Control de seguridad v3: respuesta a incidentes
La respuesta ante incidentes cubre los controles del ciclo de vida de la respuesta ante incidentes (preparación, detección y análisis, contención y actividades posteriores a incidentes, lo que incluye el uso de servicios de Azure como Microsoft Defender for Cloud y Sentinel para automatizar el proceso de respuesta a incidentes).
PIR-1: Preparación: actualización del plan de respuesta ante incidentes y del proceso de control
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10,8 |
Principio de seguridad: asegúrese de que su organización sigue los procedimientos recomendados del sector para desarrollar procesos y planes para responder ante incidentes de seguridad en las plataformas en la nube. Tenga en cuenta el modelo de responsabilidad compartida y las variaciones entre los servicios IaaS, PaaS y SaaS. Esto tendrá un impacto directo en la forma en que colabora con el proveedor de nube en las actividades de control y respuesta ante incidentes, como la notificación y evaluación de prioridades de incidentes, la recopilación de evidencias, la investigación, la erradicación y la recuperación.
Pruebe periódicamente tanto el plan de respuesta ante incidentes como el proceso de control para asegurarse de que están actualizados.
Guía de Azure: actualice el proceso de respuesta ante incidentes de su organización para incluir el control de incidentes en la plataforma Azure. En función de los servicios de Azure usados y de la naturaleza de la aplicación, personalice el plan de respuesta ante incidentes y el cuaderno de estrategias para asegurarse de que se pueden usar para responder al incidente en el entorno de la nube.
Implementación y contexto adicional:
- Implementación de la seguridad en todo el entorno empresarial
- Guía de referencia de respuesta a incidentes
- Guía de control de incidentes de seguridad en equipos NIST SP800-61
Partes interesadas de seguridad del cliente (más información):
IR-2: Preparación: configuración de la notificación de incidentes
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Principio de seguridad: asegúrese de que las alertas de seguridad y la notificación de incidentes de la plataforma del proveedor de servicios en la nube y sus entornos pueden recibirse por contacto correcto en la organización de respuesta a incidentes.
Guía de Azure: configure la información de contacto de incidentes de seguridad en Microsoft Defender for Cloud. Microsoft utilizará esta información para ponerse en contacto con usted si el Centro de respuestas de seguridad de Microsoft (MSRC) detecta que un tercero no autorizado o ilegal ha accedido a sus datos. También hay opciones para personalizar la alerta y notificación de incidentes en diferentes servicios de Azure en función de sus necesidades de respuesta a incidentes.
Implementación y contexto adicional:
Partes interesadas de seguridad del cliente (más información):
IR-3: Detección y análisis: creación de incidentes en función de alertas de alta calidad
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10.8 |
Principio de seguridad: asegúrese de que cuenta con un proceso para crear alertas de alta calidad y medir la calidad de las alertas. Esto le permite aprender de incidentes anteriores y clasificar las alertas para los analistas, de modo que no pierdan tiempo con falsos positivos.
Las alertas de alta calidad se pueden crear en función de la experiencia de pasados incidentes, información validada procedente de la comunidad y herramientas diseñadas para generar y limpiar alertas mediante la fusión y correlación de diversos orígenes de la señal.
Guía de Azure: Microsoft Defender for Cloud proporciona alertas de alta calidad en muchos recursos de Azure. El conector de datos de Microsoft Defender for Cloud se puede usar para transmitir las alertas a Azure Sentinel. Azure Sentinel le permite crear reglas de alerta avanzadas con el fin de generar automáticamente incidentes para investigar.
Exporte las alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica de exportación y que así pueda identificar los riesgos en los recursos de Azure. Esta exportación puede hacerse de forma manual o de modo continuo.
Implementación y contexto adicional:
Partes interesadas de seguridad del cliente (más información):
IR-4: Detección y análisis: investigación de incidentes
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IR-4 | 12.10 |
Principio de seguridad: asegúrese de que el equipo de operaciones de seguridad puede consultar y usar diversos orígenes de datos cuando investiga posibles incidentes, con el fin de conseguir una visión global de lo que ha sucedido. Se deben recopilar diversos registros para realizar un seguimiento de las actividades de un posible atacante en la cadena de eliminación para evitar puntos ciegos. También debe asegurarse de que se capturan detalles y aprendizajes para otros analistas y para futuras referencias históricas.
Guía de Azure: los orígenes de datos para la investigación son los orígenes de registro centralizados que ya se recopilan de los servicios en el ámbito y los sistemas en ejecución, pero también pueden incluir:
- Datos de red: use registros de flujo de grupos de seguridad de red, Azure Network Watcher y Azure Monitor para capturar registros de flujo de red y otra información de análisis.
