Kontrol Keamanan: Respons insiden
Respons Insiden mencakup kontrol dalam siklus hidup respons insiden - persiapan, deteksi dan analisis, penahanan, dan aktivitas pasca-insiden, termasuk menggunakan layanan Azure (seperti Microsoft Defender untuk Cloud dan Sentinel) dan/atau layanan cloud lainnya untuk mengotomatiskan proses respons insiden.
IR-1: Persiapan - memperbarui rencana respons insiden dan proses penanganan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Prinsip keamanan: Pastikan organisasi Anda mengikuti praktik terbaik industri untuk mengembangkan proses dan rencana untuk merespons insiden keamanan di platform cloud. Perhatikan model tanggung jawab bersama dan variansi di seluruh layanan IaaS, PaaS, dan SaaS. Ini akan berdampak langsung pada cara Anda berkolaborasi dengan penyedia cloud Anda dalam aktivitas respons dan penanganan insiden, seperti pemberitahuan dan triase insiden, pengumpulan bukti, investigasi, pemberantasan, dan pemulihan.
Secara rutin menguji rencana respons insiden dan proses penanganan untuk memastikan mereka up to date.
Panduan Azure: Perbarui proses respons insiden organisasi Anda untuk menyertakan penanganan insiden di platform Azure. Berdasarkan layanan Azure yang digunakan dan sifat aplikasi Anda, kustomisasikan rencana respons insiden dan playbook untuk memastikan mereka dapat digunakan untuk merespons insiden di lingkungan cloud.
Implementasi Azure dan konteks tambahan:
- Menerapkan keamanan di seluruh lingkungan perusahaan:
- Panduan referensi respons insiden
- NIST SP800-61 Panduan Penanganan Insiden Keamanan Komputer
- Gambaran umum respons insiden
Panduan AWS: Perbarui proses respons insiden organisasi Anda untuk menyertakan penanganan insiden. Pastikan rencana respons insiden multi-cloud terpadu ada dengan memperbarui proses respons insiden organisasi Anda untuk menyertakan penanganan insiden di platform AWS. Berdasarkan layanan AWS yang digunakan dan sifat aplikasi Anda, ikuti Panduan Respons Insiden Keamanan AWS untuk menyesuaikan rencana respons insiden dan playbook untuk memastikan layanan tersebut dapat digunakan untuk merespons insiden di lingkungan cloud.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Perbarui proses respons insiden organisasi Anda untuk menyertakan penanganan insiden. Pastikan rencana respons insiden multi-cloud terpadu ada dengan memperbarui proses respons insiden organisasi Anda untuk menyertakan penanganan insiden di platform Google Cloud.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IR-2: Persiapan - menyiapkan notifikasi insiden
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Prinsip keamanan: Pastikan pemberitahuan keamanan dan pemberitahuan insiden dari platform penyedia layanan cloud dan lingkungan Anda dapat diterima dengan kontak yang benar di organisasi respons insiden Anda.
Panduan Azure: Siapkan informasi kontak insiden keamanan di Microsoft Defender untuk Cloud. Informasi kontak ini digunakan oleh Microsoft untuk menghubungi Anda jika Microsoft Security Response Center (MSRC) menemukan bahwa data Anda telah diakses oleh pihak yang melanggar hukum atau tidak berwenang. Anda juga memiliki opsi untuk menyesuaikan pemberitahuan dan pemberitahuan insiden di berbagai layanan Azure berdasarkan kebutuhan respons insiden Anda.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Siapkan informasi kontak insiden keamanan di AWS Systems Manager Incident Manager (pusat manajemen insiden untuk AWS). Informasi kontak ini digunakan untuk komunikasi manajemen insiden antara Anda dan AWS melalui saluran yang berbeda (yaitu, Email, SMS, atau Voice). Anda dapat menentukan rencana keterlibatan kontak dan rencana eskalasi untuk menjelaskan bagaimana dan kapan Manajer Insiden melibatkan kontak dan untuk meningkatkan jika kontak tidak merespons insiden.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Siapkan pemberitahuan insiden keamanan untuk kontak tertentu menggunakan Security Command Center atau Chronicle. Gunakan layanan Google Cloud dan API pihak ketiga untuk menyediakan email real-time dan pemberitahuan obrolan untuk memberi tahu temuan keamanan untuk Security Command Center, atau playbook untuk memicu tindakan mengirim pemberitahuan di Chronicle.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IR-3: Deteksi dan analisis - membuat insiden berdasarkan peringatan kualitas tinggi
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10.8 |
Prinsip keamanan: Pastikan Anda memiliki proses untuk membuat pemberitahuan berkualitas tinggi dan mengukur kualitas pemberitahuan. Ini memungkinkan Anda belajar dari insiden masa lalu dan memprioritaskan pemberitahuan untuk analis, sehingga mereka tidak membuang waktu pada positif palsu.
