Řízení zabezpečení: Reakce na incidenty

Poznámka

Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.

Chraňte informace organizace a její pověst tím, že vyvíjí a implementuje infrastrukturu reakce na incidenty (např. plány, definované role, školení, komunikaci, dohled nad správou) pro rychlé zjišťování útoku a efektivního obsahujícího škody, vymýcení přítomnosti útočníka a obnovení integrity sítě a systémů.

10.1: Vytvoření průvodce reakcí na incidenty

Azure ID	ID CIS	Odpovědnost
10.1	19.1, 19.2, 19.3	Zákazník

Vytvořte průvodce reakcí na incidenty pro vaši organizaci. Zajistěte, aby existovaly písemné plány reakcí na incidenty, které definují všechny role pracovníků, a také fáze zpracování nebo správy incidentů od jejich detekce až po přezkoumání po jejich ukončení.

• Pokyny k vytvoření vlastního procesu reakce na incidenty zabezpečení

• Anatomie incidentu ve službě Microsoft Security Response Center

• Využijte průvodce zpracováním incidentů zabezpečení počítače NIST, který vám pomůže při vytváření vlastního plánu reakce na incidenty.

10.2: Vytvoření postupu vyhodnocení incidentu a stanovení priorit

Azure ID	ID CIS	Odpovědnost
10,2	19.8	Zákazník

Security Center přiřadí každé výstrahě závažnost, která vám pomůže určit prioritu výstrah, které by se měly nejprve prošetřit. Závažnost je založená na tom, jak je security Center v hledání nebo analytickém nástroji používaném k vydání výstrahy, a také na úrovni spolehlivosti, že za aktivitou, která vedla k upozornění, došlo ke škodlivému záměru.

Kromě toho jasně označte předplatná (např. produkční, neprodukční) pomocí značek a vytvořte systém pojmenování, který jasně identifikuje a kategorizuje prostředky Azure, zejména ty, které zpracovávají citlivá data. Je vaší zodpovědností určit prioritu nápravy upozornění v závislosti na důležitosti prostředků Azure a prostředí, ve kterém k incidentu došlo.

• Výstrahy zabezpečení ve službě Azure Security Center

• Používání značek k uspořádání prostředků Azure

10.3: Testování postupů reakce na zabezpečení

Azure ID	ID CIS	Odpovědnost
10.3	19	Zákazník

Proveďte cvičení pro testování schopností reakce na incidenty vašich systémů s pravidelným tempem, která vám pomohou chránit vaše prostředky Azure. Identifikujte slabá místa a mezery a podle potřeby upravte plán.

• Publikace NIST – Průvodce testováním, školením a cvičením programů pro plány a možnosti IT

10.4: Zadejte podrobnosti o kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení.

Azure ID	ID CIS	Odpovědnost
10.4	19.5	Zákazník

Kontaktní informace o incidentu zabezpečení vás společnost Microsoft použije k kontaktování, pokud služba Microsoft Security Response Center (MSRC) zjistí, že vaše data byla přístupná neoprávněnou nebo neoprávněnou stranou. Zkontrolujte incidenty po faktu a ujistěte se, že se problémy vyřeší.

• Jak nastavit kontakt zabezpečení Azure Security Center

10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty

Azure ID	ID CIS	Odpovědnost
10,5	19.6	Zákazník

Exportujte upozornění a doporučení Azure Security Center pomocí funkce průběžného exportu, která vám pomůžou identifikovat rizika pro prostředky Azure. Průběžný export umožňuje exportovat výstrahy a doporučení ručně nebo nepřetržitě. Pomocí datového konektoru Azure Security Center můžete streamovat výstrahy do služby Azure Sentinel.

• Konfigurace průběžného exportu

• Streamování upozornění do služby Azure Sentinel

10.6: Automatizace reakce na výstrahy zabezpečení

Azure ID	ID CIS	Odpovědnost
10.6	19	Zákazník

Pomocí funkce Automatizace pracovního postupu v Azure Security Center můžete automaticky aktivovat odpovědi prostřednictvím služby Logic Apps pro výstrahy zabezpečení a doporučení k ochraně vašich prostředků Azure.

• Jak nakonfigurovat automatizaci pracovních postupů a Logic Apps

Další kroky

• Podívejte se na další bezpečnostní řízení: Penetrační testy a červené týmové cvičení