Controllo sicurezza: risposta agli eventi imprevisti
La risposta agli eventi imprevisti copre i controlli nel ciclo di vita della risposta agli eventi imprevisti: preparazione, rilevamento e analisi, contenimento e attività post-evento imprevisto, inclusi l'uso di servizi di Azure (ad esempio Microsoft Defender per Cloud e Sentinel) e/o altri servizi cloud per automatizzare il processo di risposta agli eventi imprevisti.
IR-1: Preparazione - Aggiornare il piano di risposta agli eventi imprevisti e il processo di gestione
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
Principio di sicurezza: assicurarsi che l'organizzazione segue le procedure consigliate del settore per sviluppare processi e piani per rispondere agli eventi imprevisti di sicurezza nelle piattaforme cloud. Tenere presente il modello di responsabilità condivisa e le varianza tra i servizi IaaS, PaaS e SaaS. Ciò avrà un impatto diretto sul modo in cui si collabora con il provider di servizi cloud nella risposta agli eventi imprevisti e nelle attività di gestione degli eventi imprevisti, ad esempio notifica e valutazione degli eventi imprevisti, raccolta di prove, analisi, eradicazione e ripristino.
Testare regolarmente il piano di risposta agli eventi imprevisti e il processo di gestione per assicurarsi che siano aggiornati.
Linee guida di Azure: aggiornare il processo di risposta agli eventi imprevisti dell'organizzazione per includere la gestione degli eventi imprevisti nella piattaforma Azure. In base ai servizi di Azure usati e alla natura dell'applicazione, personalizzare il piano di risposta agli eventi imprevisti e il playbook per garantire che possano essere usati per rispondere all'evento imprevisto nell'ambiente cloud.
Implementazione di Azure e contesto aggiuntivo:
- Implementare la sicurezza nell'ambiente aziendale:
- Guida di riferimento alla risposta agli eventi imprevisti
- Guida alla gestione degli eventi imprevisti di sicurezza del computer NIST SP800-61
- Panoramica della risposta agli eventi imprevisti
Linee guida AWS: aggiornare il processo di risposta agli eventi imprevisti dell'organizzazione per includere la gestione degli eventi imprevisti. Assicurarsi che un piano di risposta agli eventi imprevisti multi-cloud unificato sia disponibile aggiornando il processo di risposta agli eventi imprevisti dell'organizzazione per includere la gestione degli eventi imprevisti nella piattaforma AWS. In base ai servizi AWS usati e alla natura dell'applicazione, seguire la Guida alla risposta agli eventi imprevisti di AWS per personalizzare il piano di risposta agli eventi imprevisti e il playbook per garantire che possano rispondere all'evento imprevisto nell'ambiente cloud.
Implementazione di AWS e contesto aggiuntivo:
Linee guida GCP: aggiornare il processo di risposta agli eventi imprevisti dell'organizzazione per includere la gestione degli eventi imprevisti. Assicurarsi che un piano di risposta agli eventi imprevisti multi-cloud unificato sia disponibile aggiornando il processo di risposta agli eventi imprevisti dell'organizzazione per includere la gestione degli eventi imprevisti nella piattaforma Google Cloud.
Implementazione di GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
IR-2: Preparazione - Notifica degli eventi imprevisti di installazione
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Principio di sicurezza: assicurarsi che gli avvisi di sicurezza e le notifiche degli eventi imprevisti dalla piattaforma del provider di servizi cloud e gli ambienti possano essere ricevuti dal contatto corretto nell'organizzazione di risposta agli eventi imprevisti.
Linee guida di Azure: configurare le informazioni di contatto degli eventi imprevisti di sicurezza in Microsoft Defender per Cloud. Le informazioni di contatto consentono a Microsoft di contattare l'utente se Microsoft Security Response Center (MSRC) rileva che è stato eseguito l'accesso ai dati da parte di utenti non autorizzati. È anche possibile personalizzare gli avvisi degli eventi imprevisti e le notifiche in diversi servizi di Azure in base alle esigenze di risposta agli eventi imprevisti.