Pemberitahuan berkualitas tinggi dapat dibangun berdasarkan pengalaman dari insiden di masa lalu, sumber komunitas yang divalidasi, dan alat yang dirancang untuk menghasilkan dan membersihkan pemberitahuan dengan menyatukan dan menghubungkan beragam sumber sinyal.
Panduan Azure: Microsoft Defender untuk Cloud menyediakan pemberitahuan berkualitas tinggi di banyak aset Azure. Anda dapat menggunakan konektor data Microsoft Defender untuk Cloud untuk melakukan streaming peringatan ke Microsoft Sentinel. Azure Sentinel memungkinkan Anda membuat aturan pemberitahuan tingkat lanjut guna menghasilkan insiden secara otomatis untuk penyelidikan.
Ekspor pemberitahuan dan rekomendasi Microsoft Defender untuk Cloud Anda menggunakan fitur ekspor guna membantu mengidentifikasi risiko ke sumber daya Azure. Ekspor pemberitahuan dan rekomendasi baik secara manual maupun secara berkelanjutan.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Gunakan alat keamanan seperti SecurityHub atau GuardDuty dan alat pihak ketiga lainnya untuk mengirim pemberitahuan ke Amazon CloudWatch atau Amazon EventBridge sehingga insiden dapat dibuat secara otomatis di Incident Manager berdasarkan kriteria dan seperangkat aturan yang ditentukan. Anda juga dapat membuat insiden secara manual di Incident Manager untuk penanganan dan pelacakan insiden lebih lanjut.
Jika Anda menggunakan Microsoft Defender untuk Cloud guna memantau akun AWS, Anda juga dapat menggunakan Microsoft Sentinel untuk memantau dan memperingatkan insiden yang diidentifikasi oleh Microsoft Defender untuk sumber daya Cloud on AWS.
Implementasi AWS dan konteks tambahan:
- Pembuatan insiden di Incident Manager
- Bagaimana Defender untuk Cloud Apps membantu melindungi lingkungan Amazon Web Services (AWS) Anda
Panduan GCP: Integrasikan Google Cloud dan layanan pihak ketiga untuk mengirim log dan peringatan ke Security Command Center atau Chronicle sehingga insiden dapat dibuat secara otomatis berdasarkan kriteria yang ditentukan. Anda juga dapat membuat dan mengedit temuan insiden secara manual di Security Command Center atau aturan di Chronicle untuk penanganan dan pelacakan insiden lebih lanjut.
Jika Anda menggunakan Microsoft Defender untuk Cloud untuk memantau proyek GCP, Anda juga dapat menggunakan Microsoft Azure Sentinel untuk memantau dan memperingatkan insiden yang diidentifikasi oleh Microsoft Defender untuk Cloud pada sumber daya GCP, atau mengalirkan log GCP langsung ke Microsoft Sentinel.
