Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Реагирование на инциденты охватывает элементы управления жизненным циклом реагирования на инциденты — подготовка, обнаружение и анализ, размещение и действия после инцидента, включая использование служб Azure (например, Microsoft Defender для облака и Sentinel) и (или) других облачных служб для автоматизации процесса реагирования на инциденты.
IR-1: подготовка — обновление плана реагирования на инциденты и процесса их обработки
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 17.4, 17.7 | ИК-4, ИК-8 | 10.8 |
Принцип безопасности. Убедитесь, что ваша организация следует отраслевым рекомендациям по разработке процессов и планов реагирования на инциденты безопасности на облачных платформах. Помните о модели общей ответственности и дисперсии между службами IaaS, PaaS и SaaS. Это будет напрямую влиять на то, как вы сотрудничаете с поставщиком облачных служб в ходе реагирования на инциденты и обработки действий, таких как уведомление об инцидентах и обработка, сбор доказательств, расследование, искоренение и восстановление.
Регулярно тестируйте план реагирования на инциденты и процесс их обработки, чтобы обеспечить их актуальность.
Руководство по Azure. Обновите процесс реагирования на инциденты организации, чтобы включить обработку инцидентов на платформе Azure. На основе используемых служб Azure и характера приложения настройте план реагирования на инциденты и сборник схем, чтобы обеспечить их использование для реагирования на инцидент в облачной среде.
Реализация Azure и дополнительный контекст:
- Реализуйте безопасность в корпоративной среде:
- Справочник по реагированию на инциденты
- Руководство по обработке инцидентов безопасности компьютеров NIST SP800-61
- Обзор инцидента ответ
Руководство по AWS. Обновите процесс реагирования на инциденты организации, чтобы включить обработку инцидентов. Убедитесь, что единый план реагирования на инциденты в нескольких облаках установлен, обновив процесс реагирования на инциденты организации, чтобы включить обработку инцидентов на платформе AWS. На основе используемых служб AWS и характера приложения следуйте руководству по реагированию на инциденты AWS, чтобы настроить план реагирования на инциденты и сборник схем, чтобы обеспечить их использование для реагирования на инцидент в облачной среде.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Обновите процесс реагирования на инциденты организации, чтобы включить обработку инцидентов. Убедитесь, что единый план реагирования на инциденты в нескольких облаках установлен, обновив процесс реагирования на инциденты вашей организации, чтобы включить обработку инцидентов на платформе Google Cloud.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-2: подготовка — настройка уведомлений об инцидентах
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | ИК-4, ИК-8, ИК-5, ИК-6 | 12.10 |
Принцип безопасности: Убедитесь, что оповещения о безопасности и уведомления об инцидентах от платформы поставщика облачных услуг и в ваших средах могут быть получены соответствующим контактом в организации, отвечающей за реагирование на инциденты.
Руководство по Azure. Настройка контактных данных об инциденте безопасности в Microsoft Defender для Облака. Эти контактные данные используются корпорацией Майкрософт для связи с вами, если центр реагирования Майкрософт (MSRC) обнаруживает, что ваши данные были доступны незаконной или несанкционированной стороне. Вы также можете настроить оповещения об инцидентах и уведомления в разных службах Azure в зависимости от потребностей реагирования на инциденты.
Реализация Azure и дополнительный контекст:
Руководство по AWS. Настройка контактных данных об инциденте безопасности в AWS Systems Manager Incident Manager (центр управления инцидентами для AWS). Эти контактные данные используются для обмена данными об управлении инцидентами между вами и AWS через различные каналы (например, электронная почта, SMS или голосовая связь). Вы можете определить план взаимодействия контактного лица и план эскалации, чтобы описать, как и когда диспетчер инцидентов участвует в контакте и для эскалации, если контакт не отвечает на инцидент.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Настройка уведомлений об инцидентах безопасности для определенных контактов с помощью Центра управления безопасностью или Хроники. Используйте облачные сервисы Google и сторонние API для предоставления уведомлений электронной почты и чата в режиме реального времени, чтобы информировать о результатах проверки безопасности для Центра управления безопасностью или сценарии для запуска действий по отправке уведомлений в Chronicle.
