Güvenlik Denetimi: Olay yanıtı
Olay Yanıtı olay yanıtı yaşam döngüsündeki denetimleri kapsar: Olay yanıtı sürecini otomatikleştirmek için Azure hizmetlerini (Bulut ve Sentinel için Microsoft Defender gibi) ve/veya diğer bulut hizmetlerini kullanma dahil olmak üzere hazırlık, algılama ve analiz, kapsama ve olay sonrası etkinlikler.
IR-1: Hazırlık - olay yanıt planını ve işleme sürecini güncelleştirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10,8 |
Güvenlik ilkesi: Kuruluşunuzun bulut platformlarında güvenlik olaylarına yanıt verecek süreçler ve planlar geliştirmek için sektörün en iyi uygulamalarını izlediğinden emin olun. Paylaşılan sorumluluk modeline ve IaaS, PaaS ve SaaS hizmetlerindeki farklara dikkat edin. Bu, olay bildirimi ve önceliklendirme, kanıt toplama, araştırma, silme ve kurtarma gibi olay yanıtı ve işleme etkinliklerinde bulut sağlayıcınızla nasıl işbirliği yaptığınız üzerinde doğrudan bir etkiye sahip olacaktır.
Güncel olduklarından emin olmak için olay yanıtı planını ve işleme sürecini düzenli olarak test edin.
Azure kılavuzu: Kuruluşunuzun olay yanıt sürecini Azure platformundaki olayların işlenmesini içerecek şekilde güncelleştirin. Kullanılan Azure hizmetlerine ve uygulamanızın yapısına bağlı olarak, bulut ortamındaki olaya yanıt vermek için kullanılabildiklerinden emin olmak için olay yanıt planını ve playbook'u özelleştirin.
Azure uygulaması ve ek bağlam:
- Kurumsal ortamda güvenlik uygulama:
- Olay yanıtı başvuru kılavuzu
- NIST SP800-61 Bilgisayar Güvenliği Olay İşleme Kılavuzu
- Olay yanıtına genel bakış
AWS kılavuzu: Kuruluşunuzun olay yanıtı sürecini olayların işlenmesini içerecek şekilde güncelleştirin. Kuruluşunuzun olay yanıtı sürecini AWS platformundaki olayların işlenmesini içerecek şekilde güncelleştirerek birleşik bir çok bulutlu olay yanıt planının uygulandığından emin olun. Kullanılan AWS hizmetlerine ve uygulamanızın yapısına bağlı olarak, bulut ortamında olaya yanıt vermek için kullanılabildiklerinden emin olmak üzere olay yanıt planını ve playbook'u özelleştirmek için AWS Güvenlik Olayı Yanıt Kılavuzu'nu izleyin.
AWS uygulaması ve ek bağlamı:
GCP kılavuzu: Kuruluşunuzun olay yanıt sürecini olayların işlenmesini içerecek şekilde güncelleştirin. Kuruluşunuzun olay yanıtı sürecini Google Cloud platformundaki olayların işlenmesini içerecek şekilde güncelleştirerek birleşik bir çok bulutlu olay yanıt planının uygulandığından emin olun.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IR-2: Hazırlık - olay bildirimi ayarlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
Güvenlik ilkesi: Bulut hizmeti sağlayıcısının platformundan gelen güvenlik uyarılarının ve olay bildirimlerinin ve ortamlarınızın olay yanıtı kuruluşunuzdaki doğru kişi tarafından alınadığından emin olun.
Azure kılavuzu: Bulut için Microsoft Defender'da güvenlik olayı iletişim bilgilerini ayarlayın. Microsoft, Microsoft Güvenlik Yanıt Merkezi'nin (MSRC) verilerinize kanuna aykırı veya yetkisiz erişim sağlanmasını keşfetmesi durumunda sizinle iletişime geçmek için bu iletişim bilgilerini kullanır. Olay yanıt gereksinimlerinize göre farklı Azure hizmetlerinde olay uyarılarını ve bildirimlerini özelleştirme seçenekleriniz de vardır.
