安全性控制:事件回應
事件回應涵蓋事件回應生命週期中的控制項 - 準備、偵測和分析、內含專案及事件後活動,包括使用 Azure 服務 (,例如雲端和 Sentinel Microsoft Defender) 和/或其他雲端服務,將事件回應程式自動化。
IR-1:準備 - 更新事件回應計畫和處理常式
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4、IR-8 | 10.8 |
安全性準則:確保您的組織遵循業界最佳做法,以開發流程和計畫,以回應雲端平臺上的安全性事件。 請留意 IaaS、PaaS 和 SaaS 服務的共用責任模型和差異。 這會直接影響您在事件回應和處理活動中與雲端提供者共同作業的方式,例如事件通知和分級、辨識項收集、調查、消除和復原。
定期測試事件回應計畫和處理常式,以確保事件回應計畫是最新的。
Azure 指引:更新貴組織的事件回應程式,以在 Azure 平臺中包含事件的處理。 根據所使用的 Azure 服務與應用程式本質,自訂事件回應計畫和劇本,以確保它們可用來回應雲端環境中的事件。
Azure 實作和其他內容:
AWS 指引:更新貴組織的事件回應程式,以包含事件的處理。 藉由更新貴組織的事件回應程式,以在 AWS 平臺中包含事件的處理,以確保已就緒統一的多雲端事件回應計畫。 根據使用的 AWS 服務和您的應用程式本質,遵循 AWS 安全性事件回應指南來自訂事件回應計畫和劇本,以確保它們可用來回應雲端環境中的事件。
AWS 實作和其他內容:
GCP 指引:更新貴組織的事件回應程式,以包含事件的處理。 藉由更新貴組織的事件回應程式,以在 Google Cloud 平臺中包含事件的處理,以確保已就緒統一的多雲端事件回應計畫。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IR-2:準備 - 設定事件通知
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4、IR-8、IR-5、IR-6 | 12.10 |
安全性準則:確定來自雲端服務提供者平臺的安全性警示和事件通知,以及您的環境可以透過事件回應組織中的正確連絡人來接收。
Azure 指引:在 Microsoft Defender for Cloud 中設定安全性事件連絡資訊。 當 Microsoft 安全回應中心 (MSRC) 發現您的資料已遭非法或未經授權的合作對象存取時,Microsoft 會使用此連絡人資訊來與您連絡。 您也可以選擇根據事件回應需求,在不同的 Azure 服務中自訂事件警示和通知。
Azure 實作和其他內容:
AWS 指引:在 AWS 系統管理員事件管理員中設定安全性事件連絡資訊, (AWS) 的事件管理中心。 此連絡資訊用於透過不同通道與您 AWS 之間的事件管理通訊 (,例如Email、SMS 或語音) 。 您可以定義連絡人的參與計畫和呈報計畫,以描述事件管理員與連絡人互動的方式和時機,以及在連絡人 () 未回應事件時呈報。
AWS 實作和其他內容:
GCP 指引:使用資訊安全命令中心或 Chronicle 為特定連絡人設定安全性事件通知。 使用 Google Cloud 服務和協力廠商 API 提供即時電子郵件和聊天通知,以警示安全性命令中心的安全性結果,或劇本來觸發動作以在 Chronicle 中傳送通知。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IR-3:偵測和分析 - 根據高品質警示建立事件
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 17.9 | IR-4、IR-5、IR-7 | 10.8 |
安全性準則:確定您有建立高品質警示並測量警示品質的程式。 這可讓您瞭解過去事件的經驗,並排定分析師的警示優先順序,因此不會浪費時間誤判。
您可以根據過去事件的經驗、已驗證的社區來源,以及設計成透過融合和相互關聯不同信號來源以產生和清除警示的工具,來建置高品質警示。
