Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Реагирование на инциденты охватывает элементы управления жизненным циклом реагирования на инциденты — подготовка, обнаружение и анализ, сдерживание и действия после инцидента, включая использование служб Azure, таких как Microsoft Defender для облака и Sentinel для автоматизации процесса реагирования на инциденты.
IR-1: подготовка — обновление плана реагирования на инциденты и процесса их обработки
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 17.4, 17.7 | ИК-4, ИК-8 | 10.8 |
Принцип безопасности: Убедитесь, что ваша организация следует передовым отраслевым практикам для разработки процессов и планов реагирования на инциденты безопасности на облачных платформах. Помните о модели общей ответственности и различиях между сервисами IaaS, PaaS и SaaS. Это окажет непосредственное влияние на то, как вы сотрудничаете со своим поставщиком облачных услуг в области реагирования на инциденты и их обработки, таких как уведомление об инцидентах и их сортировка, сбор доказательств, расследование, устранение и восстановление.
Регулярно тестируйте план реагирования на инциденты и процесс их обработки, чтобы обеспечить их актуальность.
Руководство по Azure: Обновите процесс реагирования на инциденты в своей организации, включив в него обработку инцидентов на платформе Azure. На основе используемых служб Azure и характера приложения настройте план реагирования на инциденты и сборник схем, чтобы обеспечить их использование для реагирования на инцидент в облачной среде.
Реализация и дополнительный контекст:
- Применение мер безопасности в среде предприятия
- Справочник по реагированию на инциденты
- Руководство по обработке инцидентов безопасности компьютеров NIST SP800-61
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-2: подготовка — настройка уведомлений об инцидентах
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | ИК-4, ИК-8, ИК-5, ИК-6 | 12.10 |
Принцип безопасности: Убедитесь, что оповещения системы безопасности и уведомления об инцидентах от платформы поставщика облачных услуг и ваших сред могут быть получены правильным контактным лицом в вашей организации реагирования на инциденты.
Руководство по Azure: Настройте контактные данные для инцидентов безопасности в Microsoft Defender для облака. Эти контактные данные используются корпорацией Майкрософт для связи с вами, если центр реагирования Майкрософт (MSRC) обнаруживает, что ваши данные были доступны незаконной или несанкционированной стороне. У вас также есть возможность настроить оповещения об инцидентах и уведомления в различных службах Azure в зависимости от ваших потребностей в реагировании на инциденты.
Реализация и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-3: обнаружение и анализ — создание инцидентов на основе высококачественных оповещений
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 17,9 | ИК-4, ИК-5, ИК-7 | 10.8 |
Принцип безопасности: Убедитесь, что у вас есть процесс создания высококачественных оповещений и измерения качества оповещений. Это позволяет извлечь уроки из прошлых инцидентов и определить приоритет оповещений для аналитиков, чтобы они не тратили время на ложноположительные результаты.
Высококачественные оповещения можно создавать на основе опыта прошлых инцидентов, проверенных источников сообщества и средств, предназначенных для создания и очистки оповещений путем слияния и сопоставления различных источников сигналов.
Руководство по Azure: Microsoft Defender для облака предоставляет высококачественные оповещения для многих ресурсов Azure. Вы можете использовать соединитель данных Microsoft Defender для облака для потоковой передачи оповещений в Azure Sentinel. Azure Sentinel позволяет создавать расширенные правила генерации оповещений для автоматического создания инцидентов для расследования.
Экспорт оповещений и рекомендаций Microsoft Defender для облака с помощью функции экспорта для выявления рисков в ресурсах Azure. Экспорт оповещений и рекомендаций вручную или в непрерывном режиме.
Реализация и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-4: обнаружение и анализ — исследование инцидента
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Не применимо | IR-4 | 12.10 |
Принцип безопасности: Убедитесь, что команда по обеспечению безопасности может запрашивать и использовать различные источники данных при расследовании потенциальных инцидентов, чтобы получить полное представление о том, что произошло. Чтобы избежать неясностей при отслеживании действий потенциального злоумышленника на этапе нарушения безопасности, необходимо собрать данные из различных журналов. Кроме того, следует убедиться, что аналитические сведения и результаты изучения записываются для других аналитиков и для хронологической справки в будущем.
Руководство по Azure: Источниками данных для исследования являются централизованные источники ведения журнала, которые уже собираются из соответствующих служб и запущенных систем, но также могут включать:
- Сетевые данные: используйте журналы потоков групп безопасности сети, наблюдатель за сетями Azure и Azure Monitor для записи журналов сетевых потоков и других аналитических сведений.
