Azure અને Microsoft 365 માટે ક્લાઉડ ઘટના પ્રતિભાવ યોજના

  • NIST SP 800-61 સાથે યોજનાનું માળખું બનાવો: તૈયારી, શોધ, નિયંત્રણ અને સતત સુધારો, ફ્રેમવર્ક (NIST, ISO, CIS, PCI) સાથે મેપ કરેલ.
  • ગુણવત્તા ચેતવણીઓ, એકીકૃત ઘટનાઓ અને સ્વચાલિત પ્રતિભાવ માટે ડિફેન્ડર, સેન્ટીનેલ, લોજિક એપ્સ અને એઝ્યુર મોનિટર સાથે ગોઠવણી કરો.
  • કેન્દ્રિય લોગ, અપરિવર્તનશીલ પુરાવા અને સારી રીતે દસ્તાવેજીકૃત કસ્ટડી સાંકળ સાથે તપાસ અને પાલનને મજબૂત બનાવો.
Pablo

14 મિનિટ

Azure અને Microsoft 365 ઘટના પ્રતિભાવ યોજનાનું ચિત્ર

ક્લાઉડ સુરક્ષા આગ બુઝાવવા વિશે નથી; તે ધુમાડો શરૂ થાય તે પહેલાં તૈયાર રહેવા વિશે છે. એઝ્યુર અને માઇક્રોસોફ્ટ 365 વાતાવરણમાં, ઘટના પ્રતિભાવ માટે સારી રીતે તૈયાર યોજના તે સ્થિતિસ્થાપકતા જાળવી રાખે છે, એક્સપોઝર સમય ઘટાડે છે અને ફોરેન્સિક પુરાવાઓને સાચવતી વખતે નુકસાનને મર્યાદિત કરે છે. અમે આ બધું NIST SP 800-61 ફ્રેમવર્ક સાથે સંરેખિત વ્યવહારુ અભિગમ સાથે અમલમાં મૂકીશું: તૈયારી, શોધ અને વિશ્લેષણ, નિયંત્રણ/નાબૂદી/પુનઃપ્રાપ્તિ, અને ફોલો-અપ પ્રવૃત્તિઓ.

નબળા સુરક્ષા કાર્યક્રમનો અર્થ હુમલાખોરો માટે લાંબો સમય, નિયમનકારી દંડ અને વારંવાર હુમલાઓ થાય છે. તેથી, મુખ્ય વાત એ છે કે મૂળ સાધનો (ડિફેન્ડર, સેન્ટીનેલ, એઝ્યુર મોનિટર) ને જોડવામાં આવે. સ્પષ્ટ પ્રક્રિયાઓ, ઓટોમેશન અને શાસન સાથે, હું MITRE ATT&CK ના કાર્યક્ષમ યુક્તિઓ અને સંદર્ભો સાથે એક વ્યાપક માર્ગદર્શિકા પ્રદાન કરું છું, જેથી તમારી સંસ્થા માત્ર પ્રતિક્રિયા આપી શકે નહીં, પરંતુ બુદ્ધિપૂર્વક અને ઝડપથી પ્રતિક્રિયા આપી શકે.

ક્લાઉડ રિસ્પોન્સ પ્લાનની મૂળભૂત બાબતો

ધ્યેય ફોરેન્સિક અને પાલન માટે પુરાવા સાચવીને, તેને નિયંત્રિત કરવાનો અને ઝડપથી પુનઃપ્રાપ્ત કરવાનો છે. NIST SP 800-61 ચક્રને અનુસરો અને ત્રણ સ્તંભો પર આધાર રાખે છે: તૈયારી (યોજના, ભૂમિકાઓ, સંપર્કો, ઓટોમેશન), શોધ/વિશ્લેષણ (ગુણવત્તા ચેતવણીઓ, ઘટનાનું નિર્માણ, તપાસ), અને નિયંત્રણ/પુનઃપ્રાપ્તિ/સતત સુધારણા (SOAR, અલગતા અને શીખેલા પાઠ).

નબળી ક્ષમતાઓ લાંબા સમય સુધી રહેવાના સમય, ડેટા ખોટ અને દંડના દરવાજા ખોલે છે. વાદળમાં, જવાબદારી વહેંચાયેલી છે.તેથી, મહત્વપૂર્ણ મિનિટો ગુમાવવાનું ટાળવા માટે કોણ શું કરે છે (ગ્રાહક/સપ્લાયર) અને માઇક્રોસોફ્ટ (MSRC, પ્લેટફોર્મ સપોર્ટ) સાથે કેવી રીતે આગળ વધવું તે દસ્તાવેજીકૃત કરવું જરૂરી છે.

તૈયારી (PIR-1): એઝ્યુર-વિશિષ્ટ યોજના અને શાસન

સિદ્ધાંત સરળ છે: દસ્તાવેજીકરણ, પરીક્ષણ અને સુધારોક્લાઉડમાં સામાન્ય યોજના કામ કરશે નહીં: તમારે VM સ્નેપશોટ, Azure લોગિંગ, લોજિકલ આઇસોલેશન અને માઇક્રોસોફ્ટ સાથે સહયોગ માટે પ્રક્રિયાઓની જરૂર છે. નિયમિત કવાયત ચલાવો અને તમારી પ્લેબુકની અસરકારકતાની સમીક્ષા કરો.

ઘટાડવાના જોખમો: કટોકટીમાં અરાજકતા, ક્લાઉડ પ્રક્રિયાઓનો અભાવ, પ્રદાતા સાથે નબળો સંકલન, પરીક્ષણ ન કરાયેલા સાધનો, પાલન ભૂલો અને પુરાવા જાળવણીની નબળી પદ્ધતિઓ. જો કોઈ માળખું અને તાલીમ ન હોય તો તેની અસર ઘણીવાર લાગે છે તેના કરતાં વધુ હોય છે.

