Rencana respons insiden cloud untuk Azure dan Microsoft 365

 

Keamanan cloud bukan hanya tentang memadamkan api saat peringatan berbunyi; tetapi tentang memiliki koreografi yang jelas untuk setiap fase insiden. Rencana respons insiden khusus untuk Azure dan Microsoft 365 Ini melindungi kelangsungan bisnis, mengurangi dampak, dan memelihara bukti forensik dengan menyelaraskan orang, proses, dan teknologi di bawah kerangka kerja yang terbukti.

Untuk menghindari kejutan, disarankan untuk menyelaraskan perdagangan Anda dengan siklus NIST SP 800-61: persiapan; deteksi dan analisis; penahanan, pemberantasan dan pemulihan; dan kegiatan tindak lanjutDi Azure, hal ini berarti memanfaatkan layanan asli (Microsoft Defender XDR, Defender for Cloud, Microsoft Sentinel, Azure Monitor, Logic Apps), mengotomatiskan tugas berulang, dan mendokumentasikan serta menguji rencana dengan simulasi dan latihan tabletop.

Kerangka operasional dan pilar respons cloud

Landasannya adalah strategi yang menghindari waktu tunggu yang lama dan serangan berulang-ulang. Tiga pilar mendukung disiplin dan pusat operasi keamanan: 1) persiapan (rencana, peran, alat dan kontak), 2) deteksi, analisis dan investigasi (peringatan kualitas, insiden terpadu dan forensik), dan 3) penahanan, pemulihan dan pembelajaran (otomatisasi, pemulihan dan peningkatan berkelanjutan).

Untuk memperkuat pilar-pilar tersebut di Azure, Anda memerlukan rencana yang disesuaikan dengan model tanggung jawab bersama. telemetri terpadu identitas, jaringan, dan bebandan prosedur pelestarian bukti yang berfungsi “sebagai layanan” (snapshot VM, salinan log yang tidak dapat diubah, penahanan hukum di penyimpanan).

Persiapan PIR-1: Rencana dan proses khusus Azure

Tanpa rencana yang dioptimalkan untuk cloud, respons menjadi kacau dan lambat. Prinsipnya jelas.: Mendokumentasikan rencana IR yang dirancang untuk Azure dan Microsoft 365, menguji efektivitasnya dengan latihan berkala, dan mempertimbangkan cara meningkatkan ke Microsoft (dukungan, MSRC) saat platform dipertaruhkan.

Risiko yang perlu dikurangi: kebingungan karena peran yang tidak tepat, kegagalan karena penerapan rumus pusat data, Koordinasi yang buruk dengan para pemangku kepentinganalat dan keterampilan yang belum teruji, ketidakpatuhan terhadap peraturan karena pemberitahuan yang terlambat, dan hilangnya bukti karena proses pengumpulan dan penyimpanan yang lemah.

Tugas ATT&CK yang relevan: Musuh memperpanjang masa tinggal mereka ketika pertahanan terkikis (TA0005/T1562), memaksimalkan kerusakan dengan penghancuran data (TA0040/T1485), dan mengatur eksfiltrasi memanfaatkan respons yang terlambat (TA0009/T1074).

IR-1.1 Paket IR Khusus Azure

Panduan Anda harus merinci batasan model bersama (IaaS, PaaS, SaaS), penggunaan Monitor Azure, ID Masuk (audit dan awal), NSG Flow LogPembela untuk Clouddan cara mengambil snapshot VM, dump memori atau penangkapan jaringan tanpa "menarik kabel".

Ini termasuk koordinasi dengan Microsoft: kapan membuka kasus, bagaimana melibatkan MSRC, dan apa rute pendakian Tindak lanjuti ketika insiden memengaruhi lapisan platform. Integrasikan Defender for Cloud dengan kontak 24/7, tingkat keparahan yang disesuaikan dengan klasifikasi Anda, Aplikasi Logika untuk mengotomatiskan notifikasi, dan ekspor temuan secara berkelanjutan ke log insiden.

Kapasitas minimum dari rencana: pembatasan tanggung jawab berdasarkan layanan, prosedur untuk mengisolasi sumber daya (VM, kontainer, penyimpanan) dengan otomatisasi, dan metode untuk mengumpulkan bukti dengan retensi dan pelabelan.