- Моментальные снимки работающих систем: а) Возможность создания моментальных снимков виртуальной машины Azure для создания моментального снимка диска работающей системы. б) Возможность создания дампа собственной памяти операционной системы для создания снимка памяти работающей системы. в) Функция создания моментальных снимков служб Azure или собственные возможности вашего программного обеспечения для создания моментальных снимков работающих систем.
Azure Sentinel предоставляет обширную аналитику данных практически из любого источника журналов и портал управления обращениями для управления полным жизненным циклом инцидентов. Разведывательная информация в ходе расследования может быть связана с инцидентом для целей отслеживания и отчетности.
Реализация и дополнительный контекст:
- Моментальный снимок диска компьютера Windows
- Моментальный снимок диска компьютера Linux
- Сведения о диагностике службы поддержки Microsoft Azure и сбор дампа памяти
- Исследование инцидентов с помощью Azure Sentinel
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-5: обнаружение и анализ — определение приоритетов инцидентов
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Принцип безопасности: Предоставьте контекст командам по обеспечению безопасности, чтобы помочь им определить, на каких инцидентах следует сосредоточить внимание в первую очередь, исходя из серьезности оповещений и чувствительности активов, определенных в плане реагирования на инциденты вашей организации.
Руководство по Azure: Microsoft Defender для облака назначает серьезность каждому оповещению, чтобы помочь вам определить приоритеты, какие оповещения следует исследовать в первую очередь. Серьёзность зависит от действий Microsoft Defender для Облака, направленных на поиск или анализ, используемых для выдачи оповещения, а также уровня уверенности в том, что за действиями, приведшими к оповещению, стояло злонамеренное намерение.
Кроме того, пометьте ресурсы с помощью тегов и создайте систему именования для идентификации и категоризации ресурсов Azure, особенно тех, которые обрабатывают конфиденциальные данные. Вы несете ответственность за то, чтобы определить приоритет исправления оповещений на основе критической важности ресурсов и среды Azure, в которой произошел инцидент.
Реализация и дополнительный контекст:
- Оповещения системы безопасности в Microsoft Defender для облака
- Использование тегов для организации ресурсов Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
IR-6: сдерживание, искоренение и восстановление — автоматизация обработки инцидентов
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Не применимо | IR-4, IR-5, IR-6 | 12.10 |
Принцип безопасности: Автоматизируйте ручные, повторяющиеся задачи, чтобы ускорить время отклика и снизить нагрузку на аналитиков. Для выполнения задач вручную требуется больше времени. При этом замедляется каждый инцидент и уменьшается количество инцидентов, которые может обработать аналитик. Задачи, выполняемые вручную, также увеличивают усталость аналитика, что повышает риск возникновения ошибки, вызванной человеческим фактором, и снижает способность аналитиков эффективно сосредоточиться на сложных задачах.
Руководство по Azure: Используйте функции автоматизации рабочих процессов в Microsoft Defender для облака и Azure Sentinel для автоматической активации действий или запуска сборника схем для реагирования на входящие оповещения системы безопасности. Сборник схем выполняет такие действия, как отправка уведомлений, отключение учетных записей и изоляция проблемных сетей.
Реализация и дополнительный контекст:
- Настройка автоматизации рабочих процессов в Microsoft Defender для облака
- Настройка автоматических ответов на угрозы в Microsoft Defender для облака
- Настройка автоматических ответов на угрозы в Azure Sentinel
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
ПР-7: Действия после инцидента - извлечение уроков и сохранение доказательств
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Принцип безопасности: Периодически и/или после крупных инцидентов проводите обучение в своей организации, чтобы улучшить свои будущие возможности реагирования на инциденты и их обработки.
Основываясь на характере инцидента, сохраните связанное с инцидентом свидетельство в течение срока, указанного в стандарте обработки инцидентов, для дальнейшего анализа или юридических действий.
Руководство по Azure: Используйте результаты упражнения по извлечению уроков для обновления плана реагирования на инциденты, сборника схем (например, сборника схем Azure Sentinel) и повторного включения полученных результатов в свои среды (например, ведение журнала и обнаружение угроз для устранения пробелов в журналировании), чтобы улучшить свои будущие возможности по обнаружению, реагированию и обработке инцидентов в Azure.
Храните доказательства, собранные на этапе "Обнаружение и анализ — исследование инцидента", такие как системные журналы, дамп сетевого трафика и моментальный снимок запущенной системы, в хранилище, например в учетной записи Azure Storage, для хранения.
Реализация и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):