મીટર મેપિંગ: બચાવની ચોરી (T1562), ડેટા વિનાશ અસરમાં (T1485) અને એક્સફિલ્ટ્રેશન માટે ડેટાની તૈયારી (T1074). યોજના રાખવાથી આપણી અવ્યવસ્થાને કારણે વિરોધીને સમય મેળવવાથી અટકાવવામાં આવે છે.

IR-1.1 (એઝ્યુર પ્લાન): IaaS/PaaS/SaaS જવાબદારીઓનું વર્ણન કરે છે; એઝ્યુર મોનિટર લોગ, ઓડિટિંગ અને માઇક્રોસોફ્ટ એન્ટ્રા ID લોગિનનો ઉપયોગ કરે છે. NSG ફ્લો લોગ્સ અને ક્લાઉડ ચેતવણીઓ માટે ડિફેન્ડર; પુરાવા કેપ્ચર (VM સ્નેપશોટ, મેમરી ડમ્પ, PCAP) શામેલ છે; Microsoft/MSRC સપોર્ટને કેવી રીતે સક્રિય કરવો તે વ્યાખ્યાયિત કરે છે; અને ઓટોમેશન સાથે સંસાધન આઇસોલેશનનું દસ્તાવેજીકરણ કરે છે (દા.ત., લોડ બેલેન્સરમાંથી VM દૂર કરતી પ્લેબુક્સ).

ક્લાઉડ માટે ડિફેન્ડર સાથે એકીકરણ: ગોઠવો 24/7 સુરક્ષા સંપર્કોતમારા આંતરિક સ્તરો સુધી ગંભીરતાના સ્તરનો નકશો બનાવો, લોજિક એપ્સ વડે ચેતવણીઓ અને ઘટના નિર્માણને સ્વચાલિત કરો, નિયમનકારી સૂચના ટેમ્પ્લેટ્સ (GDPR, HIPAA, PCI) તૈયાર કરો અને પુરાવા નિકાસ પ્રક્રિયાઓ (સતત નિકાસ) તૈયાર રાખો.

IR-1.2 (ટીમ અને તાલીમ): સ્પષ્ટ ભૂમિકાઓ વ્યાખ્યાયિત કરે છે (ક્લાઉડ વિશ્લેષકો, એઝ્યુર આર્કિટેક્ટ્સ, કાનૂની/પાલન, સાતત્ય, બાહ્ય સંપર્કો), નિર્ણયોને અધિકૃત કરે છે અને ટીમને સ્થાનિક સાધનોમાં તાલીમ આપો (ડિફેન્ડર, સેન્ટીનેલ, કેક્યુએલ). સારી રીતે તાલીમ પામેલી ટીમ દબાણ હેઠળ ભૂલો ઘટાડે છે.

આરોગ્ય સંભાળનું ઉદાહરણ: Azure + HIPAA યોજના, પ્રમાણપત્રો સાથે સમર્પિત ટીમ, સુરક્ષા સંપર્કો ગોઠવેલા, ત્રિમાસિક સિમ્યુલેશન્સપુરાવા પ્રક્રિયાઓ (સ્નેપશોટ/નિરીક્ષણ) અને માઇક્રોસોફ્ટ સાથે સહયોગના માર્ગો. પરિણામ: 24/7 કવરેજ અને સતત સુધારો.

સૂચના અને વધારો (IR-2): કોઈને પણ ખૂબ મોડું ખબર ન પડવા દો

આપણે યોગ્ય વ્યક્તિને ઝડપથી જાણ કરવાની જરૂર છે. ચેતવણીઓનું ટ્રિગરિંગ સ્વચાલિત કરોપ્લેટફોર્મ અથવા નિયમનકારી ઘટનાઓ બને ત્યારે સંકલન કરવા માટે તમારી સંપર્ક સૂચિને અદ્યતન રાખો અને Microsoft સેવાઓ સાથે સંકલિત થાઓ.

જોખમો: મોડી ઓળખ, સમયમર્યાદા પૂરી કરવામાં નિષ્ફળતા (GDPR 72h, HIPAA 60 દિવસ, તાત્કાલિક PCI), સપ્લાયર સાથે નબળું સંકલન, પ્રતિષ્ઠાને નુકસાનઅસંકલિત પ્રયાસો અને વિલંબિત નિયંત્રણ. વાતચીત મહત્વપૂર્ણ મિનિટો બચાવે છે.

મીટર: જો તમે નેટવર્કનું સંકલન ન કરો તો C2 લાંબા સમય સુધી ચાલે છે (T1071), ચેનલ C2 દ્વારા એક્સફિલ્ટ્રેશન જો સૂચનાઓ અને એસ્કેલેશન અટકી જાય તો (T1041) અને રેન્સમવેર (T1486) ફેલાય છે.

IR-2.1 (માઈક્રોસોફ્ટ સાથેના સંપર્કો): ડિફેન્ડર ફોર ક્લાઉડમાં સુરક્ષા સંપર્કોને ગોઠવો (પ્રાથમિક/માધ્યમિક, મલ્ટીચેનલ(સામયિક પરીક્ષણ), સબ્સ્ક્રિપ્શન અથવા વહીવટ જૂથ સ્તરે, ટેમ્પ્લેટ્સ અને સ્વચાલિત ટિકિટ બનાવટ (એઝ્યુર ડેવઓપ્સ/આઇટીએસએમ) સાથે.

IR-2.2 (વર્કફ્લો): લોજિક એપ્સ અને સેન્ટીનેલ પ્લેબુક્સનો ઉપયોગ કરો ગુરુત્વાકર્ષણ દ્વારા ચેતવણી આપો અને ઘટના પ્રકાર, હિસ્સેદાર મેટ્રિક્સ, સમય-આધારિત એસ્કેલેશન, નિયમનકારી ટેમ્પ્લેટ્સ અને એઝ્યુર મોનિટર/ઇવેન્ટ હબ કનેક્ટર્સ, ઇમેઇલ અને ટીમ્સ સાથે; API દ્વારા બાહ્ય સાધનો સાથે સંકલિત થાય છે.

