Поделиться через


Управление безопасностью: реагирование на инциденты

Реагирование на инциденты охватывает элементы управления в жизненном цикле реагирования на инциденты — подготовка, обнаружение и анализ, сдерживание и действия после инцидента, включая использование служб Azure (таких как Microsoft Defender для облака и Sentinel) и (или) других облачных служб для автоматизации процесса реагирования на инциденты.

IR-1: подготовка — обновление плана реагирования на инциденты и процесса их обработки

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
17.4, 17.7 IR-4, IR-8 10,8

Принцип безопасности. Убедитесь, что ваша организация следует отраслевым рекомендациям по разработке процессов и планов реагирования на инциденты безопасности на облачных платформах. Помните о модели общей ответственности и различиях между службами IaaS, PaaS и SaaS. Это напрямую повлияет на взаимодействие с поставщиком облачных служб в реагировании на инциденты и обработке таких действий, как уведомление об инцидентах и рассмотрение, сбор доказательств, исследование, ликвидация и восстановление.

Регулярно тестируйте план реагирования на инциденты и процесс их обработки, чтобы обеспечить их актуальность.


Руководство Azure. Обновите процесс реагирования на инциденты в организации, чтобы включить обработку инцидентов на платформе Azure. Учитывая используемые службы Azure и характер вашего приложения, настройте сборник схем и план реагирования на инциденты таким образом, чтобы их можно было использовать для реагирования на инцидент в облачной среде.

Реализация Azure и дополнительный контекст:


Руководство AWS. Обновите процесс реагирования на инциденты в организации, чтобы включить обработку инцидентов. Обеспечьте единый план реагирования на инциденты в нескольких облаках, обновив процесс реагирования на инциденты в вашей организации, чтобы включить обработку инцидентов на платформе AWS. В зависимости от используемых служб AWS и характера приложения следуйте руководству по реагированию на инциденты безопасности AWS, чтобы настроить план реагирования на инциденты и сборник схем для обеспечения их использования для реагирования на инциденты в облачной среде.

Реализация AWS и дополнительный контекст:


Руководство GCP. Обновите процесс реагирования на инциденты в организации, чтобы включить обработку инцидентов. Обеспечьте единый план реагирования на инциденты в нескольких облаках, обновив процесс реагирования на инциденты в вашей организации, чтобы включить обработку инцидентов на платформе Google Cloud.

Реализация GCP и дополнительный контекст:


Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

IR-2: подготовка — настройка уведомлений об инцидентах

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
17.1, 17.3, 17.6 IR-4, IR-8, IR-5, IR-6 12.10

Принцип безопасности. Убедитесь, что оповещения системы безопасности и уведомления об инцидентах от платформы поставщика облачных служб и ваших сред могут быть получены правильным контактом в вашей организации по реагированию на инциденты.


Руководство по Azure. Настройте контактные данные для инцидентов безопасности в Microsoft Defender для облака. Эта контактная информация используется корпорацией Майкрософт для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаруживает, что доступ к данным был осуществлен незаконно или неавторизованным лицом. Вы также можете настроить оповещения об инцидентах и уведомления в разных службах Azure в зависимости от потребностей в реагировании на инциденты.

Реализация Azure и дополнительный контекст:


Руководство AWS. Настройте контактные данные об инцидентах безопасности в диспетчере инцидентов AWS Systems Manager (центр управления инцидентами для AWS). Эти контактные данные используются для обмена данными об управлении инцидентами между вами и AWS по разным каналам (например, Email, SMS или Голосовая связь). Вы можете определить план взаимодействия контакта и план эскалации, чтобы описать, как и когда диспетчер инцидентов обращается к контакту, а также для эскалации, если контакт не отвечает на инцидент.

Реализация AWS и дополнительный контекст:


Руководство GCP. Настройте уведомления об инцидентах безопасности для определенных контактов с помощью центра управления безопасностью или хроники. Используйте службы Google Cloud и сторонние API для предоставления уведомлений в режиме реального времени по электронной почте и чату, чтобы оповещать о результатах безопасности для центра управления безопасностью, или сборники схем для активации действий по отправке уведомлений в Хронике.

