事件响应涵盖事件响应生命周期的控制 - 准备、检测和分析、遏制和事件后活动,包括使用 Azure 服务(如 Microsoft Defender for Cloud 和 Sentinel)自动执行事件响应过程。
IR-1:准备 - 更新事件响应计划和处理过程
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4、IR-8 | 10.8 |
安全原则: 确保组织遵循行业最佳做法,制定流程和计划,以响应云平台上的安全事件。 请注意共享责任模型以及 IaaS、PaaS 和 SaaS 服务之间的差异。 这将直接影响到你如何与云提供商协作处理事件响应和处理活动,例如事件通知和会审、证据收集、调查、根除和恢复。
定期测试事件响应计划和处理流程,以确保它们是最新的。
Azure 指南: 更新组织的事件响应过程,以在 Azure 平台中包含事件处理。 根据所使用的 Azure 服务以及应用程序性质,自定义事件响应计划和 playbook,以确保它们可用于响应云环境中的事件。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
IR-2:准备 - 设置事件通知
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4、IR-8、IR-5、IR-6 | 12.10 |
安全原则: 确保从云服务提供商平台和您的环境中收到的安全警报和事件通知能够被事件响应组织中的正确联系人接收。
Azure 指南: 在 Microsoft Defender for Cloud 中设置安全事件联系信息。 如果Microsoft安全响应中心(MSRC)发现你的数据已被非法或未经授权的方访问,则Microsoft使用此联系信息与你联系。 还可以选择基于事件响应需求在不同的 Azure 服务中自定义事件警报和通知。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
IR-3:检测和分析 - 基于高质量警报创建事件
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.9 | IR-4、IR-5、IR-7 | 10.8 |
安全原则: 确保有一个创建高质量警报并衡量警报质量的过程。 这样,你就可以从过去的事件中吸取经验,并为分析人员确定警报的优先级,确保他们不会浪费时间来处理误报。
可以基于过去的事件经验、经验证的社区源以及旨在通过融合和关联各种信号源来生成和清理警报的工具构建高质量警报。
Azure 指南: Microsoft Defender for Cloud 提供高质量的告警,覆盖众多 Azure 资产。 可以使用 Microsoft Defender for Cloud 数据连接器将警报流式传输到 Azure Sentinel。 借助 Azure Sentinel,可创建高级警报规则来自动生成事件以进行调查。
使用导出功能导出 Microsoft Defender for Cloud 警报和建议,以帮助识别 Azure 资源的风险。 手动导出或持续导出警报和建议。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
IR-4:检测和分析 - 调查事件
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 无 | IR-4 红外线 | 12.10 |
安全原则: 确保安全作团队可以在调查潜在事件时查询和使用各种数据源,以全面了解所发生的事情。 应收集各种各样的日志,以跟踪整个终止链中潜在攻击者的活动,避免出现盲点。 还应确保收集见解和经验,以供其他分析人员使用和用作将来的历史参考资料。
Azure 指南: 用于调查的数据源是从范围内服务和运行系统收集的集中化日志记录源,但也可能包括:
- 网络数据:使用网络安全组的流日志、Azure 网络观察程序和 Azure Monitor 捕获网络流日志和其他分析信息。
- 正在运行的系统快照:a) Azure 虚拟机的快照功能,以创建正在运行的系统的磁盘的快照。 b)操作系统的本机内存转储功能来创建正在运行的系统内存快照。 c)Azure 服务的快照功能或您软件自身的快照功能,用于创建正在运行的系统的快照。
Azure Sentinel 提供几乎针对任何日志源的广泛数据分析,并提供一个事例管理门户来管理事件的整个生命周期。 调查过程中的情报信息可与事件相关联,以便进行跟踪和报告。
实现和其他上下文:
- 为 Windows 计算机的磁盘创建快照
- 快照 Linux 计算机的磁盘
- Microsoft Azure 支持诊断信息和内存转储收集
- 使用 Azure Sentinel 调查事件
客户安全利益干系人(了解详细信息):
IR-5:检测和分析 - 确定事件的优先级
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 红外线 | 12.10 |
安全原则: 为安全运营团队提供上下文,帮助他们根据组织事件响应计划中定义的警报严重性和资产敏感度确定应首先关注哪些事件。
Azure 指南: Microsoft Defender for Cloud 为每个警报分配严重性,以帮助确定应首先调查哪些警报的优先级。 严重性取决于 Microsoft Defender for Cloud 对于发现结果或用于发出警报的分析的置信度,以及对于导致警报的活动中存在恶意意图的置信度。
此外,使用标记来标记资源,并创建命名系统来对 Azure 资源进行标识和分类,特别是处理敏感数据的资源。 你的责任是根据发生事件的 Azure 资源和环境的关键性确定修正警报的优先级。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
IR-6:遏制、根除和恢复 - 自动执行事件处理
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 无 | IR-4、IR-5、IR-6 | 12.10 |
安全原则: 自动执行手动、重复的任务,以加快响应时间并减轻分析师的负担。 执行手动任务需要更长的时间,这会导致减慢每个事件的速度,并减少分析人员可以处理的事件数量。 手动任务还会使分析人员更加疲劳,这会增加可导致延迟的人为错误的风险,并降低分析人员专注于复杂任务的工作效率。
Azure 指南: 使用 Microsoft Defender for Cloud 和 Azure Sentinel 中的工作流自动化功能自动触发操作或运行剧本来响应传入的安全警报。 playbook 执行多项操作,如发送通知、禁用帐户和隔离有问题的网络。
实现和其他上下文:
- 在 Microsoft Defender for Cloud 中配置工作流自动化
- 在 Microsoft Defender for Cloud 中设置自动威胁响应
- 在 Azure Sentinel 中设置自动威胁响应
客户安全利益干系人(了解详细信息):
IR-7:事后活动 - 吸取教训并保留证据
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.8 | IR-4 红外线 | 12.10 |
安全原则: 定期和/或发生重大事件后在组织中吸取教训,以提高将来的事件响应和处理能力。
根据事件的性质,在事件处理标准中定义的期限内保留与事件相关的证据,以供进一步分析或采取法律措施。
Azure 指南: 使用吸取教训活动的结果来更新您的事件响应计划、行动手册(如 Azure Sentinel 行动手册),并将发现重新合并到您的环境中(如日志记录和威胁检测,以解决任何日志记录差距区域),以提高您在 Azure 中未来检测、响应和处理事件的能力。
在“检测和分析 - 调查事件步骤”中收集的证据应保存在存储系统中,例如 Azure 存储帐户,以便保留,比如系统日志、网络流量转储和系统快照。
实现和其他上下文:
客户安全利益干系人(了解详细信息):