Azure 指引:Microsoft Defender for Cloud 提供許多 Azure 資產的高品質警示。 您可以使用適用于雲端資料連線器的 Microsoft Defender,將警示串流至 Microsoft Sentinel。 Microsoft Sentinel 可讓您建立進階警示規則,以自動產生事件以進行調查。
使用匯出功能匯出雲端警示和建議的Microsoft Defender,以協助識別 Azure 資源的風險。 以手動或持續不斷的方式匯出警示和建議。
Azure 實作和其他內容:
AWS 指引:使用 SecurityHub 或 GuardDuty 和其他協力廠商工具之類的安全性工具,將警示傳送至 Amazon CloudWatch 或 Amazon EventBridge,以便根據定義的準則和規則集,在事件管理員中自動建立事件。 您也可以在事件管理員中手動建立事件,以進一步處理和追蹤事件。
如果您使用 Microsoft Defender for Cloud 來監視 AWS 帳戶,您也可以使用 Microsoft Sentinel 來監視和警示 AWS 資源上的雲端Microsoft Defender所識別的事件。
AWS 實作和其他內容:
GCP 指引:整合 Google Cloud 和協力廠商服務,以將記錄和警示傳送至資訊安全命令中心或 Chronicle,以便根據定義的準則自動建立事件。 您也可以在資訊安全命令中心手動建立和編輯事件結果,或在 Chronicle 中建立和編輯事件結果,以進一步處理和追蹤事件。
如果您使用 Microsoft Defender for Cloud 來監視 GCP 專案,您也可以使用 Microsoft Sentinel 來監視和警示 GCP 資源上雲端Microsoft Defender識別的事件,或將 GCP 記錄直接串流至 Microsoft Sentinel。
GCP 實作和其他內容:
- 設定安全性命令中心
- 使用規則編輯器管理規則
- 將 GCP 專案連線至適用於雲端的 Microsoft Defender
- 將 Google Cloud Platform 記錄串流至 Microsoft Sentinel
客戶安全性專案關係人 (深入瞭解) :
IR-4:偵測和分析 - 調查事件
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| N/A | IR-4 | 12.10 |
安全性準則:確保安全性作業小組可以在調查潛在事件時查詢和使用各種資料來源,以建置發生狀況的完整檢視。 您應收集各種記錄,以追蹤整個攻擊鏈中潛在攻擊者的活動,而避免產生盲點。 您也應確實獲取深入解析和知識,以供其他分析師和未來的歷程記錄參考使用。
如果您的組織沒有現有的解決方案來匯總安全性記錄和警示資訊,請使用雲端原生 SIEM 和事件管理解決方案。 根據來自不同來源的資料來源,將事件資料相互關聯,以協助事件調查。
Azure 指引:確保您的安全性作業小組可以查詢和使用從範圍內服務和系統收集的各種資料來源。 此外,其來源也可以包括:
- 身分識別和存取記錄資料:使用 Azure AD 記錄和工作負載 (,例如作業系統或應用層級) 存取記錄,以相互關聯身分識別和存取事件。
- 網路資料:使用網路安全性群組的流量記錄、Azure 網路監看員和 Azure 監視器來擷取網路流量記錄和其他分析資訊。
- 來自受影響系統快照集的事件相關活動資料,可透過下列方式取得:
- Azure 虛擬機器的快照集功能,可建立執行中系統磁片的快照集。
- 作業系統的原生記憶體傾印功能,可建立執行中系統記憶體的快照集。
- 其他支援的 Azure 服務或軟體本身功能的快照集功能,可建立執行中系統的快照集。
Microsoft Sentinel 可跨幾乎所有記錄來源和案例管理入口網站提供廣泛的資料分析,以管理事件的完整生命週期。 調查期間的情報資訊可以與事件相關聯,以供追蹤和報告之用。
注意:擷取事件相關資料以進行調查時,請確定有足夠的安全性可保護資料免于未經授權的變更,例如停用記錄或移除記錄,攻擊者可以在執行中的資料外泄活動期間執行。
Azure 實作和其他內容:
AWS 指引:調查的資料來源是從範圍內服務和執行中系統收集的集中式記錄來源,但也可能包括:
