Pilveturvalisus ei seisne tulekahjude kustutamises, vaid valmisolekus enne suitsu tekkimist. Azure'i ja Microsoft 365 keskkondades hästi läbimõeldud intsidentidele reageerimise plaan See säilitab vastupidavuse, vähendab kokkupuuteaega ja piirab kahju, säilitades samal ajal kohtuekspertiisi tõendid. Rakendame kõike seda praktilise lähenemisviisiga, mis on kooskõlas NIST SP 800-61 raamistikuga: ettevalmistus, avastamine ja analüüs, ohjeldamine/hävitamine/taastamine ja järelmeetmed.
Nõrk turvaprogramm tähendab ründajatele pikemat vastuvõttu, regulatiivseid karistusi ja korduvaid rünnakuid. Seetõttu... Peamine on kombineerida natiivseid tööriistu (Defender, Sentinel, Azure Monitor) Selgete protsesside, automatiseerimise ja juhtimise abil pakun põhjalikku juhendit koos tegutsemist võimaldavate taktikate ja viidetega MITRE ATT&CK-le, et teie organisatsioon saaks mitte ainult reageerida, vaid tegutseda arukalt ja kiiresti.
Pilve reageerimisplaani põhitõed
Eesmärk on kiiresti ohjeldada ja taastada, säilitades samal ajal tõendeid kohtuekspertiisi ja vastavusnõuete jaoks. Järgige NIST SP 800-61 tsüklit ja tuginevad kolmele sambale: ettevalmistus (plaanid, rollid, kontaktid, automatiseerimine), tuvastamine/analüüs (kvaliteedihoiatused, intsidentide loomine, uurimine) ning ohjeldamine/taastamine/pidev täiustamine (SOAR, isoleerimine ja saadud õppetunnid).
Nõrgad võimed avavad ukse pikematele viibimisaegadele, andmete kadumisele ja trahvidele. Pilves on vastutus jagatud.Seetõttu on vaja dokumenteerida, kes mida teeb (klient/tarnija) ja kuidas Microsoftiga ühendust võtta (MSRC, platvormi tugi), et vältida oluliste minutite kaotamist.
Ettevalmistus (PIR-1): Azure'i-spetsiifiline plaan ja haldus
Põhimõte on lihtne: dokumenteeri, testi ja täiustaÜldine plaan pilves ei toimi: vajate protseduure virtuaalmasinate hetktõmmiste, Azure'i logimise, loogilise isolatsiooni ja Microsoftiga koostöö tegemiseks. Tehke regulaarselt harjutusi ja vaadake üle oma käsiraamatu tõhusus.
Leevendavad riskid: kriisiolukorras kaos, pilveprotseduuride puudumine, halb koordineerimine teenusepakkujaga, testimata tööriistad. vastavusvead ja kehvad tõendite säilitamise tavad. Kui struktuur ja koolitus puuduvad, on mõju sageli suurem, kui paistab.
MITRE kaardistamine: kaitseliinide eest kõrvalehoidmine (T1562), andmete hävitamine löök (T1485) ja andmete ettevalmistamine väljaviimiseks (T1074). Plaani olemasolu hoiab ära vastase ajavõidu meie korralageduse tõttu.
IR-1.1 (Azure'i plaan): piiritleb IaaS/PaaS/SaaS-i kohustused; kasutab Azure Monitori logisid, auditeerimist ja Microsoft Entra ID sisselogimisi. NSG voo logid ja Defender for Cloudi hoiatused; sisaldab tõendite jäädvustamist (virtuaalmasinate hetktõmmised, mälutõmmised, PCAP); määratleb, kuidas aktiveerida Microsofti/MSRC tuge; ja dokumenteerib ressursside isoleerimist automatiseerimise abil (nt käsiraamatud, mis eemaldavad virtuaalmasina koormuse tasakaalustajast).
Integratsioon Defender for Cloudiga: seadistamine Turvakontaktid ööpäevaringseltSeo tõsidusastmed oma sisemiste tasemetega, automatiseeri hoiatuste ja intsidentide loomine Logic Appsi abil, valmista ette regulatiivsete teavituste mallid (GDPR, HIPAA, PCI) ja hoia valmis tõendite ekspordi protseduurid (pidev eksport).