નાણાકીય ઉદાહરણ: ટ્રેડિંગ હબમાં 24/7 સંપર્કો, SEC/FINRA રિપોર્ટિંગ માટે લોજિક એપ્લિકેશન્સ, આંતરિક/બાહ્ય હિસ્સેદાર મેટ્રિક્સ સાથે પ્લેબુક્સ, 8-K અને રાજ્ય સૂચનાઓ માટે ટેમ્પ્લેટ્સ, કાનૂની સમીક્ષા સાથે ક્લાયન્ટ ફ્લો અને ઓટોમેટિક ટિકિટપરિણામ: ઓછો સૂચના સમય અને ઓછી માનવીય ભૂલો.

શોધ અને વિશ્લેષણ (IR-3): ઓછો અવાજ, વધુ સિગ્નલ

ચેતવણીઓની ગુણવત્તા જ બધું છે: ખોટા હકારાત્મકતા ઘટાડે છે અને તે વાસ્તવિક કવરેજની ખાતરી આપે છે. તે ઘટના નિર્માણને સમૃદ્ધિ અને વૃદ્ધિ સાથે સ્વચાલિત કરે છે. નહિંતર, ટીમ બળી જાય છે અને મહત્વપૂર્ણ મુદ્દાઓ નાની સૂચનાઓ હેઠળ દટાઈ જાય છે.

જોખમો: થાક, ચૂકી ગયેલા જોખમો, નબળી સંસાધન ફાળવણી, ઉચ્ચ MTTD/MTTR, નબળી ધમકીની ગુપ્ત માહિતી અને અનિયમિત ઘટનાઓનું નિર્માણ. સિગ્નલ-ટુ-નોઈઝ રેશિયો નિયમો.

મીટર: માસ્કિંગ (T1036), માન્ય ખાતાઓનો ઉપયોગ (T1078) અને ઓટોમેટેડ લણણી (T1119) થાય છે જો તમે વર્તનના આધારે શોધને સમાયોજિત ન કરો. ઍક્સેસ અને એકાઉન્ટ્સનું ઑડિટ કરવા માટે, માં આપેલા સાધનોનો સંપર્ક કરો એક્ટિવ ડિરેક્ટરી ઓડિટ.

IR-3.1 (ડિફેન્ડર XDR): એન્ડપોઇન્ટ, ઓળખ, ઇમેઇલ અને ક્લાઉડ એપ્લિકેશનો વચ્ચેનો સહસંબંધ એકીકૃત ઘટનાઓAIR (ઓટોમેટેડ રિસર્ચ એન્ડ રિસ્પોન્સ); KQL સાથે એડવાન્સ્ડ હન્ટિંગ; ક્રોસ-પ્રોડક્ટ બ્લોકિંગ; અને ઓટોમેટેડ એટેક ડિસપ્શન. સિંગલ કતાર અને ક્રોસ-પ્લેટફોર્મ એનાલિટિક્સ માટે નેટિવ કનેક્ટર દ્વારા સેન્ટીનેલ સાથે એકીકૃત થાય છે.

IR-3.2 (ક્લાઉડ માટે ડિફેન્ડર): યોગ્ય યોજનાઓ (સર્વર, એપ્લિકેશન સેવા, સ્ટોરેજ, કન્ટેનર, કી વૉલ્ટ) સક્ષમ કરે છે, ML/AI સક્રિય કરે છે, દબાવી દે છે જાણીતા ખોટા હકારાત્મકતીવ્રતાને માપાંકિત કરે છે અને કસ્ટમ વિશ્લેષણ નિયમો સાથે XDR અને સેન્ટીનેલ તરફ આગળ વધે છે અને થ્રેટ ઇન્ટેલિજન્સ.

IR-3.3 (સેન્ટીનેલ ઘટનાઓ): વિશ્લેષણ નિયમો બનાવે છે, ગ્રુપ ચેતવણીઓ ઘટના વ્યવસ્થાપનમાં, એન્ટિટીઝ (વપરાશકર્તાઓ, હોસ્ટ્સ, IP, ફાઇલો) ને સમૃદ્ધ બનાવો, ગંભીરતા અને જોખમના આધારે ગંભીરતાનો સ્કોર બનાવો, માલિકોને સોંપો અને સમય જતાં વધારો કરો. પ્રતિભાવને પ્રમાણિત કરવા માટે સમયરેખા, શોધ પુસ્તકો, ટીમ્સ/સર્વિસનાઉ અને નોટબુક્સ (SOAR) નો ઉપયોગ કરો.

ઉદાહરણ: વ્યવસાય પેટર્ન દ્વારા ડિફેન્ડર, KQL નિયમોનું સંપૂર્ણ સક્રિયકરણ, આપમેળે ઘટના નિર્માણ જૂથીકરણ અને સંવર્ધન સાથે, પુરાવા/નોટિસ/નિયમનકારી અને SLA દેખરેખ માટે નોટબુક્સ. પરિણામ: ઓછા ખોટા હકારાત્મક અને ઝડપી તપાસ.

તપાસ (IR-4): રેકોર્ડ, ફોરેન્સિક્સ અને કસ્ટડીની સાંકળ

સંપૂર્ણ રેકોર્ડ અને સખત જાળવણી વિના, કોઈ અસરકારક સંશોધન શક્ય નથી. લોગને કેન્દ્રિત કરો અને પુરાવા પ્રક્રિયાઓ (સ્નેપશોટ, નકલો, કેપ્ચર) ને પ્રમાણિત કરે છે. તે હુમલાખોરને નિશાન ભૂંસી નાખવાથી અટકાવે છે અને કાનૂની સ્વીકાર્યતાનું રક્ષણ કરે છે.

જોખમો: હુમલાની આંશિક દૃશ્યતા, અજ્ઞાત ડેટા એક્સપોઝર, છુપાયેલા દ્રઢતા મિકેનિઝમ્સઅપૂર્ણ ઉપાયને કારણે પુરાવાનો નાશ, રહેવાનો સમય વધુ અને પુનરાવર્તન.

