Реагирование на инциденты в системе управления безопасностью

Защитите данные своей организации вместе с ее репутацией, разработав и реализовав инфраструктуру реагирования на инциденты (например, планы, определенные роли, обучение, обмен информацией, контроль управления), которая позволит вам быстро обнаруживать атаки, эффективно локализовать ущерб от них, блокировать злоумышленникам доступ к вашим сетям и системам и восстанавливать их целостность.

10.1. Создание руководства по реагированию на инциденты

Создайте руководство по реагированию на инциденты для вашей организации. Убедитесь в том, что имеются письменные планы реагирования на инциденты, которые определяют все действия персонала, а также этапы обработки инцидентов и управления ими для проверки после инцидента.

• Руководство по созданию собственного процесса реагирования на инциденты безопасности

• Анатомия инцидента Центра Майкрософт по реагированию на угрозы

• Использование руководства по обработке инцидентов безопасности компьютера от NIST для создания собственного плана реагирования на инциденты

10.2. Создание процедуры оценки инцидента и определения приоритетов

Центр безопасности назначает каждому оповещению серьезность, которая поможет определить, какие предупреждения следует расследовать первыми. Серьезность основывается на том, насколько уверен Центр безопасности в исследовании или аналитике, используемой для оповещения, а также на уровне достоверности злонамеренности события, приведшего к оповещению.

Кроме того, отметьте подписки понятными тегами (например, как "производственные" и "непроизводственные") и создайте систему именования для четкого обозначения и классификации ресурсов Azure, особенно тех, что обрабатывают конфиденциальные данные. Вы несете ответственность за назначение приоритета оповещениям, требующим действий по исправлению, в зависимости от важности ресурсов Azure и среды, в которой произошел инцидент.

• Оповещения безопасности в Центре безопасности Azure

• использование тегов для упорядочения ресурсов в Azure

10.3. Проверка процедур реагирования на угрозы

Выполняйте упражнения, чтобы периодически тестировать возможности ваших систем реагировать на угрозы для защиты ресурсов Azure. Выявите слабые точки и пробелов и пересмотрите план по мере необходимости.

• Публикация NIST — руководство по тестированию, обучению и выполнению программ для ИТ-планов и возможностей

10.4. Предоставление контактных сведений и настройка уведомлений по инцидентам безопасности

Корпорация Майкрософт будет использовать информацию об инциденте безопасности для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаружит, что к вашим данным был получен незаконный или несанкционированный доступ. Проверьте инциденты после факта обращения, чтобы убедиться, что проблемы устранены.

• Как задать контакт безопасности Центра безопасности Azure

10.5. Включение оповещений системы безопасности в систему реагирования на инциденты

Экспортируйте оповещения и рекомендации Центра безопасности Azure с помощью функции непрерывного экспорта с целью выявления рисков для ресурсов Azure. Непрерывный экспорт позволяет экспортировать предупреждения и рекомендации как вручную, так и в постоянном, непрерывном режиме. Вы можете использовать соединитель данных Центра безопасности Azure для потоковой передачи оповещений в Azure Sentinel.

• Настройка непрерывного экспорта данных

• Как выполнить потоковую передачу оповещений в Azure Sentinel

10.6. Автоматизация реагирования на оповещения системы безопасности

Используйте функцию автоматизации рабочих процессов в Центре безопасности Azure, чтобы с помощью Logic Apps автоматически запускать реагирование на оповещения и рекомендации системы безопасности для защиты ваших ресурсов Azure.

• Как настроить автоматизацию рабочего процесса и Logic Apps

Дальнейшие действия

• Следующая статья: Управление безопасностью Azure. Тесты на проникновение и попытки нарушения безопасности "красной командой"