IR-1.2 (meeskond ja koolitus): määratleb selged rollid (pilveanalüütikud, Azure'i arhitektid, õigus-/vastavusküsimused, järjepidevus, välised kontaktid), annab volitused otsuste tegemiseks ja koolita meeskonda natiivtööriistade kasutamisel (Kaitsja, Valvur, KQL). Hästi treenitud meeskond vähendab vigu surve all.
Tervishoiu näide: Azure + HIPAA pakett, spetsiaalne meeskond sertifikaatidega, konfigureeritud turvakontaktid. kvartalisimulatsioonidTõendusprotseduurid (hetktõmmised/monitooring) ja koostöövõimalused Microsoftiga. Tulemus: ööpäevaringne kajastus ja pidev täiustamine.
Teavitamine ja eskalatsioon (IR-2): Ärge laske kellelgi liiga hilja teada saada
Peame õigele inimesele kiiresti teada andma. Automatiseerige hoiatuste käivitamineHoidke oma kontaktide nimekirja ajakohasena ja integreeruge Microsofti teenustega, et platvormi või regulatiivsete intsidentide korral tegevust koordineerida.
Riskid: hiline tunnustamine, tähtaegade mittetäitmine (GDPR 72h, HIPAA 60 päeva, PCI kohene), halb koordineerimine tarnijaga, mainekahjuKoordineerimata jõupingutused ja hilinenud ohjeldamine. Suhtlemine säästab olulisi minuteid.
MITRE: C2 kestab kauem (T1071), kui võrku ei koordineerita, väljafiltratsioon läbi kanali C2 (T1041) ja lunavara (T1486) levivad, kui teavitused ja eskalatsioonid takerduvad.
IR-2.1 (kontaktid Microsoftiga): turbekontaktide konfigureerimine Defender for Cloudis (esmane/teisejärguline, mitmekanaliline(perioodiline testimine) tellimuse või haldusgrupi tasandil, mallide ja automaatse piletite loomisega (Azure DevOps/ITSM).
IR-2.2 (töövood): Kasutage Logic Appsi ja Sentineli käsiraamatuid, et hoiata gravitatsiooni poolt ja intsidendi tüüp, sidusrühmade maatriksi, ajapõhise eskalatsiooni, regulatiivsete mallide ja Azure Monitori/Event Hubsi pistikute, e-posti ja Teamsiga; integreerub väliste tööriistadega API kaudu.
Näide finantsvaldkonnas: ööpäevaringsed kontaktid kauplemiskeskustes, Logic Apps SEC/FINRA aruandluseks, sisemise/välise sidusrühma maatriksiga käsiraamatud, 8K ja osariikide teadete mallid, kliendivoogude voog koos juriidilise läbivaatusega ja automaatsed piletidTulemus: lühem teavitusaeg ja vähem inimlikke vigu.
Tuvastamine ja analüüs (IR-3): vähem müra, rohkem signaali
Teavituste kvaliteet on kõik: vähendab valepositiivseid tulemusi Ja see garanteerib tegeliku kajastuse. See automatiseerib intsidentide loomise rikastamise ja eskaleerimise abil. Vastasel juhul meeskond kurnab end ära ja olulised probleemid mattuvad väiksemate teadete taha.
Riskid: väsimus, möödalastud ohud, halb ressursside jaotus, kõrge MTTD/MTTR, halb ohuinfo ja ebaregulaarsete intsidentide teke. Signaali-müra suhte reeglid.
MITRE: maskeerimine (T1036), kehtivate kontode kasutamine (T1078) ja automatiseeritud koristamine (T1119) tekivad siis, kui te ei kohanda tuvastusi käitumise põhjal. Juurdepääsu ja kontode auditeerimiseks vaadake tööriistu jaotises Active Directory audit.
