Security Control V2: Reagowanie na zdarzenia
Uwaga
Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.
Reagowanie na zdarzenia obejmuje mechanizmy kontroli w cyklu życia reagowania na zdarzenia — przygotowywanie, wykrywanie i analizę, zawieranie i działania po zdarzeniu. Obejmuje to korzystanie z usług platformy Azure, takich jak Azure Security Center i Sentinel, w celu zautomatyzowania procesu reagowania na zdarzenia.
Aby wyświetlić odpowiednie wbudowane Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: Reagowanie na zdarzenia
IR-1: Przygotowanie — aktualizowanie procesu reagowania na zdarzenia na platformie Azure
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IR-1 | 19 | IR-4, IR-8 |
Upewnij się, że Organizacja ma procesy reagowania na zdarzenia związane z bezpieczeństwem, zaktualizowała te procesy dla platformy Azure i regularnie wykonuje je w celu zapewnienia gotowości.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-2: Przygotowanie — powiadomienie o zdarzeniu konfiguracji
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IR-2 | 19.5 | IR-4, IR-5, IR-6, IR-8 |
Skonfiguruj informacje kontaktowe dotyczące zdarzeń zabezpieczeń w Azure Security Center. Informacje kontaktowe są używane przez firmę Microsoft do skontaktowania się z Tobą, jeśli centrum Microsoft Security Response Center (MSRC) wykryje, że dostęp do danych jest uzyskiwany przez nieuprawnioną lub nieautoryzowaną osobę. Dostępne są również opcje dostosowywania alertów dotyczących zdarzeń i powiadomień w różnych usługach platformy Azure w zależności od potrzeb związanych z odpowiedzią na zdarzenia.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-3: Wykrywanie i analiza — tworzenie zdarzeń na podstawie alertów o wysokiej jakości
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| ŚRODOWISKO IR-3 | 19.6 | IR-4, IR-5 |
Upewnij się, że masz proces tworzenia alertów wysokiej jakości i mierzenia jakości alertów. Dzięki temu można wyciągnąć wnioski z przeszłych zdarzeń i ustalić priorytety alertów dla analityków, dzięki czemu nie tracą czasu na wyniki fałszywie dodatnie.
Alerty o wysokiej jakości mogą być tworzone w oparciu o doświadczenia z poprzednich zdarzeń, sprawdzone źródła społecznościowe i narzędzia przeznaczone do generowania i czyszczenia alertów poprzez łączenie i korelację różnych źródeł sygnałów.
Usługa Azure Security Center oferuje alerty o wysokiej jakości dla wielu zasobów platformy Azure. Można użyć łącznika danych usługi ASC do przesyłania strumieniowego alertów do usługi Azure Sentinel. Usługa Azure Sentinel umożliwia tworzenie zaawansowanych reguł alertów w celu automatycznego generowania zdarzeń na potrzeby badania.
Eksportuj alerty i zalecenia usługi Azure Security Center przy użyciu funkcji eksportowania, aby pomóc identyfikować zagrożenia dla zasobów platformy Azure. Eksportuj alerty i zalecenia ręcznie lub w stały, ciągły sposób.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-4: Wykrywanie i analiza — badanie zdarzenia
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IR-4 | 19 | IR-4 |
Upewnij się, że analitycy mogą wykonywać zapytania dotyczące różnych źródeł danych i korzystać z nich podczas badania potencjalnych zdarzeń, aby utworzyć pełny widok tego, co się stało. Należy zbierać różne dzienniki, aby śledzić działania potencjalnej osoby atakującej w ramach całego łańcucha zagrożeń, aby uniknąć efektu martwego pola. Należy również upewnić się, że szczegółowe informacje i wnioski są rejestrowane dla innych analityków i na potrzeby przyszłych badań.
Źródła danych do badania obejmują scentralizowane źródła dzienników, które są już zbierane w ramach usług i działających systemów, ale mogą również obejmować:
Dane sieciowe — użyj dzienników przepływów sieciowych grup zabezpieczeń, usługi Azure Network Watcher i usługi Azure Monitor do przechwytywania dzienników przepływu sieci i innych informacji analitycznych.
Migawki uruchomionych systemów:
Użyj funkcji migawek maszyny wirtualnej platformy Azure, aby utworzyć migawkę dysku działającego systemu.
Użyj natywnej możliwości zrzutu pamięci systemu operacyjnego, aby utworzyć migawkę pamięci uruchomionego systemu.
Użyj funkcji migawki w ramach usług platformy Azure lub w ramach własnego oprogramowania, aby utworzyć migawki uruchomionych systemów.
Usługa Azure Sentinel zapewnia szeroką analizę danych dla praktycznie każdego źródła dzienników i portalu zarządzania przypadkami do zarządzania pełnym cyklem życia zdarzeń. Informacje analityczne podczas badania mogą być powiązane ze zdarzeniami pod kątem śledzenia i raportowania.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-5: Wykrywanie i analiza — określanie priorytetów zdarzeń
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IR-5 | 19,8 | CA-2, IR-4 |
Podaj kontekst dla analityków, na których zdarzenia mają być skoncentrowane na pierwszej podstawie ważności alertu i poufności zasobów.
Usługa Azure Security Center przypisuje poziom ważności do każdego alertu, aby pomóc w ustaleniu, które alerty powinny być zbadane w pierwszej kolejności. Poziom ważności bazuje na ocenie pewności usługi Security Center względem ustalenia lub danych analitycznych użytych do wygenerowania alertu, a także poziomu pewności, że za działaniem, które doprowadziło do alertu, stał złośliwy zamiar.
Ponadto oznacz zasoby przy użyciu tagów i utwórz system nazewnictwa, aby zidentyfikować i sklasyfikować zasoby platformy Azure, szczególnie te, które przetwarzają dane poufne. Odpowiedzialność za korygowanie alertów w oparciu o krytyczne znaczenie zasobów platformy Azure i środowisko, w którym wystąpiło zdarzenie, leży po stronie użytkownika.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-6: Zawieranie, eliminowanie i odzyskiwanie — automatyzacja obsługi zdarzeń
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| IR-6 | 19 | IR-4, IR-5, IR-6 |
Automatyzuj ręczne powtarzalne zadania, aby skrócić czas odpowiedzi i zmniejszyć obciążenie analityków. Wykonanie ręcznych zadań trwa dłużej, spowalnia każde zdarzenie i zmniejsza liczbę zdarzeń, które może obsłużyć analityk. Zadania wykonywane ręcznie zwiększają również zmęczenie analityków, co zwiększa ryzyko wystąpienia błędu ludzkiego, który powoduje opóźnienia, a także pogarsza zdolność analityków do skoncentrowania się na złożonych zadaniach. Korzystając z funkcji automatyzacji przepływów pracy w usłudze Azure Security Center i Azure Sentinel, można automatycznie wyzwalać akcje lub uruchamiać element playbook w odpowiedzi na przychodzące alerty zabezpieczeń. Element playbook wykonuje akcje, takie jak wysyłanie powiadomień, wyłączanie kont i izolowanie problematycznych sieci.
Konfigurowanie automatyzacji przepływu pracy w usłudze Security Center
Konfigurowanie automatycznych reakcji na zagrożenia w usłudze Azure Security Center
Konfigurowanie automatycznych reakcji na zagrożenia w usłudze Azure Sentinel
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):