Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az incidenskezelés az incidenskezelés életciklusának vezérlőire terjed ki– előkészítésre, észlelésre és elemzésre, elszigetelésre és incidens utáni tevékenységekre, beleértve az Azure-szolgáltatások (például a Felhőhöz készült Microsoft Defender és a Sentinel) és/vagy más felhőszolgáltatások használatát az incidenskezelési folyamat automatizálásához.
IR-1: Előkészítés – incidenskezelési terv és kezelési folyamat frissítése
| CIS vezérlők v8 azonosítói | NIST SP 800-53 r4 azonosító(k) | PCI-DSS 3.2.1-s verziójú azonosító(ok) |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Biztonsági elv: Győződjön meg arról, hogy a szervezet az iparág ajánlott eljárásait követi a felhőplatformokon a biztonsági incidensekre való reagálás folyamatainak és terveinek fejlesztéséhez. Ügyeljen a megosztott felelősségi modellre és az IaaS, a PaaS és az SaaS szolgáltatások közötti eltérésekre. Ez közvetlen hatással lesz arra, hogyan működik együtt a felhőszolgáltatóval az incidenskezelési és kezelési tevékenységekben, például incidensértesítésben és -osztályozásban, bizonyítékgyűjtésben, vizsgálatban, felszámolásban és helyreállításban.
Rendszeresen tesztelje az incidenskezelési tervet és a kezelési folyamatot, hogy naprakészek legyenek.
Azure-útmutató: Frissítse a szervezet incidenskezelési folyamatát, hogy tartalmazza az incidensek kezelését az Azure platformon. A használt Azure-szolgáltatások és az alkalmazás jellege alapján szabja testre az incidenskezelési tervet és a forgatókönyvet, hogy azok a felhőkörnyezetben az incidensre való reagáláshoz használhatók legyenek.
Azure-implementáció és további környezet:
- Biztonság megvalósítása a vállalati környezetben:
- Incidenskezelési referencia-útmutató
- NIST SP800-61 számítógépbiztonsági incidenskezelési útmutató
- Incidens válasz áttekintése
AWS-útmutató: Frissítse a szervezet incidenskezelési folyamatát, hogy tartalmazza az incidensek kezelését. Győződjön meg arról, hogy egységes többfelhős incidenskezelési terv van érvényben a szervezet incidenskezelési folyamatának frissítésével, hogy tartalmazza az incidensek kezelését az AWS platformon. A használt AWS-szolgáltatások és az alkalmazás jellege alapján kövesse az AWS biztonsági incidensekre való reagálási útmutatóját az incidenskezelési terv és forgatókönyv testreszabásához, hogy azok a felhőkörnyezetben is reagálhassanak az incidensre.
AWS-implementáció és további környezet:
GCP-útmutató: Frissítse a szervezet incidenskezelési folyamatát, hogy tartalmazza az incidensek kezelését. Győződjön meg arról, hogy egységes többfelhős incidenskezelési terv van érvényben a szervezet incidenskezelési folyamatának frissítésével, hogy tartalmazza az incidensek kezelését a Google Cloud platformon.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IR-2: Előkészítés – incidensértesítés beállítása
| CIS vezérlők v8 azonosítói | NIST SP 800-53 r4 azonosító(k) | PCI-DSS 3.2.1-s verziójú azonosító(ok) |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Biztonsági elv: Győződjön meg arról, hogy a felhőszolgáltató platformjáról és környezetéből származó biztonsági riasztásokat és incidensértesítéseket az incidenskezelő szervezet megfelelő kapcsolattartója fogadhatja.
Azure-útmutató: Biztonsági incidensek kapcsolattartási adatainak beállítása a Microsoft Defender for Cloudban. Ezeket a kapcsolattartási adatokat a Microsoft használja fel, ha a Microsoft Security Response Center (MSRC) észleli, hogy adataihoz jogosulatlan vagy jogellenes fél fért hozzá. Lehetősége van az incidensriasztások és -értesítések testreszabására is a különböző Azure-szolgáltatásokban az incidensmegoldási igények alapján.
Azure-implementáció és további környezet:
AWS-útmutató: Állítsa be a biztonsági incidensek kapcsolattartási adatait az AWS Systems Manager Incident Managerben (az AWS incidenskezelő központjában). Ezeket a kapcsolattartási adatokat az Ön és az AWS közötti incidenskezelési kommunikációhoz használják fel a különböző csatornákon (pl. e-mail, SMS vagy hang) keresztül. Meghatározhatja a kapcsolattartó elkötelezettségi tervét és eszkalációs tervét, amely leírja, hogy az incidenskezelő hogyan és mikor veszi igénybe a kapcsolattartót, és eszkalálja, ha a kapcsolattartó(k) nem reagálnak egy incidensre.
AWS-implementáció és további környezet:
GCP-útmutató: Biztonsági incidensértesítések beállítása adott kapcsolattartókhoz a Security Command Center vagy a Chronicle használatával. A Google Cloud-szolgáltatások és a harmadik féltől származó API-k segítségével valós idejű e-mail- és csevegési értesítéseket küldhet a biztonsági eredményekről a Security Command Center számára, vagy forgatókönyveket küldhet az értesítések küldésére a Chronicle-ben.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IR-3: Észlelés és elemzés – incidensek létrehozása kiváló minőségű riasztások alapján
| CIS vezérlők v8 azonosítói | NIST SP 800-53 r4 azonosító(k) | PCI-DSS 3.2.1-s verziójú azonosító(ok) |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10.8 |
Biztonsági elv: Győződjön meg arról, hogy rendelkezik egy folyamattal a jó minőségű riasztások létrehozásához és a riasztások minőségének méréséhez. Ez lehetővé teszi a korábbi incidensek tanulságainak megismerését és az elemzők riasztásainak rangsorolását, hogy ne pazarolják az időt a hamis pozitív értékekre.
A kiváló minőségű riasztások a korábbi incidensek tapasztalatain, az ellenőrzött közösségi forrásokon és a riasztások létrehozására és törlésére szolgáló eszközökön alapulhatnak a különböző jelforrások egyesítése és korrelálása révén.
Azure-útmutató: A Microsoft Defender for Cloud kiváló minőségű riasztásokat biztosít számos Azure-eszközhöz. A Microsoft Defender for Cloud adatösszekötő használatával streamelheti a riasztásokat a Microsoft Sentinelbe. A Microsoft Sentinel lehetővé teszi, hogy speciális riasztási szabályokat hozzon létre, amelyek automatikusan létrehoznak incidenseket egy vizsgálathoz.
Exportálja a Microsoft Defender for Cloud-riasztásokat és -javaslatokat az exportálási funkcióval az Azure-erőforrásokat érintő kockázatok azonosításához. A riasztások és javaslatok exportálása manuálisan vagy folyamatos módon.
Azure-implementáció és további környezet:
AWS-útmutató: Használjon olyan biztonsági eszközöket, mint a SecurityHub vagy a GuardDuty, valamint más harmadik féltől származó eszközöket, hogy riasztásokat küldjön az Amazon CloudWatchnak vagy az Amazon EventBridge-nek, hogy az incidensek automatikusan létrejöhessenek az Incidenskezelőben a meghatározott feltételek és szabálykészletek alapján. Az incidenskezelőben manuálisan is létrehozhat incidenseket az incidensek további kezeléséhez és nyomon követéséhez.
Ha a Microsoft Defender for Cloud használatával figyeli az AWS-fiókokat, a Microsoft Sentinel használatával is figyelheti és riasztást küldhet a Microsoft Defender for Cloud által azonosított incidenseket az AWS-erőforrásokon.
AWS-implementáció és további környezet:
- Incidensek létrehozása az Incidenskezelőben
- Hogyan segít a Defender for Cloud Apps az Amazon Web Services (AWS) környezetének védelmében?
GCP-útmutató: A Google Cloud és a külső szolgáltatások integrálása naplók és riasztások küldéséhez a Security Command Centerbe vagy a Chronicle-be, így az incidensek automatikusan létrehozhatók a meghatározott feltételek alapján. Az incidensek megállapításait manuálisan is létrehozhatja és szerkesztheti a Security Command Centerben vagy a Chronicle szabályait az incidensek további kezelése és nyomon követése érdekében.
Ha a Microsoft Defender for Cloud használatával figyeli a GCP-projekteket, a Microsoft Sentinel használatával figyelheti és riasztást küldhet a Microsoft Defender for Cloud által azonosított incidenseknek a GCP-erőforrásokon, vagy közvetlenül a Microsoft Sentinelbe streamelheti a GCP-naplókat.
GCP-implementáció és további környezet:
- A Biztonsági Parancsközpont konfigurálása
- Szabályok kezelése a Szabályszerkesztővel
- GCP-projektek csatlakoztatása a Microsoft Defender for Cloudhoz
- Google Cloud Platform-naplók streamelése a Microsoft Sentinelbe
Ügyfélbiztonsági érdekelt felek (További információ):
IR-4: Észlelés és elemzés – incidens vizsgálata
| CIS vezérlők v8 azonosítói | NIST SP 800-53 r4 azonosító(k) | PCI-DSS 3.2.1-s verziójú azonosító(ok) |
|---|---|---|
| Nincs adat. | IR-4 | 12.10 |
Biztonsági elv: Győződjön meg arról, hogy a biztonsági üzemeltetési csapat különböző adatforrásokat kérdezhet le és használhat a lehetséges incidensek kivizsgálása során, hogy teljes képet kapjon a történtekről. Különböző naplókat kell gyűjteni, hogy nyomon kövessék a potenciális támadók tevékenységeit az ölésláncban, hogy elkerüljék a vakfoltokat. Emellett gondoskodnia kell arról, hogy az elemzések és a tanulások más elemzők számára is rögzítve legyenek, és a jövőbeni előzményekkel kapcsolatban is.
Használja a natív felhőbeli SIEM- és incidenskezelési megoldást, ha a szervezet nem rendelkezik meglévő megoldással a biztonsági naplók és riasztások adatainak összesítéséhez. Korrelálja az incidensadatokat a különböző forrásokból származó adatforrások alapján az incidensvizsgálatok létrehozásához.
Azure-útmutató: Győződjön meg arról, hogy a biztonsági üzemeltetési csapat lekérdezheti és használhatja a hatókörön belüli szolgáltatásokból és rendszerekből gyűjtött különböző adatforrásokat. Emellett a források a következőket is tartalmazhatják:
- Identitás- és hozzáférési naplóadatok: Azure AD-naplók és számítási feladatok (például operációs rendszerek vagy alkalmazásszintű) hozzáférési naplók használata az identitások és a hozzáférési események korrelálásához.
- Hálózati adatok: A hálózati biztonsági csoportok folyamatnaplóinak, az Azure Network Watchernek és az Azure Monitornak a használatával rögzítheti a hálózati folyamat naplóit és egyéb elemzési adatait.
- Incidenssel kapcsolatos tevékenységadatok az érintett rendszerek pillanatképeiből, amelyek az alábbiakon keresztül szerezhető be:
- Az Azure-beli virtuális gép pillanatkép-készítési képessége a futó rendszer lemezének pillanatképének létrehozásához.
- Az operációs rendszer natív memóriaképének képessége a futó rendszer memóriájának pillanatképének létrehozásához.
- Más támogatott Azure-szolgáltatások vagy a szoftver saját képességeinek pillanatkép-funkciója a futó rendszerek pillanatképeinek létrehozásához.
A Microsoft Sentinel széles körű adatelemzést biztosít gyakorlatilag bármilyen naplóforráson és esetkezelési portálon az incidensek teljes életciklusának kezeléséhez. A vizsgálat során a hírszerzési információk nyomon követési és jelentéskészítési célokból társíthatók incidensekkel.
Megjegyzés: Ha az incidenssel kapcsolatos adatokat vizsgálat céljából rögzítik, győződjön meg arról, hogy megfelelő biztonság áll rendelkezésre az adatok jogosulatlan módosításaitól, például a naplózás letiltásától vagy a naplók eltávolításától, amelyeket a támadók a repülés közbeni adatszivárgási tevékenység során végezhetnek el.
Azure-implementáció és további környezet:
- Pillanatkép egy Windows-gép lemezéről
- Linux-gép lemezének pillanatképe
- Microsoft Azure támogatási diagnosztikai információk és memóriadumpok gyűjtése
- Incidensek vizsgálata az Azure Sentinellel
AWS-útmutató: A vizsgálat adatforrásai azok a központosított naplózási források, amelyek a hatókörön belüli szolgáltatásokból és futó rendszerekből gyűjtenek, de a következőket is tartalmazhatják:
- Identitás- és hozzáférési naplóadatok: IAM-naplók és számítási feladatok (például operációs rendszerek vagy alkalmazásszintű) hozzáférési naplók használata az identitás és a hozzáférési események korrelációja érdekében.
- Hálózati adatok: A VPC-folyamatnaplók, a VPC Traffic Mirrors, az Azure CloudTrail és a CloudWatch használatával rögzítheti a hálózati folyamatnaplókat és egyéb elemzési adatokat.
- Pillanatképek a futó rendszerekről, amelyek az alábbiakon keresztül szerezhető be:
- Pillanatkép-képesség az Amazon EC2-ben (EBS) a futó rendszer lemezének pillanatképének létrehozásához.
- Az operációs rendszer natív memóriaképének képessége a futó rendszer memóriájának pillanatképének létrehozásához.
- Az AWS-szolgáltatások vagy a szoftver saját képességeinek pillanatkép-funkciója a futó rendszerek pillanatképeinek létrehozásához.
Ha a SIEM-hez kapcsolódó adatokat összesíti a Microsoft Sentinelben, az átfogó adatelemzést biztosít gyakorlatilag bármilyen naplóforráson és egy esetkezelési portálon az incidensek teljes életciklusának kezeléséhez. A vizsgálat során a hírszerzési információk nyomon követési és jelentéskészítési célokból társíthatók incidensekkel.
Megjegyzés: Ha az incidenssel kapcsolatos adatokat vizsgálat céljából rögzítik, győződjön meg arról, hogy megfelelő biztonság áll rendelkezésre az adatok jogosulatlan módosításaitól, például a naplózás letiltásától vagy a naplók eltávolításától, amelyeket a támadók a repülés közbeni adatszivárgási tevékenység során végezhetnek el.
AWS-implementáció és további környezet:
- Forgalomtükrözés
- EBS-kötetek biztonsági mentése AMI-kkel és EBS-pillanatképekkel
- Nem módosítható tároló használata
GCP-útmutató: A vizsgálat adatforrásai azok a központosított naplózási források, amelyek a hatókörön belüli szolgáltatásokból és a futó rendszerekből gyűjtenek, de a következőket is tartalmazhatják:
- Identitás- és hozzáférési naplóadatok: IAM-naplók és számítási feladatok (például operációs rendszerek vagy alkalmazásszintű) hozzáférési naplók használata az identitás és a hozzáférési események korrelációja érdekében.
- Hálózati adatok: VPC-folyamatnaplók és VPC-szolgáltatásvezérlők használata a hálózati folyamatok naplóinak és egyéb elemzési adatainak rögzítéséhez.
- Pillanatképek a futó rendszerekről, amelyek az alábbiakon keresztül szerezhető be:
- A GCP virtuális gépek pillanatkép-képessége a futó rendszer lemezének pillanatképének létrehozásához.
- Az operációs rendszer natív memóriaképének képessége a futó rendszer memóriájának pillanatképének létrehozásához.
- A GCP-szolgáltatások vagy a szoftver saját képességeinek pillanatkép-funkciója a futó rendszerek pillanatképeinek létrehozásához.
Ha a SIEM-hez kapcsolódó adatokat összesíti a Microsoft Sentinelben, az átfogó adatelemzést biztosít gyakorlatilag bármilyen naplóforráson és egy esetkezelési portálon az incidensek teljes életciklusának kezeléséhez. A vizsgálat során a hírszerzési információk nyomon követési és jelentéskészítési célokból társíthatók incidensekkel.
Megjegyzés: Ha az incidenssel kapcsolatos adatokat vizsgálat céljából rögzítik, győződjön meg arról, hogy megfelelő biztonság áll rendelkezésre az adatok jogosulatlan módosításaitól, például a naplózás letiltásától vagy a naplók eltávolításától, amelyeket a támadók a repülés közbeni adatszivárgási tevékenység során végezhetnek el.
GCP-implementáció és további környezet:
- Security Command Center – Biztonsági források
- Támogatott adatkészletek
- Lemez pillanatképeinek létrehozása és kezelése
- Google Cloud Platform-naplók streamelése a Microsoft Sentinelbe
Ügyfélbiztonsági érdekelt felek (További információ):
IR-5: Észlelés és elemzés – incidensek rangsorolása
| CIS vezérlők v8 azonosítói | NIST SP 800-53 r4 azonosító(k) | PCI-DSS 3.2.1-s verziójú azonosító(ok) |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Biztonsági elv: Kontextust biztosít a biztonsági üzemeltetési csapatok számára, hogy segítsen nekik meghatározni, hogy mely incidensekre kell először összpontosítani a riasztások súlyossága és a szervezet incidenskezelési tervében meghatározott eszközök érzékenysége alapján.
