Controle de Segurança v3: Resposta a incidentes

A resposta a incidentes aborda controles no ciclo de vida de resposta a incidentes - preparação, detecção e análise, contenção e atividades pós-incidente, incluindo o uso de serviços do Azure, como o Microsoft Defender para Nuvem e o Sentinel para automatizar o processo de resposta a incidentes.

IR-1: Preparação - atualizar o plano de resposta a incidentes e o processo de tratamento

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
17.4, 17.7 IR-4, IR-8 10,8

Princípio de segurança: Verifique se a sua organização segue a melhor prática do setor para desenvolver processos e planos a fim de responder a incidentes de segurança nas plataformas de nuvem. Lembre-se do modelo de responsabilidade compartilhada e das variações nos serviços de IaaS, PaaS e SaaS. Isso terá um impacto direto sobre como você colabora com seu provedor de nuvem em atividades de tratamento e resposta a incidentes, como notificação e triagem de incidentes, coleta de evidências, investigação, erradicação e recuperação.

Teste regularmente o processo de tratamento e o plano de resposta a incidentes para garantir que eles estejam atualizados.

Diretrizes do Azure: atualize o processo de resposta a incidentes da sua organização para incluir a tratamento de incidentes na plataforma do Azure. Com base nos serviços do Azure utilizados e na natureza do aplicativo, personalize o plano e o guia estratégico de resposta a incidentes para garantir que eles possam ser usados para responder a incidentes no ambiente de nuvem.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

IR-2: preparação - configurar a notificação de incidentes

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
17.1, 17.3, 17.6 IR-4, IR-8, IR-5, IR-6 12.10

Princípio de segurança: Verifique se os alertas de segurança e a notificação de incidentes da plataforma do provedor de serviços de nuvem e seus ambientes podem ser recebidos por contato correto na sua organização de resposta a incidentes.

Diretrizes do Azure: configurar informações de contato de incidentes de segurança no Microsoft Defender para Nuvem. Essas informações de contato serão usadas pela Microsoft para entrar em contato com você se o MSRC (Microsoft Security Response Center) descobrir que os seus dados foram acessados por uma pessoa não autorizada ou ilegal. Você também tem opções para personalizar o alerta de incidente e a notificação em diferentes serviços do Azure de acordo com as suas necessidades de resposta a incidentes.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

IR-3: detecção e análise - criar incidentes com base em alertas de alta qualidade

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
17.9 IR-4, IR-5, IR-7 10,8

Princípio de segurança: verifique se você tem um processo para criar alertas de alta qualidade e medir a qualidade deles. Isso permite que você aprenda as lições dos últimos incidentes e priorize os alertas para os analistas, de modo a não perderem tempo em falsos positivos.

Alertas de alta qualidade podem ser criados com base na experiência com incidentes passados, fontes de comunidade validadas e ferramentas projetadas para gerar e limpar alertas, focando e correlacionando várias fontes de sinal.

Diretrizes do Azure: o Microsoft Defender para Nuvem fornece alertas de alta qualidade em muitos ativos do Azure. Você pode usar o conector de dados do Microsoft Defender para Nuvem para transmitir os alertas ao Azure Sentinel. Com o Azure Sentinel, você pode criar regras de alertas avançadas a fim de gerar incidentes automaticamente para uma investigação.

Exporte seus alertas e recomendações do Microsoft Defender para Nuvem usando o recurso de exportação para ajudar a identificar riscos para os recursos do Azure. Exporte os alertas e as recomendações de modo manual ou contínuo.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

IR-4: Detecção e análise - investigar um incidente

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
N/D IR-4 12.10

Princípio de segurança: verifique se a equipe de operação de segurança pode consultar e usar fontes de dados diversificadas à medida que investiga incidentes potenciais, para criar uma visão completa do que aconteceu. Logs diversificados devem ser coletados para acompanhar as atividades de um invasor potencial na cadeia de eliminação para evitar pontos cegos. Você também deve garantir que os insights e os aprendizados sejam capturados para outros analistas e para referência histórica futura.

