Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La risposta agli eventi imprevisti copre i controlli nel ciclo di vita della risposta agli eventi imprevisti: preparazione, rilevamento e analisi, contenimento e attività post-evento imprevisto, incluso l'uso di servizi di Azure (ad esempio Microsoft Defender per cloud e Sentinel) e/o altri servizi cloud per automatizzare il processo di risposta agli eventi imprevisti.
IR-1: Preparazione - Aggiornare il piano di risposta agli eventi imprevisti e il processo di gestione
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Principio di sicurezza: assicurarsi che l'organizzazione segua le procedure consigliate del settore per sviluppare processi e piani per rispondere agli eventi imprevisti di sicurezza nelle piattaforme cloud. Tieni presente il modello di responsabilità condivisa e le variazioni tra i servizi IaaS, PaaS e SaaS. Questo avrà un impatto diretto sul modo in cui collabori con il provider di servizi cloud in attività di risposta e gestione degli eventi imprevisti, ad esempio notifiche e valutazione degli eventi imprevisti, raccolta di prove, indagine, eliminazione e ripristino.
Testa regolarmente il piano di risposta e il processo di gestione degli eventi imprevisti per assicurarti che siano aggiornati.
Linee guida di Azure: aggiornare il processo di risposta agli eventi imprevisti dell'organizzazione per includere la gestione degli eventi imprevisti nella piattaforma Azure. In base ai servizi di Azure usati e alla natura dell'applicazione, personalizzare il piano di risposta agli eventi imprevisti e il playbook per assicurarsi che possano essere usati per rispondere all'evento imprevisto nell'ambiente cloud.
Implementazione di Azure e contesto aggiuntivo:
- Implementare la sicurezza nell'ambiente aziendale:
- Guida di riferimento alla risposta agli eventi imprevisti
- Guida alla gestione degli eventi imprevisti per la sicurezza dei computer NIST SP800-61
- Panoramica della risposta agli eventi imprevisti
Indicazioni su AWS: aggiornare il processo di risposta agli eventi imprevisti dell'organizzazione per includere la gestione degli eventi imprevisti. Assicurarsi che sia disponibile un piano di risposta agli eventi imprevisti multi-cloud unificato aggiornando il processo di risposta agli eventi imprevisti dell'organizzazione per includere la gestione degli eventi imprevisti nella piattaforma AWS. In base ai servizi AWS usati e alla natura dell'applicazione, seguire la Guida alla risposta agli eventi imprevisti di AWS per personalizzare il piano di risposta agli eventi imprevisti e il playbook per assicurarsi che possano essere usati per rispondere all'evento imprevisto nell'ambiente cloud.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: aggiornare il processo di risposta agli eventi imprevisti dell'organizzazione per includere la gestione degli eventi imprevisti. Assicurarsi che sia disponibile un piano di risposta agli eventi imprevisti multi-cloud unificato aggiornando il processo di risposta agli eventi imprevisti dell'organizzazione per includere la gestione degli eventi imprevisti nella piattaforma Google Cloud.
Implementazione di GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
IR-2: Preparazione - Configurare la notifica dell'evento imprevisto
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Principio di sicurezza: assicurarsi che gli avvisi di sicurezza e le notifiche degli eventi imprevisti dalla piattaforma del provider di servizi cloud e gli ambienti possano essere ricevuti dal contatto corretto nell'organizzazione di risposta agli eventi imprevisti.
Indicazioni su Azure: configurare le informazioni di contatto per gli eventi imprevisti di sicurezza in Microsoft Defender for Cloud. Queste informazioni di contatto vengono usate da Microsoft per contattare l'utente se Microsoft Security Response Center (MSRC) rileva che i dati sono stati accessibili da una parte illecita o non autorizzata. Sono disponibili anche opzioni per personalizzare gli avvisi e le notifiche degli eventi imprevisti in diversi servizi di Azure in base alle esigenze di risposta agli eventi imprevisti.