Реализация GCP и дополнительный контекст:


Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

IR-3: обнаружение и анализ — создание инцидентов на основе высококачественных оповещений

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
17.9 IR-4, IR-5, IR-7 10,8

Принцип безопасности. Убедитесь, что у вас есть процесс создания высококачественных оповещений и измерения качества оповещений. Это позволяет извлечь уроки из прошлых инцидентов и определить приоритет оповещений для аналитиков, чтобы они не тратили время на ложноположительные результаты.

Высококачественные оповещения можно создавать на основе опыта прошлых инцидентов, проверенных источников сообщества и средств, предназначенных для создания и очистки оповещений путем отказа и корреляции различных источников сигналов.


Руководство по Azure. Microsoft Defender для облака предоставляет высококачественные оповещения для многих ресурсов Azure. Для потоковой передачи оповещений в Microsoft Sentinel можно использовать соединитель данных Microsoft Defender для облака. Microsoft Sentinel позволяет создавать дополнительные правила генерации оповещений, чтобы автоматически генерировать инциденты для исследования.

С целью выявления рисков для ресурсов Azure экспортируйте оповещения и рекомендации Microsoft Defender для облака с помощью функции экспорта. Экспортируйте оповещения и рекомендации как вручную, так и в постоянном, непрерывном режиме.

Реализация Azure и дополнительный контекст:


Руководство AWS. Используйте средства безопасности, такие как SecurityHub или GuardDuty, и другие сторонние средства для отправки оповещений в Amazon CloudWatch или Amazon EventBridge, чтобы инциденты можно было автоматически создавать в диспетчере инцидентов на основе определенных критериев и наборов правил. Вы также можете вручную создавать инциденты в диспетчере инцидентов для дальнейшей обработки и отслеживания инцидентов.

Если вы используете Microsoft Defender для облака для мониторинга учетных записей AWS, вы также можете использовать Microsoft Sentinel для мониторинга инцидентов и оповещения об инцидентах, выявленных Microsoft Defender для облака в ресурсах AWS.

Реализация AWS и дополнительный контекст:


Руководство GCP. Интегрируйте Google Cloud и сторонние службы для отправки журналов и оповещений в центр управления безопасностью или в хронику, чтобы инциденты можно было автоматически создавать на основе определенных критериев. Вы также можете вручную создавать и изменять результаты инцидентов в центре управления безопасностью или правила в Хронике для дальнейшей обработки и отслеживания инцидентов.

Если вы используете Microsoft Defender для облака для мониторинга проектов GCP, вы также можете использовать Microsoft Sentinel для отслеживания инцидентов, выявленных Microsoft Defender для облака в ресурсах GCP, или потоковой передачи журналов GCP непосредственно в Microsoft Sentinel.

Реализация GCP и дополнительный контекст:


Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

IR-4: обнаружение и анализ — исследование инцидента

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
Н/Д IR-4 12.10

Принцип безопасности. Убедитесь, что команда по обеспечению безопасности может запрашивать и использовать различные источники данных при расследовании потенциальных инцидентов, чтобы получить полное представление о том, что произошло. Чтобы избежать неясностей при отслеживании действий потенциального злоумышленника на этапе нарушения безопасности, необходимо собрать данные из различных журналов. Кроме того, следует убедиться, что аналитические сведения и результаты изучения записываются для других аналитиков и для хронологической справки в будущем.

Используйте собственную облачную систему SIEM и решение для управления инцидентами, если в вашей организации нет существующего решения для агрегирования журналов безопасности и оповещений. Сопоставляйте данные инцидентов на основе данных, полученных из разных источников, для проведения расследований инцидентов.