Implementazione di Azure e contesto aggiuntivo:
Indicazioni su AWS: Configurare le informazioni di contatto sugli eventi imprevisti di sicurezza in AWS Systems Manager Incident Manager (centro di gestione degli eventi imprevisti per AWS). Queste informazioni di contatto vengono usate per la comunicazione di gestione degli eventi imprevisti tra l'utente e AWS tramite i diversi canali (ad esempio, Email, SMS o Voce). È possibile definire il piano di coinvolgimento di un contatto e il piano di escalation per descrivere come e quando Gestione eventi imprevisti impegna il contatto e per l'escalation se i contatti non risponde a un evento imprevisto.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: Configurare le notifiche degli eventi imprevisti di sicurezza per contatti specifici usando il Centro comandi di sicurezza o La cronologia. Usare i servizi Google Cloud e le API di terze parti per fornire una notifica di posta elettronica e chat in tempo reale per avvisare i risultati della sicurezza per il Centro comandi di sicurezza o i playbook per attivare azioni per inviare notifiche in Cronache.
Implementazione di GCP e contesto aggiuntivo:
- Abilitazione delle notifiche di posta elettronica e chat in tempo reale
- Uso delle azioni nei Playbook:
Stakeholder della sicurezza dei clienti (Altre informazioni):
IR-3: Rilevamento e analisi : creare eventi imprevisti basati su avvisi di alta qualità
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10.8 |
Principio di sicurezza: assicurarsi di avere un processo per creare avvisi di alta qualità e misurare la qualità degli avvisi. In questo modo è possibile imparare lezioni dagli eventi imprevisti precedenti e assegnare priorità agli avvisi per gli analisti, in modo da non perdere tempo sui falsi positivi.
Gli avvisi di alta qualità possono essere creati in base all'esperienza degli eventi imprevisti passati, a origini della community convalidate e a strumenti progettati per generare e pulire gli avvisi unendo e correlando diverse origini dei segnali.
Linee guida di Azure: Microsoft Defender for Cloud offre avvisi di alta qualità in molti asset di Azure. È possibile usare il Microsoft Defender per il connettore dati cloud per trasmettere gli avvisi a Microsoft Sentinel. Microsoft Sentinel consente di creare regole di avviso avanzate per generare automaticamente eventi imprevisti per un'indagine.
Esportare le Microsoft Defender per gli avvisi e le raccomandazioni cloud usando la funzionalità di esportazione per identificare i rischi per le risorse di Azure. È possibile esportare avvisi e raccomandazioni manualmente o in modo continuativo.
Implementazione di Azure e contesto aggiuntivo:
Linee guida AWS: usare strumenti di sicurezza come SecurityHub o GuardDuty e altri strumenti di terze parti per inviare avvisi ad Amazon CloudWatch o Amazon EventBridge in modo che gli eventi imprevisti possano essere creati automaticamente in Gestione eventi imprevisti in base ai criteri e ai set di regole definiti. È anche possibile creare manualmente eventi imprevisti in Gestione eventi imprevisti per ulteriori operazioni di gestione e rilevamento degli eventi imprevisti.
Se si usa Microsoft Defender per Cloud per monitorare gli account AWS, è anche possibile usare Microsoft Sentinel per monitorare e avvisare gli eventi imprevisti identificati da Microsoft Defender for Cloud in risorse AWS.
Implementazione di AWS e contesto aggiuntivo:
- Creazione di eventi imprevisti in Gestione eventi imprevisti
- Come Defender for Cloud Apps consente di proteggere l'ambiente Amazon Web Services (AWS)
Linee guida GCP: integrare i servizi Google Cloud e di terze parti per inviare log e avvisi al Centro comandi di sicurezza o alla cronologia in modo che gli eventi imprevisti possano essere creati automaticamente in base ai criteri definiti. È anche possibile creare e modificare manualmente i risultati degli eventi imprevisti nel Centro comandi di sicurezza o nelle regole in Chronicle per ulteriori operazioni di gestione e rilevamento degli eventi imprevisti.