IR-1.2 Peralatan dan pelatihan

Tentukan struktur dengan analis cloud, arsitek Azure, hukum dan kepatuhan, kelangsungan bisnis, dan kontak eksternal kritis (Dukungan, penasihat, dan regulator Microsoft). Latih tim dengan materi Microsoft Security Academy dan Defender/Sentinel untuk menguasai alat dan alur kerja berbasis cloud.

Contoh realistis: Penyedia layanan kesehatan menyiapkan rencana yang sesuai dengan HIPAA, membuat kontak 24/7 di Defender for Cloud dengan eskalasi otomatis ke hukum, melakukan latihan triwulanan Melindungi terhadap ransomware dan eksfiltrasi, serta mengotomatiskan snapshot VM dan ekspor log Azure untuk menyimpan bukti selama enam tahun.

Pemetaan kontrol utama: NIST SP 800-53 (IR-1, IR-2, CP-2), CIS Controls v8 (17.1–17.3), NIST CSF (PR.IP-9/10, RS.CO-1), ISO 27001 (A.5.24–A.5.27), PCI-DSS (12.10), SOC 2 (CC9.1). Tingkat: esensial.

Pemberitahuan insiden IR-2 dan komunikasi otomatis

Ketika peringatan bergantung pada tugas manual, koordinasi datang terlambat dan penyerang memperoleh keuntungan. prinsip: mengatur notifikasi dengan pemicu otomatisDaftar kontak terkini dan integrasi dengan layanan keamanan Microsoft untuk memenuhi tenggat waktu peraturan dan memobilisasi orang yang tepat.

Risiko yang harus dihindari: keterlambatan pengakuan oleh para eksekutif/ahli hukum/forensik, denda karena tenggat waktu yang terlewat (GDPR 72 jam, HIPAA 60 hari, PCI dengan waktu yang disesuaikan), kurangnya kolaborasi dengan pemasok, hilangnya kepercayaan pelanggan, dan upaya tidak terkoordinasi yang meningkatkan dampak.

Terkait dengan ATT&CK: Saluran C2 terus mengalami notifikasi lambat (TA0011/T1071), eksfiltrasi melalui C2 (TA0010/T1041) dan penyebaran ransomware dengan kecepatan yang memusingkan (TA0040/T1486) jika pendakian tertunda.

Kontak Keamanan IR-2.1 di Defender untuk Cloud

Siapkan kontak utama dan sekunder dengan jangkauan global, periksa secara berkala, dan aktifkan email, SMS, dan panggilan dengan rute pendakianTetapkan kontak berdasarkan jenis insiden (pelanggaran data, kerentanan platform, gangguan layanan) dan gunakan templat yang disesuaikan berdasarkan tingkat keparahannya.

Pada tingkat cakupan, tentukan kontak berdasarkan grup administrasi, langganan, atau grup sumber daya. Integrasikan dengan ITSM Anda (Azure DevOps, ServiceNow) untuk membuat tiket dan mengikuti siklus hidup kejadian sejak menit pertama.

Alur Notifikasi IR-2.2 dengan Aplikasi Logika dan Sentinel

Membuat playbook di Microsoft Sentinel dan alur kerja Aplikasi Logika untuk memberi tahu berdasarkan tingkat keparahan, jenis sumber daya, dan dampak bisnis; menambahkan matriks pemangku kepentingan berdasarkan peran, persetujuan, pemicu kepatuhan (GDPR/HIPAA/PCI) dan eskalasi berdasarkan waktu jika tidak ada yang mengakui.

Gunakan Azure Monitor dengan aturan dan Event Hubs untuk Streaming secara real time ke platform pihak ketiga, dan Tim menyalurkan dan surat dan berkas untuk menjangkau audiens yang tepat dengan pesan yang konsisten dan disetujui.

Contoh: Sebuah perusahaan keuangan mengotomatiskan laporan kepada regulator (SEC/FINRA) dan pemberitahuan internal kepada klien, sehingga secara signifikan mengurangi waktu pemberitahuan dan menghilangkan kesalahan manusia dalam komunikasi kritis berkat templat dan alur kerja yang disetujui.