Azure uygulaması ve ek bağlam:
AWS kılavuzu: AWS Systems Manager Olay Yöneticisi'nde (AWS için olay yönetim merkezi) güvenlik olayı iletişim bilgilerini ayarlayın. Bu iletişim bilgileri farklı kanallar (örneğin, Email, SMS veya Ses) aracılığıyla aws ile sizin aranızda olay yönetimi iletişimi için kullanılır. Olay Yöneticisi'nin ilgili kişiyle nasıl ve ne zaman etkileşime geçtiğini açıklamak ve kişinin olaya yanıt vermemesi durumunda durumu ilerletmek için kişinin görevlendirme planını ve yükseltme planını tanımlayabilirsiniz.
AWS uygulaması ve ek bağlamı:
GCP kılavuzu: Güvenlik Komut Merkezi'ni veya Chronicle'i kullanarak belirli kişiler için güvenlik olayı bildirimlerini ayarlayın. Google Cloud hizmetlerini ve üçüncü taraf API'lerini kullanarak Güvenlik Komut Merkezi'ne yönelik güvenlik bulguları hakkında gerçek zamanlı e-posta ve sohbet bildirimi veya Chronicle'da bildirim gönderme eylemlerini tetikleyen playbook'lar sağlayın.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IR-3: Algılama ve analiz - yüksek kaliteli uyarıları temel alan olaylar oluşturma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10,8 |
Güvenlik ilkesi: Yüksek kaliteli uyarılar oluşturma ve uyarıların kalitesini ölçme sürecine sahip olduğunuzdan emin olun. Bu sayede geçmişteki olaylardan dersler öğrenebilir ve analistlere yönelik uyarıları önceliklendirirsiniz, böylece hatalı pozitif sonuçları zaman kaybetmez.
Yüksek kaliteli uyarılar önceki olaylardan alınan dersler, doğrulanmış topluluk kaynakları ve farklı sinyal kaynaklarını birleştirip bağlantı oluşturarak uyarı oluşturmaya ve temizlemeye yönelik araçlar kullanılarak geliştirilebilir.
Azure kılavuzu: Bulut için Microsoft Defender birçok Azure varlığında yüksek kaliteli uyarılar sağlar. Uyarıları Microsoft Sentinel'e akışla aktarabilmek için Bulut veri bağlayıcısı için Microsoft Defender kullanabilirsiniz. Microsoft Sentinel, araştırma için otomatik olarak olay oluşturmak üzere gelişmiş uyarı kuralları oluşturmanıza olanak tanır.
Azure kaynaklarına yönelik riskleri belirlemenize yardımcı olmak için dışarı aktarma özelliğini kullanarak Bulut için Microsoft Defender uyarılarınızı ve önerilerinizi dışarı aktarın. Uyarıları ve önerileri el ile veya sürekli bir biçimde dışarı aktarabilirsiniz.
Azure uygulaması ve ek bağlam:
AWS kılavuzu: GüvenlikHub veya GuardDuty gibi güvenlik araçlarını ve diğer üçüncü taraf araçlarını kullanarak Amazon CloudWatch veya Amazon EventBridge'e uyarı gönderin, böylece olaylar tanımlanan ölçütlere ve kural kümelerine göre Incident Manager'da otomatik olarak oluşturulabilir. Daha fazla olay işleme ve izleme için Olay Yöneticisi'nde el ile de olay oluşturabilirsiniz.
AWS hesaplarınızı izlemek için Bulut için Microsoft Defender kullanıyorsanız, AWS kaynaklarında Bulut için Microsoft Defender tarafından tanımlanan olayları izlemek ve uyarmak için Microsoft Sentinel'i de kullanabilirsiniz.
AWS uygulaması ve ek bağlamı:
- Olay Yöneticisi'nde olay oluşturma
- Cloud Apps için Defender, Amazon Web Services (AWS) ortamınızı korumaya nasıl yardımcı olur?
GCP kılavuzu: Güvenlik Komut Merkezi'ne veya Chronicle'a günlükler ve uyarılar göndermek için Google Cloud ve üçüncü taraf hizmetlerini tümleştirerek olayların tanımlanan ölçütlere göre otomatik olarak oluşturulmasını sağlayın. Ayrıca Güvenlik Komut Merkezi'nde olay bulgularını veya daha fazla olay işleme ve izleme için Chronicle'daki kuralları el ile oluşturabilir ve düzenleyebilirsiniz.