Emellett címkékkel jelöljön meg erőforrásokat, és hozzon létre egy elnevezési rendszert a felhőbeli erőforrások azonosításához és kategorizálásához, különösen a bizalmas adatokat feldolgozók számára. Az Ön felelőssége, hogy rangsorolja a riasztások szervizelését azon erőforrások és környezet kritikussága alapján, ahol az incidens történt.
Azure-útmutató: A Microsoft Defender for Cloud súlyossági fokot rendel az egyes riasztásokhoz, hogy segítsen rangsorolni, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Microsoft Defender for Cloud mennyire bízik a riasztás kibocsátásához használt keresésben vagy elemzésekben, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék állt.
Hasonlóképpen, a Microsoft Sentinel riasztásokat és incidenseket hoz létre hozzárendelt súlyossággal és egyéb részletekkel az elemzési szabályok alapján. Használjon elemzési szabálysablonokat, és szabja testre a szabályokat a szervezet igényeinek megfelelően az incidensek rangsorolásának támogatásához. A Microsoft Sentinel automatizálási szabályaival kezelheti és vezényelheti a fenyegetésekre adott választ a biztonsági művelet csapathatékonyságának és hatékonyságának maximalizálása érdekében, beleértve az incidensek címkézését az osztályozásukhoz.
Azure-implementáció és további környezet:
- Biztonsági riasztások Felhőhöz készült Microsoft Defender
- Címkék használata az Azure-erőforrások rendszerezéséhez
- Incidensek létrehozása a Microsoft biztonsági riasztásaiból
AWS-útmutató: Az incidenskezelőben létrehozott minden incidenshez rendeljen hozzá egy hatásszintet a szervezet által meghatározott kritériumok alapján, például az incidens súlyosságának és az érintett eszközök kritikussági szintjének mértéke.
AWS-implementáció és további környezet:
* GCP-útmutató: A Security Command Centerben létrehozott minden incidens esetében határozza meg a riasztás prioritását a rendszer által hozzárendelt súlyossági besorolások és a szervezet által meghatározott egyéb kritériumok alapján. Mérje meg az incidens súlyosságát és az érintett eszközök kritikussági szintjét, hogy meghatározza, mely riasztásokat kell először megvizsgálni.
Hasonlóképpen, a Krónikusban egyéni szabályokat határozhat meg az incidensválasz prioritásainak meghatározásához. GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IR-6: Elszigetelés, felszámolás és helyreállítás – az incidenskezelés automatizálása
| CIS vezérlők v8 azonosítói | NIST SP 800-53 r4 azonosító(k) | PCI-DSS 3.2.1-s verziójú azonosító(ok) |
|---|---|---|
| Nincs adat. | IR-4, IR-5, IR-6 | 12.10 |
Biztonsági elv: Automatizálja a manuális, ismétlődő feladatokat a válaszidő felgyorsítása és az elemzők terheinek csökkentése érdekében. A manuális feladatok végrehajtása hosszabb időt vesz igénybe, lelassítja az egyes incidenseket, és csökkenti az elemzők által kezelhető incidensek mennyiségét. A manuális feladatok növelik az elemzői fáradtságot is, ami növeli az emberi hibák kockázatát, ami késéseket okoz, és rontja az elemzők azon képességét, hogy hatékonyan összpontosítsanak az összetett feladatokra.
Azure-útmutató: A Microsoft Defender for Cloud és a Microsoft Sentinel munkafolyamat-automatizálási funkcióival automatikusan aktiválhatja a műveleteket, vagy forgatókönyveket futtathat a bejövő biztonsági riasztásokra való reagáláshoz. A forgatókönyvek olyan műveleteket hajtanak végre, mint az értesítések küldése, a fiókok letiltása és a problémás hálózatok elkülönítése.
Azure-implementáció és további környezet:
- Munkafolyamat-automatizálás konfigurálása a Security Centerben
- Automatikus fenyegetésválaszok beállítása a Microsoft Defender for Cloudban
- Automatikus fenyegetésválaszok beállítása az Azure Sentinelben
AWS-útmutató: Ha a Microsoft Sentinelt használja az incidens központi kezeléséhez, automatizált műveleteket is létrehozhat, vagy forgatókönyveket futtathat a bejövő biztonsági riasztásokra való reagáláshoz.
