Kontrola zabezpieczeń: reagowanie na zdarzenia
Reagowanie na zdarzenia obejmuje mechanizmy kontroli w cyklu życia reagowania na zdarzenia — przygotowywanie, wykrywanie i analizę, zawieranie i działania po zdarzeniu, w tym korzystanie z usług platformy Azure (takich jak Microsoft Defender dla chmury i usługi Sentinel) i/lub innych usług w chmurze w celu zautomatyzowania procesu reagowania na zdarzenia.
IR-1: Przygotowanie — aktualizowanie planu reagowania na zdarzenia i proces obsługi
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10,8 |
Zasada zabezpieczeń: Upewnij się, że Organizacja stosuje najlepsze rozwiązania branżowe w celu opracowania procesów i planów reagowania na zdarzenia związane z bezpieczeństwem na platformach w chmurze. Należy pamiętać o modelu wspólnej odpowiedzialności i wariancjach w usługach IaaS, PaaS i SaaS. Będzie to miało bezpośredni wpływ na współpracę z dostawcą usług w chmurze w zakresie reagowania na zdarzenia i obsługi działań, takich jak powiadamianie o zdarzeniach i klasyfikacja, zbieranie dowodów, badanie, eliminacja i odzyskiwanie.
Regularnie testuj plan reagowania na zdarzenia i proces obsługi, aby upewnić się, że są aktualne.
Wskazówki dotyczące platformy Azure: aktualizowanie procesu reagowania na zdarzenia organizacji w celu uwzględnienia obsługi zdarzeń na platformie Azure. Na podstawie używanych usług platformy Azure i charakteru aplikacji dostosuj plan reagowania na zdarzenia i podręcznik, aby upewnić się, że mogą one służyć do reagowania na zdarzenie w środowisku chmury.
Implementacja platformy Azure i dodatkowy kontekst:
- Zaimplementuj zabezpieczenia w środowisku przedsiębiorstwa:
- Przewodnik po odpowiedziach na zdarzenia
- Przewodnik obsługi zdarzeń zabezpieczeń komputera NIST SP800-61
- Omówienie reagowania na zdarzenia
Wskazówki dotyczące platformy AWS: aktualizowanie procesu reagowania na zdarzenia w organizacji w celu uwzględnienia obsługi zdarzeń. Upewnij się, że istnieje ujednolicony plan reagowania na zdarzenia w wielu chmurach, aktualizując proces reagowania na zdarzenia organizacji w celu uwzględnienia obsługi zdarzeń na platformie AWS. Na podstawie używanych usług AWS i charakteru aplikacji postępuj zgodnie z przewodnikiem reagowania na zdarzenia zabezpieczeń platformy AWS, aby dostosować plan reagowania na zdarzenia i podręcznik, aby upewnić się, że mogą one służyć do reagowania na zdarzenie w środowisku chmury.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: zaktualizuj proces reagowania na zdarzenia w organizacji, aby uwzględnić obsługę zdarzeń. Upewnij się, że istnieje ujednolicony plan reagowania na zdarzenia w wielu chmurach, aktualizując proces reagowania na zdarzenia w organizacji, aby uwzględnić obsługę zdarzeń na platformie Google Cloud.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-2: Przygotowanie — powiadomienie o zdarzeniu konfiguracji
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Zasada zabezpieczeń: Upewnij się, że alerty zabezpieczeń i powiadomienia o zdarzeniach z platformy dostawcy usług w chmurze i środowiska mogą być odbierane przez prawidłowy kontakt w organizacji reagowania na zdarzenia.
Wskazówki dotyczące platformy Azure: Konfigurowanie informacji kontaktowych dotyczących zdarzeń zabezpieczeń w Microsoft Defender for Cloud. Informacje kontaktowe są używane przez firmę Microsoft do skontaktowania się z Tobą, jeśli centrum Microsoft Security Response Center (MSRC) wykryje, że dostęp do danych jest uzyskiwany przez nieuprawnioną lub nieautoryzowaną osobę. Dostępne są również opcje dostosowywania alertów zdarzeń i powiadomień w różnych usługach platformy Azure w zależności od potrzeb związanych z reagowaniem na zdarzenia.
