安全控制 v3:事件响应
事件响应包括对事件响应生命周期(准备、检测、分析、包含和事后活动)的控制措施,包括使用 Microsoft Defender for Cloud 和 Sentinel 等 Azure 服务自动执行事件响应过程。
IR-1:准备 - 更新事件响应计划和处理过程
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.4、17.7 | IR-4、IR-8 | 10.8 |
安全原则:确保组织遵循行业最佳做法来制定流程和计划,以响应云平台上的安全事件。 请注意共担责任模型以及 IaaS、PaaS 和 SaaS 服务之间的差异。 这将直接影响你与云提供商在事件响应和处理活动方面的协作方式,例如事件通知和会审、证据收集、调查、清除和恢复。
定期测试事件响应计划和处理流程,以确保它们是最新的。
Azure 指导:更新组织的事件响应流程,以包括 Azure 平台中的事件处理。 根据所使用的 Azure 服务和应用程序的性质,自定义事件响应计划和 playbook,以确保它们可用于响应云环境中的事件。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
IR-2:准备 - 设置事件通知
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.1、17.3、17.6 | IR-4、IR-8、IR-5、IR-6 | 12.10 |
安全原则:确保事件响应组织中的正确联系人可以接收来自云服务提供商平台和你的环境的安全警报和事件通知。
Azure 指导:在 Microsoft Defender for Cloud 中设置安全事件联系人信息。 如果 Microsoft 安全响应中心 (MSRC) 发现非法或未经授权的一方访问了你的数据,Microsoft 将使用此联系信息来与你取得联系。 还可以选择基于事件响应需求在不同的 Azure 服务中自定义事件警报和通知。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
IR-3:检测和分析 - 基于高质量警报创建事件
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.9 | IR-4、IR-5、IR-7 | 10.8 |
安全原则:确保你有创建高质量警报和衡量警报质量的流程。 这样,你就可以从过去的事件中吸取经验,并为分析人员确定警报的优先级,确保他们不会浪费时间来处理误报。
可以基于过去的事件经验、经验证的社区源以及旨在通过融合和关联各种信号源来生成和清理警报的工具构建高质量警报。
Azure 指导:Microsoft Defender for Cloud 提供跨许多 Azure 资产的高质量警报。 可以使用 Microsoft Defender for Cloud 数据连接器将警报流式传输给 Azure Sentinel。 借助 Azure Sentinel,可创建高级警报规则来自动生成事件以进行调查。
使用导出功能导出 Microsoft Defender for Cloud 警报和建议,以帮助确定 Azure 资源的风险。 手动导出或持续导出警报和建议。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
IR-4:检测和分析 - 调查事件
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 空值 | IR-4 | 12.10 |
安全原则:确保安全运营团队在调查潜在事件时可以查询和使用不同的数据源,以便全面了解发生的情况。 应收集各种各样的日志,以跟踪整个终止链中潜在攻击者的活动,避免出现盲点。 还应确保收集见解和经验,以供其他分析人员使用和用作将来的历史参考资料。
Azure 指导:用于调查的数据源包括已从作用域内服务和正在运行的系统中收集的集中式日志记录源,但还可以包括以下内容:
- 网络数据:使用网络安全组的流日志、Azure 网络观察程序和 Azure Monitor 来捕获网络流日志和其他分析信息。
- 正在运行的系统的快照:a) Azure 虚拟机的快照功能,用于创建正在运行的系统磁盘的快照。 b) 操作系统的本机内存转储功能,用于创建正在运行的系统内存的快照。 c) Azure 服务的快照功能或软件自带的功能,用于创建正在运行的系统的快照。
Azure Sentinel 提供几乎针对任何日志源的广泛数据分析,并提供一个事例管理门户来管理事件的整个生命周期。 调查过程中的情报信息可与事件相关联,以便进行跟踪和报告。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
IR-5:检测和分析 - 确定事件的优先级
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.4、17.9 | IR-4 | 12.10 |
安全原则:为安全运营团队提供上下文,帮助他们根据组织的事件响应计划中定义的警报严重性和资产敏感度确定应首先关注哪些事件。
Azure 指导:Microsoft Defender for Cloud 向每个警报分配严重性,以帮助你根据优先级来确定应该最先调查的警报。 严重性取决于 Microsoft Defender for Cloud 在发出警报时所依据的检测结果或分析结果的置信度,以及导致发出警报的活动的恶意企图的置信度。
此外,使用标记来标记资源,并创建命名系统来对 Azure 资源进行标识和分类,特别是处理敏感数据的资源。 你的责任是根据发生事件的 Azure 资源和环境的关键性确定修正警报的优先级。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
IR-6:遏制、根除和恢复 - 自动执行事件处理
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 空值 | IR-4、IR-5、IR-6 | 12.10 |
安全原则:自动执行重复性手动任务,以加快响应速度并减轻分析人员的负担。 执行手动任务需要更长的时间,这会导致减慢每个事件的速度,并减少分析人员可以处理的事件数量。 手动任务还会使分析人员更加疲劳,这会增加可导致延迟的人为错误的风险,并降低分析人员专注于复杂任务的工作效率。
Azure 指导:使用 Microsoft Defender for Cloud 和 Azure Sentinel 中的工作流自动化功能,可自动触发操作或运行 playbook,对传入的安全警报作出响应。 playbook 执行多项操作,如发送通知、禁用帐户和隔离有问题的网络。
实现和其他上下文:
- 在 Microsoft Defender for Cloud 中配置工作流自动化
- 在 Microsoft Defender for Cloud 中设置自动威胁响应
- 在 Azure Sentinel 中设置自动威胁响应
客户安全利益干系人(了解详细信息):
IR-7:事后活动 - 吸取教训并保留证据
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
安全原则:定期和/或在发生重大事件后在组织中吸取教训,以提高未来的事件响应和处理能力。
根据事件的性质,在事件处理标准中定义的期限内保留与事件相关的证据,以供进一步分析或采取法律措施。
Azure 指导:使用经验教训活动的结果来更新事件响应计划、playbook(例如 Azure Sentinel playbook)并将发现结果重新整合到环境中(例如用于解决任何记录空白区域的日志记录和威胁检测),以提高未来在 Azure 中检测、响应和处理事件的能力。
将在“检测和分析 - 调查事件步骤”期间收集的证据(例如系统日志、网络流量转储和运行系统快照)保存在 Azure 存储帐户等存储中,以供保留。
实现和其他上下文:
客户安全利益干系人(了解详细信息):