Реализация GCP и дополнительный контекст:
- Включение уведомлений электронной почты и чата в режиме реального времени
- Использование действий в руководствах:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-3: обнаружение и анализ — создание инцидентов на основе высококачественных оповещений
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 17,9 | ИК-4, ИК-5, ИК-7 | 10.8 |
Принцип безопасности. Убедитесь, что у вас есть процесс создания высококачественных оповещений и измерения качества оповещений. Это позволяет извлечь уроки из прошлых инцидентов и определить приоритет оповещений для аналитиков, чтобы они не тратили время на ложноположительные результаты.
Высококачественные оповещения можно создавать на основе опыта прошлых инцидентов, проверенных источников сообщества и средств, предназначенных для создания и очистки оповещений путем слияния и сопоставления различных источников сигналов.
Руководство по Azure. Microsoft Defender для облака предоставляет высококачественные оповещения во многих ресурсах Azure. Соединитель данных Microsoft Defender для облака можно использовать для потоковой передачи оповещений в Microsoft Sentinel. Microsoft Sentinel позволяет создавать расширенные правила генерации оповещений для автоматического создания инцидентов для расследования.
Экспорт оповещений и рекомендаций Microsoft Defender для облака с помощью функции экспорта для выявления рисков в ресурсах Azure. Экспорт оповещений и рекомендаций вручную или в непрерывном режиме.
Реализация Azure и дополнительный контекст:
Руководство по AWS. Используйте такие средства безопасности, как SecurityHub или GuardDuty и другие сторонние средства для отправки оповещений в Amazon CloudWatch или Amazon EventBridge, чтобы инциденты могли быть автоматически созданы в Диспетчере инцидентов на основе определенных критериев и наборов правил. Вы также можете вручную создавать инциденты в диспетчере инцидентов для дальнейшего обработки и отслеживания инцидентов.
Если вы используете Microsoft Defender для облака для мониторинга учетных записей AWS, вы также можете использовать Microsoft Sentinel для мониторинга и оповещения инцидентов, определенных Microsoft Defender для облака в ресурсах AWS.
Реализация AWS и дополнительный контекст:
- Создание инцидентов в диспетчере инцидентов
- Как Defender для облачных приложений помогает защитить среду Amazon Web Services (AWS)
Руководство по GCP. Интеграция Google Cloud и сторонних служб для отправки журналов и оповещений в Центр управления безопасностью или хронику, чтобы инциденты могли быть автоматически созданы на основе определенных критериев. Вы также можете вручную создавать и изменять результаты инцидентов в Центре управления безопасностью или правилах в Хронике для дальнейшего обработки инцидентов и отслеживания.
Если вы используете Microsoft Defender для облака для мониторинга проектов GCP, вы также можете использовать Microsoft Sentinel для отслеживания и оповещения инцидентов, определенных Microsoft Defender для облака на ресурсах GCP, или потоковой передачи журналов GCP непосредственно в Microsoft Sentinel.
Реализация GCP и дополнительный контекст:
- Настройка центра команд безопасности
- Управление правилами с помощью редактора правил
- Подключение проектов GCP к Microsoft Defender для облака
- Потоковая передача журналов Google Cloud Platform в Microsoft Sentinel
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-4: обнаружение и анализ — исследование инцидента
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Не применимо | IR-4 | 12.10 |
Принцип безопасности. Убедитесь, что команда по обеспечению безопасности может запрашивать и использовать различные источники данных при расследовании потенциальных инцидентов, чтобы создать полное представление о том, что произошло. Чтобы избежать неясностей при отслеживании действий потенциального злоумышленника на этапе нарушения безопасности, необходимо собрать данные из различных журналов. Кроме того, следует убедиться, что аналитические сведения и результаты изучения записываются для других аналитиков и для хронологической справки в будущем.
Используйте облачное решение SIEM и решение для управления инцидентами, если у вашей организации нет существующего решения для агрегирования журналов безопасности и сведений об оповещениях. Сопоставляйте данные инцидентов на основе данных, полученных из разных источников, для проведения расследований инцидентов.