IR-3.1 (Defender XDR): Seos lõpp-punkti, identiteedi, e-posti ja pilverakenduste vahel ühendatud juhtumidAIR (automatiseeritud uurimine ja reageerimine); täiustatud rünnakute analüüs KQL-iga; toodeteülene blokeerimine; ja automatiseeritud rünnakute katkestamine. Integreerub Sentineliga natiivse pistiku kaudu ühtse järjekorra ja platvormideülese analüütika jaoks.
IR-3.2 (Defender for Cloud): Võimaldab sobivaid pakette (serverid, rakenduste teenus, salvestusruum, konteinerid, võtmehoidla), aktiveerib masinõppe/tehisintellekti, pärsib teadaolevad valepositiivsed tulemusedkalibreerib raskusastmeid ja edastab need XDR-ile ja Sentinelile kohandatud analüüsireeglite abil ning Threat Intelligence.
IR-3.3 (Sentineli intsidendid): loob analüüsireeglid, grupihoiatused Intsidentide haldamisel rikastage üksusi (kasutajaid, hoste, IP-aadresse, faile), hinnake tõsidust kriitilisuse ja riski alusel, määrake omanikud ja eskaleerige aja järgi. Reageerimise standardiseerimiseks kasutage ajajooni, otsinguraamatuid, Teamsi/ServiceNow'i ja märkmikke (SOAR).
Näide: Defenderi täielik aktiveerimine, KQL-reeglid ärimustrite järgi. automaatne intsidentide loomine rühmitamise ja rikastamise abil märkmikud tõendite/teadete/regulatiivsete ja SLA-de jälgimiseks. Tulemus: vähem valepositiivseid tulemusi ja kiiremad uurimised.
Juurdlus (IR-4): dokument, kohtuekspertiis ja hooldusahel
Ilma täielike dokumentide ja range säilitamiseta pole võimalik efektiivset uurimistööd teha. Tsentraliseeri logid ja standardiseerib tõendite kogumise protseduure (hetktõmmised, koopiad, jäädvustused). See takistab ründajal jälgede kustutamist ja kaitseb õiguslikku vastuvõetavust.
Riskid: rünnaku osaline nähtavus, teadmata andmete avalikustamine, varjatud püsivuse mehhanismidtõendite hävitamine, pikk viibimisaeg ja retsidiivsus puuduliku parandustegevuse tõttu.
MITRE: indikaatorite (T1070 ja T1070.004) eemaldamine, faili peitmine (T1564.001) ja süsteemiteabe avastamine (T1082). Kaevude uurimine tühistab selle eelise.
IR-4.1 (logid): kogub auditi- ja sisselogimisandmeid Entra ID-st, Azure'i tegevuslogist, NSG voo logidest, Azure Monitori agendilt virtuaalmasinates. rakenduste logid ja XDR-signaalid; uurige Sentinelis UEBA, uurimisgraafiku, jahiraamatute, MITRE-ülesande ja tööpiirkondade vaheliste konsultatsioonide abil.
IR-4.2 (kohtuekspertiis): automatiseerib virtuaalmasinate hetktõmmiseid, Azure'i ketta varundust (järkjärgulised varukoopiad), mälutõmmised, ekspordib logid asukohta Muutmatu Blobide salvestusruum koos juriidilise säilitamise, pakettide püüdmise (Network Watcher) ja räsi ja allkirjadega hoiulevõtmisega. See integreerib väliseid kohtuekspertiisi tööriistu ja kopeerib tõendeid piirkonna järgi krüptimise ja juurdepääsukontrolli abil.
Finantsnäide: Defender lõpp-punkti jaoks, Sentinel koos UEBA-ga ebatavalise kauplemise jaoks. hetktõmmiseid 5 minutiga Pärast kriitilist hoiatust muudetamatu salvestusruum koos SEC juriidilise ootele panemisega, XDR-pettuste otsimine ja automatiseeritud PCAP. Tulemus: oluliselt lühem uurimisaeg ja tagatud vastavus.