Implementazione di Azure e contesto aggiuntivo:
Indicazioni SU AWS: configurare le informazioni di contatto per gli eventi imprevisti di sicurezza in AWS Systems Manager Incident Manager (centro di gestione degli eventi imprevisti per AWS). Queste informazioni di contatto vengono usate per la comunicazione di gestione degli eventi imprevisti tra l'utente e AWS tramite i diversi canali (ad esempio, posta elettronica, SMS o voce). È possibile definire il piano di coinvolgimento e il piano di escalation di un contatto per descrivere come e quando l'Incident Manager interagisce con il contatto e per effettuare un'escalation se i contatti non rispondono a un incidente.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: configurare le notifiche degli eventi imprevisti di sicurezza per contatti specifici tramite il Centro comandi di sicurezza o cronaca. Usare i servizi Google Cloud e le API di terze parti per fornire notifiche tramite posta elettronica e chat in tempo reale per avvisare i risultati della sicurezza per il Centro comandi di sicurezza o i playbook per attivare azioni per inviare notifiche in Cronache.
Implementazione di GCP e contesto aggiuntivo:
- Abilitazione delle notifiche tramite posta elettronica e chat in tempo reale
- Uso delle azioni nelle guide:
Stakeholder della sicurezza dei clienti (Altre informazioni):
IR-3: Rilevamento e analisi - Creare eventi imprevisti basati su avvisi di alta qualità
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17,9 | IR-4, IR-5, IR-7 | 10.8 |
Principio di sicurezza: assicurarsi di avere un processo per creare avvisi di alta qualità e misurare la qualità degli avvisi. Questo consente di apprendere dagli eventi imprevisti passati e di assegnare la priorità agli avvisi per gli analisti, in modo da non sprecare tempo su falsi positivi.
Gli avvisi di alta qualità possono essere creati in base all'esperienza degli eventi imprevisti passati, alle origini della community convalidate e agli strumenti progettati per generare e pulire gli avvisi tramite fusione e correlazione di origini di segnale diverse.
Linee guida di Azure: Microsoft Defender for Cloud fornisce avvisi di alta qualità in molti asset di Azure. È possibile usare il connettore dati di Microsoft Defender for Cloud per trasmettere gli avvisi a Microsoft Sentinel. Microsoft Sentinel consente di creare regole di avviso avanzate per generare automaticamente eventi imprevisti per un'indagine.
Esportare gli avvisi e le raccomandazioni di Microsoft Defender for Cloud usando la funzionalità di esportazione per identificare i rischi per le risorse di Azure. Esportare avvisi e raccomandazioni manualmente o in modo continuo.
Implementazione di Azure e contesto aggiuntivo:
Indicazioni su AWS: usare strumenti di sicurezza come SecurityHub o GuardDuty e altri strumenti di terze parti per inviare avvisi ad Amazon CloudWatch o Amazon EventBridge in modo che gli eventi imprevisti possano essere creati automaticamente in Incident Manager in base ai criteri e ai set di regole definiti. È anche possibile creare manualmente eventi imprevisti in Gestione eventi imprevisti per ulteriori operazioni di gestione e rilevamento degli eventi imprevisti.
Se si usa Microsoft Defender for Cloud per monitorare gli account AWS, è anche possibile usare Microsoft Sentinel per monitorare e avvisare gli eventi imprevisti identificati da Microsoft Defender for Cloud sulle risorse AWS.
Implementazione di AWS e contesto aggiuntivo:
- Creazione di eventi imprevisti in Gestione eventi imprevisti
- Come Defender for Cloud Apps consente di proteggere l'ambiente Amazon Web Services (AWS)
Linee guida GCP: integrare Google Cloud e servizi di terze parti per inviare log e avvisi al Centro comandi di sicurezza o a Cronache in modo che gli eventi imprevisti possano essere creati automaticamente in base ai criteri definiti. È anche possibile creare e modificare manualmente i risultati degli eventi imprevisti nel Centro comandi di sicurezza o regole in Cronache per ulteriori operazioni di gestione e rilevamento degli eventi imprevisti.
