Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Reaktion auf Vorfälle umfasst Steuerelemente im Lebenszyklus der Reaktion auf Vorfälle – Vorbereitung, Erkennung und Analyse, Eindämmung und Aktivitäten nach dem Vorfall, einschließlich der Verwendung von Azure-Diensten wie Microsoft Defender für Cloud und Sentinel zur Automatisierung des Vorfallreaktionsprozesses.
IR-1: Vorbereitung – Plan für Vorfallsreaktion und Bearbeitungsprozess aktualisieren
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Sicherheitsprinzip: Stellen Sie sicher, dass Ihre Organisation branchenweit bewährte Methoden befolgt, um Prozesse und Pläne für die Reaktion auf Sicherheitsvorfälle auf den Cloudplattformen zu entwickeln. Achten Sie auf das Modell der gemeinsamen Verantwortung und die Abweichungen in IaaS-, PaaS- und SaaS-Diensten. Dies wirkt sich direkt darauf aus, wie Sie mit Ihrem Cloudanbieter bei der Reaktion auf Vorfälle und der Behandlung von Aktivitäten wie Vorfallbenachrichtigungen und -triage, Beweissammlung, Untersuchung, Beseitigung und Wiederherstellung zusammenarbeiten.
Testen Sie regelmäßig den Plan für die Reaktion auf Vorfälle und den Bearbeitungsprozess, um sicherzustellen, dass sie auf dem neuesten Stand sind.
Azure-Leitfaden: Aktualisieren Sie den Vorfallreaktionsprozess Ihrer Organisation, um die Behandlung von Vorfällen in die Azure-Plattform einzubeziehen. Passen Sie basierend auf den verwendeten Azure-Diensten und Ihrer Anwendungsbeschaffenheit den Plan für die Reaktion auf Vorfälle und das Playbook an, um sicherzustellen, dass sie verwendet werden können, um auf den Vorfall in der Cloudumgebung zu reagieren.
Implementierung und zusätzlicher Kontext:
- Implementieren von Sicherheit in der gesamten Unternehmensumgebung
- Referenzhandbuch zur Reaktion auf Vorfälle
- NIST SP800-61 Leitfaden zur Behandlung von Sicherheitsvorfällen
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-2: Vorbereitung – Einrichten von Ereignisbenachrichtigungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Sicherheitsprinzip: Stellen Sie sicher, dass die Sicherheitswarnungen und die Vorfallbenachrichtigungen von der Plattform des Clouddienstanbieters und Ihren Umgebungen von dem richtigen Kontakt in Ihrer Organisation zur Reaktion auf Vorfälle empfangen werden können.
Azure-Leitfaden: Richten Sie Kontaktinformationen zu Sicherheitsvorfällen in Microsoft Defender für Cloud ein. Diese Kontaktinformationen werden von Microsoft verwendet, um Sie zu kontaktieren, wenn das Microsoft Security Response Center (MSRC) feststellt, dass Auf Ihre Daten von einer rechtswidrigen oder nicht autorisierten Partei zugegriffen wurde. Sie haben auch Optionen zum Anpassen der Vorfallwarnung und -benachrichtigung in verschiedenen Azure-Diensten basierend auf Ihren Anforderungen an die Reaktion auf Vorfälle.
Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-3: Erkennung und Analyse – Erstellen von Vorfällen basierend auf Warnungen mit hoher Qualität
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10.8 |
Sicherheitsprinzip: Stellen Sie sicher, dass Sie über einen Prozess verfügen, um qualitativ hochwertige Warnungen zu erstellen und die Qualität von Warnungen zu messen. Auf diese Weise können Sie Lehren aus vergangenen Vorfällen ziehen und Warnungen für Analysten priorisieren, damit diese keine Zeit mit falsch positiven Ergebnissen verschwenden.
Qualitativ hochwertige Warnungen können auf der Grundlage von Erfahrungen aus früheren Vorfällen, validierten Communityquellen und Tools zur Generierung und Bereinigung von Warnmeldungen durch Verschmelzung und Korrelation verschiedener Signalquellen erstellt werden.