GCP projelerinizi izlemek için Bulut için Microsoft Defender kullanıyorsanız, GCP kaynaklarında Bulut için Microsoft Defender tarafından tanımlanan olayları izlemek ve uyarmak veya GCP günlüklerini doğrudan Microsoft Sentinel'e akışla aktarmak için Microsoft Sentinel'i de kullanabilirsiniz.
GCP uygulaması ve ek bağlam:
- Güvenlik Komut Merkezi'ni yapılandırma
- Kural Düzenleyicisi'ni kullanarak kuralları yönetme
- GCP projelerinizi Bulut için Microsoft Defender bağlama
- Google Cloud Platform günlüklerini Microsoft Sentinel'e akışla aktarma
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IR-4: Algılama ve analiz - bir olayı araştırma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| Yok | IR-4 | 12.10 |
Güvenlik ilkesi: Güvenlik işlemi ekibinin olası olayları araştırdıkça çeşitli veri kaynaklarını sorgulayıp kullanabilmesini ve neler olduğunu tam olarak görebilmesini sağlayın. Sonlandırma zinciri boyunca olası saldırganın etkinliklerinin izlenebilmesi için çeşitli günlükler toplanmalı, kör noktaların olması önlenmelidir. Ayrıca diğer analistler için ve gelecekte başvurmak üzere içgörülerin ve çıkarılan derslerin yakalandığından da emin olmalısınız.
Kuruluşunuzun güvenlik günlüklerini ve uyarı bilgilerini toplamak için mevcut bir çözümü yoksa bulutta yerel SIEM ve olay yönetimi çözümünü kullanın. Olay araştırmalarını kolaylaştırmak için farklı kaynaklardan alınan verileri temel alan olay verilerini ilişkilendirin.
Azure kılavuzu: Güvenlik operasyonları ekibinizin kapsam içi hizmetlerden ve sistemlerden toplanan çeşitli veri kaynaklarını sorgulayıp kullanabilmesini sağlayın. Buna ek olarak, kaynaklarda şunlar da bulunabilir:
- Kimlik ve erişim günlüğü verileri: Kimlik ve erişim olaylarını ilişkilendirmek için Azure AD günlükleri ve iş yükü (işletim sistemleri veya uygulama düzeyi gibi) erişim günlüklerini kullanın.
- Ağ verileri: Ağ akış günlüklerini ve diğer analiz bilgilerini yakalamak için ağ güvenlik gruplarının akış günlüklerini, Azure Ağ İzleyicisi ve Azure İzleyici'yi kullanın.
- Etkilenen sistemlerin anlık görüntülerinden olayla ilgili etkinlik verileri:
- Çalışan sistemin diskinin anlık görüntüsünü oluşturmak için Azure sanal makinesinin anlık görüntü özelliği.
- İşletim sisteminin çalışan sistemin belleğinin anlık görüntüsünü oluşturmak için yerel bellek dökümü özelliği.
- Çalışan sistemlerin anlık görüntülerini oluşturmak için desteklenen diğer Azure hizmetlerinin veya yazılımınızın kendi özelliğinin anlık görüntü özelliği.
Microsoft Sentinel, olayların tüm yaşam döngüsünü yönetmek için neredeyse tüm günlük kaynakları ve olay yönetimi portalı genelinde kapsamlı veri analizi sağlar. Araştırma sırasında elde edilen inceleme bilgileri izleme ve raporlama amacıyla bir olayla ilişkilendirilebilir.
Not: Olayla ilgili veriler araştırma için yakalandığında, verileri yetkisiz değişikliklere karşı korumak için yeterli güvenlik olduğundan emin olun; örneğin, günlükleri devre dışı bırakma veya günlükleri kaldırma gibi, saldırganlar tarafından uçuş içi veri ihlali etkinliği sırasında gerçekleştirilebilir.