- 身分識別和存取記錄資料:使用 IAM 記錄和工作負載 (例如作業系統或應用層級,) 存取記錄,以相互關聯身分識別和存取事件。
- 網路資料:使用[HTTP 流量記錄]、[HTTP 流量鏡像] 和 [Azure CloudTrail] 和 [CloudWatch] 來擷取網路流量記錄和其他分析資訊。
- 執行中系統的快照集,可透過下列方式取得:
- Amazon EC2 中的快照集功能 (EBS) ,以建立執行中系統磁片的快照集。
- 作業系統的原生記憶體傾印功能,可建立執行中系統記憶體的快照集。
- AWS 服務或軟體本身功能的快照集功能,可建立執行中系統的快照集。
如果您將 SIEM 相關資料匯總至 Microsoft Sentinel,它會在幾乎任何記錄來源和案例管理入口網站之間提供廣泛的資料分析,以管理事件的完整生命週期。 調查期間的情報資訊可以與事件相關聯,以供追蹤和報告之用。
注意:擷取事件相關資料以進行調查時,請確定有足夠的安全性可保護資料免于未經授權的變更,例如停用記錄或移除記錄,攻擊者可以在執行中的資料外泄活動期間執行。
AWS 實作和其他內容:
GCP 指引:調查的資料來源是從範圍內服務和執行中系統收集的集中式記錄來源,但也可能包括:
- 身分識別和存取記錄資料:使用 IAM 記錄和工作負載 (例如作業系統或應用層級,) 存取記錄,以相互關聯身分識別和存取事件。
- 網路資料:使用[HTTP 流量記錄] 和 [HTTP 服務控制] 來擷取網路流量記錄和其他分析資訊。
- 執行中系統的快照集,可透過下列方式取得:
- GCP VM 中的快照集功能,可建立執行中系統磁片的快照集。
- 作業系統的原生記憶體傾印功能,可建立執行中系統記憶體的快照集。
- GCP 服務或軟體本身功能的快照集功能,可建立執行中系統的快照集。
如果您將 SIEM 相關資料匯總至 Microsoft Sentinel,它會在幾乎任何記錄來源和案例管理入口網站之間提供廣泛的資料分析,以管理事件的完整生命週期。 調查期間的情報資訊可以與事件相關聯,以供追蹤和報告之用。
注意:擷取事件相關資料以進行調查時,請確定有足夠的安全性可保護資料免于未經授權的變更,例如停用記錄或移除記錄,攻擊者可以在執行中的資料外泄活動期間執行。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IR-5:偵測和分析 - 設定事件的優先順序
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
安全性準則:提供安全性作業小組的內容,以根據貴組織事件回應計畫中定義的警示嚴重性和資產敏感度,協助他們判斷應該先專注于哪些事件。
此外,使用標記標示資源,並建立命名系統來識別和分類您的雲端資源,特別是處理敏感性資料的資源。 您必須負責根據發生事件的資源和環境重要性來排定警示的補救優先順序。
Azure 指引:Microsoft Defender For Cloud 會將嚴重性指派給每個警示,以協助您優先調查哪些警示。 嚴重性是根據雲端的信賴度Microsoft Defender在尋找或用來發出警示的分析中,以及導致警示之活動背後的惡意意圖信賴等級。
同樣地,Microsoft Sentinel 會根據分析規則,建立具有指派嚴重性和其他詳細資料的警示和事件。 流量分析規則範本,並根據貴組織的需求自訂規則,以支援事件優先順序。 使用 Microsoft Sentinel 中的自動化規則來管理及協調威脅回應,以最大化安全性作業的團隊效率與效率,包括標記事件來分類事件。
Azure 實作和其他內容:
AWS 指引:針對事件管理員中建立的每個事件,根據貴組織的已定義準則指派影響等級,例如事件嚴重性量值,以及受影響資產重要性層級的量值。
AWS 實作和其他內容:
* GCP 指引:針對在資訊安全命令中心建立的每個事件,根據系統指派的嚴重性評等,以及貴組織所定義的其他準則,判斷警示的優先順序。 測量受影響的資產事件嚴重性和重要性層級,以判斷應該先調查哪些警示。
同樣地,在 Chronical 中,您可以定義自訂規則來判斷事件回應優先順序。 GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IR-6:內含專案、疾病和復原 - 自動化事件處理