Se si usa Microsoft Defender for Cloud per monitorare i progetti GCP, è anche possibile usare Microsoft Sentinel per monitorare e avvisare gli eventi imprevisti identificati da Microsoft Defender for Cloud sulle risorse GCP o trasmettere i log GCP direttamente in Microsoft Sentinel.
Implementazione di GCP e contesto aggiuntivo:
- Configurazione del Centro comandi di sicurezza
- Gestire le regole tramite l'editor regole
- Connetti i progetti GCP a Microsoft Defender for Cloud
- Trasmettere i log di Google Cloud Platform a Microsoft Sentinel
Stakeholder della sicurezza dei clienti (Altre informazioni):
IR-4: Rilevamento e analisi - Analizzare un evento imprevisto
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| Non disponibile | IR-4 | 12.10 |
Principio di sicurezza: assicurarsi che il team delle operazioni di sicurezza possa eseguire query e usare origini dati diverse durante l'analisi di potenziali eventi imprevisti, per creare una visualizzazione completa di ciò che è accaduto. È necessario raccogliere log diversi per tenere traccia delle attività di un potenziale utente malintenzionato attraverso la kill chain per evitare punti ciechi. È anche necessario assicurarsi che le informazioni dettagliate e le conoscenze vengano acquisite per altri analisti e per riferimenti cronologici futuri.
Usare la soluzione di gestione degli eventi imprevisti e SIEM nativa del cloud se l'organizzazione non dispone di una soluzione esistente per aggregare i log di sicurezza e le informazioni sugli avvisi. Correlare i dati degli eventi imprevisti in base ai dati originati da origini diverse per strutturare le indagini sugli eventi imprevisti.
Linee guida di Azure: assicurarsi che il team addetto alle operazioni di sicurezza possa eseguire query e usare origini dati diverse raccolte dai servizi e dai sistemi nell'ambito. Inoltre, le origini possono includere:
- Dati di log di identità e accesso: usare i log e il carico di lavoro di Azure AD, ad esempio sistemi operativi o a livello di applicazione, per correlare gli eventi di identità e accesso.
- Dati di rete: usare i log dei flussi dei gruppi di sicurezza di rete, Azure Network Watcher e Monitoraggio di Azure per acquisire i log dei flussi di rete e altre informazioni di analisi.
- Dati sulle attività correlate agli eventi imprevisti di da snapshot dei sistemi interessati, che possono essere ottenuti tramite:
- La funzionalità snapshot della macchina virtuale di Azure, per creare uno snapshot del disco del sistema in esecuzione.
- La funzionalità di dump della memoria nativa del sistema operativo, per creare uno snapshot della memoria del sistema in esecuzione.
- La funzionalità snapshot di altri servizi di Azure supportati o la propria funzionalità del software per creare snapshot dei sistemi in esecuzione.
Microsoft Sentinel offre un'analisi completa dei dati in qualsiasi origine di log e un portale di gestione dei casi per gestire il ciclo di vita completo degli eventi imprevisti. Le informazioni di intelligence durante un'indagine possono essere associate a un evento imprevisto a scopo di rilevamento e creazione di report.
Nota: quando vengono acquisiti dati correlati a eventi imprevisti per l'analisi, assicurarsi che sia disponibile una sicurezza adeguata per proteggere i dati da modifiche non autorizzate, ad esempio disabilitando la registrazione o rimuovendo i log, che possono essere eseguiti dagli utenti malintenzionati durante un'attività di violazione dei dati in corso.
Implementazione di Azure e contesto aggiuntivo:
- Creare uno snapshot del disco di un computer Windows
- Creare uno snapshot del disco di un computer Linux
- Raccolta di dump della memoria e informazioni di diagnostica del supporto Microsoft Azure
- Analizzare gli eventi imprevisti con Azure Sentinel
Indicazioni su AWS: le origini dati per l'analisi sono le origini di registrazione centralizzate che raccolgono dai servizi nell'ambito e dai sistemi in esecuzione, ma possono anche includere:
- Dati di log di identità e accesso: usare i log IAM e il carico di lavoro (ad esempio sistemi operativi o a livello di applicazione) per correlare gli eventi di identità e accesso.