Diretrizes do Azure: As fontes de dados para investigação são as fontes de log centralizadas que já estão sendo coletadas dos serviços no escopo e dos sistemas em execução, mas também podem incluir:

  • Dados de rede: use os logs de fluxo dos grupos de segurança de rede, o Observador de Rede do Azure e o Azure Monitor para capturar logs de fluxo de rede e outras informações de análise.
  • Instantâneos de sistemas em execução: a) a funcionalidade de instantâneo da máquina virtual do Azure para criar um instantâneo do disco do sistema em execução. b) A funcionalidade de despejo de memória nativa do sistema operacional para criar um instantâneo da memória do sistema em execução. c) O recurso de instantâneo dos serviços do Azure ou a funcionalidade do seu software para criar instantâneos dos sistemas em execução.

O Azure Sentinel fornece ampla análise de dados em praticamente qualquer origem de log e um portal de gerenciamento de casos para gerenciar o ciclo de vida completo de incidentes. As informações de inteligência coletadas durante uma investigação podem ser associadas a um incidente para fins de rastreamento e relatório.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

IR-5: detecção e análise - priorizar incidentes

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
17.4, 17.9 IR-4 12.10

Princípio de segurança: Forneça contexto para as equipes de operações de segurança a fim de ajudá-las a determinar em quais incidentes elas devem se concentrar primeiro, com base na severidade do alerta e na sensibilidade do ativo definido no plano de resposta a incidentes da sua organização.

Diretrizes do Azure: o Microsoft Defender para Nuvem atribui um nível de severidade a cada alerta para ajudar você a priorizar aqueles que devem ser investigados primeiro. A severidade é baseada na confiança do Microsoft Defender para Nuvem na descoberta ou na análise usada para emitir o alerta, bem como no nível de confiança de que havia uma intenção maliciosa por trás da atividade que levou ao alerta.

Além disso, marque os recursos usando marcas e crie um sistema de nomenclatura para identificar e categorizar os recursos do Azure, em especial aqueles que processam dados confidenciais. É sua responsabilidade priorizar a correção de alertas com base na criticalidade dos recursos do Azure e do ambiente em que o incidente ocorreu.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

IR-6: independência, erradicação e recuperação - automatizar o tratamento de incidentes

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
N/D IR-4, IR-5, IR-6 12.10

Princípio de segurança: automatize as tarefas repetitivas manuais para acelerar o tempo de resposta e reduzir a carga dos analistas. As tarefas manuais demoram mais para serem executadas, atrasando cada incidente e reduzindo o número de incidentes que um analista pode processar. Elas também aumentam a fadiga do analista, o que aumenta o risco de erros humanos que causam atrasos, prejudicando a capacidade dos analistas de se concentrarem efetivamente em tarefas complexas.

Diretrizes do Azure: Use os recursos de automação do fluxo de trabalho do Microsoft Defender para Nuvem e do Azure Sentinel para disparar ações automaticamente ou executar um guia estratégico para responder aos alertas de segurança recebidos. O guia estratégico executa ações, como enviar notificações, desabilitar contas e isolar redes problemáticas.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

IR-7: atividade pós-incidente - conduzir a lição aprendida e reter evidências

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
17.8 IR-4 12.10

Princípio de segurança: realize a lição aprendida em sua organização periodicamente e/ou após os principais incidentes, para melhorar sua funcionalidade futura em resposta e tratamento de incidentes.

Com base na natureza do incidente, mantenha as evidências relacionadas ao incidente para o período definido no padrão de tratamento de incidentes para análise posterior ou ações legais.

Diretrizes do Azure: use o resultado da atividade de lição aprendida para atualizar seu plano de resposta a incidentes, o guia estratégico (como o guia estratégico do Azure Sentinel) e reincorporar as descobertas em seus ambientes (como registro em log e detecção de ameaças para lidar com qualquer área de lacuna de registro em log) a fim de melhorar sua funcionalidade futura na detecção, resposta e tratamento do incidentes no Azure.

Mantenha as evidências coletadas durante a "Detecção e análise - investigar uma etapa de incidente", como logs do sistema, despejo de tráfego de rede e instantâneo do sistema em execução no armazenamento, como a conta de Armazenamento do Microsoft Azure para retenção.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):