Implementacja platformy Azure i dodatkowy kontekst:
Wskazówki dotyczące platformy AWS: Konfigurowanie informacji kontaktowych o zdarzeniach zabezpieczeń w programie AWS Systems Manager Incident Manager (centrum zarządzania incydentami dla platformy AWS). Te informacje kontaktowe są używane do komunikacji między Użytkownikiem a platformą AWS za pośrednictwem różnych kanałów (tj. Email, SMS lub Voice). Możesz zdefiniować plan zaangażowania i plan eskalacji kontaktu, aby opisać, jak i kiedy menedżer zdarzeń angażuje kontakt i eskalować, jeśli kontakty nie reagują na zdarzenie.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: konfigurowanie powiadomień o zdarzeniach zabezpieczeń dla określonych kontaktów przy użyciu usługi Security Command Center lub Chronicle. Użyj usług Google Cloud i interfejsów API innych firm, aby dostarczać wiadomości e-mail i powiadomienia czatu w czasie rzeczywistym w celu powiadamiania o ustaleniach zabezpieczeń usługi Security Command Center lub podręczników w celu wyzwalania akcji w celu wysyłania powiadomień w kronikach.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-3: Wykrywanie i analiza — tworzenie zdarzeń na podstawie alertów wysokiej jakości
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10,8 |
Zasada zabezpieczeń: Upewnij się, że masz proces tworzenia alertów wysokiej jakości i mierzenia jakości alertów. Dzięki temu można wyciągnąć wnioski z przeszłych zdarzeń i ustalić priorytety alertów dla analityków, dzięki czemu nie tracą czasu na wyniki fałszywie dodatnie.
Alerty o wysokiej jakości można tworzyć na podstawie doświadczeń z przeszłych zdarzeń, sprawdzonych źródeł społeczności oraz narzędzi przeznaczonych do generowania i czyszczenia alertów przez połączenie i skorelowanie różnorodnych źródeł sygnałów.
Wskazówki dotyczące platformy Azure: Microsoft Defender for Cloud udostępnia alerty wysokiej jakości dla wielu zasobów platformy Azure. Łącznik danych Microsoft Defender dla chmury umożliwia przesyłanie strumieniowe alertów do usługi Microsoft Sentinel. Usługa Microsoft Sentinel umożliwia tworzenie zaawansowanych reguł alertów w celu automatycznego generowania zdarzeń na potrzeby badania.
Wyeksportuj Microsoft Defender alertów i zaleceń dotyczących chmury przy użyciu funkcji eksportowania, aby ułatwić identyfikowanie zagrożeń dla zasobów platformy Azure. Eksportuj alerty i zalecenia ręcznie lub w stały, ciągły sposób.
Implementacja platformy Azure i dodatkowy kontekst:
Wskazówki dotyczące platformy AWS: użyj narzędzi zabezpieczeń, takich jak SecurityHub lub GuardDuty i innych narzędzi innych firm, aby wysyłać alerty do usługi Amazon CloudWatch lub Amazon EventBridge, aby zdarzenia można było automatycznie tworzyć w programie Incident Manager na podstawie zdefiniowanych kryteriów i zestawów reguł. Możesz również ręcznie tworzyć zdarzenia w Menedżerze zdarzeń w celu dalszej obsługi i śledzenia zdarzeń.
Jeśli używasz Microsoft Defender for Cloud do monitorowania kont platformy AWS, możesz również użyć usługi Microsoft Sentinel do monitorowania i powiadamiania o zdarzeniach zidentyfikowanych przez Microsoft Defender dla zasobów platformy AWS w chmurze.
Implementacja platformy AWS i dodatkowy kontekst:
- Tworzenie zdarzenia w programie Incident Manager
- Jak usługa Defender for Cloud Apps pomaga chronić środowisko usług Amazon Web Services (AWS)
Wskazówki dotyczące platformy GCP: Integrowanie usług Google Cloud i innych firm w celu wysyłania dzienników i alertów do Centrum poleceń zabezpieczeń lub Kroniki, dzięki czemu zdarzenia można automatycznie tworzyć na podstawie zdefiniowanych kryteriów. Możesz również ręcznie tworzyć i edytować wyniki zdarzeń w usłudze Security Command Center lub reguły w kroniki w celu dalszej obsługi i śledzenia zdarzeń.