- Dati di rete: usare i log dei flussi VPC, i mirror del traffico VPC e Azure CloudTrail e CloudWatch per acquisire i log dei flussi di rete e altre informazioni di analisi.
- Snapshot dei sistemi in esecuzione, che possono essere ottenuti tramite:
- Funzionalità snapshot in Amazon EC2(EBS) per creare uno snapshot del disco del sistema in esecuzione.
- La funzionalità di dump della memoria nativa del sistema operativo, per creare uno snapshot della memoria del sistema in esecuzione.
- La funzionalità snapshot dei servizi AWS o della propria funzionalità del software per creare snapshot dei sistemi in esecuzione.
Se si aggregano i dati correlati a SIEM in Microsoft Sentinel, vengono fornite analisi complete dei dati in qualsiasi origine di log e in un portale di gestione dei casi per gestire il ciclo di vita completo degli eventi imprevisti. Le informazioni di intelligence durante un'indagine possono essere associate a un evento imprevisto a scopo di rilevamento e creazione di report.
Nota: quando vengono acquisiti dati correlati a eventi imprevisti per l'analisi, assicurarsi che sia disponibile una sicurezza adeguata per proteggere i dati da modifiche non autorizzate, ad esempio disabilitando la registrazione o rimuovendo i log, che possono essere eseguiti dagli utenti malintenzionati durante un'attività di violazione dei dati in corso.
Implementazione di AWS e contesto aggiuntivo:
- Mirroring del traffico
- Creazione di backup del volume EBS con AMI e snapshot EBS
- Usare l'archiviazione non modificabile
Indicazioni per GCP: le sorgenti di dati per l'analisi sono le fonti di log centralizzate che raccolgono dai servizi pertinenti e dai sistemi in esecuzione, ma possono anche includere:
- Dati di log di identità e accesso: usare i log IAM e il carico di lavoro (ad esempio sistemi operativi o a livello di applicazione) per correlare gli eventi di identità e accesso.
- Dati di rete: usare i log dei flussi VPC e i controlli del servizio VPC per acquisire i log dei flussi di rete e altre informazioni di analisi.
- Snapshot dei sistemi in esecuzione, che possono essere ottenuti tramite:
- Funzionalità di snapshot nelle macchine virtuali GCP per creare uno snapshot del disco del sistema in esecuzione.
- La funzionalità di dump della memoria nativa del sistema operativo, per creare uno snapshot della memoria del sistema in esecuzione.
- La funzionalità snapshot dei servizi GCP o delle funzionalità del software, per creare snapshot dei sistemi in esecuzione.
Se si aggregano i dati correlati a SIEM in Microsoft Sentinel, vengono fornite analisi complete dei dati in qualsiasi origine di log e in un portale di gestione dei casi per gestire il ciclo di vita completo degli eventi imprevisti. Le informazioni di intelligence durante un'indagine possono essere associate a un evento imprevisto a scopo di rilevamento e creazione di report.
Nota: quando vengono acquisiti dati correlati a eventi imprevisti per l'analisi, assicurarsi che sia disponibile una sicurezza adeguata per proteggere i dati da modifiche non autorizzate, ad esempio disabilitando la registrazione o rimuovendo i log, che possono essere eseguiti dagli utenti malintenzionati durante un'attività di violazione dei dati in corso.
Implementazione di GCP e contesto aggiuntivo:
- Centro comandi di sicurezza - Origini di sicurezza
- Set di dati supportati
- Creare e gestire snapshot del disco
- Trasmettere i log di Google Cloud Platform a Microsoft Sentinel
Stakeholder della sicurezza dei clienti (Altre informazioni):
IR-5: Rilevamento e analisi - Assegnare la priorità agli eventi imprevisti
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Principio di sicurezza: fornire contesto ai team delle operazioni di sicurezza per aiutarli a determinare quali eventi imprevisti devono essere incentrati per primi, in base alla gravità degli avvisi e alla sensibilità degli asset definita nel piano di risposta agli eventi imprevisti dell'organizzazione.