Azure uygulaması ve ek bağlamı:
- Windows makinesi diskinin anlık görüntüsü
- Linux makinesi diskinin anlık görüntüsü
- Microsoft Azure Desteği tanılama bilgileri ve bellek dökümü toplama
- Azure Sentinel ile olayları araştırma
AWS kılavuzu: Araştırma için veri kaynakları, kapsam içi hizmetlerden ve çalışan sistemlerden toplanan merkezi günlük kaynaklarıdır, ancak şunları da içerebilir:
- Kimlik ve erişim günlüğü verileri: Kimlik ve erişim olaylarını ilişkilendirmek için IAM günlüklerini ve iş yükünü (işletim sistemleri veya uygulama düzeyi gibi) kullanın.
- Ağ verileri: Ağ akış günlüklerini ve diğer analiz bilgilerini yakalamak için VPC Akış Günlükleri, VPC Trafik Yansıtmaları ve Azure CloudTrail ve CloudWatch kullanın.
- Çalışan sistemlerin anlık görüntüleri:
- Çalışan sistemin diskinin anlık görüntüsünü oluşturmak için Amazon EC2'deki (EBS) anlık görüntü özelliği.
- İşletim sisteminin çalışan sistemin belleğinin anlık görüntüsünü oluşturmak için yerel bellek dökümü özelliği.
- Çalışan sistemlerin anlık görüntülerini oluşturmak için AWS hizmetlerinin anlık görüntü özelliği veya yazılımınızın kendi özelliği.
SIEM ile ilgili verilerinizi Microsoft Sentinel'de toplarsanız, olayların tüm yaşam döngüsünü yönetmek için hemen her günlük kaynağında kapsamlı veri analizi ve olay yönetimi portalı sağlar. Araştırma sırasında elde edilen inceleme bilgileri izleme ve raporlama amacıyla bir olayla ilişkilendirilebilir.
Not: Olayla ilgili veriler araştırma için yakalandığında, verileri yetkisiz değişikliklere karşı korumak için yeterli güvenlik olduğundan emin olun; örneğin, günlükleri devre dışı bırakma veya günlükleri kaldırma gibi, saldırganlar tarafından uçuş içi veri ihlali etkinliği sırasında gerçekleştirilebilir.
AWS uygulaması ve ek bağlam:
- Trafik Yansıtma
- AMI'ler ve EBS anlık görüntüleriyle EBS birim yedeklemeleri oluşturma
- Sabit Depolama'yı kullanma
GCP kılavuzu: Araştırma için veri kaynakları, kapsam içi hizmetlerden ve çalışan sistemlerden toplanan merkezi günlük kaynaklarıdır, ancak şunları da içerebilir:
- Kimlik ve erişim günlüğü verileri: Kimlik ve erişim olaylarını ilişkilendirmek için IAM günlüklerini ve iş yükünü (işletim sistemleri veya uygulama düzeyi gibi) kullanın.
- Ağ verileri: Ağ akış günlüklerini ve diğer analiz bilgilerini yakalamak için VPC Akış Günlükleri ve VPC hizmet denetimlerini kullanın.
- Çalışan sistemlerin anlık görüntüleri:
- ÇALıŞAN sistem diskinin anlık görüntüsünü oluşturmak için GCP VM'lerinde anlık görüntü özelliği.
- İşletim sisteminin çalışan sistemin belleğinin anlık görüntüsünü oluşturmak için yerel bellek dökümü özelliği.
- Çalışan sistemlerin anlık görüntülerini oluşturmak için GCP hizmetlerinin anlık görüntü özelliği veya yazılımınızın kendi özelliği.
SIEM ile ilgili verilerinizi Microsoft Sentinel'de toplarsanız, olayların tüm yaşam döngüsünü yönetmek için hemen her günlük kaynağında kapsamlı veri analizi ve olay yönetimi portalı sağlar. Araştırma sırasında elde edilen inceleme bilgileri izleme ve raporlama amacıyla bir olayla ilişkilendirilebilir.
Not: Olayla ilgili veriler araştırma için yakalandığında, verileri yetkisiz değişikliklere karşı korumak için yeterli güvenlik olduğundan emin olun; örneğin, günlükleri devre dışı bırakma veya günlükleri kaldırma gibi, saldırganlar tarafından uçuş içi veri ihlali etkinliği sırasında gerçekleştirilebilir.