Se si usa Microsoft Defender per Cloud per monitorare i progetti GCP, è anche possibile usare Microsoft Sentinel per monitorare e avvisare gli eventi imprevisti identificati da Microsoft Defender per le risorse GCP o trasmettere i log GCP direttamente in Microsoft Sentinel.
Implementazione di GCP e contesto aggiuntivo:
- Configurazione del Centro comandi di sicurezza
- Gestire le regole usando l'editor regole
- Connettere i progetti GCP a Microsoft Defender per Cloud
- Trasmettere i log di Google Cloud Platform in Microsoft Sentinel
Stakeholder della sicurezza dei clienti (Altre informazioni):
IR-4: Rilevamento e analisi - Analizzare un evento imprevisto
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IR-4 | 12.10 |
Principio di sicurezza: assicurarsi che il team delle operazioni di sicurezza possa eseguire query e usare origini dati diverse durante l'analisi dei potenziali eventi imprevisti, per creare una visualizzazione completa di ciò che è accaduto. È necessario raccogliere vari log per tenere traccia delle attività di un possibile utente malintenzionato attraverso la kill chain per evitare punti ciechi. Assicurarsi anche che le informazioni dettagliate e le nozioni apprese vengano acquisite per poter essere sfruttate da altri analisti e per riferimenti cronologici futuri.
Usare la soluzione di gestione degli eventi imprevisti e SIEM nativa del cloud se l'organizzazione non dispone di una soluzione esistente per aggregare i log di sicurezza e le informazioni sugli avvisi. Correlare i dati degli eventi imprevisti in base ai dati originati da origini diverse per strutturare le indagini sugli eventi imprevisti.
Linee guida di Azure: assicurarsi che il team addetto alle operazioni di sicurezza possa eseguire query e usare origini dati diverse raccolte dai servizi e dai sistemi nell'ambito. Inoltre, le origini possono includere:
- Dati di log di identità e accesso: usare i log e il carico di lavoro di Azure AD (ad esempio sistemi operativi o a livello di applicazione) per correlare gli eventi di identità e accesso.
- Dati di rete: usare i log di flusso dei gruppi di sicurezza di rete, Azure Network Watcher e Monitoraggio di Azure per acquisire i log dei flussi di rete e altre informazioni di analisi.
- Dati sulle attività correlate agli eventi imprevisti di da snapshot dei sistemi interessati, che possono essere ottenuti tramite:
- La funzionalità snapshot della macchina virtuale di Azure, per creare uno snapshot del disco del sistema in esecuzione.
- La funzionalità di dump della memoria nativa del sistema operativo, per creare uno snapshot della memoria del sistema in esecuzione.
- La funzionalità snapshot di altri servizi di Azure supportati o la propria funzionalità del software, per creare snapshot dei sistemi in esecuzione.
Microsoft Sentinel offre un'analisi completa dei dati in qualsiasi origine log e in un portale di gestione dei casi per gestire l'intero ciclo di vita degli eventi imprevisti. Le informazioni di intelligence durante un'analisi possono essere associate a un evento imprevisto a scopo di rilevamento e creazione di report.
Nota: quando vengono acquisiti dati correlati agli eventi imprevisti per l'analisi, assicurarsi che sia disponibile una sicurezza adeguata per proteggere i dati da modifiche non autorizzate, ad esempio disabilitando la registrazione o rimuovendo i log, che possono essere eseguiti dagli utenti malintenzionati durante un'attività di violazione dei dati in corso.
Implementazione di Azure e contesto aggiuntivo:
- Creare uno snapshot del disco di un computer Windows
- Creare uno snapshot del disco di un computer Linux
- Raccolta delle informazioni di diagnostica e del dump della memoria da parte del supporto tecnico di Microsoft Azure
- Esaminare gli eventi imprevisti con Azure Sentinel
Indicazioni su AWS: le origini dati per l'analisi sono le origini di registrazione centralizzate che raccolgono dai servizi nell'ambito e dai sistemi in esecuzione, ma possono anche includere:
- Dati di log di identità e accesso: usare log e carichi di lavoro IAM (ad esempio sistemi operativi o a livello di applicazione) per correlare gli eventi di identità e accesso.