મીટર: સૂચકોનું નાબૂદી (T1070 અને T1070.004), ફાઇલ છુપાવવી (T1564.001) અને સિસ્ટમ માહિતી શોધ (T1082). સારી રીતે તપાસ કરવાથી તેના ફાયદાને નકારી શકાય છે.

IR-4.1 (લોગ્સ): VM પર Entra ID, Azure Activity Log, NSG Flow Logs, Azure Monitor Agent માંથી ઓડિટ અને લોગિન ડેટા એકત્રિત કરે છે, એપ્લિકેશન લોગ અને XDR સિગ્નલો; UEBA સાથે સેન્ટીનેલમાં તપાસ, સંશોધન ગ્રાફ, શિકાર પુસ્તકો, MITRE સોંપણી અને કાર્યક્ષેત્રો વચ્ચે પરામર્શ.

IR-4.2 (ફોરેન્સિક): VM સ્નેપશોટને સ્વચાલિત કરે છે, Azure ડિસ્ક બેકઅપ (વધારાની બેકઅપ), મેમરી ડમ્પ, લોગ નિકાસ કરે છે અપરિવર્તનશીલ બ્લોબ સ્ટોરેજ કાનૂની રીટેન્શન, પેકેટ કેપ્ચર (નેટવર્ક વોચર), અને હેશ અને સહીઓ સાથે કસ્ટડી સાથે. તે બાહ્ય ફોરેન્સિક સાધનોને એકીકૃત કરે છે અને એન્ક્રિપ્શન અને એક્સેસ નિયંત્રણ સાથે પ્રદેશ દ્વારા પુરાવાઓની નકલ કરે છે.

નાણાકીય ઉદાહરણ: એન્ડપોઇન્ટ માટે ડિફેન્ડર, અસામાન્ય ટ્રેડિંગ માટે UEBA સાથે સેન્ટીનેલ, 5' માં સ્નેપશોટ એક મહત્વપૂર્ણ ચેતવણી પછી, SEC કાનૂની પકડ સાથે અપરિવર્તનશીલ સંગ્રહ, છેતરપિંડી માટે XDR શોધ, અને સ્વચાલિત PCAP. પરિણામ: તપાસના સમયમાં નોંધપાત્ર ઘટાડો અને ખાતરીપૂર્વક પાલન.

પ્રાથમિકતા અને વર્ગીકરણ (IR-5): ખરેખર શું નુકસાન પહોંચાડે છે તેના પર ધ્યાન કેન્દ્રિત કરો

પ્રાથમિકતા એલાર્મ દ્વારા નક્કી થતી નથી, વ્યવસાય તે નક્કી કરે છે.તે સંપત્તિની ગંભીરતા, અસર, તકનીકી ગંભીરતા અને નિયમનકારી જવાબદારીઓ દ્વારા વર્ગીકૃત કરે છે, અને સ્વયંસંચાલિત સ્કોરિંગ માર્ગદર્શિકાને ક્યાં પ્રયત્નો કરવા તે આપે છે.

જોખમો: ગંભીર ઘટનાઓમાં વિલંબિત પ્રતિભાવ, નાની ચેતવણીઓ પર સંસાધનોનો વપરાશ, કી સિસ્ટમો પર ઉચ્ચ અસર, નિયમન કરાયેલ ડેટાનો ભંગ, નેતૃત્વ સાથે નબળો સંદેશાવ્યવહાર અને બાજુની હિલચાલ માટે વિન્ડો.

મીટર: ઓછી પ્રાથમિકતાવાળા અવાજ માસ્કિંગ (T1036), ઉચ્ચ-મૂલ્યવાળી સિસ્ટમો પર રેન્સમવેર (T1486) અને બાજુની ગતિ (T1021). સારી રીતે પ્રાથમિકતા આપવાથી તે દરવાજા બંધ થઈ જાય છે.

IR-5.1 (વ્યવસાયિક અસર): સંસાધનોને ગંભીરતા (ગંભીર/ઉચ્ચ/મધ્યમ/નીચું) સાથે લેબલ કરે છે, માઇક્રોસોફ્ટ પર્વ્યુ ડેટા વર્ગીકરણ સાથે લિંક કરે છે, વ્યવસાય કાર્ય, નિયમનકારી અવકાશ અને વ્યાખ્યાયિત કરે છે. માલિકોનો સંપર્ક કરોજોખમ અને ઇન્ટરનેટ એક્સપોઝર/વિશેષાધિકારનો ક્રોસ-રેફરન્સ કરવા માટે ક્લાઉડની ઇન્વેન્ટરી અને પોશ્ચર માટે ડિફેન્ડરનો ઉપયોગ કરો.

IR-5.2 (સ્કોરિંગ અને સ્કેલિંગ): સેન્ટીનેલમાં, ગણતરી કરો બહુવિધ પરિબળોવાળું જોખમ (સંપત્તિ, ગુપ્તતા, IT, ગુપ્ત માહિતી), એન્ટિટી રિસ્કનો ઉપયોગ કરે છે, પાલન માટે ગંભીરતા વધારે છે, અને લાગુ પડે ત્યારે સમય અને એક્ઝિક્યુટિવ/કાનૂની સૂચના માટે એસ્કેલેશન ટ્રિગર કરે છે.

ઉદાહરણ: લેબલિંગ વ્યૂહરચના, નિયંત્રિત વાતાવરણ અને અસર દ્વારા સ્કોરિંગ નિયમો, તાત્કાલિક વધારો મેનેજમેન્ટ અને કાનૂની ગંભીર ઘટનાઓમાં સામેલ છે, જેમાં ઓટોમેટિક ઇમ્પેક્ટ એસેસમેન્ટ અને 15 મિનિટ (ક્રિટિકલ) અને 4 કલાક (ઉચ્ચ) ના ટાઈમર હોય છે. પરિણામ: સંસાધનો જ્યાં સૌથી વધુ મહત્વ ધરાવે છે ત્યાં કેન્દ્રિત થાય છે.