Jeśli używasz Microsoft Defender for Cloud do monitorowania projektów GCP, możesz również użyć usługi Microsoft Sentinel do monitorowania i powiadamiania o zdarzeniach zidentyfikowanych przez Microsoft Defender dla chmury w zasobach GCP lub przesyłać strumieniowo dzienniki GCP bezpośrednio do usługi Microsoft Sentinel.
Implementacja GCP i dodatkowy kontekst:
- Konfigurowanie usługi Security Command Center
- Zarządzanie regułami przy użyciu edytora reguł
- Łączenie projektów GCP z Microsoft Defender for Cloud
- Przesyłanie strumieniowe dzienników platformy Google Cloud Platform do usługi Microsoft Sentinel
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-4: Wykrywanie i analiza — badanie zdarzenia
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| Nie dotyczy | IR-4 | 12.10 |
Zasada zabezpieczeń: Upewnij się, że zespół ds. operacji zabezpieczeń może wykonywać zapytania dotyczące różnych źródeł danych i korzystać z nich podczas badania potencjalnych zdarzeń, aby utworzyć pełny wgląd w to, co się stało. Należy zbierać różne dzienniki, aby śledzić działania potencjalnej osoby atakującej w ramach całego łańcucha zagrożeń, aby uniknąć efektu martwego pola. Należy również upewnić się, że szczegółowe informacje i wnioski są rejestrowane dla innych analityków i na potrzeby przyszłych badań.
Użyj natywnego rozwiązania SIEM i rozwiązania do zarządzania zdarzeniami w chmurze, jeśli organizacja nie ma istniejącego rozwiązania do agregowania dzienników zabezpieczeń i informacji o alertach. Skoreluj dane incydentów na podstawie danych pochodzących z różnych źródeł, aby zawęźcić badania incydentów.
Wskazówki dotyczące platformy Azure: Upewnij się, że zespół operacyjny ds. zabezpieczeń może wykonywać zapytania dotyczące różnych źródeł danych zebranych z usług i systemów w zakresie. Ponadto źródła mogą również obejmować:
- Dane dziennika tożsamości i dostępu: użyj dzienników Azure AD i obciążeń (takich jak systemy operacyjne lub poziom aplikacji) dzienników dostępu do korelowania zdarzeń tożsamości i dostępu.
- Dane sieciowe: użyj dzienników przepływów sieciowych grup zabezpieczeń, usługi Azure Network Watcher i usługi Azure Monitor, aby przechwycić dzienniki przepływu sieci i inne informacje analityczne.
- Dane aktywności związane z zdarzeniami z migawek systemów, których to dotyczy, które można uzyskać za pośrednictwem:
- Możliwość migawek maszyny wirtualnej platformy Azure w celu utworzenia migawki dysku uruchomionego systemu.
- Natywna funkcja zrzutu pamięci systemu operacyjnego w celu utworzenia migawki pamięci uruchomionego systemu.
- Funkcja migawki innych obsługiwanych usług platformy Azure lub własnych możliwości oprogramowania w celu tworzenia migawek uruchomionych systemów.
Usługa Microsoft Sentinel zapewnia rozbudowaną analizę danych w praktycznie dowolnym źródle dziennika i portalu zarządzania przypadkami w celu zarządzania pełnym cyklem życia zdarzeń. Informacje analityczne podczas badania mogą być powiązane ze zdarzeniami pod kątem śledzenia i raportowania.
Uwaga: W przypadku przechwycenia danych związanych z incydentami w celu zbadania upewnij się, że istnieją odpowiednie zabezpieczenia, aby chronić dane przed nieautoryzowaną zmianą, taką jak wyłączenie rejestrowania lub usuwanie dzienników, które mogą być wykonywane przez osoby atakujące podczas działania naruszenia danych w locie.
Implementacja platformy Azure i dodatkowy kontekst:
- Tworzenie migawek dysku maszyny z systemem Windows
- Tworzenie migawek dysku maszyny z systemem Linux
- Informacje diagnostyczne pomocy technicznej oraz kolekcja zrzutów pamięci platformy Microsoft Azure
- Badanie zdarzeń za pomocą usługi Azure Sentinel
Wskazówki dotyczące platformy AWS: Źródła danych do badania to scentralizowane źródła rejestrowania, które zbierają się z usług w zakresie i uruchomionych systemów, ale mogą również obejmować:
- Dane dziennika tożsamości i dostępu: użyj dzienników i obciążeń zarządzania dostępem i tożsamościami (na przykład systemów operacyjnych lub poziomu aplikacji) do korelowania zdarzeń tożsamości i dostępu.