Руководство Azure. Убедитесь, что ваша команда по обеспечению безопасности может запрашивать и использовать различные источники данных, собранные из область служб и систем. Кроме того, его источники могут также включать:

  • Данные журнала идентификации и доступа. Используйте журналы Azure AD и рабочие нагрузки (например, операционные системы или уровни приложения) для сопоставления событий идентификации и доступа.
  • Сетевые данные. Используйте журналы потоков для групп безопасности сети, службу "Наблюдатель за сетями Azure" и Azure Monitor для сбора данных журналов сетевых потоков и других аналитических сведений.
  • Данные о действиях, связанных с инцидентами, из моментальных снимков затронутых систем, которые можно получить с помощью:
    • Возможность создания моментальных снимков виртуальной машины Azure для создания snapshot диска работающей системы.
    • Встроенная возможность дампа памяти операционной системы для создания snapshot памяти работающей системы.
    • Snapshot функцию других поддерживаемых служб Azure или собственные возможности программного обеспечения для создания моментальных снимков работающих систем.

Microsoft Sentinel предоставляет широкие возможности аналитики данных на любом виртуальном источнике журнала и на портале управления обращениями, чтобы контролировать полный жизненный цикл инцидентов. Сведения об анализе во время исследования можно связать с инцидентом с целью отслеживания и ведения отчетности.

Примечание. При сборе данных, связанных с инцидентом, для расследования убедитесь, что существует надлежащая безопасность для защиты данных от несанкционированного изменения, например отключения ведения журнала или удаления журналов, которые могут быть выполнены злоумышленниками во время действия утечки данных в полете.

Реализация Azure и дополнительный контекст:


Руководство AWS. Источники данных для исследования — это централизованные источники ведения журнала, которые собираются из область служб и работающих систем, но могут также включать:

  • Данные журнала идентификации и доступа. Используйте журналы IAM и рабочие нагрузки (например, журналы доступа на уровне операционных систем или приложений) для сопоставления событий идентификации и доступа.
  • Сетевые данные. Используйте журналы потоков VPC, зеркала трафика VPC, а также Azure CloudTrail и CloudWatch для сбора журналов сетевых потоков и других аналитических сведений.
  • Моментальные снимки работающих систем, которые можно получить с помощью:
    • Возможность создания моментальных снимков в Amazon EC2 (EBS) для создания snapshot диска работающей системы.
    • Встроенная возможность дампа памяти операционной системы для создания snapshot памяти работающей системы.
    • Snapshot функцию служб AWS или собственные возможности программного обеспечения для создания моментальных снимков работающих систем.

Если вы объединяете данные, связанные с SIEM, в Microsoft Sentinel, она предоставляет обширную аналитику данных практически в любом источнике журналов и на портале управления обращениями для управления полным жизненным циклом инцидентов. Сведения об анализе во время исследования можно связать с инцидентом с целью отслеживания и ведения отчетности.

Примечание. При сборе данных, связанных с инцидентом, для расследования убедитесь, что существует надлежащая безопасность для защиты данных от несанкционированного изменения, например отключения ведения журнала или удаления журналов, которые могут быть выполнены злоумышленниками во время действия утечки данных в полете.

Реализация AWS и дополнительный контекст:


Руководство GCP. Источники данных для исследования — это централизованные источники ведения журнала, которые собираются из область служб и работающих систем, но могут также включать:

  • Данные журнала идентификации и доступа. Используйте журналы IAM и рабочие нагрузки (например, журналы доступа на уровне операционных систем или приложений) для сопоставления событий идентификации и доступа.
  • Сетевые данные. Используйте журналы потоков VPC и элементы управления службой VPC для сбора журналов сетевых потоков и других аналитических сведений.
  • Моментальные снимки работающих систем, которые можно получить с помощью:
    1. Возможность создания моментальных снимков на виртуальных машинах GCP для создания snapshot диска работающей системы.
    2. Встроенная возможность дампа памяти операционной системы для создания snapshot памяти работающей системы.
    3. Snapshot функции служб GCP или собственные возможности программного обеспечения для создания моментальных снимков работающих систем.