કન્ટેઈનમેન્ટ અને ઓટોમેશન (IR-6): મિનિટો વધારવા માટે ઉડાન ભરો

સ્વયંસંચાલિત હુમલાઓ રાહ જોતા નથી; તમારે પણ રાહ જોવી જોઈએ નહીં. સેન્ટીનેલ પ્લેબુક્સ + લોજિક એપ્લિકેશન્સ તેઓ જરૂર પડ્યે મંજૂરીઓ સાથે મશીન ગતિએ નિયંત્રણ, તપાસ અને પુનઃપ્રાપ્તિનો અમલ કરે છે.

મેન્યુઅલી કામ કરવાના જોખમો: લાંબા સમય સુધી, દબાણ હેઠળ થયેલી ભૂલોઅનિયમિત પ્રતિભાવ, ટીમનો થાક, નાનો પાયો, અને મોડું નિયંત્રણ જે બાજુની હિલચાલ અથવા એક્સફિલ્ટ્રેશનને મંજૂરી આપે છે.

મીટર: રિમોટ સર્વિસ એક્સપ્લોયટેશન (T1210), ડિસ્ટ્રક્ટિવ એન્ક્રિપ્શન (T1486), અને ઓટોમેટેડ એક્સફિલ્ટ્રેશન (T1020). ઓટોમેશન વિન્ડોને સાંકડી કરે છે.

IR-6.1 (પ્લેબુક્સ): એકાઉન્ટ્સ સસ્પેન્ડ કરો/ફોર્સ રીસેટ કરો, NSG/ફાયરવોલ સાથે VM ને અલગ કરો, માલવેર ક્વોરેન્ટાઇન અને હેશ બ્લોકિંગ, ડેટા પ્રોટેક્શન (એક્સેસ રદ કરો/રોટેટ કી), અને સૂચનાઓ/નિયમનકારી પાલન. સંવેદનશીલ ફેરફારો માટે ગ્રાફ API, ડિફેન્ડર, ARM, તૃતીય-પક્ષ SOAR અને બે-વ્યક્તિ મંજૂરીઓને એકીકૃત કરે છે.

IR-6.2 (નિયંત્રણ): NSG/ફાયરવોલ, VNet સેગ્મેન્ટેશનને સ્વચાલિત કરે છે, બેલેન્સર્સમાંથી દૂર કરોએક્સપ્રેસરૂટ/વીપીએનને સમાયોજિત કરો; જોખમી એકાઉન્ટ્સ પર JIT વિશેષાધિકારો રદ કરવા માટે શરતી ઍક્સેસ અને PIM લાગુ કરો. બલ્ક રિમેડિયેશન માટે એઝ્યુર ઓટોમેશન રનબુક્સ અને નીતિઓનો ઉપયોગ કરો.

ઉદાહરણ: સત્રોને સ્થગિત કરવા અને ઉપકરણોને અલગ કરવા માટે પ્લેબુક્સ, પુરાવા સાચવતી વખતે VM ને અલગ કરવા માટે રનબુક્સ, હિસ્સેદારોને સ્વચાલિત સૂચનાઓ, સંપૂર્ણ ટ્રેસેબિલિટી સુરક્ષિત રૂપરેખાંકનો અને સંકલિત ટિકિટો જાળવવા માટે. પરિણામ: સંપૂર્ણ ટ્રેસેબિલિટી સાથે કલાકો મિનિટમાં રૂપાંતરિત થયા.

અનુવર્તી પ્રવૃત્તિઓ (IR-7): શીખો, જાળવી રાખો અને સુધારો

ઘટના બંધ કર્યા પછી, સારી વાત શરૂ થાય છે: શીખેલા પાઠ અને પુરાવા શાસનમૂળ કારણોની સમીક્ષા કરો, નિયંત્રણો અપડેટ કરો અને વાસ્તવિક કેસ સાથે તાલીમ આપો, અને પુરાવાઓને કસ્ટડીની સાંકળ સાથે અપરિવર્તનશીલ સંગ્રહમાં રાખો.

જોખમો: સુધારવામાં નિષ્ફળતાને કારણે પુનરાવૃત્તિ, પુરાવાનો નાશ, અયોગ્ય રીતે રોકી રાખવા બદલ દંડહળવા સુધારાઓ અને સંગઠનાત્મક જ્ઞાનનો અભાવ. બંધ થવાથી માપી શકાય તેવા સુધારાઓ પર ભાર મૂકવો જોઈએ.

મીટર: ખાતાઓની હેરફેર (T1098), વારંવાર શોષણ જાહેર એપ્લિકેશનો (T1190) અને સૂચકાંકો દૂર કરવા (T1070). સતત સુધારો આ માર્ગોને ઘટાડે છે.

IR-7.1 (શીખેલા પાઠ): બધા પક્ષો સાથે 48-72 કલાકની સમીક્ષા, પાંચ શા માટે/માછલીના હાડકા અને સમયરેખા, શોધ/પ્રતિભાવ/નિવારણ અંતરનું મૂલ્યાંકન, હિસ્સેદારો તરફથી પ્રતિસાદ અને Azure DevOps માં નિયત તારીખો અને મેટ્રિક્સ (MTTD/MTTR) સાથેની ક્રિયાઓ. તાલીમ, દસ્તાવેજીકરણ અને સિમ્યુલેશનમાં તારણોનો સમાવેશ કરે છે.

IR-7.2 (રીટેન્શન): અપરિવર્તનશીલ બ્લોબ સ્ટોરેજ નીતિઓનો ઉપયોગ કરે છે (કામચલાઉ રીટેન્શન અને કાનૂની હોલ્ડ), પર્વ્યુ સાથે વર્ગીકરણ અને જીવનચક્ર, હેશ અને સહીઓ સાથે કસ્ટડીની સાંકળ, પ્રાદેશિક પ્રતિકૃતિ, અને અનુક્રમણિકા/શોધ. પાલન: HIPAA (≈6 વર્ષ), SOX (≈7), PCI (≥1 વર્ષ; 3 મહિના ઓનલાઇન). GDPR હેઠળ કોઈ નિશ્ચિત સમયગાળો નથી: લઘુત્તમીકરણ અને દસ્તાવેજીકૃત વાજબીપણું લાગુ પડે છે.