- Dane sieciowe: użyj dzienników przepływu VPC, dublowań ruchu VPC oraz usługi Azure CloudTrail i CloudWatch, aby przechwycić dzienniki przepływu sieci i inne informacje analityczne.
- Migawki uruchomionych systemów, które można uzyskać za pomocą:
- Możliwość migawek w usłudze Amazon EC2 (EBS) w celu utworzenia migawki dysku uruchomionego systemu.
- Natywna funkcja zrzutu pamięci systemu operacyjnego w celu utworzenia migawki pamięci uruchomionego systemu.
- Funkcja migawki usług AWS lub własnych możliwości oprogramowania w celu utworzenia migawek uruchomionych systemów.
Jeśli zagregujesz dane związane z rozwiązaniem SIEM do usługi Microsoft Sentinel, zapewnia ona rozbudowaną analizę danych w praktycznie dowolnym źródle dziennika i portalu zarządzania przypadkami w celu zarządzania pełnym cyklem życia zdarzeń. Informacje analityczne podczas badania mogą być powiązane ze zdarzeniami pod kątem śledzenia i raportowania.
Uwaga: W przypadku przechwycenia danych związanych z incydentami w celu zbadania upewnij się, że istnieją odpowiednie zabezpieczenia, aby chronić dane przed nieautoryzowaną zmianą, taką jak wyłączenie rejestrowania lub usuwanie dzienników, które mogą być wykonywane przez osoby atakujące podczas działania naruszenia danych w locie.
Implementacja platformy AWS i dodatkowy kontekst:
- Dublowanie ruchu
- Tworzenie kopii zapasowych woluminów EBS za pomocą interfejsów AMI i migawek EBS
- Korzystanie z magazynu niezmiennego
Wskazówki dotyczące platformy GCP: Źródła danych do badania to scentralizowane źródła rejestrowania, które zbierają dane z usług w zakresie i uruchomionych systemów, ale mogą również obejmować:
- Dane dziennika tożsamości i dostępu: użyj dzienników i obciążeń zarządzania dostępem i tożsamościami (na przykład systemów operacyjnych lub poziomu aplikacji) do korelowania zdarzeń tożsamości i dostępu.
- Dane sieciowe: użyj dzienników przepływu VPC i kontrolek usługi VPC, aby przechwycić dzienniki przepływu sieci i inne informacje analityczne.
- Migawki uruchomionych systemów, które można uzyskać za pomocą:
- Możliwość migawek na maszynach wirtualnych GCP w celu utworzenia migawki dysku uruchomionego systemu.
- Natywna funkcja zrzutu pamięci systemu operacyjnego w celu utworzenia migawki pamięci uruchomionego systemu.
- Funkcja migawki usług GCP lub własnych możliwości oprogramowania w celu tworzenia migawek uruchomionych systemów.
Jeśli zagregujesz dane związane z rozwiązaniem SIEM do usługi Microsoft Sentinel, zapewnia ona rozbudowaną analizę danych w praktycznie dowolnym źródle dziennika i portalu zarządzania przypadkami w celu zarządzania pełnym cyklem życia zdarzeń. Informacje analityczne podczas badania mogą być powiązane ze zdarzeniami pod kątem śledzenia i raportowania.
Uwaga: W przypadku przechwycenia danych związanych z incydentami w celu zbadania upewnij się, że istnieją odpowiednie zabezpieczenia, aby chronić dane przed nieautoryzowaną zmianą, taką jak wyłączenie rejestrowania lub usuwanie dzienników, które mogą być wykonywane przez osoby atakujące podczas działania naruszenia danych w locie.
Implementacja GCP i dodatkowy kontekst:
- Security Command Center — źródła zabezpieczeń
- Obsługiwane zestawy danych
- Tworzenie migawek dysków i zarządzanie nimi
- Przesyłanie strumieniowe dzienników platformy Google Cloud Platform do usługi Microsoft Sentinel
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-5: Wykrywanie i analiza — określanie priorytetów zdarzeń
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Zasada zabezpieczeń: zapewnienie kontekstu zespołom ds. operacji zabezpieczeń, aby ułatwić im określenie, na których zdarzeniach należy najpierw skoncentrować, na podstawie ważności alertu i poufności zasobów zdefiniowanych w planie reagowania na zdarzenia w organizacji.