Contrassegna inoltre le risorse tramite tag e crea un sistema di denominazione per identificare e classificare le risorse del cloud, in particolare quelle che elaborano i dati sensibili. È tua responsabilità classificare in ordine di priorità la correzione degli avvisi in base alla criticità delle risorse e dell'ambiente in cui si è verificato l'evento imprevisto.
Indicazioni su Azure: Microsoft Defender for Cloud assegna una gravità a ogni avviso per dare priorità agli avvisi da analizzare per primi. La gravità si basa sul livello di attendibilità di Microsoft Defender for Cloud nell'individuazione o nell'analisi usata per generare l'avviso, nonché sul livello di attendibilità che si è verificato un intento dannoso dietro l'attività che ha portato all'avviso.
Analogamente, Microsoft Sentinel crea avvisi ed eventi imprevisti con una gravità assegnata e altri dettagli in base alle regole di analisi. Usare i modelli di regola analitici e personalizzare le regole in base alle esigenze dell'organizzazione per supportare la definizione delle priorità degli eventi imprevisti. Usare le regole di automazione in Microsoft Sentinel per gestire e orchestrare la risposta alle minacce per ottimizzare l'efficienza e l'efficacia del team dell'operazione di sicurezza, tra cui l'assegnazione di tag agli eventi imprevisti per classificarli.
Implementazione di Azure e contesto aggiuntivo:
- Avvisi di sicurezza in Microsoft Defender for Cloud
- Usare i tag per organizzare le risorse di Azure
- Creare incidenti da avvisi di sicurezza Microsoft
Indicazioni su AWS: per ogni evento imprevisto creato in Incident Manager, assegnare un livello di impatto in base ai criteri definiti dall'organizzazione, ad esempio una misura della gravità dell'evento imprevisto e del livello di criticità degli asset interessati.
Implementazione di AWS e contesto aggiuntivo:
* Indicazioni per GCP: per ogni evento imprevisto creato nel Centro comandi di sicurezza, determinare la priorità dell'avviso in base alle classificazioni di gravità assegnate dal sistema e ad altri criteri definiti dall'organizzazione. Misurare la gravità dell'evento imprevisto e del livello di criticità degli asset interessati per determinare gli avvisi da analizzare per primi.
Analogamente in Chronical, è possibile definire regole personalizzate per determinare le priorità di risposta agli eventi imprevisti. Implementazione di GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
IR-6: contenimento, eliminazione e ripristino- automatizzare la gestione degli eventi imprevisti
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| Non disponibile | IR-4, IR-5, IR-6 | 12.10 |
Principio di sicurezza: automatizzare le attività manuali e ripetitive per velocizzare il tempo di risposta e ridurre il carico di lavoro degli analisti. L'esecuzione delle attività manuali richiede più tempo, rallentando ogni evento imprevisto e riducendo il numero di eventi che un analista può gestire. Le attività manuali aumentano anche la fatica dell'analista, aumentando il rischio di errori umani che causa ritardi e degrada la capacità degli analisti di concentrarsi efficacemente su attività complesse.
Indicazioni su Azure: usare le funzionalità di automazione del flusso di lavoro in Microsoft Defender for Cloud e Microsoft Sentinel per attivare automaticamente le azioni o eseguire un playbook per rispondere agli avvisi di sicurezza in ingresso. I playbook eseducono azioni, ad esempio l'invio di notifiche, la disabilitazione degli account e l'isolamento delle reti problematiche.
Implementazione di Azure e contesto aggiuntivo:
- Configurare l'automazione del flusso di lavoro nel Centro sicurezza
- Configurare risposte automatiche alle minacce in Microsoft Defender for Cloud
- Configurare risposte automatiche alle minacce in Azure Sentinel
Indicazioni su AWS: se si usa Microsoft Sentinel per gestire centralmente l'evento imprevisto, è anche possibile creare azioni automatizzate o eseguire playbook per rispondere agli avvisi di sicurezza in ingresso.