Если вы объединяете данные, связанные с SIEM, в Microsoft Sentinel, она предоставляет обширную аналитику данных практически в любом источнике журналов и на портале управления обращениями для управления полным жизненным циклом инцидентов. Сведения об анализе во время исследования можно связать с инцидентом с целью отслеживания и ведения отчетности.

Примечание. При сборе данных, связанных с инцидентом, для расследования убедитесь, что существует надлежащая безопасность для защиты данных от несанкционированного изменения, например отключения ведения журнала или удаления журналов, которые могут быть выполнены злоумышленниками во время действия утечки данных в полете.

Реализация GCP и дополнительный контекст:


Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

IR-5: обнаружение и анализ — определение приоритетов инцидентов

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
17.4, 17.9 IR-4 12.10

Принцип безопасности. Предоставьте команде по обеспечению безопасности контекст, чтобы помочь им определить, на каких инцидентах следует в первую очередь сосредоточиться, на основе серьезности оповещений и конфиденциальности ресурсов, определенных в плане реагирования на инциденты вашей организации.

Кроме того, пометьте ресурсы с помощью тегов и создайте систему именования для идентификации и классификации облачных ресурсов, особенно тех, которые обрабатывают конфиденциальные данные. Вы несете ответственность за определение приоритетов при исправлении оповещений на основе важности ресурсов и среды, в которой произошел инцидент.


Руководство По Azure. Microsoft Defender для облака назначает каждому оповещению уровень серьезности, чтобы помочь определить приоритеты, какие оповещения следует исследовать в первую очередь. Серьезность основывается на том, насколько Microsoft Defender для облака уверен в результате или аналитике, используемой для оповещения, а также на уровне достоверности злонамеренности события, приведшего к оповещению.

Аналогичным образом Microsoft Sentinel создает оповещения и инциденты с назначенным уровнем серьезности и другими сведениями на основе правил аналитики. Используйте шаблоны аналитических правил и настройте правила в соответствии с потребностями вашей организации для поддержки определения приоритетов инцидентов. Используйте правила автоматизации в Microsoft Sentinel для управления и оркестрации реагирования на угрозы, чтобы повысить эффективность и эффективность команды безопасности, включая добавление тегов к инцидентам для их классификации.

Реализация Azure и дополнительный контекст:


Руководство AWS. Для каждого инцидента, созданного в диспетчере инцидентов, назначьте уровень влияния на основе определенных в вашей организации критериев, таких как мера серьезности инцидента и уровень важности затронутых ресурсов.

Реализация AWS и дополнительный контекст:


* Руководство GCP. Для каждого инцидента, созданного в центре управления безопасностью, определите приоритет оповещения на основе оценок серьезности, присвоенных системой, и других критериев, определенных вашей организацией. Измерьте серьезность инцидента и уровень важности затронутых ресурсов, чтобы определить, какие оповещения следует исследовать в первую очередь.

Аналогичным образом в Chronical можно определить настраиваемые правила, чтобы определить приоритеты реагирования на инциденты. Реализация GCP и дополнительный контекст:


Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

IR-6: автономность, удаление и восстановление — автоматизация обработки инцидентов

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
Н/Д IR-4, IR-5, IR-6 12.10

Принцип безопасности. Автоматизируйте выполняемые вручную повторяющиеся задачи, чтобы ускорить время отклика и снизить нагрузку на аналитиков. Задачи, выполняемые вручную, выполняются дольше, замедляя обработку каждого инцидента и уменьшая количество инцидентов, которые может обработать аналитик. Задачи, выполняемые вручную, также увеличивают усталость аналитика, что повышает риск возникновения ошибки, вызванной человеческим фактором, и снижает способность аналитиков эффективно сосредоточиться на сложных задачах.


Руководство Azure. Используйте функции автоматизации рабочих процессов в Microsoft Defender для облака и Microsoft Sentinel для автоматического запуска действий или запуска сборников схем для реагирования на входящие оповещения системы безопасности. Сборники схем выполняют такие действия, как отправка уведомлений, отключение учетных записей и изоляция проблемных сетей.

