Controlo de Segurança v3: Resposta a incidentes
Incident Response abrange controlos no ciclo de vida de resposta a incidentes - preparação, deteção e análise, contenção e atividades pós-incidente, incluindo a utilização de serviços Azure, como Microsoft Defender para a Cloud e Sentinel para automatizar o processo de resposta a incidentes.
IR-1: Preparação - atualizar o plano de resposta a incidentes e o processo de manuseamento
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Princípio de segurança: Certifique-se de que a sua organização segue as melhores práticas da indústria para desenvolver processos e planos para responder a incidentes de segurança nas plataformas da nuvem. Esteja atento ao modelo de responsabilidade partilhada e às variações nos serviços IaaS, PaaS e SaaS. Isto terá um impacto direto na forma como colabora com o seu fornecedor de nuvem em atividades de resposta e manuseamento de incidentes, tais como notificação de incidentes e triagem, recolha de provas, investigação, erradicação e recuperação.
Teste regularmente o plano de resposta a incidentes e o processo de manuseamento para garantir que estão atualizados.
Orientação Azure: Atualize o processo de resposta a incidentes da sua organização para incluir o tratamento do incidente na plataforma Azure. Com base nos serviços Azure utilizados e na natureza da sua aplicação, personalize o plano de resposta a incidentes e o livro de jogadas para garantir que podem ser usados para responder ao incidente no ambiente de nuvem.
Implementação e contexto adicional:
- Implementar a segurança em todo o ambiente empresarial
- Guia de referência da resposta a incidentes
- Guia de manuseamento de incidentes de segurança informática NIST SP800-61
Stakeholders de Segurança do Cliente (Saiba mais):
IR-2: Preparação - notificação de incidente de configuração
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Princípio de segurança: Certifique-se de que os alertas de segurança e a notificação de incidentes da plataforma do fornecedor de serviços de nuvem e dos seus ambientes podem ser recebidos através de um contacto correto na sua organização de resposta a incidentes.
Orientação Azure: Configurar informações de contacto com incidentes de segurança em Microsoft Defender para a Cloud. A Microsoft utiliza estas informações de contacto para o contactar caso o Microsoft Security Response Center (MSRC) descobrir que os seus dados foram acedidos de forma ilícita ou não autorizada. Também tem opções para personalizar os alertas e as notificações de incidentes em diferentes serviços do Azure de acordo com as suas necessidades de resposta aos incidentes.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
IR-3: Deteção e análise - criar incidentes baseados em alertas de alta qualidade
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10.8 |
Princípio de segurança: Certifique-se de que tem um processo para criar alertas de alta qualidade e medir a qualidade dos alertas. Isto permite-lhe aprender lições de incidentes passados e priorizar alertas para analistas, para que não percam tempo com falsos positivos.
Podem ser desenvolvidos alertas de alta qualidade com base na experiência de incidentes passados, origens da comunidade validadas e ferramentas designadas para gerar e limpar alertas através da fusão e correlação de origens de sinais diversas.
Azure Guidance: Microsoft Defender para a Cloud fornece alertas de alta qualidade em muitos ativos da Azure. Pode utilizar o conector de dados Microsoft Defender para a Cloud para transmitir os alertas ao Azure Sentinel. O Azure Sentinel permite-lhe criar regras de alertas avançadas para gerar incidentes automaticamente para investigações.
Exporte os seus alertas e recomendações de Microsoft Defender para a Cloud utilizando a funcionalidade de exportação para ajudar a identificar riscos para os recursos da Azure. Exporte os alertas e as recomendações manualmente ou de forma contínua.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):
IR-4: Deteção e análise - investigue um incidente
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IR-4 | 12.10 |
Princípio de segurança: Garantir que a equipa de operações de segurança pode consultar e usar diversas fontes de dados à medida que investigam potenciais incidentes, para construir uma visão completa do que aconteceu. Para monitorizar as atividades de um potencial atacante em toda a rede do ataque e evitar ângulos mortos, devem ser recolhidos diversos registos. Também deve assegurar que são apreendidas informações e aprendizagens para outros analistas e para informação histórica futura.
Orientação Azure: As fontes de dados para investigação são as fontes centralizadas de registo que já estão a ser recolhidas dos serviços de âmbito e dos sistemas de funcionamento, mas também podem incluir:
- Dados da rede: Utilize os registos de fluxo dos grupos de segurança da rede, o Azure Observador de Rede e o Azure Monitor para capturar registos de fluxo de rede e outras informações analíticas.