Azure-Leitfaden: Microsoft Defender für Cloud bietet qualitativ hochwertige Warnungen über viele Azure-Ressourcen hinweg. Sie können den Microsoft Defender für den Cloud-Datenconnector verwenden, um die Warnungen an Azure Sentinel zu streamen. Mit Azure Sentinel können Sie erweiterte Warnungsregeln erstellen, um Vorfälle automatisch für eine Untersuchung zu generieren.
Exportieren Sie Ihre Microsoft Defender für Cloud-Warnungen und Empfehlungen mithilfe des Exportfeatures, um Risiken für Azure-Ressourcen zu identifizieren. Exportieren Sie Warnungen und Empfehlungen entweder manuell oder kontinuierlich.
Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-4: Erkennung und Analyse – Untersuchen eines Vorfalls
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| Nicht verfügbar | IR-4 | 12.10 |
Sicherheitsprinzip: Stellen Sie sicher, dass das Sicherheitsbetriebsteam verschiedene Datenquellen abfragen und verwenden kann, während sie potenzielle Vorfälle untersuchen, um einen vollständigen Überblick darüber zu erhalten, was passiert ist. Verschiedene Protokolle sollten gesammelt werden, um die Aktivitäten eines potenziellen Angreifers über die KillChain hinweg nachzuverfolgen, um blinde Flecken zu vermeiden. Sie sollten auch sicherstellen, dass Erkenntnisse und Erkenntnisse für andere Analysten und für zukünftige historische Referenzen erfasst werden.
Azure-Leitfaden: Die Datenquellen für die Untersuchung sind die zentralisierten Protokollierungsquellen, die bereits aus den In-Scope-Diensten und ausgeführten Systemen gesammelt werden, können aber auch Folgendes umfassen:
- Netzwerkdaten: Verwenden Sie die Ablaufprotokolle von Netzwerksicherheitsgruppen, Azure Network Watcher und Azure Monitor, um Netzwerkflussprotokolle und andere Analyseinformationen zu erfassen.
- Momentaufnahmen der ausgeführten Systeme: a) Snapshot-Funktion des virtuellen Azure-Computers, um eine Momentaufnahme des Datenträgers des ausgeführten Systems zu erstellen. b) Die systemeigene Speicherabbildfunktion des Betriebssystems, um eine Momentaufnahme des Arbeitsspeichers des ausgeführten Systems zu erstellen. c) Die Momentaufnahmefunktion der Azure-Dienste oder der eigenen Funktion Ihrer Software, um Momentaufnahmen der ausgeführten Systeme zu erstellen.
Azure Sentinel bietet umfassende Datenanalysen in praktisch jeder Protokollquelle und einem Fallverwaltungsportal, um den gesamten Lebenszyklus von Vorfällen zu verwalten. Intelligence-Informationen während einer Untersuchung können einem Vorfall zur Nachverfolgung und Berichterstellung zugeordnet werden.
Implementierung und zusätzlicher Kontext:
- Momentaufnahme des Datenträgers eines Windows-Computers
- Momentaufnahme des Datenträgers eines Linux-Computers
- Microsoft Azure Support-Diagnoseinformationen und Speicherabbildsammlung
- Untersuchen von Vorfällen mit Azure Sentinel
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-5: Erkennung und Analyse – Priorisieren von Vorfällen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Sicherheitsprinzip: Stellen Sie den Kontext für Sicherheitsbetriebsteams bereit, um zu ermitteln, auf welche Vorfälle sich zuerst konzentrieren sollten, basierend auf Warnungsschweregrad und Ressourcenempfindlichkeit, die im Vorfallreaktionsplan Ihrer Organisation definiert ist.
Azure-Leitfaden: Microsoft Defender für Cloud weist jeder Warnung einen Schweregrad zu, damit Sie priorisieren können, welche Warnungen zuerst untersucht werden sollen. Der Schweregrad basiert darauf, wie sicher sich Microsoft Defender für Cloud bei der Feststellung oder Analyse fühlt, die zur Ausgabe der Warnung verwendet wird, sowie auf dem Grad der Gewissheit, dass es böswillige Absichten hinter der Aktivität gab, die zur Warnung führte.
