Control de seguridad: Respuesta a los incidentes
Nota
La versión más actualizada de Azure Security Benchmark está disponible aquí.
Proteja la información de la organización, así como su reputación, mediante el desarrollo y la implementación de una infraestructura de respuesta a incidentes (por ejemplo, planes, roles definidos, formación, comunicaciones, supervisión de la administración) para detectar rápidamente un ataque y, a continuación, contener el daño de manera eficaz, erradicar la presencia del atacante y restaurar la integridad de la red y los sistemas.
10.1: Creación de una guía de respuesta ante incidentes
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 10.1 | 19.1, 19.2, 19.3 | Customer |
Cree una guía de respuesta a incidentes para su organización. Asegúrese de que haya planes de respuesta a incidentes escritos que definan todos los roles del personal, así como las fases de administración y gestión de los incidentes, desde la detección hasta la revisión posterior a la incidencia.
Guía para crear su propio proceso de respuesta a incidentes de seguridad
Anatomía de un incidente del Centro de respuestas de seguridad de Microsoft
10.2: Creación de un procedimiento de priorización y puntuación de incidentes
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 10.2 | 19,8 | Customer |
Security Center asigna una gravedad a cada alerta para ayudarle a priorizar aquellas que se deben investigar en primer lugar. La gravedad se basa en la confianza que tiene Security Center en la búsqueda o en el análisis utilizados para emitir la alerta, así como en el nivel de confianza de que ha habido un intento malintencionado detrás de la actividad que ha provocado la alerta.
Además, marque claramente las suscripciones (por ejemplo: producción, no producción) con etiquetas y cree un sistema de nomenclatura para identificar y clasificar claramente los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.
10.3: Prueba de los procedimientos de respuesta de seguridad
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 10,3 | 19 | Customer |
Realice ejercicios para probar las funcionalidades de respuesta a los incidentes de los sistemas periódicamente para ayudar a proteger los recursos de Azure. Identifique puntos débiles y brechas y revise el plan según sea necesario.
10.4: Provisión de detalles de contacto de incidentes de seguridad y configuración de notificaciones de alerta para incidentes de seguridad
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 10,4 | 19.5 | Customer |
La información de contacto del incidente de seguridad la utilizará Microsoft para ponerse en contacto con usted si Microsoft Security Response Center (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a los datos. Revise los incidentes después del hecho para asegurarse de que se resuelven los problemas.
10.5: Incorporación de alertas de seguridad en el sistema de respuesta a incidentes
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 10.5 | 19.6 | Customer |
Exporte las alertas y recomendaciones de Azure Security Center y mediante la característica de exportación continua para ayudar a identificar los riesgos para los recursos de Azure. La exportación continua le permite exportar alertas y recomendaciones de forma manual o continua. Puede usar el conector de datos de Azure Security Center para transmitir las alertas a Azure Sentinel.
10.6: Automatización de la respuesta a las alertas de seguridad
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 10.6 | 19 | Customer |
Use la característica Automatización de flujo de trabajo de Azure Security Center para desencadenar automáticamente las respuestas a través de Logic Apps en las alertas y recomendaciones de seguridad para proteger los recursos de Azure.
Pasos siguientes
- Consulte el control de seguridad siguiente: Pruebas de penetración y ejercicios del equipo rojo