Implementasi GCP dan konteks tambahan:
- Mengonfigurasi Security Command Center
- Mengelola aturan menggunakan Editor Aturan
- Koneksi proyek GCP Anda ke Microsoft Defender untuk Cloud
- Streaming log Google Cloud Platform ke Microsoft Azure Sentinel
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IR-4: Deteksi dan analisis - menyelidiki insiden
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| T/A | IR-4 | 12.10 |
Prinsip keamanan: Pastikan tim operasi keamanan dapat mengkueri dan menggunakan sumber data yang beragam saat mereka menyelidiki potensi insiden, untuk membangun tampilan penuh tentang apa yang terjadi. Log yang beragam harus dikumpulkan untuk melacak aktivitas penyerang potensial di seluruh rantai pembunuhan untuk menghindari titik buta. Anda juga harus memastikan wawasan dan pembelajaran diambil untuk analis lain dan untuk referensi riwayat di masa depan.
Gunakan SIEM asli cloud dan solusi manajemen insiden jika organisasi Anda tidak memiliki solusi yang ada untuk mengagregasi log keamanan dan informasi pemberitahuan. Menghubungkan data insiden berdasarkan data yang bersumber dari sumber yang berbeda ke fasilitas penyelidikan insiden.
Panduan Azure: Pastikan tim operasi keamanan Anda dapat mengkueri dan menggunakan beragam sumber data yang dikumpulkan dari layanan dan sistem dalam cakupan. Selain itu, sumbernya juga dapat mencakup:
- Data log identitas dan akses: Gunakan log Azure AD dan beban kerja (seperti sistem operasi atau tingkat aplikasi) log akses untuk menghubungkan identitas dan peristiwa akses.
- Data jaringan: Menggunakan log alur kelompok keamanan jaringan, Azure Network Watcher, dan Azure Monitor untuk mengambil log alur jaringan dan informasi analitik lainnya.
- Data aktivitas terkait insiden dari rekam jepret dari sistem yang terkena dampak, yang dapat diperoleh melalui:
- Kemampuan rekam jepret komputer virtual azure, untuk membuat rekam jepret disk sistem yang sedang berjalan.
- Kemampuan cadangan memori asli sistem operasi, untuk membuat rekam jepret memori sistem yang sedang berjalan.
- Fitur rekam jepret dari layanan Azure lain yang didukung atau kemampuan perangkat lunak Anda sendiri, untuk membuat rekam jepret sistem yang sedang berjalan.
Microsoft Sentinel memberikan analitik data ekstensif di hampir semua sumber log dan portal manajemen kasus untuk mengelola siklus hidup lengkap dari insiden. Informasi kecerdasan selama penyelidikan dapat dikaitkan dengan insiden untuk tujuan pelacakan dan pelaporan.
Catatan: Ketika data terkait insiden ditangkap untuk penyelidikan, pastikan ada keamanan yang memadai untuk melindungi data dari perubahan yang tidak sah, seperti menonaktifkan pengelogan atau menghapus log, yang dapat dilakukan oleh penyerang selama aktivitas pelanggaran data dalam penerbangan.
Implementasi Azure dan konteks tambahan:
- Menyalin bayangan disk komputer Windows
- Menyalin bayangan disk komputer Linux
- Informasi diagnostik Dukungan Microsoft Azure dan kumpulan cadangan memori
- Menyelidiki insiden dengan Azure Sentinel
Panduan AWS: Sumber data untuk penyelidikan adalah sumber pengelogan terpusat yang dikumpulkan dari layanan dalam cakupan dan sistem yang berjalan, tetapi juga dapat mencakup:
- Data log identitas dan akses: Gunakan log dan beban kerja IAM (seperti sistem operasi atau tingkat aplikasi) log akses untuk menghubungkan identitas dan peristiwa akses.
- Data jaringan: Gunakan Log Alur VPC, VPC Traffic Mirrors, dan Azure CloudTrail dan CloudWatch untuk mengambil log alur jaringan dan informasi analitik lainnya.
- Rekam jepret sistem yang berjalan, yang dapat diperoleh melalui:
- Kemampuan rekam jepret di Amazon EC2 (EBS) untuk membuat rekam jepret disk sistem yang sedang berjalan.