આરોગ્યસંભાળ ઉદાહરણ: પ્રારંભિક સમીક્ષા સમિતિઓ, અપરિવર્તનશીલ રીટેન્શન 6 વર્ષ કાનૂની પકડ સાથે, DevOps કાર્ય વસ્તુઓ, કસ્ટડીની સ્વચાલિત સાંકળ અને પરિપક્વતા મેટ્રિક્સ; તારણો જાગૃતિ તાલીમ અને કસરતોમાં રૂપાંતરિત થયા. પરિણામ: ઓછી પુનરાવર્તન અને સુધારેલ પાલન.

વ્યૂહાત્મક ચેકલિસ્ટ: નિર્ણયો, ભૂમિકાઓ અને કસરતો

ટેકનિકલ પાસાઓ ઉપરાંત, એવા મુશ્કેલ નિર્ણયો છે જેના પર અગાઉથી સંમતિ આપવી જોઈએ. ટેબલટોપ કસરતોનો ઉપયોગ કરો જે મેનેજમેન્ટને વાસ્તવિક પરિસ્થિતિઓ (રેન્સમવેર, ઇનસાઇડર, એક્સફિલ્ટ્રેશન) માં જોખમો વચ્ચે પસંદગી કરવા અને ખર્ચ/લાભનું મૂલ્યાંકન કરવા દબાણ કરે છે.

  • પહેલાના નિર્ણયો: પોલીસનો સંપર્ક ક્યારે કરવો, બાહ્ય પ્રતિભાવ આપનારાઓને સક્રિય કરવા, ખંડણી ચૂકવો/ન ચૂકવોઓડિટર્સ, ગોપનીયતા અધિકારીઓ અને સુરક્ષા નિયમનકારોને જાણ કરો, બોર્ડને જાણ કરો અને મહત્વપૂર્ણ લોડ કોણ બંધ કરી શકે છે તે જણાવો.
  • કાનૂની વિશેષાધિકારો જાળવી રાખો: ટીમને વિશેષાધિકારવાળી સલાહથી હકીકતોને અલગ પાડવા માટે તાલીમ આપો. સુસંગત ચેનલોનો ઉપયોગ કરો (દા.ત., માઈક્રોસોફ્ટ મીટિંગ સેન્ટર્સ) અને બાહ્ય સલાહકારો સાથે સંકલન કરે છે.
  • આંતરિક માહિતી: બોર્ડને સૂચનાઓ તૈયાર કરો જેથી તે ઘટાડી શકાય બજાર જોખમો નબળાઈના સમયગાળામાં.
  • મૂળભૂત ભૂમિકાઓ: ટેકનિકલ મેનેજર (ક્રિયાઓનું નિર્દેશન કરે છે), કોમ્યુનિકેશન સંપર્ક (એક્ઝિક્યુટિવ્સ/નિયમનકારો), રેકોર્ડર (દસ્તાવેજો, નિર્ણયો અને પુરાવા), સાતત્ય આયોજક (24-96 કલાક) અને ઉચ્ચ દૃશ્યતા દૃશ્યો માટે પીઆર.
  • ગોપનીયતા: ઝડપી મૂલ્યાંકન માટે SecOps નોટબુક + ગોપનીયતા કાર્યાલય નિયમનકારી જોખમ ૭૨ કલાકમાં.
  • પરીક્ષણ: વિસ્તૃત પેન્ટેસ્ટિંગ (શામેલ છે) બેકઅપ), લાલ/વાદળી/જાંબલી/લીલી ટીમો અને ડિફેન્ડર સિમ્યુલેશન (M365/એન્ડપોઇન્ટ).
  • સાતત્ય અને DR: Azure માં ઓછામાં ઓછા વ્યવહારુ ઉત્પાદનો, બેકઅપ અને પુનઃસ્થાપન માટે યોજના બનાવો. સક્રિય/નિષ્ક્રિય દૃશ્યો અને સ્ટેજીંગ સમય; સુસંગત હાર્ડવેર પર પુનઃસ્થાપનને માન્ય કરે છે.
  • વૈકલ્પિક સંદેશાવ્યવહાર: જો ઇમેઇલ/સહયોગ ઓછો થાય, તો સંપર્કો, ટોપોલોજીઓ અને રનબુક્સ ઑફલાઇન સાચવેલ અને અપરિવર્તનશીલ.
  • સ્વચ્છતા અને જીવનચક્ર: અપરિવર્તનશીલ નકલો અને લોગ, અસમર્થિત હાર્ડવેર મેનેજમેન્ટ, ટકાઉ સ્ટાફિંગ અને એક સામાન્ય ફોર્મેટ પ્રગતિ અહેવાલ (થઈ ગયું/કરવું/હું કરીશ + સમયમર્યાદા).

Azure માં CIS કંટ્રોલ્સ 10.x સાથે સંરેખણ

Azure પર CIS લાવવા માટે: IR માર્ગદર્શિકા (10.1) બનાવો, વ્યાખ્યાયિત કરો પ્રાથમિકતા અને સ્કોરિંગ (૧૦.૨), યોજનાનું પરીક્ષણ કરો (૧૦.૩), ઘટનાઓની સમીક્ષા કરો અને MSRC (૧૦.૪) નો સંપર્ક કરો, નિકાસ ચેતવણીઓ/ભલામણો સાથે સતત નિકાસ તેને સેન્ટીનેલ (૧૦.૫) સાથે કનેક્ટ કરો, અને લોજિક એપ્સ (૧૦.૬) સાથે પ્રતિભાવોને સ્વચાલિત કરો. સંવેદનશીલ ડેટાને હેન્ડલ કરતા સબ્સ્ક્રિપ્શન્સ (પ્રોડ/નોન-પ્રોડ) અને સંસાધનોને લેબલ કરો.