Ponadto oznaczanie zasobów przy użyciu tagów i tworzenie systemu nazewnictwa w celu identyfikowania i kategoryzowania zasobów w chmurze, zwłaszcza tych, które przetwarzają poufne dane. Twoim zadaniem jest ustalenie priorytetów korygowania alertów w oparciu o krytyczność zasobów i środowiska, w którym wystąpiło zdarzenie.
Wskazówki dotyczące platformy Azure: Microsoft Defender for Cloud przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Ważność zależy od tego, jak pewna Microsoft Defender dla chmury znajduje się w znalezieniu lub analizie używanej do wystawiania alertu, a także na poziomie pewności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziło do alertu.
Podobnie usługa Microsoft Sentinel tworzy alerty i zdarzenia z przypisaną ważnością i innymi szczegółami na podstawie reguł analizy. Użyj szablonów reguł analitycznych i dostosuj reguły zgodnie z potrzebami organizacji w celu obsługi priorytetyzacji zdarzeń. Reguły automatyzacji w usłudze Microsoft Sentinel umożliwiają zarządzanie i organizowanie reagowania na zagrożenia w celu zmaksymalizowania wydajności i skuteczności zespołu operacji zabezpieczeń, w tym tagowania zdarzeń w celu ich klasyfikowania.
Implementacja platformy Azure i dodatkowy kontekst:
- Alerty zabezpieczeń w usłudze Microsoft Defender for Cloud
- Organizowanie zasobów platformy Azure przy użyciu tagów
- Tworzenie zdarzeń na podstawie alertów zabezpieczeń firmy Microsoft
Wskazówki dotyczące platformy AWS: dla każdego zdarzenia utworzonego w menedżerze zdarzeń przypisz poziom wpływu na podstawie zdefiniowanych kryteriów organizacji, takich jak miara ważności zdarzenia i poziomu krytycznego zasobów, na które miało to wpływ.
Implementacja platformy AWS i dodatkowy kontekst:
*Wskazówki dotyczące platformy GCP: dla każdego zdarzenia utworzonego w usłudze Security Command Center określ priorytet alertu na podstawie ocen ważności przypisanych przez system i innych kryteriów zdefiniowanych przez organizację. Zmierz ważność zdarzenia i poziomu krytycznego zasobów, których dotyczy problem, aby określić, które alerty powinny być badane w pierwszej kolejności.
Podobnie w kronikach można zdefiniować niestandardowe reguły w celu określenia priorytetów reagowania na zdarzenia. Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
IR-6: Powstrzymywanie, eliminacja i odzyskiwanie — automatyzowanie obsługi zdarzeń
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| Nie dotyczy | IR-4, IR-5, IR-6 | 12.10 |
Zasada zabezpieczeń: Automatyzuj ręczne, powtarzalne zadania, aby skrócić czas odpowiedzi i zmniejszyć obciążenie analityków. Wykonanie ręcznych zadań trwa dłużej, spowalnia każde zdarzenie i zmniejsza liczbę zdarzeń, które może obsłużyć analityk. Zadania ręczne zwiększają również zmęczenie analityków, co zwiększa ryzyko błędu ludzkiego, który powoduje opóźnienia i obniża zdolność analityków do efektywnego skupienia się na złożonych zadaniach.
Wskazówki dotyczące platformy Azure: używanie funkcji automatyzacji przepływu pracy w Microsoft Defender dla chmury i usługi Microsoft Sentinel w celu automatycznego wyzwalania akcji lub uruchamiania podręczników w celu reagowania na przychodzące alerty zabezpieczeń. Podręczniki podejmują akcje, takie jak wysyłanie powiadomień, wyłączanie kont i izolowanie problematycznych sieci.
Implementacja platformy Azure i dodatkowy kontekst:
- Konfigurowanie automatyzacji przepływu pracy w usłudze Security Center
- Konfigurowanie automatycznych odpowiedzi na zagrożenia w usłudze Microsoft Defender for Cloud
- Konfigurowanie automatycznych reakcji na zagrożenia w usłudze Azure Sentinel
Wskazówki dotyczące platformy AWS: jeśli używasz usługi Microsoft Sentinel do centralnego zarządzania zdarzeniem, możesz również utworzyć zautomatyzowane akcje lub uruchomić podręczniki w celu reagowania na przychodzące alerty zabezpieczeń.