- Instantâneos de sistemas de funcionamento: a) Capacidade de instantâneo da máquina virtual Azure, para criar uma imagem do disco do sistema de funcionamento. b) A capacidade de despejo de memória nativa do sistema operativo, para criar uma imagem da memória do sistema de funcionamento. c) A funcionalidade instantânea dos serviços Azure ou a capacidade do seu próprio software, para criar instantâneos dos sistemas de execução.
O Azure Sentinel disponibiliza uma grande quantidade de análises de dados em praticamente qualquer origem de registos e um portal de gestão de casos para gerir o ciclo de vida completo dos incidentes. As informações de inteligência durante uma investigação podem ser associadas a um incidente para fins de monitorização e reporte.
Implementação e contexto adicional:
- Criar um instantâneo de um disco de uma máquina Windows
- Criar um instantâneo de um disco de uma máquina Linux
- Informações de diagnóstico e recolha da captura da memória do Suporte do Microsoft Azure
- Investigar incidentes com o Azure Sentinel
Stakeholders de Segurança do Cliente (Saiba mais):
IR-5: Deteção e análise - priorizar incidentes
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Princípio de segurança: Fornecer contexto às equipas de operações de segurança para ajudá-los a determinar quais incidentes devem ser focados primeiro, com base na gravidade de alerta e sensibilidade do ativo definida no plano de resposta a incidentes da sua organização.
Azure Guidance: Microsoft Defender para a Cloud atribui uma gravidade a cada alerta para ajudá-lo a priorizar quais os alertas que devem ser investigados primeiro. A gravidade baseia-se no quão confiante Microsoft Defender para a Cloud está na descoberta ou na análise usada para emitir o alerta, bem como no nível de confiança de que havia uma intenção maliciosa por trás da atividade que levou ao alerta.
Além disso, marque os recursos com etiquetas e crie um sistema de nomenclatura para identificar e categorizar os recursos do Azure, especialmente aqueles que processam dados confidenciais. É da sua responsabilidade priorizar a remediação dos alertas de acordo com a criticalidade dos recursos do Azure e o ambiente em que os incidentes ocorreram.
Implementação e contexto adicional:
- Alertas de segurança em Microsoft Defender para a Cloud
- Utilizar etiquetas para organizar os recursos do Azure
Stakeholders de Segurança do Cliente (Saiba mais):
IR-6: Contenção, erradicação e recuperação - automatizar o tratamento do incidente
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IR-4, IR-5, IR-6 | 12.10 |
Princípio de segurança: Automatizar as tarefas manuais e repetitivas para acelerar o tempo de resposta e reduzir o fardo sobre os analistas. As tarefas manuais são mais morosas e atrasam todos os incidentes, reduzindo o número daqueles com que um analista pode lidar. As tarefas manuais também aumentam a fadiga dos analistas, o que aumenta o risco de erro humano que causa atrasos e degrada a capacidade dos analistas de se concentrarem eficazmente em tarefas complexas.
Orientação Azure: Utilize funcionalidades de automatização de fluxos de trabalho em Microsoft Defender para a Cloud e Azure Sentinel para desencadear automaticamente ações ou executar um livro de jogadas para responder aos alertas de segurança que chegam. O manual de procedimentos efetua ações, como o envio de notificações, a desativação de contas e o isolamento de redes problemáticas.
Implementação e contexto adicional:
- Configure a automatização do fluxo de trabalho em Microsoft Defender para a Cloud
- Criar respostas automáticas de ameaças em Microsoft Defender para a Cloud
- Configurar respostas automatizadas a ameaças no Azure Sentinel
Stakeholders de Segurança do Cliente (Saiba mais):
IR-7: Atividade pós-incidente - lição de conduta aprendida e reter provas
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Princípio de segurança: Lição de conduta aprendida na sua organização periodicamente e/ou após grandes incidentes, para melhorar a sua capacidade futura na resposta e manuseamento de incidentes.
Com base na natureza do incidente, mantenha as provas relacionadas com o incidente durante o período definido na norma de tratamento de incidentes para posterior análise ou ações legais.
Orientação Azure: Utilize o resultado da lição aprendida para atualizar o seu plano de resposta a incidentes, playbook (como o livro de jogadas Azure Sentinel) e reincorporar as descobertas nos seus ambientes (como a deteção de registos e ameaças para resolver quaisquer áreas de lacunas de registo) para melhorar a sua capacidade futura de deteção, resposta e tratamento do incidente em Azure.
Mantenha as provas recolhidas durante a "Deteção e análise - investigue um passo de incidente" como registos de sistemas, despejo de tráfego de rede e instantâneo do sistema de execução no armazenamento, como a Azure Armazenamento conta para a retenção.
Implementação e contexto adicional:
Stakeholders de Segurança do Cliente (Saiba mais):