Руководство по Azure. Убедитесь, что ваша команда по операциям безопасности может запрашивать и использовать различные источники данных, собранные из служб и систем в области. Кроме того, он также может включать в себя следующие источники:
- Данные журналов идентификации и доступа: используйте журналы Azure AD и журналы деятельности (например, операционные системы или на уровне приложений) для корреляции событий идентификации и доступа.
- Сетевые данные: используйте журналы потоков групп безопасности сети, наблюдатель за сетями Azure и Azure Monitor для записи журналов сетевых потоков и других аналитических сведений.
- Связанные с инцидентом данные о действиях, полученные из моментальных снимков затронутых систем, можно получить с помощью:
- Возможность моментальных снимков виртуальной машины Azure для создания моментального снимка диска работающей системы.
- Возможность дампа собственной памяти операционной системы для создания моментального снимка памяти запущенной системы.
- Функция моментального снимка в других поддерживаемых службах Azure или собственные возможности вашего программного обеспечения, позволяющие создавать моментальные снимки работающих систем.
Microsoft Sentinel предоставляет обширную аналитику данных практически в любом источнике журнала и портале управления регистрами для управления полным жизненным циклом инцидентов. Разведывательная информация в ходе расследования может быть связана с инцидентом для целей отслеживания и отчетности.
Примечание. Если данные, связанные с инцидентами, фиксируются для расследования, убедитесь, что существует достаточная безопасность для защиты данных от несанкционированного изменения, таких как отключение ведения журнала или удаление журналов, которые могут выполняться злоумышленниками во время действия взлома данных в полете.
Реализация Azure и дополнительный контекст:
- Моментальный снимок диска компьютера Windows
- Моментальный снимок диска компьютера Linux
- Сведения о диагностике службы поддержки Microsoft Azure и сбор дампа памяти
- Исследование инцидентов с помощью Azure Sentinel
Руководство по AWS: Источники данных для исследования — это централизованные источники журналирования, собирающие данные из служб, находящихся в зоне охвата, и работающих систем, но также могут включать:
- Данные журнала идентификации и доступа: используйте журналы IAM и рабочие нагрузки (например, операционные системы или уровни приложений) для сопоставления событий идентификации и доступа.
- Сетевые данные: используйте журналы потоков VPC, зеркальные отображения трафика VPC и Azure CloudTrail и CloudWatch для записи журналов потоков сети и других аналитических сведений.
- Моментальные снимки работающих систем, сделанные с помощью:
- Возможность моментального снимка в Amazon EC2 (EBS) для создания моментального снимка диска работающей системы.
- Возможность дампа собственной памяти операционной системы для создания моментального снимка памяти запущенной системы.
- Функция моментального снимка служб AWS или собственных возможностей программного обеспечения для создания моментальных снимков запущенных систем.
Если вы собираете связанные с SIEM данные в Microsoft Sentinel, то платформа предлагает обширный анализ данных из практически любого источника журналов и портал управления делами для полной поддержки жизненного цикла инцидентов. Разведывательная информация в ходе расследования может быть связана с инцидентом для целей отслеживания и отчетности.
Примечание. Если данные, связанные с инцидентами, фиксируются для расследования, убедитесь, что существует достаточная безопасность для защиты данных от несанкционированного изменения, таких как отключение ведения журнала или удаление журналов, которые могут выполняться злоумышленниками во время действия взлома данных в полете.
Реализация AWS и дополнительный контекст:
- Копирование трафика
- Создание резервных копий томов EBS с помощью AMI и моментальных снимков EBS
- Использование неизменяемого хранилища
Руководство по GCP: Источниками данных для исследования являются централизованные источники логирования, которые собирают данные из соответствующих служб и работающих систем, но также могут включать:
- Данные журнала идентификации и доступа: используйте журналы IAM и рабочие нагрузки (например, операционные системы или уровни приложений) для сопоставления событий идентификации и доступа.
- Сетевые данные: используйте журналы потоков VPC и элементы управления службой VPC для записи журналов сетевых потоков и других аналитических сведений.
- Моментальные снимки работающих систем, сделанные с помощью:
- Возможность моментального снимка в виртуальных машинах GCP для создания моментального снимка диска работающей системы.