Azure SRE એજન્ટ ઘટનાઓ માટે યોજનાઓ બનાવે છે

જો તમે Azure SRE એજન્ટ ઘટના વ્યવસ્થાપનનો ઉપયોગ કરો છો, તો તમે ફિલ્ટર્સ દ્વારા કસ્ટમ પ્લાન બનાવી શકો છો (પ્રકાર, સેવા પ્રભાવિત(પ્રાથમિકતા, શીર્ષક), એક્ઝેક્યુશન મોડ (સમીક્ષા અથવા સ્વાયત્ત) પસંદ કરો, અને ઇતિહાસના આધારે કસ્ટમ સૂચનાઓ ઉમેરો જેથી એજન્ટ યોગ્ય સાધનો પસંદ કરી શકે.

ડિફૉલ્ટ રૂપે: Azure Monitor સાથે જોડાયેલ, પ્રક્રિયાઓ ઓછી પ્રાથમિકતા ધરાવતી ઘટનાઓ તે બધી સેવાઓને સપોર્ટ કરે છે અને રિવ્યુ મોડમાં ઉપલબ્ધ છે. તે પેજરડ્યુટી અને સર્વિસનાઉ સાથે સંકલિત થાય છે, અને ફક્ત વાંચવા માટેના મોડમાં ઐતિહાસિક ઘટનાઓ સાથે યોજનાઓનું પરીક્ષણ કરવાની મંજૂરી આપે છે.

SDL ના પ્રકાશન અને પ્રતિભાવ તબક્કાઓ

પ્રકાશનમાં, સેવા તૈયાર કરો: લોડ પરીક્ષણ એઝ્યુર લોડ ટેસ્ટિંગ, સેન્ટ્રલાઇઝ્ડ WAF (OWASP CRS સાથે એપ્લિકેશન ગેટવે અથવા ફ્રન્ટ ડોર), IR પ્લાન અને પ્રમાણિત અને આર્કાઇવિંગ (પુરાવા અને કલાકૃતિઓ) પહેલાં અંતિમ સુરક્ષા સમીક્ષા સાથે.

પ્રતિભાવમાં, યોજનાનો અમલ કરો અને તેનું નિરીક્ષણ કરો: કામગીરી અને વાસ્તવિક ઉપયોગ માટે એપ્લિકેશન આંતરદૃષ્ટિ, અને ક્લાઉડ માટે ડિફેન્ડર એઝ્યુર અને હાઇબ્રિડમાં મુદ્રા, શોધ અને પ્રતિભાવ માટે.

એઝ્યુર CWPP: સ્થાપત્ય, ક્ષમતાઓ અને શ્રેષ્ઠ પ્રથાઓ

Azure નું CWPP પ્લેટફોર્મ VM, કન્ટેનર અને સર્વરલેસ વાતાવરણને આવરી લે છે. લાક્ષણિક સમસ્યાઓ: જટિલતા જમાવટ, ખોટી ગોઠવણી, ખર્ચ, ગોપનીયતા/પાલન, તૃતીય-પક્ષ એકીકરણ, અને પરિવર્તન સાથે તાલમેલ રાખવો.

મુખ્ય સ્થાપત્ય: સેન્ટીનેલ (SIEM/SOAR), એઝ્યુર ફાયરવોલ, ડીડીઓએસ પ્રોટેક્શન અને રહસ્યો/કીઝ માટે કી વૉલ્ટ. તે Azure, ઓન-પ્રિમાઇસિસ અને અન્ય ક્લાઉડ સ્ત્રોતોને એકીકૃત કરે છે, લોગ એનાલિટિક્સમાં ડેટાને સામાન્ય બનાવે છે અને સંગ્રહિત કરે છે, અને તેને વૈશ્વિક થ્રેટ ઇન્ટેલિજન્સથી સમૃદ્ધ બનાવે છે.

યુનિફાઇડ મેનેજમેન્ટ: ડિફેન્ડર ફોર ક્લાઉડ પોશ્ચર પ્રોજેક્ટ કરે છે, એઝ્યુર પોલિસી તે અનુપાલનને કેન્દ્રિય બનાવે છે, અને ચેતવણી પ્રણાલી પ્રાથમિકતા આપે છે અને તપાસ કરે છે. સ્થિતિસ્થાપક માપનીયતા, વૈશ્વિક જમાવટ, ટાયર્ડ સ્ટોરેજ અને કામગીરી માટે લોડ બેલેન્સિંગ.

સેન્ટીનેલ SIEM/SOAR: ડેટા કનેક્ટર્સ, KQL સાથે શિકાર, ઘટના વ્યવસ્થાપન સાથે સંશોધન ચાર્ટ અને લોજિક એપ્સ પર આધારિત રિસ્પોન્સ પ્લેબુક્સ (ચેતવણીઓથી લઈને એકાઉન્ટ્સને નિષ્ક્રિય કરવા અથવા જાણીતી સારી સ્થિતિ પુનઃસ્થાપિત કરવા સુધી).

નેટવર્ક અને ડેટા: નેટવર્ક અને ડેટા વિઝ્યુલાઇઝેશન અને નિયંત્રણVM માટે JIT, અનુકૂલનશીલ મજબૂતીકરણ (ML દ્વારા સૂચવાયેલ NSG), બાકીના સમયે એન્ક્રિપ્શનSQL ઇન્જેક્શન શોધ, સ્ટોરેજ સુરક્ષા (મૂલ્યાંકનો, સુરક્ષિત ટ્રાન્સફર, એન્ક્રિપ્શન, ઍક્સેસ), આરામ સમયે એન્ક્રિપ્શન અને ટ્રાન્ઝિટમાં TLS, અને કી વૉલ્ટ અને રોટેશન સાથે ગુપ્ત સંચાલન.