- Dati di rete: usare log di flusso VPC, mirror del traffico VPC e Azure CloudTrail e CloudWatch per acquisire i log dei flussi di rete e altre informazioni di analisi.
- Snapshot dei sistemi in esecuzione, che possono essere ottenuti tramite:
- Funzionalità snapshot in Amazon EC2(EBS) per creare uno snapshot del disco del sistema in esecuzione.
- La funzionalità di dump della memoria nativa del sistema operativo, per creare uno snapshot della memoria del sistema in esecuzione.
- La funzionalità snapshot dei servizi AWS o della propria funzionalità del software, per creare snapshot dei sistemi in esecuzione.
Se si aggregano i dati correlati a SIEM in Microsoft Sentinel, fornisce analisi dei dati complete in qualsiasi origine log e un portale di gestione dei casi per gestire il ciclo di vita completo degli eventi imprevisti. Le informazioni di intelligence durante un'analisi possono essere associate a un evento imprevisto a scopo di rilevamento e creazione di report.
Nota: quando vengono acquisiti dati correlati agli eventi imprevisti per l'analisi, assicurarsi che sia disponibile una sicurezza adeguata per proteggere i dati da modifiche non autorizzate, ad esempio disabilitando la registrazione o rimuovendo i log, che possono essere eseguiti dagli utenti malintenzionati durante un'attività di violazione dei dati in corso.
Implementazione di AWS e contesto aggiuntivo:
- Mirroring del traffico
- Creazione di backup del volume EBS con ami e snapshot EBS
- Usare l'archiviazione non modificabile
Indicazioni su GCP: le origini dati per l'analisi sono le origini di registrazione centralizzate che raccolgono dai servizi nell'ambito e dai sistemi in esecuzione, ma possono anche includere:
- Dati di log di identità e accesso: usare log e carichi di lavoro IAM (ad esempio sistemi operativi o a livello di applicazione) per correlare gli eventi di identità e accesso.
- Dati di rete: usare i log dei flussi VPC e i controlli del servizio VPC per acquisire i log dei flussi di rete e altre informazioni di analisi.
- Snapshot dei sistemi in esecuzione, che possono essere ottenuti tramite:
- Funzionalità di snapshot nelle macchine virtuali GCP per creare uno snapshot del disco del sistema in esecuzione.
- La funzionalità di dump della memoria nativa del sistema operativo, per creare uno snapshot della memoria del sistema in esecuzione.
- La funzionalità snapshot dei servizi GCP o della propria funzionalità del software, per creare snapshot dei sistemi in esecuzione.
Se si aggregano i dati correlati a SIEM in Microsoft Sentinel, fornisce analisi dei dati complete in qualsiasi origine log e un portale di gestione dei casi per gestire il ciclo di vita completo degli eventi imprevisti. Le informazioni di intelligence durante un'analisi possono essere associate a un evento imprevisto a scopo di rilevamento e creazione di report.
Nota: quando vengono acquisiti dati correlati agli eventi imprevisti per l'analisi, assicurarsi che sia disponibile una sicurezza adeguata per proteggere i dati da modifiche non autorizzate, ad esempio disabilitando la registrazione o rimuovendo i log, che possono essere eseguiti dagli utenti malintenzionati durante un'attività di violazione dei dati in corso.
Implementazione GCP e contesto aggiuntivo:
- Centro comandi di sicurezza - Origini di sicurezza
- Set di dati supportati
- Creare e gestire snapshot del disco
- Trasmettere i log di Google Cloud Platform a Microsoft Sentinel
Stakeholder della sicurezza dei clienti (Altre informazioni):
IR-5: Rilevamento e analisi - Definizione delle priorità degli eventi imprevisti
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Principio di sicurezza: fornire contesto ai team delle operazioni di sicurezza per aiutarli a determinare quali eventi imprevisti devono prima essere incentrati, in base alla gravità degli avvisi e alla sensibilità degli asset definita nel piano di risposta agli eventi imprevisti dell'organizzazione.