Prioriseerimine ja klassifitseerimine (IR-5): keskenduge sellele, mis tegelikult haiget teeb
Prioriteeti ei dikteeri äratus, Äri dikteerib seda.See liigitab varade kriitilisuse, mõju, tehnilise raskusastme ja regulatiivsete kohustuste järgi ning laseb automatiseeritud hindamissüsteemil suunata, kuhu pingutusi suunata.
Riskid: kriitilistele intsidentidele reageerimise viivitused, ressursside raiskamine väiksemate hoiatuste korral, suur mõju võtmesüsteemidele, reguleeritud andmete rikkumised, halb suhtlus juhtkonnaga ja võimalus horisontaalseks liikumiseks.
MITRE: Madala prioriteediga müramaskeerimine (T1036), lunavara kõrge väärtusega süsteemides (T1486) ja külgmine liikumine (T1021). Hea prioriseerimine sulgeb need uksed.
IR-5.1 (ärimõju): Märgistab ressursid kriitilisuse järgi (kriitiline/kõrge/keskmine/madal), seob need Microsoft Purview andmeklassifikatsiooniga, määratleb ärifunktsiooni, regulatiivse ulatuse ja võtke ühendust omanikegaKasutage Defender for Cloudi inventuuri ja oleku andmeid riskide ja internetile avatud olemuse/õiguste võrdlemiseks.
IR-5.2 (hindamine ja skaleerimine): arvuta Sentinelis mitmefaktoriline risk (vara, konfidentsiaalsus, IT, luureandmed), kasutab üksuse riski, suurendab vastavusnõuete raskusastet ning käivitab ajalise eskalatsiooni ja juhtkonna/juriidilise teavitamise vajaduse korral.
Näide: märgistamisstrateegia, hindamisreeglid reguleeritud keskkonna ja mõju järgi, kohene eskaleerumine Kriitiliste intsidentide korral on kaasatud juhtkond ja õigusosakond, kasutades automaatset mõjuhindamist ning 15-minutilist (kriitiline) ja 4-tunnist (kõrge) taimerit. Tulemus: ressursid on suunatud sinna, kus need on kõige olulisemad.
Ohjeldamine ja automatiseerimine (IR-6): SOAR, et võita minuteid
Automatiseeritud rünnakud ei oota; sina ka ei peaks ootama. Sentinel Playbooks + Logic Apps Nad teostavad ohjeldamist, uurimist ja taastamist masina kiirusel, vajadusel ka loaga.
Käsitsi töötamise riskid: pikk tööaeg, vead surve allebaregulaarne reageerimine, meeskonna väsimus, väike ulatus ja hiline ohjeldamine, mis võimaldab külgmist liikumist või väljafiltratsiooni.
MITRE: Kaugteenuste ärakasutamine (T1210), destruktiivne krüptimine (T1486) ja automatiseeritud väljafiltreerimine (T1020). Automatiseerimine kitsendab valikuvõimalusi.
IR-6.1 (strateegiaplaanid): kontode peatamine/sundlähtestamine, virtuaalmasinate isoleerimine NSG/tulemüüri abil, pahavara karantiin ja räsi blokeerimine, andmekaitse (juurdepääsu tühistamine/võtmete vahetamine) ning teavitused/vastavus regulatsioonidele. Integreerib Graph API, Defenderi, ARM-i, kolmanda osapoole SOAR-i ja kahe inimese kinnitused tundlike muudatuste jaoks.
IR-6.2 (sisaldamine): automatiseerib NSG/tulemüüri ja VNeti segmenteerimist, eemaldage tasakaalustajateltKohanda ExpressRoute'i/VPN-i; rakenda tingimusjuurdepääsu ja PIM-i, et tühistada riskirühma kuuluvate kontode JIT-õigused. Kasuta Azure'i automatiseerimise käitusraamatuid ja poliitikaid hulgiparanduseks.
Näide: seansside peatamise ja seadmete isoleerimise käsiraamatud, virtuaalmasinate isoleerimise käitusraamatud tõendite säilitamise ajal, automaatsed teavitused sidusrühmadele. täielik jälgitavus Turvaliste konfiguratsioonide ja integreeritud piletite säilitamiseks. Tulemus: tunnid teisendatakse minutiteks täieliku jälgitavusega.