- Kemampuan cadangan memori asli sistem operasi, untuk membuat rekam jepret memori sistem yang sedang berjalan.
- Fitur rekam jepret dari layanan AWS atau kemampuan perangkat lunak Anda sendiri, untuk membuat rekam jepret sistem yang sedang berjalan.
Jika Anda mengagregasi data terkait SIEM ke Microsoft Azure Sentinel, ia menyediakan analitik data yang luas di hampir semua sumber log dan portal manajemen kasus untuk mengelola siklus hidup penuh insiden. Informasi kecerdasan selama penyelidikan dapat dikaitkan dengan insiden untuk tujuan pelacakan dan pelaporan.
Catatan: Ketika data terkait insiden ditangkap untuk penyelidikan, pastikan ada keamanan yang memadai untuk melindungi data dari perubahan yang tidak sah, seperti menonaktifkan pengelogan atau menghapus log, yang dapat dilakukan oleh penyerang selama aktivitas pelanggaran data dalam penerbangan.
Implementasi AWS dan konteks tambahan:
- Pencerminan Lalu Lintas
- Membuat cadangan volume EBS dengan AMI dan rekam jepret EBS
- Menggunakan Penyimpanan yang Tidak Dapat Diubah
Panduan GCP: Sumber data untuk penyelidikan adalah sumber pengelogan terpusat yang dikumpulkan dari layanan dalam cakupan dan sistem yang berjalan, tetapi juga dapat mencakup:
- Data log identitas dan akses: Gunakan log dan beban kerja IAM (seperti sistem operasi atau tingkat aplikasi) log akses untuk menghubungkan identitas dan peristiwa akses.
- Data jaringan: Gunakan Log Alur VPC dan kontrol layanan VPC untuk menangkap log alur jaringan dan informasi analitik lainnya.
- Rekam jepret sistem yang berjalan, yang dapat diperoleh melalui:
- Kemampuan rekam jepret di VM GCP untuk membuat rekam jepret disk sistem yang sedang berjalan.
- Kemampuan cadangan memori asli sistem operasi, untuk membuat rekam jepret memori sistem yang sedang berjalan.
- Fitur rekam jepret dari layanan GCP atau kemampuan perangkat lunak Anda sendiri, untuk membuat rekam jepret sistem yang sedang berjalan.
Jika Anda mengagregasi data terkait SIEM ke Microsoft Azure Sentinel, ia menyediakan analitik data yang luas di hampir semua sumber log dan portal manajemen kasus untuk mengelola siklus hidup penuh insiden. Informasi kecerdasan selama penyelidikan dapat dikaitkan dengan insiden untuk tujuan pelacakan dan pelaporan.
Catatan: Ketika data terkait insiden ditangkap untuk penyelidikan, pastikan ada keamanan yang memadai untuk melindungi data dari perubahan yang tidak sah, seperti menonaktifkan pengelogan atau menghapus log, yang dapat dilakukan oleh penyerang selama aktivitas pelanggaran data dalam penerbangan.
Implementasi GCP dan konteks tambahan:
- Security Command Center - Sumber Keamanan
- Himpunan data yang didukung
- Membuat dan mengelola rekam jepret disk
- Streaming log Google Cloud Platform ke Microsoft Azure Sentinel
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IR-5: Deteksi dan analisis – memprioritaskan insiden
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Prinsip keamanan: Berikan konteks kepada tim operasi keamanan untuk membantu mereka menentukan insiden mana yang harus terlebih dahulu difokuskan, berdasarkan tingkat keparahan peringatan dan sensitivitas aset yang ditentukan dalam rencana respons insiden organisasi Anda.
Selain itu, tandai sumber daya menggunakan tag dan buat sistem penamaan untuk mengidentifikasi dan mengategorikan sumber daya cloud Anda, terutama data sensitif pemrosesan tersebut. Anda bertanggung jawab untuk memprioritaskan remediasi pemberitahuan berdasarkan kekritisan sumber daya dan lingkungan tempat insiden terjadi.