Pemetaan: NIST SP 800-53 (IR-2, IR-6), CIS (17.4, 17.5), NIST CSF (RS.CO-1/2/3/4), ISO 27001 (A.5.24/26/28), SOC 2 (CC9.1). Tingkat: penting.

IR-3 Deteksi berkualitas tinggi dan pembuatan insiden

Jika semuanya noise, sinyal kritis hilang dan MTTD/MTTR meningkat. Tujuan: meminimalkan positif palsu dan menggabungkan sinyal menjadi insiden yang dapat ditindaklanjuti dengan intelijen ancaman dan pengayaan otomatis.

Risiko yang umum: kelelahan analis, ancaman yang terkubur dalam kebisingan, sumber daya yang dialokasikan secara salahrespons yang tertunda, integrasi intelijen yang buruk, dan proses pembuatan insiden yang tidak konsisten.

ATT&CK: masking (TA0005/T1036), penggunaan akun yang valid (TA0003/T1078) dan pengumpulan otomatis mekar berkepanjangan (TA0009/T1119) jika deteksi tidak disempurnakan.

IR-3.1 Microsoft Defender XDR untuk sinyal terpadu

Selain itu, sinkronisasi dengan Sentinel untuk menyediakan kotak masuk insiden terpadu, berkorelasi dengan infrastruktur (Azure, lokal, dan cloud lainnya), dan analisis multiplatform tanpa kehilangan konteks bisnis.

Peringatan lanjutan IR-3.2 di Defender untuk Cloud

Aktifkan paket Defender (server, Layanan Aplikasi, Penyimpanan, kontainer, Key Vault), aktifkan pembelajaran mesin untuk pola anomali, dan perkuat dengan intelijen ancaman. menekan positif palsu yang diketahui dengan tinjauan berkala.

Ini terhubung dengan XDR dan Sentinel melalui konektor untuk memperkaya dengan UEBA, Aturan KQL dan korelasi antara beban dan layanan, dan dengan demikian mendeteksi kampanye yang rumit sebelum meningkat.

Insiden Otomatis IR-3.3 di Microsoft Sentinel

Ia mengubah peringatan menjadi kasus-kasus dengan aturan analitis, mengelompokkan sinyal-sinyal terkait, mengekstrak entitas (pengguna, host, IP, berkas), dan menerapkannya. prioritas berdasarkan tingkat keparahan berdasarkan pada kekritisan aset, risiko pengguna, dan teknik serangan.

Gunakan garis waktu, bagan penelitian, buku catatan strategi untuk mengumpulkan bukti dan pelaporan, dan pelacakan SLA Respons dengan skala jika ada penundaan.

Hasil khas setelah melewati fase ini: pengurangan drastis positif palsu, insiden yang lebih padat dan investigasi lebih cepat berkat pengayaan entitas dan pengelompokan cerdas.

Kontrol: NIST SP 800-53 (SI-4, IR-4/5), PCI-DSS (10.6, 11.5.1), CIS (8.11, 13.x, 17.4), NIST CSF (DE.CM/AE), ISO 27001 (A.8.16, A.5.24).

Investigasi dan Forensik IR-4 di Azure

Investigasi tanpa telemetri lengkap mengarah pada meremehkan cakupan dan membiarkan pintu belakang terbuka. meta: menangkap catatan-catatan penting, memusatkannya dan menjaga bukti-bukti dengan rantai penyimpanan yang utuh.

Risiko: visibilitas serangan yang tidak lengkap, paparan data yang tidak teridentifikasi, persistensi tersembunyi, penghancuran atau manipulasi bukti, waktu tunggu dan kekambuhan meningkat karena perbaikan yang tidak tuntas.

ATT&CK yang berlaku: penghapusan indikator (TA0005/T1070 dan T1070.004), penyembunyian artefak (TA0003/T1564.001) dan pengakuan kemampuan penelitian (TA0007/T1082).

IR-4.1 Pengumpulan dan analisis catatan

Sentralisasi dengan Azure Monitor, Log Analytics, dan Sentinel: audit dan inisiasi Entra ID, Log Aktivitas (bidang kontrol), Log Aliran NSG, agen di VM, dan log aplikasi terstruktur dengan baik.

Di Sentinel, UEBA, grafik penelitian, log perburuan, dan pemetaan ke ATT&CK dimanfaatkan untuk merekonstruksi sejarah serangan dan targetkan akar permasalahannya dengan presisi.

IR-4.2 Kemampuan forensik dan pelestarian bukti

Otomatiskan snapshot VM, Azure Disk Backup selama insiden, dump memori, dan ekspor log ke Penyimpanan Azure tidak dapat diubah dan penangkapan paket dengan Network Watcher.

Dokumentasikan rantai penyimpanan dengan hash dan tanda tangan digital, kontrol akses, integrasikan alat forensik pihak ketiga, dan replikasi di seluruh wilayah. persyaratan hukum Mereka menuntutnya.

Di sektor yang diatur (misalnya keuangan), hal ini mempercepat investigasi, memenuhi tenggat waktu peraturan, dan menyediakan ketertelusuran untuk litigasi atau audit.

NIST CSF: NIST CSF (RS.AN)Kontrol: NIST SP 800-53 (IR-4, AU-6/7), PCI-DSS (10.6.x, 12.10.x), CIS (8.x, 13.2, 17.4), ISO 27001 (A.5.24/25/28, A.8.16).

IR-5 Prioritas berdasarkan dampak dan kekritisan

Tanpa konteks bisnis, semuanya tampak mendesak dan sumber daya terbuang sia-sia. kunci: memberi label aset berdasarkan kepentingan, memahami ruang lingkup peraturan, dan mengotomatiskan tingkat keparahan dan eskalasi.

Risiko: keterlambatan respons terhadap insiden kritis, kelelahan tim dengan kasus-kasus kecil, dampak operasional atau keuangan yang meningkat, kegagalan kepatuhan dan perkembangan lateral sementara kita mengabaikannya.

IR-5.1 Analisis Kekritisan dan Dampak Aset

Label sumber daya Azure (Kritis/Tinggi/Sedang/Rendah), integrasikan klasifikasi data Dengan Microsoft Purview, tandai sumber daya yang diatur (PCI, HIPAA, SOX) dan tambahkan pemilik dan kontak untuk menyederhanakan keputusan.

Di Defender for Cloud, gunakan inventaris dan postur keamanan untuk menghubungkan peringatan dengan kepentingan aset dan paparan publik, dengan memprioritaskan apa yang benar-benar menggerakkan kemajuan bisnis.

IR-5.2 Penilaian dan penskalaan otomatis

Di Sentinel, ia menghitung skor multifaktor (kekritisan, kerahasiaan, kepercayaan pada IoC, cakupan peraturan, pengguna yang terpengaruh) dan memicu eskalasi untuk waktu jika tidak ada pengenalan dalam X menit.

Mengaktifkan pemicu tertentu: peringatan eksekutif untuk sistem kritis atau potensi pelanggaran data pribadi, dan keterlibatan hukum dan privasi otomatis jika berlaku.

Hasil: Sumber daya dialokasikan secara bijaksana, waktu respons sesuai dengan risiko, dan lebih sedikit eskalasi yang tidak perlu untuk insiden kecil.

Kontrol: NIST SP 800-53 (IR-5, RA-2/3), PCI-DSS (12.10.5), CIS (1.1/1.2, 17.4/17.5), NIST CSF (DE.AE-1, RS.AN), ISO 27001 (A.5.24, A.5.27, A.8.8).

Otomatisasi Penahanan, Pemberantasan, dan Pemulihan IR-6

Serangannya otomatis; responsnya juga harus otomatis. Tujuannya adalah untuk mengurangi menit-menit krusial, menghilangkan kesalahan manusia dan menjaga konsistensi di seluruh insiden.

Buat playbook Sentinel dengan Logic Apps untuk menangguhkan akun dan sesi, mengisolasi VM (NSG, segmentasi vNet, Azure Firewall, pengecualian penyeimbang beban), dan mengunci hash/IoC, mencabut hak istimewa di Login, memutar kunci dan mengaktifkan cadangan.

Otomatiskan perubahan jaringan (NSG, Firewall, perutean ExpressRoute/VPN), terapkan akses bersyarat untuk memblokir akses berisiko, dan gunakan PIM untuk mencabut JIT dan hak istimewa yang tinggi, dengan persetujuan manusia untuk tindakan berdampak tinggi.

Contoh: isolasi otomatis VM yang disusupi yang menjaga bukti, penangguhan akun dengan kepercayaan tinggi pada peringatan, pemberitahuan kepada pemangku kepentingan dan pembuatan/penskalaan tiket dengan keterlacakan penuh.

NIST SP 800-53 (IR-4/5/6/8), CIS (17.4/17.6/17.7), NIST CSF (RS.RP/MI), ISO 27001 (A.5.24–A.5.26), SOC 2 (CC7.3/7.4/9.1).

IR-7 Pasca-insiden: Pelajaran yang dipetik dan penyimpanan bukti

Respon yang baik tidak berakhir saat kasus ditutup. Kita harus belajar, menyesuaikan, dan melestarikan bukti untuk memenuhi kewajiban dan menghindari pelanggaran berulang.

Atur tinjauan 48–72 jam dengan perwakilan teknis, bisnis, hukum, dan privasi; terapkan teknik analisis akar penyebab (Lima Mengapa, diagram Ishikawa), buat item di Azure DevOps dengan tanggung jawab dan tenggat waktu yang ditetapkan, dan Perbarui aturan dan buku pedomanBerikan latihan meja dengan skenario kehidupan nyata.

Untuk bukti, gunakan Azure Blob dengan kebijakan yang tidak dapat diubah (retensi waktu dan penahanan menurut undang-undang), klasifikasikan jenis dan periode bukti (misalnya, HIPAA 6 tahun, SOX seringkali 7, PCI-DSS minimal 1 tahun dengan akses 3 bulan; GDPR mengharuskan minimisasi dan pembenaran tanpa periode multi-tahun yang tetap), penyimpanan dengan hash dan tanda tangan dan, jika berlaku, replikasi lintas wilayah.

Kontrol: NIST SP 800-53 (IR-4(4/5/10), CP-9(8), AU-11), CIS (17.8/17.9), RS.IM-1/2, ISO 27001 (A.5.24, A.5.28, A.8.13), SOC 2 (A1.2/1.3).

Daftar periksa operasional dan tata kelola yang penting

1. Melembagakan kegiatan yang mengubah rencana menjadi disiplin harian: latihan meja yang sering dengan keputusan berbasis risiko untuk meningkatkan percakapan ke bisnis.
2. Tentukan keputusan dan tanggung jawab sebelumnya: kapan melibatkan penegak hukum, mengaktifkan responden eksternal, menilai pembayaran tebusan, memberitahukan auditor atau pihak berwenangmeningkat ke dewan atau mematikan beban kritis.
3. Ini menjaga hak istimewa hukum dengan memisahkan saran, fakta, dan opini; ini menyatukan saluran komunikasi (pusat pertemuan Microsoft); dan berkoordinasi dengan pihak ketiga untuk mengurangi paparan.
4. Siapkan komunikasi orang dalam kepada dewan untuk memitigasi risiko pasar dalam periode kerentanan dan menghindari operasi yang meragukan.
5. Menetapkan peran dalam insiden: pimpinan teknis (mensintesis dan memutuskan), penghubung komunikasi (mengelola eksekutif dan regulator), perekam (ketertelusuran), penyelenggara masa depan (kontinuitas pada 24/48/72/96 jam) dan hubungan masyarakat untuk skenario visibilitas tinggi.
6. Bangun buku pedoman privasi antara SecOps dan kantor privasi dengan kriteria penilaian cepat dan tenggat waktu yang lancar (misalnya, 72 jam berdasarkan GDPR).
7. Pengujian penetrasi program dan kampanye tim merah/biru/ungu/hijau, memanfaatkan Simulasi pembela Untuk Office 365 dan Endpoint; tim hijau memberikan peningkatan.
8. Rencana untuk kelangsungan bisnis dan pemulihan bencana (aktif/pasif dan aktif/semi-pasif) dengan RPO/RTO yang realistisIni mempertimbangkan waktu penyimpanan sementara dan risiko perangkat keras tidak didukung.
9. Siapkan saluran komunikasi alternatif jika terjadi kehilangan email/kolaborasi atau repositori dan mendistribusikan secara offline angka kritis, topologi, dan prosedur pemulihan.
10. Memperkuat kebersihan dan siklus hidup (CIS Top 20): salinan dan catatan yang tidak dapat diubah, penambalan berkelanjutan dan konfigurasi yang aman, dengan fokus pada ransomware yang dioperasikan manusia.
11. Tentukan rencana respons (parameter organisasi, shift 24/7 atau reguler, keberlanjutan staf), dan menyetujui suatu format untuk melaporkan: apa yang kami lakukan/hasilnya, apa yang sedang kami lakukan/kapan, apa yang akan kami lakukan selanjutnya/kapan.

Kontrol CIS 10.x di Azure: panduan praktis

• 10.1 Panduan IR: rancangan rencana dengan peran dan tahapan dari deteksi hingga peninjauan, selaras dengan CIS 19.1–19.3 dan dapat dieksekusi oleh tim Anda.
• 10.2 Prioritas dan penilaian: Gunakan tingkat keparahan Defender, label langganan (prod/non-prod) dan Beri nama sumber daya dengan bijaksana untuk memprioritaskan berdasarkan kepentingan dan lingkungan.
• 10.3 Pengujian respons: program latihan rutin untuk mendeteksi kesenjangan dan memperbarui rencana dengan apa yang telah dipelajari.
• 10.4 Kontak dengan MSRC: Pastikan kontak Anda selalu terkini sehingga Microsoft dapat menghubungi Anda. Laporkan akses tidak sah dan meninjau kasus yang ditutup.
• 10.5 Integrasi peringatan: Ekspor peringatan dan rekomendasi (Ekspor Berkelanjutan) dan Libatkan mereka di Sentinel untuk korelasi tingkat lanjut.
• 10.6 Otomatisasi Respons: Aplikasi Logika Pemicu dari Pusat Keamanan/Pembela untuk Cloud ke merespons secara real time untuk peringatan dan rekomendasi.

Azure CWPP sebagai fondasi untuk perlindungan berkelanjutan

Platform perlindungan beban yang matang (CWPP) melengkapi respons dengan visibilitas dan postur. Defender untuk Cloud dan Sentinel Mereka menawarkan SIEM/SOAR, postur dan kepatuhan untuk Azure, Microsoft 365, on-premises, dan cloud lainnya.

Arsitektur: konektor untuk penyerapan dan normalisasi, analisis dengan ML, REST API Untuk integrasi dan penyimpanan di Log Analytics. Terintegrasi dengan Azure Firewall, perlindungan DDoS, dan Key Vault, serta memusatkan kebijakan dengan Azure Policy.

Skalabilitas dan kinerja: elastisitas berdasarkan desain, penerapan global dengan pertimbangan residensi data, penyimpanan berjenjang dan penyeimbangan beban untuk mendistribusikan upaya analisis dan respons.

Azure Sentinel: SIEM dan SOAR generasi berikutnya

Strategi penyerapan dan normalisasi: konektor untuk layanan Azure dan Microsoft 365 solusi pihak ketiga dan aplikasi yang disesuaikan, dengan data yang dinormalisasi dan siap untuk korelasi.

Perburuan ancaman KQL: kueri canggih untuk mendeteksi pola anomali dan menemukan kerentanan dapat dieksploitasi di lingkungan Anda.

Manajemen dan penelitian: garis waktu, bagan hubungan entitas dan korelasi dengan kecerdasan dari Microsoft untuk memahami kasus serangan secara lengkap.

Respons yang diatur: buku pedoman di Aplikasi Logika, mulai dari mengirim email atau membuat tiket hingga menonaktifkan akun atau memulihkan sistem ke negara-negara yang dikenal sebagai negara baik.

Jaringan dan perlindungan data dengan CWPP

Keamanan jaringan: pemetaan topologi dinamis, akses JIT ke VM, pengerasan adaptif dengan saran untuk NSG berbasis ML dan pertahanan DDoS melalui jaringan global Microsoft.

Perlindungan data: deteksi dan pencegahan injeksi SQL dalam layanan terkelola, praktik terbaik untuk penyimpanan (enkripsi, transfer aman(Isolasi), TLS yang diperbarui saat transit dan manajemen kunci di Key Vault dengan rotasi dan audit.