- Возможность дампа собственной памяти операционной системы для создания моментального снимка памяти запущенной системы.
- Функция моментальных снимков в службах GCP или собственные возможности вашего программного обеспечения для создания снимков запущенных систем.
Если вы собираете связанные с SIEM данные в Microsoft Sentinel, то платформа предлагает обширный анализ данных из практически любого источника журналов и портал управления делами для полной поддержки жизненного цикла инцидентов. Разведывательная информация в ходе расследования может быть связана с инцидентом для целей отслеживания и отчетности.
Примечание. Если данные, связанные с инцидентами, фиксируются для расследования, убедитесь, что существует достаточная безопасность для защиты данных от несанкционированного изменения, таких как отключение ведения журнала или удаление журналов, которые могут выполняться злоумышленниками во время действия взлома данных в полете.
Реализация GCP и дополнительный контекст:
- Центр управления безопасностью — источники безопасности
- Поддерживаемые наборы данных
- Создание моментальных снимков дисков и управление ими
- Потоковая передача журналов Google Cloud Platform в Microsoft Sentinel
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-5: обнаружение и анализ — определение приоритетов инцидентов
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Принцип безопасности. Предоставьте контекст группам по операциям безопасности, чтобы помочь им определить, на какие инциденты следует сначала сосредоточиться, на основе серьезности оповещений и конфиденциальности ресурсов, определенных в плане реагирования на инциденты в организации.
Кроме того, пометьте ресурсы с помощью тегов и создайте систему именования для идентификации и классификации облачных ресурсов, особенно для обработки конфиденциальных данных. Вы несете ответственность за определение приоритета исправления оповещений на основе критической важности ресурсов и среды, в которой произошел инцидент.
Руководство по Azure. Microsoft Defender для облака назначает серьезность каждому оповещению, чтобы помочь вам определить приоритеты, какие оповещения следует исследовать сначала. Серьёзность зависит от действий Microsoft Defender для Облака, направленных на поиск или анализ, используемых для выдачи оповещения, а также уровня уверенности в том, что за действиями, приведшими к оповещению, стояло злонамеренное намерение.
Аналогичным образом Microsoft Sentinel создает оповещения и инциденты с назначенной серьезностью и другими сведениями на основе правил аналитики. Используйте шаблоны правил аналитики и настройте правила в соответствии с потребностями вашей организации для поддержки приоритета инцидентов. Используйте правила автоматизации в Microsoft Sentinel для управления и оркестрации реагирования на угрозы, чтобы максимально повысить эффективность и эффективность работы вашей операции безопасности, включая маркировку инцидентов для классификации их.
Реализация Azure и дополнительный контекст:
- Оповещения системы безопасности в Microsoft Defender для облака
- Использование тегов для организации ресурсов Azure
- Создание инцидентов из оповещений системы безопасности Майкрософт
Руководство по AWS. Для каждого инцидента, созданного в диспетчере инцидентов, назначьте уровень влияния на основе определенных критериев вашей организации, таких как мера серьезности инцидента и критического уровня затронутых активов.
Реализация AWS и дополнительный контекст:
* Руководство по GCP. Для каждого инцидента, созданного в Центре управления безопасностью, определите приоритет оповещения на основе оценок серьезности, назначенных системой и другими критериями, определенными вашей организацией. Измеряйте серьезность инцидента и критически важный уровень ресурсов, затронутых, чтобы определить, какие оповещения следует исследовать сначала.
Аналогичным образом в Chronical вы можете определить пользовательские правила, чтобы установить ваши приоритеты реагирования на инциденты. Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-6: сдерживание, искоренение и восстановление — автоматизация обработки инцидентов
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Не применимо | IR-4, IR-5, IR-6 | 12.10 |
Принцип безопасности. Автоматизация ручных повторяющихся задач для ускорения времени реагирования и снижения нагрузки на аналитиков. Для выполнения задач вручную требуется больше времени. При этом замедляется каждый инцидент и уменьшается количество инцидентов, которые может обработать аналитик. Задачи, выполняемые вручную, также увеличивают усталость аналитика, что повышает риск возникновения ошибки, вызванной человеческим фактором, и снижает способность аналитиков эффективно сосредоточиться на сложных задачах.