Markieren Sie darüber hinaus Ressourcen mithilfe von Tags, und erstellen Sie ein Benennungssystem zum Identifizieren und Kategorisieren von Azure-Ressourcen, insbesondere bei der Verarbeitung vertraulicher Daten. Es liegt in Ihrer Verantwortung, die Behebung von Warnungen basierend auf der Kritischität der Azure-Ressourcen und -Umgebung zu priorisieren, in der der Vorfall aufgetreten ist.
Implementierung und zusätzlicher Kontext:
- Sicherheitswarnungen in Microsoft Defender für Cloud
- Verwenden von Tags zum Organisieren Ihrer Azure-Ressourcen
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-6: Eindämmung, Beseitigung und Wiederherstellung – Automatisieren der Behandlung von Vorfällen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| Nicht verfügbar | IR-4, IR-5, IR-6 | 12.10 |
Sicherheitsprinzip: Automatisieren Sie die manuellen, sich wiederholenden Aufgaben, um die Reaktionszeit zu beschleunigen und die Belastung für Analysten zu verringern. Manuelle Aufgaben dauern länger, um jeden Vorfall zu verlangsamen und zu verringern, wie viele Vorfälle ein Analyst verarbeiten kann. Manuelle Aufgaben erhöhen auch die Ermüdung von Analysten, wodurch das Risiko eines menschlichen Fehlers erhöht wird, der Verzögerungen verursacht und die Fähigkeit von Analysten beeinträchtigt, sich effektiv auf komplexe Aufgaben zu konzentrieren.
Azure-Leitfaden: Verwenden Sie Workflowautomatisierungsfeatures in Microsoft Defender für Cloud und Azure Sentinel, um Aktionen automatisch auszulösen oder ein Playbook auszuführen, um auf eingehende Sicherheitswarnungen zu reagieren. Das Playbook führt Aktionen aus, z. B. das Senden von Benachrichtigungen, das Deaktivieren von Konten und das Isolieren problematischer Netzwerke.
Implementierung und zusätzlicher Kontext:
- Konfigurieren der Workflowautomatisierung in Microsoft Defender für Cloud
- Einrichten automatisierter Bedrohungsantworten in Microsoft Defender für Cloud
- Einrichten automatisierter Bedrohungsantworten in Azure Sentinel
Kundensicherheitsbeteiligte (Weitere Informationen):
IR-7: Aktivitäten nach dem Vorfall – Lernen lernen und Nachweise aufbewahren
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS-ID(s) v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Sicherheitsprinzip: Führen Sie in Ihrer Organisation regelmäßig und/oder nach wichtigen Vorfällen eine Lektion durch, um Ihre zukünftige Funktion bei der Reaktion und Behandlung von Vorfällen zu verbessern.
Behalten Sie basierend auf der Art des Incidents die Beweise im Zusammenhang mit dem Incident für den Zeitraum bei, der im Behandlungsstandard für den Incident für weitere Analysen oder rechtliche Maßnahmen definiert ist.
Azure-Leitfaden: Verwenden Sie das Ergebnis aus der gelernten Aktivität, um Ihren Plan zur Reaktion auf Vorfälle, Playbook (z. B. Azure Sentinel-Playbook) zu aktualisieren und Erkenntnisse in Ihre Umgebungen (z. B. Protokollierung und Bedrohungserkennung zur Behebung von Protokolllückenbereichen) zu integrieren, um Ihre zukünftige Fähigkeit zum Erkennen, Reagieren und Behandeln des Vorfalls in Azure zu verbessern.
Bewahren Sie die während des "Erkennung und Analyse – Untersuchen eines Vorfalls Schritt" gesammelten Nachweise, wie Systemprotokolle, Netzwerkdatenverkehrsdump und laufende Systemmomentaufnahme, im Speicher, wie beispielsweise einem Azure Storage-Konto, zur Aufbewahrung auf.
Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):