Järeltegevused (IR-7): õppimine, meelespidamine ja täiustamine
Pärast intsidendi lõpetamist algab hea kraam: õppetunnid ja tõenduspõhine juhtimineVaadake üle algpõhjused, uuendage kontrolle ja treenige reaalsete juhtumitega ning hoidke tõendeid muutumatus salvestusruumis koos valveahelaga.
Riskid: kordumise esinemine parandamata jätmise tõttu, tõendite hävimine, trahvid ebaõige kinnipidamise eestleiged edusammud ja organisatsiooniliste teadmiste kadu. Sulgemine peab tagama mõõdetavad edusammud.
MITRE: kontode manipuleerimine (T1098), korduv ärakasutamine avalike rakenduste (T1190) ja indikaatorite eemaldamine (T1070). Pidev täiustamine vähendab neid teid.
IR-7.1 (õppetunnid): 48–72 tundi kestev ülevaade kõigi osapooltega, viis miks-küsimust/kalarõngas-diagramm ja ajakavad, avastamise/reageerimise/ennetamise lünkade hindamine. sidusrühmade tagasiside ja toimingud Azure DevOpsis koos tähtaegade ja mõõdikutega (MTTD/MTTR). Lisab tulemused koolitusse, dokumentatsiooni ja simulatsioonidesse.
IR-7.2 (säilitus): kasutab muutumatuid Blob Storage'i poliitikaid (ajutine säilitamine ja õiguslik ootel hoidmine), klassifikatsioon vastavalt Purview'le ja elutsüklid, vastutusahel räsi ja signatuuridega, piirkondlik replikatsioon ning indekseerimine/otsing. Vastavus: HIPAA (≈6 aastat), SOX (≈7), PCI (≥1 aasta; 3 kuud võrgus). GDPR-i kohaselt ei ole fikseeritud perioodi: kehtivad minimeerimise ja dokumenteeritud põhjenduse nõuded.
Näide tervishoiust: varajase läbivaatamise komisjonid, muutumatu säilivusaeg 6 aastat Õigusliku ootelepaneku, DevOpsi tööülesannete, automatiseeritud valveahela ja küpsusmõõdikute abil; järeldused teisendatakse teadlikkuse koolitusteks ja harjutusteks. Tulemus: vähem kordusi ja parem vastavus.
Taktikaline kontroll-leht: otsused, rollid ja harjutused
Lisaks tehnilistele aspektidele on ka keerulisi otsuseid, milles tuleks eelnevalt kokku leppida. Kasutage lauamängu harjutusi mis sunnivad juhtkonda valima riskide vahel ning hindama kulusid/kasu realistlikes stsenaariumides (lunavara, siseringi rünnakud, väljatungimine).
- Eelnevad otsused: millal politseiga ühendust võtta, väliste reageerijate kaasamine, lunaraha maksma/mitte maksmaTeavitage audiitoreid, privaatsusasutusi ja turvaregulaatoreid, teavitage juhatust ja seda, kes võib kriitilisi koormusi sulgeda.
- Säilitage juriidilised privileegid: koolitage meeskonda eristama fakte konfidentsiaalsest nõust. Kasutage järjepidevaid kanaleid (nt Microsofti koosolekukeskused) ja koordineerib tegevust väliste nõustajatega.
- Siseinfo: koostage juhatusele teated riskide leevendamiseks tururiskid haavatavuse perioodidel.
- Põhirollid: tehniline juht (juhib tegevusi), kommunikatsioonijuht (juhid/reguleerijad), plokkflööt (dokumenteerib otsuseid ja tõendeid), järjepidevuse planeerija (24–96 h) ja suhtekorraldus suure nähtavusega stsenaariumide korral.
- Privaatsus: SecOpsi märkmik + Privaatsusamet kiireks hindamiseks regulatiivne risk 72 tunni jooksul.
- Testimine: laiendatud läbitungimistestimine (sisaldab varukoopia), Punaste/Siniste/Lillade/Roheliste meeskondade ja Defenderi simulatsioonid (M365/Endpoint).
