,用于创建正在运行的系统快照。

Microsoft Sentinel 提供几乎跨任何日志源的大量数据分析和一个案例管理门户,以管理事件的整个生命周期。 调查过程中的情报信息可与事件相关联,以便进行跟踪和报告。

注意:当捕获与事件相关的数据进行调查时,请确保有足够的安全性来保护数据免受未经授权的更改,例如禁用日志记录或删除日志,攻击者可以在正在进行的数据泄露活动期间执行这些操作。

Azure 实现和其他上下文:


AWS 指南:用于调查的数据源是从范围内服务和正在运行的系统收集的集中式日志记录源,但也可能包括:

  • 标识和访问日志数据:使用 IAM 日志和工作负载 ((如操作系统或应用程序级别) 访问日志)来关联标识和访问事件。
  • 网络数据:使用 VPC 流日志、VPC 流量镜像以及 Azure CloudTrail 和 CloudWatch 捕获网络流日志和其他分析信息。
  • 正在运行的系统的快照,可通过以下方法获取:
    • Amazon EC2 中的快照功能 (EBS) 创建正在运行的系统磁盘的快照。
    • 操作系统的本机内存转储功能,用于创建正在运行的系统内存的快照。
    • 快照 AWS 服务的功能或软件自己的功能,用于创建正在运行的系统快照。

如果将 SIEM 相关数据聚合到 Microsoft Sentinel 中,它将跨几乎任何日志源和案例管理门户提供广泛的数据分析,以管理事件的整个生命周期。 调查过程中的情报信息可与事件相关联,以便进行跟踪和报告。

注意:当捕获与事件相关的数据进行调查时,请确保有足够的安全性来保护数据免受未经授权的更改,例如禁用日志记录或删除日志,攻击者可以在正在进行的数据泄露活动期间执行这些操作。

AWS 实现和其他上下文


GCP 指南:用于调查的数据源是从范围内服务和正在运行的系统收集的集中式日志记录源,但也可能包括:

  • 标识和访问日志数据:使用 IAM 日志和工作负载 ((如操作系统或应用程序级别) 访问日志)来关联标识和访问事件。
  • 网络数据:使用 VPC 流日志和 VPC 服务控制来捕获网络流日志和其他分析信息。
  • 正在运行的系统的快照,可通过以下方法获取:
    1. GCP VM 中的快照功能,用于创建正在运行的系统磁盘的快照。
    2. 操作系统的本机内存转储功能,用于创建正在运行的系统内存的快照。
    3. 快照 GCP 服务的功能或软件自己的功能,用于创建正在运行的系统快照。

如果将 SIEM 相关数据聚合到 Microsoft Sentinel 中,它将跨几乎任何日志源和案例管理门户提供广泛的数据分析,以管理事件的整个生命周期。 调查过程中的情报信息可与事件相关联,以便进行跟踪和报告。

注意:当捕获与事件相关的数据进行调查时,请确保有足够的安全性来保护数据免受未经授权的更改,例如禁用日志记录或删除日志,攻击者可以在正在进行的数据泄露活动期间执行这些操作。

GCP 实现和其他上下文


客户安全利益干系人 (了解) 的详细信息

IR-5:检测和分析 - 确定事件的优先级

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.4、17.9 IR-4 12.10

安全原则:根据组织的事件响应计划中定义的警报严重性和资产敏感度,向安全运营团队提供上下文,帮助他们确定应首先关注哪些事件。

此外,使用标记来标记资源,并创建命名系统来对云资源(特别是处理敏感数据的资源)进行标识和分类。 你的责任是根据发生事件的资源和环境的关键性确定修正警报的优先级。


Azure 指南:Microsoft Defender for Cloud 为每个警报分配严重性,以帮助你确定应首先调查的警报的优先级。 严重性取决于 Microsoft Defender for Cloud 在发出警报时所依据的检测结果或分析结果的置信度,以及导致发出警报的活动背后的恶意企图的置信度。

同样,Microsoft Sentinel 会根据分析规则创建具有分配严重性和其他详细信息的警报和事件。 使用分析规则模板并根据组织的需要自定义规则,以支持事件优先顺序。 使用 Microsoft Sentinel 中的自动化规则来管理和协调威胁响应,以最大程度地提高安全操作的团队效率和有效性,包括标记事件以对其进行分类。

Azure 实现和其他上下文:


AWS 指南:对于在事件管理器中创建的每个事件,根据组织定义的条件(例如,事件严重性和受影响资产的关键性级别的度量值)分配影响级别。

AWS 实现和其他上下文


* GCP 指南:对于在安全命令中心中创建的每个事件,根据系统分配的严重性评级以及组织定义的其他条件确定警报的优先级。 测量事件的严重性和受影响资产的关键性级别,以确定应首先调查哪些警报。

同样,在 Chronical 中,可以定义自定义规则来确定事件响应优先级。 GCP 实现和其他上下文


客户安全利益干系人 (了解) 的详细信息

IR-6:遏制、根除和恢复 - 自动执行事件处理

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
空值 IR-4、IR-5、IR-6 12.10

安全原则:自动执行手动重复任务,以加快响应时间并减轻分析师的负担。 执行手动任务需要更长的时间,这会导致减慢每个事件的速度,并减少分析人员可以处理的事件数量。 手动任务还会使分析人员更加疲劳,这会增加可导致延迟的人为错误的风险,并降低分析人员专注于复杂任务的工作效率。


Azure 指南:使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 中的工作流自动化功能自动触发操作或运行 playbook 以响应传入的安全警报。 Playbook 执行操作,例如发送通知、禁用帐户和隔离有问题的网络。

Azure 实现和其他上下文:


AWS 指南:如果使用 Microsoft Sentinel 集中管理事件,还可以创建自动化操作或运行 playbook 来响应传入的安全警报。

或者,使用 AWS System Manager 中的自动化功能自动触发事件响应计划中定义的操作,包括通知联系人和/或运行 Runbook 来响应警报,例如禁用帐户和隔离有问题的网络。

AWS 实现和其他上下文


GCP 指南:如果使用 Microsoft Sentinel 集中管理事件,还可以创建自动化操作或运行 playbook 来响应传入的安全警报。

或者,使用 Chronicle 中的 Playbook 自动化自动触发事件响应计划中定义的操作,包括通知联系人和/或运行 playbook 以响应警报。

GCP 实现和其他上下文


客户安全利益干系人 (了解) 的详细信息

IR-7:事后活动 - 吸取教训并保留证据

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
17.8 IR-4 12.10

安全原则:定期和/或在发生重大事件后,在组织中吸取教训,以提高将来在事件响应和处理方面的能力。

根据事件的性质,在事件处理标准中定义的期限内保留与事件相关的证据,以供进一步分析或采取法律措施。


Azure 指导:使用经验教训活动的结果更新事件响应计划、playbook ((如 Microsoft Sentinel playbook) )并将发现结果重新合并到环境中, (日志记录和威胁检测等,以解决日志记录) 中的任何差距,以提高将来在 Azure 中检测、响应和处理事件的能力。

保留“检测和分析 - 调查事件步骤”期间收集的证据,例如系统日志、网络流量转储和在存储(如 Azure 存储帐户)中运行系统快照,以便保留不可变。

Azure 实现和其他上下文:


AWS 指南:使用标准事件分析模板或你自己的自定义模板在事件管理器中为已关闭的事件创建事件分析。 使用经验教训活动的结果来更新事件响应计划、playbook ((例如 AWS Systems Manager Runbook 和 Microsoft Sentinel playbook),) 并将发现结果重新合并到环境中, ((如日志记录和威胁检测)来解决日志记录) 中的任何差距,以提高将来在检测、响应方面的能力, 和 AWS 中事件的处理。

保留“检测和分析 - 调查事件步骤”期间收集的证据,例如系统日志、网络流量转储和在存储(如 Amazon S3 存储桶或 Azure 存储帐户)中运行系统快照,以便不可变保留。

AWS 实现和其他上下文


GCP 指南:使用所学活动的结果更新事件响应计划、playbook ((如 Chronicle 或 Microsoft Sentinel playbook)) 并将发现结果重新合并到环境中, (日志记录和威胁检测等,以解决日志记录) 中的任何差距,以提高将来在 GCP 中检测、响应和处理事件的能力。

保留“检测和分析 - 调查事件步骤”期间收集的证据,例如系统日志、网络流量转储和在存储(如 Google 云存储或 Azure 存储帐户)中运行系统快照,以便不可变保留。

GCP 实现和其他上下文


客户安全利益干系人 (了解) 的详细信息