Inoltre, contrassegnare le risorse usando tag e creare un sistema di denominazione per identificare e classificare le risorse cloud, in particolare per l'elaborazione di dati sensibili. È responsabilità dell'utente assegnare priorità alla correzione degli avvisi in base alla criticità delle risorse e dell'ambiente in cui si è verificato l'evento imprevisto.
Linee guida di Azure: Microsoft Defender for Cloud assegna una gravità a ogni avviso per dare priorità agli avvisi da analizzare per primi. La gravità si basa sul livello di attendibilità Microsoft Defender per Cloud nell'individuazione o nell'analisi usata per emettere l'avviso, nonché sul livello di attendibilità che si è verificato un intento dannoso dietro l'attività che ha portato all'avviso.
Analogamente, Microsoft Sentinel crea avvisi ed eventi imprevisti con una gravità assegnata e altri dettagli basati sulle regole di analisi. Usare i modelli di regola analitica e personalizzare le regole in base alle esigenze dell'organizzazione per supportare la definizione delle priorità degli eventi imprevisti. Usare le regole di automazione in Microsoft Sentinel per gestire e orchestrare la risposta alle minacce per ottimizzare l'efficienza e l'efficacia del team dell'operazione di sicurezza, tra cui l'assegnazione di tag agli eventi imprevisti per classificarli.
Implementazione di Azure e contesto aggiuntivo:
- Avvisi di sicurezza in Microsoft Defender for Cloud
- Usare tag per organizzare le risorse di Azure
- Creare eventi imprevisti dagli avvisi di sicurezza Microsoft
Indicazioni su AWS: per ogni evento imprevisto creato in Incident Manager, assegnare un livello di impatto in base ai criteri definiti dell'organizzazione, ad esempio una misura della gravità dell'evento imprevisto e del livello di criticità degli asset interessati.
Implementazione di AWS e contesto aggiuntivo:
*Indicazioni per GCP: per ogni evento imprevisto creato nel Centro comandi di sicurezza, determinare la priorità dell'avviso in base alle classificazioni di gravità assegnate dal sistema e ad altri criteri definiti dall'organizzazione. Misurare la gravità dell'evento imprevisto e del livello di criticità degli asset interessati per determinare gli avvisi da analizzare per primi.
Analogamente in Chronical, è possibile definire regole personalizzate per determinare le priorità di risposta agli eventi imprevisti. Implementazione GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
IR-6: contenimento, eliminazione e ripristino: automatizzare la gestione degli eventi imprevisti
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IR-4, IR-5, IR-6 | 12.10 |
Principio di sicurezza: automatizzare le attività manuali e ripetitive per velocizzare il tempo di risposta e ridurre il carico di lavoro degli analisti. L'esecuzione delle attività manuali richiede più tempo, rallentando ogni evento imprevisto e riducendo il numero di eventi imprevisti che un analista può gestire. Le attività manuali aumentano anche l'affaticamento dell'analista, che aumenta il rischio di errori umani che causa ritardi e riduce la capacità degli analisti di concentrarsi efficacemente su attività complesse.
Linee guida di Azure: usare le funzionalità di automazione del flusso di lavoro in Microsoft Defender per Cloud e Microsoft Sentinel per attivare automaticamente azioni o eseguire un playbook per rispondere agli avvisi di sicurezza in ingresso. I playbook esere azioni, ad esempio l'invio di notifiche, la disabilitazione degli account e l'isolamento delle reti problematiche.
Implementazione di Azure e contesto aggiuntivo:
- Configurare l'automazione dei flussi di lavoro nel Centro sicurezza
- Configurare risposte automatiche alle minacce in Microsoft Defender for Cloud
- Configurare le risposte automatiche alle minacce in Azure Sentinel
Indicazioni su AWS: se si usa Microsoft Sentinel per gestire centralmente l'evento imprevisto, è anche possibile creare azioni automatizzate o eseguire un playbook per rispondere agli avvisi di sicurezza in ingresso.