- Järjepidevus ja DR: planeerige Azure'is minimaalselt elujõulisi tooteid, varukoopiaid ja taastamisi. aktiivsed/passiivsed stsenaariumid ja ettevalmistusaegade valideerimine ühilduval riistvaral.
- Alternatiivsed sidevahendid: Kui e-post/koostöö katkeb, siis laske Kontaktid, topoloogiad ja käitusraamatud salvestatud võrguühenduseta ja muutmatu.
- Hügieen ja elutsükkel: muutmatud koopiad ja logid, toetamata riistvara haldamine, jätkusuutlik personalitöö ja ühtne vorming eduaruanne (tehtud/teen/teen teen + tähtajad).
Kooskõla CIS Controls 10.x-ga Azure'is
CIS-i Azure'i paigutamiseks looge IR-juhend (10.1), defineerige prioriseerimine ja hindamine (10.2), testida plaani (10.3), vaadata üle intsidendid ja võtta ühendust MSRC-ga (10.4), eksportida hoiatusi/soovitusi Pidev eksport Ühenda see Sentineliga (10.5) ja automatiseeri vastuseid Logic Appsi (10.6) abil. Märgista tellimused (tootmis-/mittetootmistellimused) ja ressursid, mis käsitlevad tundlikke andmeid.
Azure SRE agendi plaanid intsidentide jaoks
Kui kasutate Azure SRE agendi intsidentide haldust, saate luua kohandatud plaane filtrite (tüüp, mõjutatud teenus(prioriteet, pealkiri), valige täitmisrežiim (läbivaatamine või autonoomne) ja lisage ajaloo põhjal kohandatud juhiseid, et agent saaks valida sobivad tööriistad.
Vaikimisi: ühendatud Azure Monitoriga, protsessid madala prioriteediga juhtumid See toetab kõiki teenuseid ja on saadaval ülevaatusrežiimis. See integreerub PagerDuty ja ServiceNow'ga ning võimaldab testida plaane ajalooliste juhtumitega kirjutuskaitstud režiimis.
SDL-i vabastamise ja reageerimise faasid
Väljalaskeosas valmistage teenus ette: koormuse testimine Azure'i koormustestimise, tsentraliseeritud WAF-i (rakenduse värav või esiuks koos OWASP CRS-iga), IR-plaani ja lõpliku turvaülevaatega enne sertifitseerimist ja arhiveerimist (tõendid ja artefaktid).
Vastuseks rakendage plaani ja jälgige: Application Insightsi jõudlust ja tegelikku kasutamist ning Defender pilve jaoks asendi, tuvastamise ja reageerimise jaoks Azure'is ja hübriidkeskkonnas.
Azure CWPP: arhitektuur, võimalused ja parimad tavad
Azure'i CWPP platvorm hõlmab virtuaalmasinaid, konteinereid ja serverita keskkondi. Tüüpilised probleemid: keerukus juurutamine, valekonfiguratsioonid, kulud, privaatsus/vastavus, kolmandate osapoolte integratsioon ja muutustega sammu pidamine.
Peamised arhitektuurid: Sentinel (SIEM/SOAR), Azure'i tulemüür, DDoS kaitse ja võtmehoidla saladuste/võtmete jaoks. See integreerib Azure'i, kohapealsed ja muud pilveallikad, normaliseerib ja salvestab andmeid Log Analyticsis ning rikastab neid globaalse ohuanalüüsiga.
Ühtne haldus: Defender for Cloud projekteerib seisundi, Azure'i poliitika See tsentraliseerib vastavuse tagamise ning hoiatussüsteem seab prioriteediks ja uurib probleeme. Elastne skaleeritavus, globaalne juurutamine, astmeline salvestusruum ja koormuse tasakaalustamine jõudluse tagamiseks.
Sentinel SIEM/SOAR: andmeühendused, andmejaht KQL-iga, intsidentide haldamine uurimisdiagramm ja Logic Appsi baasil loodud reageerimisstrateegiad (alates hoiatustest kuni kontode deaktiveerimise või teadaolevate heade olekute taastamiseni).