કન્ટેનર અને કુબર્નેટ્સ: પુશ પર ઇમેજ સ્કેનિંગ સાથે ACR અને નબળાઈ રિપોર્ટ્સ; રનટાઇમ પ્રોટેક્શન (મોનિટરિંગ, સેગ્મેન્ટેશન, ઓછામાં ઓછા વિશેષાધિકાર અને તાત્કાલિક પ્રતિભાવ), K8s-વિશિષ્ટ શોધ (API, સંવેદનશીલ નેમસ્પેસમાં પોડ્સ), સતત સ્થિતિ, પ્રવેશ નિયંત્રકો અને નેટવર્ક નીતિઓ.

શ્રેષ્ઠ પ્રથાઓ: બધા સબ્સ્ક્રિપ્શન્સ પર ડિફેન્ડરને સક્ષમ કરો, વર્ગીકરણ અને ત્રિમાસિકીકરણ ચેતવણીઓ, સુરક્ષિત સ્કોરનું નિરીક્ષણ, IR પ્લાન વ્યાખ્યાયિત અને પરીક્ષણ અને કામગીરી (ખર્ચ/ટેલિમેટ્રી/રિટેન્શન) ને ઑપ્ટિમાઇઝ કરવા.

એઝ્યુર ઘટનાઓ અંગે સત્તાવાર સંદેશાવ્યવહાર

પહેલાં: તમારી જાતને પરિચિત કરો એઝ્યુર સર્વિસ હેલ્થસબ્સ્ક્રિપ્શન/સેવા/પ્રદેશ (સેવા મુદ્દાઓ, જાળવણી, સુરક્ષા સૂચનાઓ) દ્વારા ચેતવણીઓ ગોઠવો અને એઝ્યુર મોનિટર બેઝલાઇન ચેતવણી ઉકેલ લાગુ કરો. સંપર્કો (એડમિન/માલિક/ગોપનીયતા/ભાડૂત) ને અપ ટુ ડેટ રાખો અને વપરાશકર્તાઓને સૂચિત કરવા માટે સુનિશ્ચિત ઇવેન્ટ્સનો ઉપયોગ કરો.

સ્થિતિ સુધારે છે: MFA, શરતી પ્રવેશ અને ઉચ્ચ-જોખમ ધરાવતા વપરાશકર્તા ચેતવણીઓ; ડિરેક્ટરીઓ વચ્ચે સબ્સ્ક્રિપ્શન હિલચાલનું શાસન; સારી રીતે આર્કિટેટેડ સમીક્ષા અને વિશ્વસનીયતા પુસ્તક; જોડીવાળા પ્રદેશો અને ઉપલબ્ધતા ઝોન; મહત્વપૂર્ણ VM નું અલગકરણ; જાળવણી ગોઠવણી; એઝ્યુર કેઓસ સ્ટુડિયો; અને સેવા નિવૃત્તિ પુસ્તક.

દરમિયાન: અપડેટ્સ માટે પોર્ટલ પર સેવા આરોગ્ય તપાસો, જાહેર પૃષ્ઠ azure.status.microsoft દ્વારા વધુ જો પોર્ટલ લોડ ન થાય, અને બેકઅપ તરીકે X માં @AzureSupport લખો. જો તમને સર્વિસ હેલ્થમાં તમારો કેસ દેખાતો નથી અને તે તમને અસર કરે છે, તો સપોર્ટ ટિકિટ ખોલો; જો તે સુરક્ષા સમસ્યા હોય, તો ટ્રેકિંગ ID નો સંદર્ભ લો.

આગળ: જાળવણી ઇતિહાસમાં ઘટના પછીની સમીક્ષા (પીઆઈઆર) વાંચો, હાજરી આપો ઘટના પૂર્વવર્તી લાગુ પડતું હોય ત્યારે સ્ટ્રીમ કરો અને જો લાગુ પડતું હોય તો SLA ક્રેડિટની વિનંતી કરો, ઘટના ID દર્શાવો.

ફ્રેમ્સને નિયંત્રિત કરવા માટે મેપિંગ

ઑડિટ અને પાલન હેતુઓ માટે, તમારા નિયંત્રણોને આના પર મેપ કરો: NIST SP 800-53 (IR-1..IR-8, SI-4, AU-6/7, CP-9), PCI-DSS (12.10.x, 10.6.x, 5.3.2, 11.5.1), સીઆઈએસ વી8.1 (૧૭.x, ૮.x, ૧૩.x), NIST CSF v2.0 (PR.IP, RS.CO, DE.CM/AE, RS.AN/MI/IM), ISO 27001: 2022 (A.5.24–A.5.28, A.8.13, A.8.16) અને SOC 2 (CC7.x, CC9.1, A1.x). તે શું છે તેની ટ્રેસેબિલિટી છોડી દે છે પ્રક્રિયા, સાધન અને મેટ્રિક તે દરેક જરૂરિયાતને આવરી લે છે.

કોઈ સફળતા નથી, પરંતુ સ્પષ્ટ પ્રક્રિયાઓ, ઓટોમેશન અને ટેકનિકલ-કાનૂની શાસનનું સંયોજન કોઈ ઘટનાને કટોકટી નહીં, પણ આંચકો બનાવે છે. સાબિત યોજનાઓ, ગુણવત્તા શોધ, સ્વચાલિત નિયંત્રણ અને સતત શિક્ષણ સાથેએઝ્યુર અને માઈક્રોસોફ્ટ 365 એક એવું વાતાવરણ બની ગયા છે જ્યાં જોખમનું સંચાલન ડેટાથી થાય છે, અનુમાનથી નહીં.

એઝ્યુર સાથે ક્લાઉડ ઘટના વ્યવસ્થાપન: માર્ગદર્શિકા અને શ્રેષ્ઠ પ્રથાઓ
સંબંધિત લેખ:
એઝ્યુર સાથે ક્લાઉડ ઘટના વ્યવસ્થાપન: માર્ગદર્શિકા અને શ્રેષ્ઠ પ્રથાઓ