- Instantáneas de sistemas en ejecución: a) La funcionalidad de instantáneas de la máquina virtual de Azure, para crear una instantánea del disco del sistema en ejecución. b) La funcionalidad de volcado de la memoria nativa del sistema operativo para crear una instantánea de la memoria del sistema en ejecución. c) La característica de instantánea de los servicios de Azure o la propia funcionalidad del software para crear instantáneas de los sistemas en ejecución.
Azure Sentinel proporciona amplios análisis de datos en prácticamente cualquier origen de registro y un portal de administración de casos para administrar todo el ciclo de vida de los incidentes. La información de inteligencia durante una investigación puede asociarse a un incidente con fines de seguimiento e informes.
Implementación y contexto adicional:
- Instantánea del disco de una máquina Windows
- Instantánea del disco de una máquina Linux
- Recopilación del volcado de memoria e información de diagnóstico del servicio de soporte técnico de Microsoft Azure
- Investigación de incidentes con Azure Sentinel
Partes interesadas de seguridad del cliente (más información):
IR-5: Detección y análisis: clasificación de incidentes por orden de seguridad
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Principio de seguridad: proporcione contexto a los equipos de operaciones de seguridad para ayudarles a determinar en qué incidentes deben centrarse primero, en función de la gravedad de la alerta y la confidencialidad de los recursos definida en el plan de respuesta a incidentes de la organización.
Guía de Azure: Microsoft Defender for Cloud asigna una gravedad a cada alerta para ayudarle a priorizar qué alertas se deben investigar primero. Dicha gravedad se basa en la confianza de Microsoft Defender for Cloud en la búsqueda o en el análisis usados para emitir la alerta, así como en el nivel de confianza en que hubo una intención maliciosa detrás de la actividad que condujo a la alerta.
Adicionalmente, marque los recursos con etiquetas y cree un sistema de nomenclatura para identificar y clasificar los recursos de Azure, especialmente los que procesan datos confidenciales. Es su responsabilidad asignar prioridades a la corrección de las alertas en función de la importancia de los recursos y el entorno de Azure donde se produjo el incidente.
Implementación y contexto adicional:
- Alertas de seguridad en Microsoft Defender for Cloud
- Use tags to organize your Azure resources (Uso de etiquetas para organizar los recursos de Azure)
Partes interesadas de seguridad del cliente (más información):
IR-6: Contención, erradicación y recuperación: automatización del control de incidentes
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| N/A | IR-4, IR-5, IR-6 | 12.10 |
Principio de seguridad: automatice las tareas repetitivas y manuales para acelerar el tiempo de respuesta y reducir la carga de los analistas. Las tareas manuales tardan más tiempo en ejecutarse, lo que ralentiza cada incidente y reduce el número de incidentes que un analista puede manejar. Las tareas manuales también aumentan la fatiga del analista, lo que aumenta el riesgo de error humano, lo que se traduce en retrasos y en una reducción de la capacidad de los analistas de centrarse de manera efectiva en tareas complejas.
Azure Guidance: use las características de automatización de flujos de trabajo en Microsoft Defender for Cloud y Azure Sentinel para desencadenar acciones automáticamente o ejecutar un cuaderno de estrategias para responder a las alertas de seguridad entrantes. El cuaderno de estrategias lleva a cabo acciones, como el envío de notificaciones, la deshabilitación de cuentas y el aislamiento de redes problemáticas.
Implementación y contexto adicional:
- Configuración de la automatización de flujos de trabajo en Microsoft Defender for Cloud
- Configuración de respuestas automatizadas frente a amenazas en Microsoft Defender for Cloud
- Configuración de respuestas automatizadas frente a amenazas en Azure Sentinel
Partes interesadas de seguridad del cliente (más información):
IR-7: actividad posterior a incidentes: aplicación de la lección aprendida y conservación de pruebas
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Principio de seguridad: aplique la lección aprendida en su organización periódicamente o después de incidentes importantes, con el fin de mejorar su funcionalidad futura en la respuesta y el control de incidentes.
En función de la naturaleza del incidente, conserve la evidencia relacionada con el incidente durante el período definido en el estándar de control de incidentes para realizar más análisis o acciones legales.
Guía de Azure: use el resultado de la actividad de la lección aprendida para actualizar el plan de respuesta ante incidentes, un cuaderno de estrategias (como un cuaderno de estrategias de Azure Sentinel) y volver a incorporar los resultados en los entornos (como el registro y la detección de amenazas para abordar cualquier área de brecha del registro) para mejorar la funcionalidad futura de detectar, responder y controlar el incidente en Azure.
Mantenga la evidencia recopilada durante el paso "Detección y análisis: investigar un incidente", como los registros del sistema, el volcado de tráfico de red y la ejecución de instantáneas del sistema en el almacenamiento, como una cuenta de Azure Storage para la retención.
Implementación y contexto adicional:
Partes interesadas de seguridad del cliente (más información):