Руководство по Azure. Использование функций автоматизации рабочих процессов в Microsoft Defender для облака и Microsoft Sentinel для автоматического активации действий или запуска сборников схем для реагирования на входящие оповещения системы безопасности. Сценарии действий выполняют такие действия, как отправка уведомлений, отключение учетных записей и изоляция проблемных сетей.
Реализация Azure и дополнительный контекст:
- Настройка автоматизации рабочих процессов в Центре безопасности
- Настройка автоматических ответов на угрозы в Microsoft Defender для облака
- Настройка автоматических ответов на угрозы в Azure Sentinel
Руководство по AWS. Если вы используете Microsoft Sentinel для централизованного управления инцидентом, вы также можете создавать автоматизированные действия или запускать сборники схем для реагирования на входящие оповещения системы безопасности.
Кроме того, используйте функции автоматизации в AWS System Manager для автоматического активации действий, определенных в плане реагирования на инциденты, включая уведомление контактов и (или) запуск модуля Runbook для реагирования на оповещения, такие как отключение учетных записей и изоляция проблемных сетей.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Если вы используете Microsoft Sentinel для централизованного управления инцидентом, вы также можете создавать автоматические действия или запускать сборники схем для реагирования на входящие оповещения системы безопасности.
Кроме того, используйте автоматизацию сборников схем в Хронике для автоматического активации действий, определенных в плане реагирования на инциденты, включая уведомление контактов и (или) запуск сборника схем для реагирования на оповещения.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-7: действия после инцидента — проведение уроков, извлеченных и сохранение доказательств
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Принцип безопасности: периодически и (или) после крупных инцидентов проводите уроки, полученные в организации, чтобы улучшить будущие возможности реагирования на инциденты и обработки.
Основываясь на характере инцидента, сохраните связанное с инцидентом свидетельство в течение срока, указанного в стандарте обработки инцидентов, для дальнейшего анализа или юридических действий.
Руководство по Azure. Используйте результаты обучения, чтобы обновить план реагирования на инциденты, сборник схем (например, сборник схем Microsoft Sentinel) и повторно определить результаты в ваших средах (например, ведение журнала и обнаружение угроз для устранения любых пробелов в ведении журнала) для улучшения будущих возможностей в обнаружении, реагировании и обработке инцидентов в Azure.
Храните доказательства, собранные во время этапа "Обнаружение и анализ - исследование инцидента", например системные журналы, дампы сетевого трафика и моментальные снимки работающей системы в хранилище, таком как учетная запись хранения Azure, для неизменяемого сохранения.
Реализация Azure и дополнительный контекст:
Руководство по AWS. Создание анализа инцидентов для закрытого инцидента в Диспетчере инцидентов с помощью стандартного шаблона анализа инцидентов или собственного пользовательского шаблона. Используйте результаты деятельности по учёту уроков, чтобы обновить план реагирования на инциденты, план действий (например, Runbook AWS Systems Manager и план действий Microsoft Sentinel) и реинтегрировать результаты в ваши среды (например, внедрить ведение журналов и обнаружение угроз для закрытия пробелов) для улучшения будущих возможностей в обнаружении, реагировании и обработке инцидентов в AWS.
Сохраняйте доказательства, собранные во время "Обнаружение и анализ - исследование шага инцидента", например системные журналы, дампы сетевого трафика и моментальный снимок работающей системы в хранилище для неизменяемого сохранения данных, например контейнер Amazon S3 или учетная запись хранения Azure.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Используйте результаты из проведенной деятельности по извлечению уроков, чтобы обновить план реагирования на инциденты, план действий (например, план действий Chronicle или Microsoft Sentinel) и внедрить выводы в ваших средах (например, ведение журналирования и обнаружение угроз для устранения любых пробелов в этом процессе), чтобы улучшить будущие возможности обнаружения, реагирования и управления инцидентами в GCP.
Оставить доказательства, собранные на этапе "Обнаружение и анализ - исследование инцидента", такие как системные журналы, дампы сетевого трафика и моментальные снимки работающей системы, в хранилище, например, Google Cloud Storage или Azure Storage для неизменяемого хранения.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):