Panduan Azure: Microsoft Defender untuk Cloud menetapkan tingkat keparahan untuk setiap pemberitahuan untuk membantu Anda memprioritaskan pemberitahuan mana yang harus diselidiki terlebih dahulu. Tingkat keparahan didasarkan pada seberapa yakin Microsoft Defender untuk Cloud terkait temuan atau analitik yang digunakan untuk menghasilkan peringatan, serta tingkat keyakinan bahwa terdapat niat jahat di balik aktivitas yang mengarah pada peringatan tersebut.
Demikian pula, Microsoft Azure Sentinel membuat pemberitahuan dan insiden dengan tingkat keparahan yang ditetapkan dan detail lainnya berdasarkan aturan analitik. Gunakan templat aturan analitik dan sesuaikan aturan sesuai dengan kebutuhan organisasi Anda untuk mendukung prioritas insiden. Gunakan aturan otomatisasi di Microsoft Azure Sentinel untuk mengelola dan mengatur respons ancaman untuk memaksimalkan efisiensi dan efektivitas tim operasi keamanan Anda, termasuk menandai insiden untuk mengklasifikasikannya.
Implementasi Azure dan konteks tambahan:
- Peringatan keamanan di Microsoft Defender for Cloud
- Menggunakan tag untuk mengatur sumber daya Azure Anda
- Membuat insiden dari pemberitahuan keamanan Microsoft
Panduan AWS: Untuk setiap insiden yang dibuat di Manajer Insiden, tetapkan tingkat dampak berdasarkan kriteria yang ditentukan organisasi Anda, seperti ukuran tingkat keparahan insiden dan tingkat kekritisan aset yang terkena dampak.
Implementasi AWS dan konteks tambahan:
*Panduan GCP: Untuk setiap insiden yang dibuat di Security Command Center, tentukan prioritas pemberitahuan berdasarkan peringkat tingkat keparahan yang ditetapkan oleh sistem dan kriteria lain yang ditentukan oleh organisasi Anda. Ukur tingkat keparahan insiden dan tingkat kekritisan aset yang terpengaruh untuk menentukan pemberitahuan mana yang harus diselidiki terlebih dahulu.
Demikian pula dalam Kronis, Anda dapat menentukan aturan kustom untuk menentukan prioritas respons insiden Anda. Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IR-6: Penahanan, pemberantasan, dan pemulihan - mengotomatiskan penanganan insiden
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| T/A | IR-4, IR-5, IR-6 | 12.10 |
Prinsip keamanan: Mengotomatiskan tugas manual dan berulang untuk mempercepat waktu respons dan mengurangi beban analis. Tugas manual membutuhkan waktu lebih lama untuk dijalankan, memperlambat setiap insiden, dan mengurangi banyaknya insiden yang dapat ditangani analis. Tugas manual juga meningkatkan kelelahan analis, yang meningkatkan risiko kesalahan manusia yang menyebabkan keterlambatan dan menurunkan kemampuan analis untuk berfokus secara efektif pada tugas yang kompleks.
Panduan Azure: Gunakan fitur otomatisasi alur kerja di Microsoft Defender untuk Cloud dan Microsoft Sentinel untuk memicu tindakan secara otomatis atau menjalankan playbook untuk merespons pemberitahuan keamanan masuk. Playbook mengambil tindakan, seperti mengirim pemberitahuan, menonaktifkan akun, dan mengisolasi jaringan yang bermasalah.
Implementasi Azure dan konteks tambahan:
- Mengonfigurasi otomatisasi alur kerja di Security Center
- Menyiapkan respons ancaman otomatis di Microsoft Defender untuk Cloud
- Menyiapkan respons ancaman otomatis di Azure Sentinel
Panduan AWS: Jika Anda menggunakan Microsoft Azure Sentinel untuk mengelola insiden secara terpusat, Anda juga dapat membuat tindakan otomatis atau menjalankan playbook untuk menanggapi pemberitahuan keamanan masuk.