Võrk ja andmed: võrgu ja andmete visualiseerimine ja juhtimineJIT virtuaalmasinatele, adaptiivne tugevdamine (ML-i soovitatud NSG), krüptimine puhkeolekusSQL-süstimise tuvastamine, salvestusruumi turvalisus (hindamised, turvaline edastus, krüptimine, juurdepääs), krüptimine puhkeolekus ja TLS-krüptimine edastamisel ning salajaste andmete haldamine võtmehoidla ja rotatsiooni abil.
Konteinerid ja Kubernetes: ACR koos piltide skaneerimisega push- ja haavatavuste aruanded; käitusaegne kaitse (monitooring, segmenteerimine, vähimate õiguste kasutamine ja kohene reageerimine), K8s-spetsiifilised tuvastused (API-d, tundlikes nimeruumides olevad podid), pidev poos, juurdepääsukontrollerid ja võrgupoliitikad.
Parimad tavad: lubage Defender kõigis tellimustes, klassifitseerib ja triaažib hoiatused, turvaskoori jälgimine, IR-plaani määratlemine ja testimine ning jõudluse optimeerimine (kulud/telemeetria/säilitamine).
Ametlik teatis Azure'i intsidentide kohta
Enne: tutvuge Azure'i teenuse tervisKonfigureerige teatisi tellimuse/teenuse/piirkonna järgi (teenuse probleemid, hooldus, turvateated) ja rakendage Azure Monitori baasteavituste lahendust. Hoidke kontaktid (administraator/omanik/privaatsus/üürnik) ajakohasena ja kasutage kasutajate teavitamiseks ajastatud sündmusi.
Parandab positsiooni: MFA, tingimuslik juurdepääs ja kõrge riskiga kasutajate hoiatused; tellimuste liikumise haldamine kataloogide vahel; hästiarhitekteeritud ülevaate ja töökindluse raamat; seotud piirkonnad ja kättesaadavustsoonid; kriitiliste virtuaalmasinate isoleerimine; hoolduskonfiguratsioonid; Azure Chaos Studio; ja teenuste pensionile jäämise raamat.
Ajal: Kontrollige portaalis teenuse seisundit värskenduste saamiseks, avalik leht azure.status.microsoft Kui portaal ei laadi, siis varukoopiana @AzureSupport X-is. Kui te ei näe oma juhtumit teenuses Service Health ja see mõjutab teid, avage tugiteenuse pilet; kui tegemist on turvaprobleemiga, viidake jälgimis-ID-le.
Järgmisena: lugege hooldusajaloo intsidendijärgset ülevaadet (PIR), osalege Juhtumi retrospektiiv Vajadusel edasta voogedastust ja taotle SLA krediiti, kui see on kohaldatav, märkides ära intsidendi ID.
Juhtraamidele kaardistamine
Auditi ja vastavuse eesmärgil kaardistage oma kontrollimehhanismid järgmisele: NIST SP 800-53 (IR-1..IR-8, SI-4, AU-6/7, CP-9), PCI-DSS (12.10.x, 10.6.x, 5.3.2, 11.5.1), CIS v8.1 (17.x, 8.x, 13.x), NIST CSF v2.0 (PR.IP, RS.CO, DE.CM/AE, RS.AN/MI/IM), ISO 27001: 2022 (A.5.24–A.5.28, A.8.13, A.8.16) ja SOC 2 (CC7.x, CC9.1, A1.x). See jätab jälgitavuse selle üle, mis protseduur, tööriist ja mõõdik See katab kõik nõuded.
Imelist lahendust pole, aga selgete protsesside, automatiseerimise ja tehnilis-juriidilise juhtimise kombineerimine muudab intsidendi tagasilöögiks, mitte kriisiks. Tõestatud plaanide, kvaliteedi tuvastamise, automatiseeritud ohjeldamise ja pideva õppimisegaAzure'ist ja Microsoft 365-st on saanud keskkond, kus riske hallatakse andmete, mitte sisetunnetuse abil.