In alternativa, usare le funzionalità di automazione in AWS System Manager per attivare automaticamente le azioni definite nel piano di risposta agli eventi imprevisti, inclusa la notifica dei contatti e/o l'esecuzione di un runbook per rispondere agli avvisi, ad esempio la disabilitazione degli account e l'isolamento delle reti problematiche.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: se si usa Microsoft Sentinel per gestire centralmente l'evento imprevisto, è anche possibile creare azioni automatizzate o eseguire playbook per rispondere agli avvisi di sicurezza in ingresso.
In alternativa, usare le automazione playbook in Cronache per attivare automaticamente le azioni definite nel piano di risposta agli eventi imprevisti, inclusa la notifica dei contatti e/o l'esecuzione di un playbook per rispondere agli avvisi.
Implementazione di GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
IR-7: attività post-evento imprevisto - Condurre lezioni apprese e conservare le prove
| ID dei controlli CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Principio di sicurezza: condurre lezioni apprese nell'organizzazione periodicamente e/o dopo eventi imprevisti gravi, per migliorare le funzionalità future nella risposta e nella gestione degli eventi imprevisti.
In base alla natura dell'evento imprevisto, conserva le prove relative all'evento imprevisto per il periodo definito nello standard di gestione degli eventi imprevisti per ulteriori analisi o azioni legali.
Indicazioni su Azure: usare il risultato delle lezioni apprese per aggiornare il piano di risposta agli eventi imprevisti, il playbook (ad esempio un playbook di Microsoft Sentinel) e reincorporate i risultati negli ambienti (ad esempio la registrazione e il rilevamento delle minacce per risolvere eventuali lacune nella registrazione) per migliorare le funzionalità future nel rilevare, rispondere e gestire gli eventi imprevisti in Azure.
Conservare le prove raccolte durante la fase di "Rilevamento e analisi - indagine di un incidente," ad esempio i log di sistema, i dump del traffico di rete e gli snapshot di sistema in un archivio, come un account di archiviazione di Azure per la conservazione immutabile.
Implementazione di Azure e contesto aggiuntivo:
Indicazioni su AWS: creare un'analisi degli eventi imprevisti per un evento imprevisto chiuso in Incident Manager usando il modello di analisi degli eventi imprevisti standard o un modello personalizzato. Usare il risultato delle lezioni apprese per aggiornare il piano di risposta agli eventi imprevisti, il playbook (ad esempio il runbook di AWS Systems Manager e il playbook di Microsoft Sentinel) e reincorpoare i risultati negli ambienti (ad esempio la registrazione e il rilevamento delle minacce per risolvere eventuali lacune nella registrazione) per migliorare la capacità futura di rilevare, rispondere e gestire gli eventi imprevisti in AWS.
Conservare le prove raccolte durante il "Rilevamento e analisi - indagare su un passaggio di incidente", nell'archiviazione per la conservazione immutabile, come i log di sistema, i dump del traffico di rete e gli snapshot del sistema in esecuzione, ad esempio in un bucket Amazon S3 o in un account di archiviazione Azure.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: utilizzare il risultato delle lezioni apprese per aggiornare il piano di risposta agli incidenti, il playbook (ad esempio un playbook Cronaca o Microsoft Sentinel) e reincorporare i risultati negli ambienti (ad esempio il log e il rilevamento delle minacce per colmare eventuali lacune nel log) per migliorare la capacità futura di rilevare, rispondere e gestire gli incidenti in GCP.
Conservare le prove raccolte durante il "rilevamento e analisi - indagare su un passo dell'incidente" come i log di sistema, i dump del traffico di rete e le istantanee dei sistemi in esecuzione nello storage come un Google Cloud Storage o un account di Azure Storage per la conservazione immutabile.
Implementazione di GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):