Atau, gunakan fitur otomatisasi di AWS System Manager untuk secara otomatis memicu tindakan yang ditentukan dalam rencana respons insiden, termasuk memberi tahu kontak dan/atau menjalankan runbook untuk menanggapi pemberitahuan, seperti menonaktifkan akun, dan mengisolasi jaringan yang bermasalah.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Jika Anda menggunakan Microsoft Azure Sentinel untuk mengelola insiden secara terpusat, Anda juga dapat membuat tindakan otomatis atau menjalankan playbook untuk merespons pemberitahuan keamanan masuk.
Atau, gunakan otomatisasi Playbook di Chronicle untuk secara otomatis memicu tindakan yang ditentukan dalam rencana respons insiden, termasuk memberi tahu kontak dan/atau menjalankan playbook untuk merespons pemberitahuan.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
IR-7: Aktivitas pasca-insiden - melakukan pelajaran yang dipelajari dan menyimpan bukti
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Prinsip keamanan: Lakukan pelajaran yang dipelajari dalam organisasi Anda secara berkala dan/atau setelah insiden besar, untuk meningkatkan kemampuan Masa Depan Anda dalam respons dan penanganan insiden.
Berdasarkan sifat insiden, mempertahankan bukti yang terkait dengan insiden untuk periode yang ditentukan dalam standar penanganan insiden untuk analisis lebih lanjut atau tindakan hukum.
Panduan Azure: Gunakan hasil dari aktivitas pelajaran yang dipelajari untuk memperbarui rencana respons insiden, playbook (seperti playbook Microsoft Azure Sentinel) dan masukkan kembali temuan ke lingkungan Anda (seperti pengelogan dan deteksi ancaman untuk mengatasi celah dalam pengelogan) untuk meningkatkan kemampuan Anda di masa mendatang dalam mendeteksi, merespons, dan menangani insiden di Azure.
Simpan bukti yang dikumpulkan selama "Deteksi dan analisis - selidiki langkah insiden" seperti log sistem, cadangan lalu lintas jaringan, dan rekam jepret sistem yang berjalan di penyimpanan seperti akun Azure Storage untuk retensi yang tidak dapat diubah.
Implementasi Azure dan konteks tambahan:
Panduan AWS: Buat analisis insiden untuk insiden tertutup di Incident Manager menggunakan templat analisis insiden standar atau templat kustom Anda sendiri. Gunakan hasil dari aktivitas pelajaran yang dipelajari untuk memperbarui rencana respons insiden, playbook (seperti runbook AWS Systems Manager dan playbook Microsoft Azure Sentinel) dan masukkan kembali temuan ke lingkungan Anda (seperti pengelogan dan deteksi ancaman untuk mengatasi celah dalam pengelogan) untuk meningkatkan kemampuan Anda di masa mendatang dalam mendeteksi, merespons, dan menangani insiden di AWS.
Simpan bukti yang dikumpulkan selama "Deteksi dan analisis - selidiki langkah insiden" seperti log sistem, cadangan lalu lintas jaringan, dan rekam jepret sistem yang berjalan di penyimpanan seperti wadah Amazon S3 atau akun Azure Storage untuk retensi yang tidak dapat diubah.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan hasil dari aktivitas pelajaran yang dipelajari untuk memperbarui rencana respons insiden, playbook (seperti playbook Chronicle atau Microsoft Sentinel) dan masukkan kembali temuan ke lingkungan Anda (seperti pengelogan dan deteksi ancaman untuk mengatasi celah dalam pengelogan) untuk meningkatkan kemampuan masa depan Anda dalam mendeteksi, merespons, dan menangani insiden di GCP.
Simpan bukti yang dikumpulkan selama "Deteksi dan analisis - selidiki langkah insiden" seperti log sistem, cadangan lalu lintas jaringan, dan rekam jepret sistem yang berjalan di penyimpanan seperti Google Cloud Storage atau akun Azure Storage untuk retensi yang tidak dapat diubah.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):