Реализация Azure и дополнительный контекст:


Руководство AWS. Если вы используете Microsoft Sentinel для централизованного управления инцидентами, вы также можете создавать автоматические действия или запускать сборники схем для реагирования на входящие оповещения системы безопасности.

Кроме того, можно использовать функции автоматизации в AWS System Manager для автоматического запуска действий, определенных в плане реагирования на инциденты, включая уведомление контактов и (или) запуск модуля Runbook для реагирования на оповещения, такие как отключение учетных записей и изоляция проблемных сетей.

Реализация AWS и дополнительный контекст:


Руководство GCP. Если вы используете Microsoft Sentinel для централизованного управления инцидентом, вы также можете создавать автоматические действия или запускать сборники схем для реагирования на входящие оповещения системы безопасности.

Кроме того, используйте автоматизацию сборников схем в Chronicle, чтобы автоматически активировать действия, определенные в плане реагирования на инциденты, включая уведомление контактов и (или) запуск сборника схем для реагирования на оповещения.

Реализация GCP и дополнительный контекст:


Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):

IR-7: действия после инцидента — проведение извлеченных уроков и хранение доказательств

Идентификаторы CIS Controls версии 8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS версии 3.2.1
17.8 IR-4 12.10

Принцип безопасности. Периодически и (или) после крупных инцидентов проводите уроки, полученные в вашей организации, чтобы улучшить будущие возможности реагирования на инциденты и их обработки.

Основываясь на характере инцидента, сохраните связанное с инцидентом свидетельство в течение срока, указанного в стандарте обработки инцидентов, для дальнейшего анализа или юридических действий.


Руководство Azure. Используйте результаты извлеченных уроков, чтобы обновить план реагирования на инциденты, сборник схем (например, сборник схем Microsoft Sentinel) и повторно включить результаты в свои среды (например, ведение журнала и обнаружение угроз для устранения любых пробелов в ведении журнала), чтобы улучшить будущие возможности по обнаружению, реагированию и обработке инцидентов в Azure.

Храните доказательства, собранные на этапе "Обнаружение и анализ — исследование инцидента", например системные журналы, дампы сетевого трафика и запущенные моментальные снимки системы, в хранилище, например учетная запись хранения Azure, для неизменяемого хранения.

Реализация Azure и дополнительный контекст:


Руководство AWS. Создайте анализ инцидентов для закрытого инцидента в диспетчере инцидентов с помощью стандартного шаблона анализа инцидентов или собственного пользовательского шаблона. Используйте результаты полученных уроков, чтобы обновить план реагирования на инциденты, сборник схем (например, модуль runbook AWS Systems Manager и сборник схем Microsoft Sentinel) и повторно добавить результаты в свои среды (например, ведение журнала и обнаружение угроз для устранения любых пробелов в ведении журнала), чтобы улучшить будущие возможности обнаружения, реагирования и обработки инцидентов в AWS.

Храните доказательства, собранные на этапе "Обнаружение и анализ — исследование инцидента", например системные журналы, дампы сетевого трафика и запущенные системные snapshot в хранилище, например контейнер Amazon S3 или учетная запись хранения Azure, для неизменяемого хранения.

Реализация AWS и дополнительный контекст:


Руководство GCP. Используйте результаты полученных уроков, чтобы обновить план реагирования на инциденты, сборник схем (например, Хроника или Сборник схем Microsoft Sentinel) и повторно добавить результаты в свои среды (например, ведение журнала и обнаружение угроз для устранения любых пробелов в ведении журнала), чтобы улучшить будущие возможности по обнаружению, реагированию и обработке инцидентов в GCP.

Храните доказательства, собранные на этапе "Обнаружение и анализ — исследование инцидента", например системные журналы, дампы сетевого трафика и запущенные моментальные снимки системы, в хранилище, например Google Cloud Storage или учетная запись хранения Azure, для неизменяемого хранения.

Реализация GCP и дополнительный контекст:


Заинтересованные лица, заинтересованные в обеспечении безопасности клиентов (дополнительные сведения):