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| N/A | IR-4、IR-5、IR-6 | 12.10 |
安全性準則:將手動、重複的工作自動化,以加速回應時間,並減少分析師的負擔。 手動工作需要較長的時間來執行,進而降低每個事件的速度,以及減少分析師可以處理的事件數目。 手動工作也會增加分析師疲勞,這會增加人為錯誤的風險,導致延遲並降低分析師有效地專注于複雜工作的能力。
Azure 指引:使用雲端和 Microsoft Sentinel Microsoft Defender中的工作流程自動化功能,自動觸發動作或執行劇本來回應傳入的安全性警示。 劇本會採取動作,例如傳送通知、停用帳戶,以及隔離有問題的網路。
Azure 實作和其他內容:
AWS 指引:如果您使用 Microsoft Sentinel 集中管理事件,您也可以建立自動化動作或執行劇本來回應傳入的安全性警示。
或者,使用 AWS System Manager 中的自動化功能來自動觸發事件回應計畫中定義的動作,包括通知連絡人和/或執行 Runbook 以回應警示,例如停用帳戶,以及隔離有問題的網路。
AWS 實作和其他內容:
GCP 指引:如果您使用 Microsoft Sentinel 集中管理事件,您也可以建立自動化動作或執行劇本來回應傳入的安全性警示。
或者,使用 Chronicle 中的劇本自動化來自動觸發事件回應計畫中定義的動作,包括通知連絡人和/或執行劇本來回應警示。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
IR-7:事件後活動 - 進行學到的課程並保留辨識項
| CIS 控制項 v8 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) | PCI-DSS 識別碼 (s) v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
安全性準則:在組織定期和/或重大事件之後進行學習課程,以改善事件回應和處理的未來功能。
根據事件的本質,保留事件處理標準中定義的事件相關辨識項,以進行進一步分析或法律動作。
Azure 指引:使用所學習活動的結果來更新事件回應計畫、劇本 (,例如 Microsoft Sentinel 劇本) ,並將結果重新納入您的環境 (,例如記錄和威脅偵測,以解決記錄) 的任何差距,以改善您在 Azure 中偵測、回應和處理事件的未來功能。
在「偵測和分析 - 調查事件步驟」期間,保留收集的辨識項,例如系統記錄、網路流量傾印,以及在儲存體中執行系統快照集,例如 Azure 儲存體帳戶,以進行不可變的保留。
Azure 實作和其他內容:
AWS 指引:使用標準事件分析範本或您自己的自訂範本,在事件管理員中建立已關閉事件的事件分析。 使用所學習活動的結果來更新事件回應計畫、劇本 (,例如 AWS 系統管理員 Runbook 和 Microsoft Sentinel 劇本) ,並將結果重新納入您的環境 (,例如記錄和威脅偵測,以解決記錄) 的任何差距,以改善偵測、回應的未來功能 和 AWS 中事件的處理。
在「偵測和分析 - 調查事件步驟」期間收集辨識項,例如系統記錄、網路流量傾印,以及在儲存體中執行系統快照集,例如 Amazon S3 貯體或 Azure 儲存體帳戶,以進行不可變的保留。
AWS 實作和其他內容:
GCP 指引:使用所學習活動的結果來更新事件回應計畫、劇本 (,例如 Chronicle 或 Microsoft Sentinel 劇本) ,並將結果重新納入您的環境, (例如記錄和威脅偵測,以解決記錄) 的任何差距,以改善您在 GCP 中偵測、回應和處理事件的未來功能。
在「偵測和分析 - 調查事件步驟」期間收集的辨識項,例如系統記錄、網路流量傾印,以及在儲存體中執行系統快照集,例如 Google Cloud Storage 或 Azure 儲存體帳戶,以進行不可變的保留。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :