Biztonsági ellenőrzés: Incidens válasza
Az incidenskezelés magában foglalja az incidensmegoldás életciklusának vezérlőit – az előkészítést, észlelést és elemzést, az elszigetelést és az incidens utáni tevékenységeket, beleértve az Azure-szolgáltatások (például a Microsoft Defender a Felhőhöz és a Sentinelhez) és/vagy más felhőszolgáltatások használatát az incidenskezelési folyamat automatizálásához.
IR-1: Előkészítés – incidenskezelési terv és kezelési folyamat frissítése
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10,8 |
Biztonsági elv: Győződjön meg arról, hogy szervezete az iparági ajánlott eljárásokat követi a felhőplatformokon fellépő biztonsági incidensekre reagáló folyamatok és tervek fejlesztéséhez. Ügyeljen a megosztott felelősségi modellre és az IaaS-, PaaS- és SaaS-szolgáltatások közötti eltérésekre. Ez közvetlen hatással lesz arra, hogyan működik együtt a felhőszolgáltatóval az incidenskezelés és -kezelési tevékenységek, például az incidensek bejelentése és osztályozása, a bizonyítékok gyűjtése, a vizsgálat, a felszámolás és a helyreállítás terén.
Rendszeresen tesztelje az incidenskezelési tervet és a kezelési folyamatot, hogy biztosan naprakészek legyenek.
Azure-útmutató: Frissítse a szervezet incidenskezelési folyamatát úgy, hogy az tartalmazza az incidensek kezelését az Azure platformon. A használt Azure-szolgáltatások és az alkalmazás természete alapján testre szabhatja az incidenskezelési tervet és a forgatókönyvet, hogy azok a felhőkörnyezetben az incidensre való reagáláshoz használhatók legyenek.
Azure-implementáció és további környezet:
- A vállalati környezet biztonságának megvalósítása:
- Incidensválasz referencia-útmutató
- NIST SP800-61 Számítógépes biztonsági incidenskezelési útmutató
- Incidenskezelés áttekintése
AWS-útmutató: Frissítse a szervezet incidenskezelési folyamatát úgy, hogy az tartalmazza az incidensek kezelését. Győződjön meg arról, hogy egységes többfelhős incidenskezelési terv van érvényben a szervezet incidenskezelési folyamatának frissítésével, hogy az incidensek kezelését az AWS-platformba is belefoglalja. A használt AWS-szolgáltatások és az alkalmazás természete alapján kövesse az AWS biztonsági incidensmegoldási útmutatóját az incidensmegoldási terv és forgatókönyv testreszabásához, hogy azok felhasználhatók legyenek az incidensre való reagáláshoz a felhőkörnyezetben.
AWS-implementáció és további környezet:
GCP-útmutató: Frissítse a szervezet incidenskezelési folyamatát, hogy az tartalmazza az incidensek kezelését. Győződjön meg arról, hogy egységes többfelhős incidenskezelési terv van érvényben a szervezet incidenskezelési folyamatának frissítésével, hogy az incidensek a Google Cloud platformra is kiterjedjenek.
GCP implementálása és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IR-2: Előkészítés – incidensértesítés beállítása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Biztonsági elv: Győződjön meg arról, hogy a felhőszolgáltató platformjáról és környezeteiből érkező biztonsági riasztások és incidensértesítések megfelelő kapcsolattartóval fogadhatók az incidenskezelési szervezetében.
Azure-útmutató: Biztonsági incidensek kapcsolattartási adatainak beállítása a Microsoft Defender for Cloudban. A Microsoft ezen kapcsolattartási adatok használatával keresi meg Önt, ha a Microsoft Security Response Center (MSCR) felfedezi, hogy az adataihoz törvénytelen vagy jogosulatlan módon fértek hozzá. Lehetősége van az incidensriasztások és az értesítések testreszabására is a különböző Azure-szolgáltatásokban az incidensmegoldási igények alapján.
Azure-implementáció és további környezet:
AWS-útmutató: Biztonsági incidensek kapcsolattartási adatainak beállítása az AWS Systems Manager incidenskezelőjében (az AWS incidenskezelési központjában). Ezeket a kapcsolattartási adatokat az Ön és az AWS közötti incidenskezelési kommunikációhoz használjuk a különböző csatornákon keresztül (például Email, SMS vagy Voice). Megadhatja egy partner előjegyzési tervét és eszkalációs tervét annak leírásához, hogy az Incidenskezelő hogyan és mikor lép kapcsolatba a partnerrel, és eszkaláljon, ha a partner(ek) nem válaszolnak egy incidensre.
AWS-implementáció és további környezet:
GCP-útmutató: Biztonsági incidensértesítések beállítása adott névjegyekhez a Security Command Center vagy a Chronicle használatával. A Google Cloud-szolgáltatások és külső API-k segítségével valós idejű e-mail- és csevegési értesítéseket adhat meg a Security Command Center biztonsági eredményeinek riasztásához, vagy forgatókönyvek segítségével műveleteket indíthat el értesítések küldésére a Chronicle-ben.
GCP implementálása és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IR-3: Észlelés és elemzés – incidensek létrehozása kiváló minőségű riasztások alapján
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10,8 |
Biztonsági elv: Győződjön meg arról, hogy rendelkezik egy kiváló minőségű riasztások létrehozására és a riasztások minőségének mérésére vonatkozó eljárással. Ez lehetővé teszi, hogy tanuljon a múltbeli incidensekből, és rangsorolja a riasztásokat az elemzők számára, így nem pazarolnak időt a téves pozitív értékekre.
A magas minőségű riasztások készítése épülhet a korábbi incidensek tapasztalataira, az ellenőrzött közösségi forrásokra, valamint azokra az eszközökre, amelyek a riasztások generálását és tisztítását a különböző jelforrások egyesítésével és egyeztetésével végzik.
Azure-útmutató: Microsoft Defender a felhőhöz kiváló minőségű riasztásokat biztosít számos Azure-objektumban. A Microsoft Defender for Cloud data connector használatával streamelheti a riasztásokat a Microsoft Sentinelbe. A Microsoft Sentinel segítségével speciális riasztási szabályokat hozhat létre, amelyek automatikusan létrehoznak incidenseket egy vizsgálathoz.
Exportálja a Microsoft Defender a felhőbeli riasztásokhoz és javaslatokhoz az exportálási funkcióval az Azure-erőforrásokat érintő kockázatok azonosításához. A riasztásokat és javaslatokat manuálisan vagy folyamatosan is exportálhatja.
Azure-implementáció és további környezet:
AWS-útmutató: Olyan biztonsági eszközökkel, mint a SecurityHub vagy a GuardDuty és más külső eszközök, riasztásokat küldhet az Amazon CloudWatchnak vagy az Amazon EventBridge-nek, hogy az incidensek automatikusan létre tudjanak hozni az Incidenskezelőben a megadott feltételek és szabálykészletek alapján. Az incidenskezelőben manuálisan is létrehozhat incidenseket a további incidensek kezeléséhez és nyomon követéséhez.
Ha a Microsoft Defender for Cloudot használja az AWS-fiókok monitorozásához, a Microsoft Sentinel segítségével figyelheti és riasztást készíthet az AWS-erőforrásokon futó Microsoft Defender által azonosított incidensekről.
AWS-implementáció és további környezet:
- Incidens létrehozása az Incidenskezelőben
- Hogyan segít a Defender for Cloud Apps az Amazon Web Services-környezet (AWS) védelmében?
GCP-útmutató: Integrálhatja a Google Cloudot és a külső szolgáltatásokat, hogy naplókat és riasztásokat küldjön a Security Command Centernek vagy a Chronicle-nek, így az incidensek automatikusan létrehozhatók a megadott feltételek alapján. Manuálisan is létrehozhat és szerkeszthet incidensmegjelenítéseket a Security Command Centerben vagy a Krónika szabályaiban a további incidenskezelés és -nyomon követés érdekében.
Ha a Microsoft Defender for Cloudot használja a GCP-projektek monitorozásához, a Microsoft Sentinel segítségével figyelheti és értesítheti a Microsoft Defender által a Felhőhöz a GCP-erőforrásokon észlelt incidenseket, vagy közvetlenül a Microsoft Sentinelbe streamelheti a GCP-naplókat.
GCP implementálása és további környezet:
- A Security Command Center konfigurálása
- Szabályok kezelése a Szabályszerkesztővel
- GCP-projektek csatlakoztatása a felhőhöz készült Microsoft Defender
- Google Cloud Platform-naplók streamelése a Microsoft Sentinelbe
Ügyfélbiztonsági érdekelt felek (További információ):
IR-4: Észlelés és elemzés – incidens vizsgálata
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| N/A | IR-4 | 12.10 |
Biztonsági elv: Győződjön meg arról, hogy a biztonsági műveleti csapat különböző adatforrásokat kérdezhet le és használhat a lehetséges incidensek vizsgálata során, hogy teljes képet alkothasson a történtekről. A vakfoltok elkerülése érdekében különböző naplókat kell gyűjteni a potenciális támadók tevékenységének követéséhez a támadási útvonalon. A megállapítások és eredmények rögzítéséről is érdemes gondoskodnia, hogy később más elemzők referenciaként használhassák őket.
Használja a natív felhőbeli SIEM- és incidenskezelési megoldást, ha a szervezet nem rendelkezik meglévő megoldással a biztonsági naplók és riasztások adatainak összesítéséhez. Az incidensadatok korrelálása a különböző forrásokból származó adatok alapján az incidensvizsgálatok létrehozásához.
Azure-útmutató: Győződjön meg arról, hogy a biztonsági üzemeltetési csapat lekérdezheti és használhatja a hatókörön belüli szolgáltatásokból és rendszerekből gyűjtött különböző adatforrásokat. Emellett a források a következőket is tartalmazhatják:
- Identitás- és hozzáférési naplóadatok: Azure AD naplók és számítási feladatok (például operációs rendszerek vagy alkalmazásszintű) hozzáférési naplók használata az identitás- és hozzáférési események korrelálására.
- Hálózati adatok: A hálózati biztonsági csoportok folyamatnaplói, az Azure Network Watcher és az Azure Monitor segítségével rögzítheti a hálózati forgalom naplóit és egyéb elemzési adatait.
- Incidenssel kapcsolatos tevékenységadatok az érintett rendszerek pillanatképeiből, amelyek a következőkkel szerezhetők be:
- Az Azure-beli virtuális gép pillanatképek funkciójának használatával pillanatképet készíthet a futó rendszer lemezéről.
- Az operációs rendszer natív memóriakép-memóriaképének képessége a futó rendszer memóriájának pillanatképének létrehozásához.
- Más támogatott Azure-szolgáltatások vagy a szoftver saját képességeinek pillanatkép-készítési funkciója a futó rendszerek pillanatképeinek létrehozásához.
A Microsoft Sentinel kiterjedt adatelemzést biztosít gyakorlatilag bármilyen naplóforráson és egy esetkezelési portálon az incidensek teljes életciklusának kezeléséhez. A vizsgálatok során kapott információk társíthatók egy incidenssel nyomkövetés és jelentéskészítés céljából.
Megjegyzés: Ha az incidenssel kapcsolatos adatokat vizsgálat céljából rögzítik, győződjön meg arról, hogy megfelelő biztonság van érvényben az adatok jogosulatlan módosításokkal szembeni védelméhez, például a naplózás letiltásához vagy a naplók eltávolításához, amelyeket a támadók a repülés közbeni adatszivárgási tevékenység során hajthatnak végre.
Azure-implementáció és további környezet:
- Windows rendszerű gép lemezének pillanatképe
- Linux rendszerű gép lemezének pillanatképe
- Microsoft Azure-támogatás – diagnosztikai információk és memóriaképek gyűjtése
- Incidensek vizsgálata az Azure Sentinellel
AWS-útmutató: A vizsgálathoz használt adatforrások azok a központi naplózási források, amelyek a hatókörön belüli szolgáltatásokból és a futó rendszerekből gyűjtenek, de tartalmazhatják a következőket is:
- Identitás- és hozzáférési naplóadatok: IAM-naplók és számítási feladatok (például operációs rendszerek vagy alkalmazásszintű) hozzáférési naplók használata az identitás- és hozzáférési események korrelálására.
- Hálózati adatok: A hálózati forgalom naplóinak és egyéb elemzési adatainak rögzítéséhez használja a VPC-forgalomnaplókat, a VPC Traffic Mirrorst, valamint az Azure CloudTrail és a CloudWatch szolgáltatást.
- Pillanatképek a futó rendszerekről, amelyek a következőkkel szerezhetők be:
- Pillanatkép-képesség az Amazon EC2-ben (EBS) a futó rendszer lemezének pillanatképének létrehozásához.
- Az operációs rendszer natív memóriakép-memóriaképének képessége a futó rendszer memóriájának pillanatképének létrehozásához.
- Az AWS-szolgáltatások vagy a szoftver saját képességeinek pillanatkép funkciójával pillanatképeket készíthet a futó rendszerekről.
Ha a SIEM-hez kapcsolódó adatokat összesíti a Microsoft Sentinelben, az az incidensek teljes életciklusának kezeléséhez kiterjedt adatelemzést biztosít gyakorlatilag bármilyen naplóforráson és esetkezelési portálon. A vizsgálatok során kapott információk társíthatók egy incidenssel nyomkövetés és jelentéskészítés céljából.
Megjegyzés: Ha az incidenssel kapcsolatos adatokat vizsgálat céljából rögzítik, győződjön meg arról, hogy megfelelő biztonság van érvényben az adatok jogosulatlan módosításokkal szembeni védelméhez, például a naplózás letiltásához vagy a naplók eltávolításához, amelyeket a támadók a repülés közbeni adatszivárgási tevékenység során hajthatnak végre.
AWS-implementáció és további környezet:
- Forgalomtükrözés
- EBS-kötet biztonsági mentésének létrehozása AMI-kkel és EBS-pillanatképekkel
- Nem módosítható tároló használata
GCP-útmutató: A vizsgálathoz használt adatforrások a hatókörön belüli szolgáltatásokból és a futó rendszerekből gyűjtött központi naplózási források, de tartalmazhatják a következőket is:
- Identitás- és hozzáférési naplóadatok: IAM-naplók és számítási feladatok (például operációs rendszerek vagy alkalmazásszintű) hozzáférési naplók használata az identitás- és hozzáférési események korrelálására.
- Hálózati adatok: VPC-forgalomnaplók és VPC-szolgáltatásvezérlők használata a hálózati forgalom naplóinak és egyéb elemzési adatainak rögzítéséhez.
- Pillanatképek a futó rendszerekről, amelyek a következőkkel szerezhetők be:
- Pillanatkép-képesség GCP virtuális gépeken a futó rendszer lemezének pillanatképének létrehozásához.
- Az operációs rendszer natív memóriakép-memóriaképének képessége a futó rendszer memóriájának pillanatképének létrehozásához.
- A GCP-szolgáltatások vagy a szoftver saját képességeinek pillanatkép-funkciója a futó rendszerek pillanatképeinek létrehozásához.
Ha a SIEM-hez kapcsolódó adatokat összesíti a Microsoft Sentinelben, az az incidensek teljes életciklusának kezeléséhez kiterjedt adatelemzést biztosít gyakorlatilag bármilyen naplóforráson és esetkezelési portálon. A vizsgálatok során kapott információk társíthatók egy incidenssel nyomkövetés és jelentéskészítés céljából.
Megjegyzés: Ha az incidenssel kapcsolatos adatokat vizsgálat céljából rögzítik, győződjön meg arról, hogy megfelelő biztonság van érvényben az adatok jogosulatlan módosításokkal szembeni védelméhez, például a naplózás letiltásához vagy a naplók eltávolításához, amelyeket a támadók a repülés közbeni adatszivárgási tevékenység során hajthatnak végre.
GCP-implementáció és további környezet:
- Security Command Center – Biztonsági források
- Támogatott adatkészletek
- Lemezpillanatképek létrehozása és kezelése
- Google Cloud Platform-naplók streamelése a Microsoft Sentinelbe
Ügyfélbiztonsági érdekelt felek (További információ):
IR-5: Észlelés és elemzés – Incidensek rangsorolása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Biztonsági elv: A biztonsági üzemeltetési csapatok kontextusának biztosítása annak meghatározásához, hogy mely incidensekre kell először összpontosítaniuk a szervezet incidensmegoldási tervében meghatározott riasztási súlyosság és adategység-érzékenység alapján.
Emellett címkékkel jelöljön meg erőforrásokat, és hozzon létre egy elnevezési rendszert a felhőbeli erőforrások azonosításához és kategorizálásához, különösen a bizalmas adatokat feldolgozó erőforrásokhoz. Az Ön felelőssége, hogy rangsorolja a riasztások szervizelését az incidenst jelentő erőforrások és környezet kritikussága alapján.
Azure-útmutató: Microsoft Defender a Felhőhöz súlyosságot rendel az egyes riasztásokhoz, így könnyebben rangsorolhatja, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Felhőhöz készült Microsoft Defender mennyire magabiztosak a riasztás kibocsátásához használt keresésben vagy elemzésben, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.
Hasonlóképpen, a Microsoft Sentinel riasztásokat és incidenseket hoz létre hozzárendelt súlyossággal és egyéb részletekkel az elemzési szabályok alapján. Használjon elemzési szabálysablonokat, és szabja testre a szabályokat a szervezet igényeinek megfelelően az incidensek rangsorolásának támogatásához. A Microsoft Sentinel automatizálási szabályaival felügyelheti és vezényelheti a fenyegetésekre adott válaszokat, így maximalizálhatja a biztonsági művelet csapathatékonyságát és hatékonyságát, beleértve az incidensek címkézését is az osztályozásukhoz.
Azure-implementáció és további környezet:
- Biztonsági riasztások a Microsoft Defender for Cloudban
- Címkék használata az Azure-erőforrások rendszerezéséhez
- Incidensek létrehozása a Microsoft biztonsági riasztásaiból
AWS-útmutató: Az Incidenskezelőben létrehozott minden incidenshez rendeljen hozzá egy hatásszintet a szervezet által meghatározott feltételek alapján, például az incidens súlyosságának mértéke és az érintett objektumok kritikussági szintje alapján.
AWS-implementáció és további környezet:
* GCP-útmutató: A Security Command Centerben létrehozott minden incidens esetében határozza meg a riasztás prioritását a rendszer által hozzárendelt súlyossági minősítések és a szervezet által meghatározott egyéb feltételek alapján. Mérje meg az incidens súlyosságát és az érintett objektumok kritikussági szintjét annak meghatározásához, hogy mely riasztásokat kell először megvizsgálni.
A Chronicalhoz hasonlóan egyéni szabályokat is meghatározhat az incidenskezelési prioritások meghatározásához. GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IR-6: Elszigetelés, felszámolás és helyreállítás – az incidenskezelés automatizálása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| N/A | IR-4, IR-5, IR-6 | 12.10 |
Biztonsági elv: Automatizálja a manuális, ismétlődő feladatokat, hogy felgyorsítsa a válaszidőt, és csökkentse az elemzőkre nehezedő terheket. A manuális tevékenységek végrehajtása több időt vesz igénybe, emiatt az elemzők kevesebb incidenst képesek kezelni. A manuális feladatok növelik az elemzők fáradtságát is, ami növeli az emberi hibák kockázatát, ami késéseket okoz, és rontja az elemzők azon képességét, hogy hatékonyan összpontosítsanak az összetett feladatokra.
Azure-útmutató: A Microsoft Defender for Cloud és a Microsoft Sentinel munkafolyamat-automatizálási funkcióival automatikusan aktiválhat műveleteket, vagy forgatókönyveket futtathat a bejövő biztonsági riasztásokra való válaszadáshoz. A forgatókönyvek olyan műveleteket hajtanak végre, mint az értesítések küldése, a fiókok letiltása és a problémás hálózatok elkülönítése.
Azure-implementáció és további környezet:
- Munkafolyamat-automatizálás konfigurálása a Security Centerben
- Automatikus fenyegetésválaszok beállítása a felhőhöz készült Microsoft Defender-ben
- Fenyegetésre adott automatikus válaszok beállítása az Azure Sentinelben
AWS-útmutató: Ha a Microsoft Sentinel használatával központilag kezeli az incidenst, automatizált műveleteket is létrehozhat, vagy forgatókönyveket futtathat a bejövő biztonsági riasztásokra való reagáláshoz.