In alternativa, usare le funzionalità di automazione in AWS System Manager per attivare automaticamente le azioni definite nel piano di risposta agli eventi imprevisti, inclusa la notifica dei contatti e/o l'esecuzione di un runbook per rispondere agli avvisi, ad esempio la disabilitazione degli account e l'isolamento delle reti problematiche.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni su GCP: se si usa Microsoft Sentinel per gestire centralmente l'evento imprevisto, è anche possibile creare azioni automatizzate o eseguire playbook per rispondere agli avvisi di sicurezza in ingresso.
In alternativa, usare le automazione playbook in Cronache per attivare automaticamente le azioni definite nel piano di risposta agli eventi imprevisti, inclusa la notifica dei contatti e/o l'esecuzione di un playbook per rispondere agli avvisi.
Implementazione GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
IR-7: Attività post-evento imprevisto - Condurre lezioni apprese e conservare le prove
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Principio di sicurezza: eseguire lezioni apprese nell'organizzazione periodicamente e/o dopo eventi imprevisti gravi, per migliorare le funzionalità future nella risposta e nella gestione degli eventi imprevisti.
In base alla natura dell'evento imprevisto, conservare le prove correlate all'evento imprevisto per il periodo definito nello standard di gestione degli eventi imprevisti per ulteriori analisi o azioni legali.
Indicazioni su Azure: usare il risultato delle lezioni apprese per aggiornare il piano di risposta agli eventi imprevisti, il playbook (ad esempio un playbook di Microsoft Sentinel) e reinserire i risultati negli ambienti (ad esempio la registrazione e il rilevamento delle minacce per risolvere eventuali lacune nella registrazione) per migliorare le funzionalità future nel rilevare, rispondere e gestire gli eventi imprevisti in Azure.
Conservare le prove raccolte durante il "rilevamento e l'analisi- analizzare un passaggio relativo a un evento imprevisto", ad esempio i log di sistema, i dump del traffico di rete e l'esecuzione di snapshot di sistema nell'archiviazione, ad esempio un account di archiviazione di Azure per la conservazione non modificabile.
Implementazione di Azure e contesto aggiuntivo:
Indicazioni di AWS: creare l'analisi degli eventi imprevisti per un evento imprevisto chiuso in Incident Manager usando il modello standard di analisi degli eventi imprevisti o un modello personalizzato. Usare il risultato delle lezioni apprese per aggiornare il piano di risposta agli eventi imprevisti, il playbook (ad esempio il runbook di AWS Systems Manager e il playbook di Microsoft Sentinel) e reinserire i risultati negli ambienti (ad esempio la registrazione e il rilevamento delle minacce per risolvere eventuali lacune nella registrazione) per migliorare la capacità futura di rilevare, rispondere e gestire gli eventi imprevisti in AWS.
Conservare le prove raccolte durante il "Rilevamento e analisi- analizzare un passaggio di evento imprevisto", ad esempio i log di sistema, i dump del traffico di rete e l'esecuzione di snapshot di sistema nell'archiviazione, ad esempio un bucket Amazon S3 o un account di archiviazione di Azure per la conservazione non modificabile.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni su GCP: usare il risultato delle lezioni apprese per aggiornare il piano di risposta agli eventi imprevisti, il playbook (ad esempio un playbook Cronaca o Microsoft Sentinel) e reinserire i risultati negli ambienti (ad esempio la registrazione e il rilevamento delle minacce per risolvere eventuali lacune nella registrazione) per migliorare la capacità futura di rilevare, rispondere e gestire gli eventi imprevisti in GCP.
Conservare le prove raccolte durante il "rilevamento e l'analisi- analizzare un passaggio relativo a un evento imprevisto", ad esempio i log di sistema, i dump del traffico di rete e l'esecuzione di snapshot di sistema nell'archiviazione, ad esempio Google Cloud Storage o un account di archiviazione di Azure per la conservazione non modificabile.
Implementazione GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):