Kontainer dan Kubernetes: keamanan menyeluruh

Pemindaian gambar di ACR: Analisis kerentanan otomatis saat mengunggah gambar dengan laporan tingkat keparahan dan rekomendasi perbaikan sebelum penerapan.

Perlindungan runtime: pemantauan perilaku, segmentasi jaringan, hak istimewa minimal dan tanggapan segera (mengisolasi kontainer, memberi tahu SOC) terhadap aktivitas yang mencurigakan.

Peningkatan K8s spesifik: deteksi API atau pod anomali di namespace sensitif, manajemen postur, pengontrol asupan untuk menghindari penerapan yang tidak patuh dan kebijakan jaringan yang rumit.

Praktik terbaik: gambar dasar minimal, pembaruan dan penambalan berkelanjutan, segmentasi default, pemantauan berkelanjutan dan manajemen rahasia dengan Key Vault.

Kontinuitas dengan Azure Site Recovery dan Azure Backup

ASR menjamin kontinuitas dengan pengujian pemulihan tanpa dampak berkala dan RPO/RTO yang disesuaikan sesuai selera risiko Anda, ideal untuk mempertahankan operasi jika terjadi kegagalan.

Azure Backup menyediakan ketahanan terhadap ransomware dan kesalahan, dengan restorasi granularKontrol integritas dan pertumbuhan sesuai permintaan. Hal yang bijaksana untuk dilakukan adalah menggabungkan keduanya: ASR untuk tetap beroperasi dan Backup untuk memulihkan apa yang hilang.

Rilis dan Respons dalam SDL Microsoft

Sebelum peluncuran, validasi kinerja dengan Pengujian Beban Azure, terapkan WAF (Application Gateway atau Front Door) dengan aturan OWASP dan Tinjauan Keamanan Akhir telah berakhir. (model ancaman, hasil alat, dan gerbang kualitas).

Setelah meluncurkan, jalankan rencana sesuai kebutuhan, pantau dengan Application Insights (APM dan anomali), dan Pembela untuk Cloud Untuk pencegahan dan deteksi yang meluas, respons yang baik dimulai dengan mempersiapkan diri dalam tahap Rilis.

Rencana Respons Agen Azure SRE

Rencana Agen Azure SRE memodelkan bagaimana insiden dideteksi, ditinjau, dan dimitigasi, dengan mode semi-otonom atau otonom sesuai dengan kebutuhan Anda dan filter untuk memilih apa yang diproses setiap paket.

Konfigurasi default: terhubung ke Azure Monitor, memproses insiden berprioritas rendah dan beroperasi dalam mode peninjauan. Semuanya dapat disesuaikan: sistem manajemen (PagerDuty, ServiceNow), filter berdasarkan jenis/layanan/prioritas/judul dan tingkat otonomi.

Otonomi: Mode peninjauan (agen mengusulkan dan Anda menyetujuinya) atau Mode otonom (Ambil tindakan dengan izin yang sesuai). Jika izin tidak tersedia, mintalah elevasi sementara dengan kontrol.

Instruksi yang disesuaikan: agen belajar dari insiden sebelumnya, menghasilkan konteks terperinci, dan mengusulkan alat untuk digunakan; Anda bisa mengedit instruksi dan membuat ulang daftar alat terkait.

Pengujian dengan data historis: Jalankan rencana dalam mode baca-saja pada insiden sebelumnya untuk memverifikasi perilaku dan cakupan sebelum mengaktifkannya dalam produksi.

Dengan kerangka kerja ini—rencana yang disesuaikan dengan Azure dan Microsoft 365, notifikasi otomatis, insiden yang terstruktur dengan baik, investigasi forensik dengan bukti yang tidak dapat diubah, prioritas dampak, dan orkestrasi penahanan— diminimalkan el tiempo paparan dan biayaJika Anda juga mendukungnya dengan CWPP, ASR/Backup, latihan tabletop, peran yang jelas, metrik dan, jika sesuai, otonomi Agen SRE, Anda akan mendapatkan respons yang mampu menahan tekanan dan meningkat seiring dengan setiap kasus.