Możesz też użyć funkcji automatyzacji w programie AWS System Manager, aby automatycznie wyzwalać akcje zdefiniowane w planie reagowania na zdarzenia, w tym powiadamianie kontaktów i/lub uruchamianie elementu Runbook w celu reagowania na alerty, takie jak wyłączanie kont i izolowanie problematycznych sieci.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące narzędzia GCP: Jeśli używasz usługi Microsoft Sentinel do centralnego zarządzania zdarzeniem, możesz również utworzyć zautomatyzowane akcje lub uruchomić podręczniki w celu reagowania na przychodzące alerty zabezpieczeń.
Alternatywnie użyj automatyzacji podręcznika w kroniku, aby automatycznie wyzwalać akcje zdefiniowane w planie reagowania na zdarzenia, w tym powiadamianie kontaktów i/lub uruchamianie podręcznika w celu reagowania na alerty.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
IR-7: Działanie po zdarzeniu — przeprowadzanie lekcji poznanych i zachowywanie dowodów
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 17.8 | ŚRODOWISKO IR-4 | 12.10 |
Zasada zabezpieczeń: przeprowadzanie lekcji dotyczących okresowych i/lub po poważnych zdarzeniach w organizacji w celu zwiększenia przyszłej możliwości reagowania na zdarzenia i obsługi.
Na podstawie charakteru zdarzenia zachowaj dowody związane z incydentem przez okres zdefiniowany w standardzie obsługi zdarzeń w celu dalszej analizy lub działań prawnych.
Wskazówki dotyczące platformy Azure: skorzystaj z wyników uzyskanych działań w celu zaktualizowania planu reagowania na zdarzenia, podręcznika (takiego jak podręcznik usługi Microsoft Sentinel) i ponownego tworzenia wyników w środowiskach (takich jak rejestrowanie i wykrywanie zagrożeń, aby rozwiązać wszelkie luki w rejestrowaniu), aby poprawić przyszłe możliwości wykrywania, reagowania i obsługi zdarzeń na platformie Azure.
Zachowaj dowody zebrane podczas "Wykrywanie i analiza — badanie kroku zdarzenia", takie jak dzienniki systemu, zrzuty ruchu sieciowego i uruchamianie migawek systemowych w magazynie, takich jak konto usługi Azure Storage w celu niezmiennego przechowywania.
Implementacja platformy Azure i dodatkowy kontekst:
Wskazówki dotyczące platformy AWS: tworzenie analizy zdarzeń dla zamkniętego zdarzenia w programie Incident Manager przy użyciu standardowego szablonu analizy zdarzeń lub własnego szablonu niestandardowego. Skorzystaj z wyników uzyskanych działań, aby zaktualizować plan reagowania na zdarzenia, podręcznik (taki jak element runbook menedżera systemów AWS i podręcznik usługi Microsoft Sentinel) oraz ponownie określić wyniki w środowiskach (takie jak rejestrowanie i wykrywanie zagrożeń, aby rozwiązać wszelkie luki w rejestrowaniu), aby poprawić przyszłe możliwości wykrywania, reagowania i obsługi zdarzeń na platformie AWS.
Zachowaj dowody zebrane podczas "Wykrywanie i analiza — badanie kroku zdarzenia", takie jak dzienniki systemu, zrzuty ruchu sieciowego i uruchamianie migawki systemu w magazynie, takie jak zasobnik Amazon S3 lub konto usługi Azure Storage w celu niezmiennego przechowywania.
Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: skorzystaj z wyników uzyskanych działań, aby zaktualizować plan reagowania na zdarzenia, podręcznik (taki jak podręcznik Chronicle lub Microsoft Sentinel) i ponownie określić wyniki w środowiskach (takie jak rejestrowanie i wykrywanie zagrożeń, aby rozwiązać wszelkie luki w rejestrowaniu), aby poprawić przyszłe możliwości wykrywania, reagowania i obsługi zdarzeń w GCP.
Zachowaj dowody zebrane podczas "Wykrywanie i analiza — badanie kroku zdarzenia", takie jak dzienniki systemu, zrzuty ruchu sieciowego i uruchamianie migawek systemowych w magazynie, takich jak usługa Google Cloud Storage lub konto usługi Azure Storage w celu niezmiennego przechowywania.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):