Alternatív megoldásként az AWS System Manager automatizálási funkcióival automatikusan aktiválhatja az incidenskezelési tervben meghatározott műveleteket, beleértve a névjegyek értesítését és/vagy egy runbook futtatását a riasztásokra való reagáláshoz, például a fiókok letiltásához és a problémás hálózatok elkülönítéséhez.
AWS-implementáció és további környezet:
GCP-útmutató: Ha a Microsoft Sentinelt használja az incidens központi kezeléséhez, automatizált műveleteket is létrehozhat, vagy forgatókönyveket futtathat a bejövő biztonsági riasztásokra való reagáláshoz.
Alternatív megoldásként használja a Forgatókönyv-automatizálásokat a Chronicle-ben az incidenskezelési tervben meghatározott műveletek automatikus aktiválásához, beleértve a névjegyek értesítését és/vagy forgatókönyv futtatását a riasztásokra való reagáláshoz.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
IR-7: Incidens utáni tevékenység – a tanulságok levonása és a bizonyítékok megőrzése
| CIS vezérlők v8 azonosítói | NIST SP 800-53 r4 azonosító(k) | PCI-DSS 3.2.1-s verziójú azonosító(ok) |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Biztonsági elv: Rendszeresen és/vagy nagyobb incidensek után végezze el a szervezetben levont tanulságokat, hogy javítsa jövőbeli képességét az incidensek kezelésében és kezelésében.
Az incidens jellegéből adódóan az incidenssel kapcsolatos bizonyítékokat az incidenskezelési szabványban meghatározott ideig őrizze meg további elemzések vagy jogi műveletek céljából.
Azure-útmutató: A tanulságok alapján frissítheti az incidenskezelési tervet, a forgatókönyvet (például egy Microsoft Sentinel-forgatókönyvet), és újra beépítheti az eredményeket a környezetekbe (például naplózás és fenyegetésészlelés a naplózás hiányosságainak kezelése érdekében), hogy javítsa az Azure-beli incidensek észlelésének, megválaszolásának és kezelésének jövőbeli képességét.
Tartsa meg az "Észlelés és elemzés – incidens kivizsgálása" során gyűjtött bizonyítékokat, például a rendszernaplókat, a hálózati forgalom memóriaképeit és a rendszer-pillanatképek futtatását a tárolóban, például egy Azure Storage-fiókban a nem módosítható megőrzés érdekében.
Azure-implementáció és további környezet:
AWS-útmutató: Incidenselemzés létrehozása lezárt incidensekhez az Incident Managerben a szabványos incidenselemzési sablon vagy a saját egyéni sablonja használatával. A tanulságok alapján frissítheti az incidenskezelési tervet, a forgatókönyvet (például az AWS Systems Manager runbookot és a Microsoft Sentinel forgatókönyvet), és újra beépítheti az eredményeket a környezetekbe (például naplózás és fenyegetésészlelés a naplózás hiányosságainak kiküszöbölése érdekében), hogy javítsa az AWS-ben lévő incidensek észlelésének, megválaszolásának és kezelésének jövőbeli képességét.
Tartsa meg az "Észlelés és elemzés – incidens kivizsgálása" során gyűjtött bizonyítékokat, például a rendszernaplókat, a hálózati forgalom memóriaképeit és a futó rendszer-pillanatképeket a tárolóban, például egy Amazon S3-gyűjtőben vagy egy Azure Storage-fiókban a nem módosítható megőrzés érdekében.
AWS-implementáció és további környezet:
GCP-útmutató: A tanulságok alapján frissítheti az incidenskezelési tervet, a forgatókönyvet (például a Chronicle vagy a Microsoft Sentinel forgatókönyvét), és újra beépítheti az eredményeket a környezetekbe (például naplózást és fenyegetésészlelést a naplózás hiányosságainak kiküszöbölése érdekében), hogy javítsa a jövőbeli képességét az incidensek észlelésében, megválaszolásában és kezelésében a GCP-ben.
Tartsa meg az "Észlelés és elemzés – incidens kivizsgálása" során gyűjtött bizonyítékokat, például a rendszernaplókat, a hálózati forgalom memóriaképeit és a rendszer-pillanatképek futtatását a tárolóban, például egy Google Cloud Storage-ban vagy egy Azure Storage-fiókban a nem módosítható megőrzés érdekében.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):