Compartilhar via


Security Control V2: resposta a incidentes

Observação

A versão mais recente do Azure Security Benchmark está disponível aqui.

A resposta a incidentes cobre controles no ciclo de vida de resposta a incidentes, como atividades de preparação, detecção, análise, independência e posteriores ao incidente. Isso inclui o uso de serviços do Azure, como a Central de Segurança do Azure e o Sentinel, para automatizar o processo de resposta a incidentes.

Para ver o Azure Policy interno aplicável, confira Detalhes da iniciativa interna de conformidade regulatória do Azure Security Benchmark: resposta a incidentes

IR-1: preparação – atualizar o processo de resposta a incidentes do Azure

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
IR-1 19 IR-4, IR-8

verifique se a sua organização tem processos para responder a incidentes de segurança, atualizou esses processos para o Azure e está os exercendo regularmente para garantir a preparação.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

IR-2: preparação – configurar a notificação de incidentes

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
IR-2 19.5 IR-4, IR-5, IR-6, IR-8

configure as informações de contato de incidentes de segurança na Central de Segurança do Azure. Essas informações de contato serão usadas pela Microsoft para entrar em contato com você se o MSRC (Microsoft Security Response Center) descobrir que os seus dados foram acessados por uma pessoa não autorizada ou ilegal. Você também tem opções para personalizar o alerta de incidente e a notificação em diferentes serviços do Azure de acordo com as suas necessidades de resposta a incidentes.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

IR-3: detecção e análise – criar incidentes com base em alertas de alta qualidade

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
IR-3 19.6 IR-4, IR-5

verifique se você tem um processo para criar alertas de alta qualidade e medir a qualidade deles. Com ele, você aprenderá as lições dos últimos incidentes e priorizará os alertas para os analistas, de modo que eles não percam tempo com falsos positivos.

Alertas de alta qualidade podem ser criados com base na experiência dos últimos incidentes, fontes de comunidade validadas e ferramentas projetadas para gerar e limpar alertas pela combinação e pela correlação de fontes de sinal diversificadas.

A Central de Segurança do Azure fornece alertas de alta qualidade em muitos ativos do Azure. Use o conector de dados da ASC para transmitir os alertas para o Azure Sentinel. Com o Azure Sentinel, você pode criar regras de alertas avançadas a fim de gerar incidentes automaticamente para uma investigação.

Exporte alertas e recomendações da Central de Segurança do Azure usando o recurso de exportação para ajudar a identificar os riscos para os recursos do Azure. Exporte os alertas e as recomendações de modo manual ou contínuo.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

IR-4: Detecção e análise – investigar um incidente

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
IR-4 19 IR-4

verifique se os analistas podem consultar e usar fontes de dados diversificadas à medida que investigam incidentes potenciais, para criar uma visão completa do que aconteceu. Logs diversificados devem ser coletados para acompanhar as atividades de um invasor potencial na cadeia de eliminação para evitar pontos cegos. Você também deve garantir que os insights e os aprendizados sejam capturados para outros analistas e para referência histórica futura.

As fontes de dados para investigação incluem as fontes de log centralizadas que já estão sendo coletadas dos serviços no escopo e dos sistemas em execução, mas também podem incluir:

  • Dados de rede – Use os logs de fluxo dos grupos de segurança de rede, o Observador de Rede do Azure e o Azure Monitor para capturar logs de fluxo de rede e outras informações de análise.

  • Instantâneos dos sistemas em execução:

    • Use a funcionalidade de instantâneo da máquina virtual do Azure para criar um instantâneo do disco do sistema em execução.

    • Use a funcionalidade de despejo de memória nativa do sistema operacional para criar um instantâneo da memória do sistema em execução.

    • Use o recurso de instantâneo dos serviços do Azure ou a funcionalidade do seu software para criar instantâneos dos sistemas em execução.

O Azure Sentinel fornece ampla análise de dados em praticamente qualquer origem de log e um portal de gerenciamento de casos para gerenciar o ciclo de vida completo de incidentes. As informações de inteligência coletadas durante uma investigação podem ser associadas a um incidente para fins de rastreamento e relatório.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

IR-5: detecção e análise – priorizar incidentes

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
IR-5 19,8 CA-2, IR-4

forneça aos analistas o contexto dos incidentes nos quais eles devem se concentrar primeiro com base na severidade do alerta e na confidencialidade do ativo.

A Central de Segurança do Azure atribui uma severidade a cada alerta para ajudar você a priorizar os alertas que devem ser investigados primeiro. A severidade se baseia na confiança que a Central de Segurança tem na conclusão ou na análise usada para emitir o alerta, bem como no nível de confiança de que houve uma ação mal-intencionada por trás da atividade que gerou o alerta.

Além disso, marque os recursos usando marcas e crie um sistema de nomenclatura para identificar e categorizar os recursos do Azure, em especial aqueles que processam dados confidenciais. É sua responsabilidade priorizar a correção de alertas com base na criticalidade dos recursos do Azure e do ambiente em que o incidente ocorreu.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):

IR-6: confinamento, erradicação e recuperação – automatizar o tratamento de incidentes

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
IR-6 19 IR-4, IR-5, IR-6

automatize tarefas repetitivas manuais para acelerar o tempo de resposta e reduzir a carga dos analistas. As tarefas manuais demoram mais para serem executadas, atrasando cada incidente e reduzindo o número de incidentes que um analista pode processar. Elas também aumentam a fadiga do analista, o que aumenta o risco de erros humanos que causam atrasos, prejudicando a capacidade dos analistas de se concentrarem efetivamente em tarefas complexas. Use os recursos de automação de fluxo de trabalho da Central de Segurança do Azure e do Azure Sentinel para disparar ações automaticamente ou executar um guia estratégico para responder aos alertas de segurança recebidos. O guia estratégico executa ações, como enviar notificações, desabilitar contas e isolar redes problemáticas.

Responsabilidade: Cliente

Stakeholders da segurança do cliente (Saiba mais):