Alternatív megoldásként az AWS System Manager automatizálási funkcióival automatikusan aktiválhatja az incidensmegoldási tervben meghatározott műveleteket, beleértve a partnerek értesítését és/vagy egy runbook futtatását a riasztásokra való válaszadáshoz, például a fiókok letiltásához és a problémás hálózatok elkülönítéséhez.
AWS-implementáció és további környezet:
GCP-útmutató: Ha a Microsoft Sentinel használatával központilag kezeli az incidenst, automatizált műveleteket is létrehozhat, vagy forgatókönyveket futtathat a bejövő biztonsági riasztásokra való reagáláshoz.
Azt is megteheti, hogy a Chronicle forgatókönyv-automatizálásaival automatikusan aktiválja az incidensmegoldási tervben meghatározott műveleteket, beleértve a partnerek értesítését és/vagy forgatókönyv futtatását a riasztásokra való válaszadáshoz.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IR-7: Incidens utáni tevékenység – levont tanulságok elvégzése és a bizonyítékok megőrzése
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Biztonsági elv: Rendszeres időközönként és/vagy nagyobb incidensek után tanuljon a szervezetben, hogy javítsa az incidenskezelés és -kezelés jövőbeni képességét.
Az incidens természete alapján az incidenssel kapcsolatos bizonyítékokat az incidenskezelési szabványban meghatározott időtartamig őrizze meg további elemzés vagy jogi intézkedések céljából.
Azure-útmutató: A tanult tevékenységek eredményeinek felhasználásával frissítheti incidensmegoldási tervét, forgatókönyvét (például Egy Microsoft Sentinel-forgatókönyvet), és visszaállíthatja az eredményeket a környezetekbe (például naplózást és fenyegetésészlelést a naplózás hiányosságainak elhárításához), hogy javítsa az Incidensek észlelésének, megválaszolásának és kezelésének jövőbeli képességét az Azure-ban.
Őrizze meg az "Észlelés és elemzés – incidensi lépés vizsgálata" során gyűjtött bizonyítékokat, például a rendszernaplókat, a hálózati forgalom memóriaképeit és a rendszerpillanatképek futtatását a tárolóban, például egy Azure Storage-fiókban a nem módosítható megőrzés érdekében.
Azure-implementáció és további környezet:
AWS-útmutató: Incidenselemzés létrehozása lezárt incidenshez az Incidenskezelőben a standard incidenselemzési sablon vagy a saját egyéni sablon használatával. A tanult tevékenységek eredményeinek felhasználásával frissítheti incidenskezelési tervét, forgatókönyvét (például az AWS Systems Manager-forgatókönyvet és a Microsoft Sentinel-forgatókönyvet), és visszaállíthatja az eredményeket a környezetekbe (például naplózást és fenyegetésészlelést a naplózás hiányosságainak elhárításához), hogy javítsa az incidensek észlelésére, megválaszolására és kezelésére vonatkozó jövőbeli képességét az AWS-ben.
A nem módosítható megőrzés érdekében őrizze meg az "Észlelés és elemzés – incidensi lépés vizsgálata" során gyűjtött bizonyítékokat, például a rendszernaplókat, a hálózati forgalom memóriaképeit és a rendszerpillanatképek futtatását a tárolóban, például egy Amazon S3-gyűjtőben vagy egy Azure Storage-fiókban.
AWS-implementáció és további környezet:
GCP-útmutató: A tanult tevékenységek eredményeinek felhasználásával frissítheti incidensmegoldási tervét, forgatókönyvét (például a Chronicle vagy a Microsoft Sentinel forgatókönyvét), és visszaállíthatja az eredményeket a környezetekbe (például naplózást és fenyegetésészlelést a naplózás hiányosságainak elhárításához), hogy javítsa az incidensek észlelésének, megválaszolásának és kezelésének jövőbeli képességét a GCP-ben.
Őrizze meg az "Észlelés és elemzés – incidensi lépés vizsgálata" során gyűjtött bizonyítékokat, például a rendszernaplókat, a hálózati forgalom memóriaképeit és a rendszerpillanatképek futtatását a tárolóban, például a Google Cloud Storage-ban vagy egy Azure Storage-fiókban a nem módosítható megőrzés érdekében.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):