GCP uygulaması ve ek bağlam:
- Güvenlik Komut Merkezi - Güvenlik Kaynakları
- Desteklenen veri kümeleri
- Disk anlık görüntülerini oluşturma ve yönetme
- Google Cloud Platform günlüklerini Microsoft Sentinel'e akışla aktarma
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IR-5: Algılama ve analiz - olayların önceliğini belirleme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
Güvenlik ilkesi: Kuruluşunuzun olay yanıt planında tanımlanan uyarı önem derecesine ve varlık duyarlılığına bağlı olarak öncelikle hangi olaylara odaklanmaları gerektiğini belirlemelerine yardımcı olmak için güvenlik operasyonları ekiplerine bağlam sağlayın.
Ayrıca, etiketleri kullanarak kaynakları işaretleyin ve bulut kaynaklarınızı, özellikle de hassas verileri işleyenleri tanımlamak ve kategorilere ayırmak için bir adlandırma sistemi oluşturun. Olayların oluştuğu kaynakların ve ortamın kritikliğine göre uyarıların düzeltilmesine öncelik vermek sizin sorumluluğunuzdadır.
Azure kılavuzu: Bulut için Microsoft Defender, öncelikle hangi uyarıların araştırılması gerektiğini önceliklendirmenize yardımcı olmak için her uyarıya bir önem derecesi atar. Önem derecesi, Bulut için Microsoft Defender bulma konusunda ne kadar güvenli olduğuna veya uyarıyı vermek için kullanılan analize ve uyarıya yol açan etkinliğin arkasında kötü amaçlı bir amaç olduğuna ilişkin güvenilirlik düzeyine bağlıdır.
Benzer şekilde, Microsoft Sentinel analiz kurallarına göre atanmış önem derecesine ve diğer ayrıntılara sahip uyarılar ve olaylar oluşturur. Analiz kuralı şablonlarını kullanın ve olayları önceliklendirmeyi desteklemek için kuruluşunuzun gereksinimlerine göre kuralları özelleştirin. Güvenlik operasyonunuzun ekip verimliliğini ve verimliliğini en üst düzeye çıkarmak ve olayları sınıflandırmak için etiketlemek de dahil olmak üzere tehdit yanıtlarını yönetmek ve yönetmek için Microsoft Sentinel'deki otomasyon kurallarını kullanın.
Azure uygulaması ve ek bağlamı:
- Bulut için Microsoft Defender'da güvenlik uyarıları
- Azure kaynaklarınızı düzenlemek için etiketleri kullanma
- Microsoft güvenlik uyarılarından olay oluşturma
AWS kılavuzu: Olay Yöneticisi'nde oluşturulan her olay için, kuruluşunuzun tanımladığı ölçütlere göre olayın önem derecesini ve etkilenen varlıkların kritiklik düzeyini gösteren bir etki düzeyi atayın.
AWS uygulaması ve ek bağlam:
*GCP kılavuzu: Güvenlik Komut Merkezi'nde oluşturulan her olay için, sistem tarafından atanan önem derecelerine ve kuruluşunuz tarafından tanımlanan diğer ölçütlere göre uyarının önceliğini belirleyin. Öncelikle hangi uyarıların araştırılması gerektiğini belirlemek için olayın önem derecesini ve etkilenen varlıkların kritiklik düzeyini ölçün.
Kronik'te olduğu gibi, olay yanıtı önceliklerinizi belirlemek için özel kurallar tanımlayabilirsiniz. GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IR-6: Kapsama, silme ve kurtarma - olay işlemeyi otomatikleştirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| Yok | IR-4, IR-5, IR-6 | 12.10 |
Güvenlik ilkesi: Yanıt süresini hızlandırmak ve analistlerin yükünü azaltmak için el ile gerçekleştirilen ve yinelenen görevleri otomatikleştirin. El ile gerçekleştirilen görevlerin yürütülmesi daha uzun sürer ve olay yanıt sürecini yavaşlatarak analistlerin işleyebileceği olay sayısını azaltır. El ile gerçekleştirilen görevler de analist yorgunluğunu artırır ve bu da gecikmelere neden olan insan hatası riskini artırır ve analistlerin karmaşık görevlere etkili bir şekilde odaklanma yeteneğini düşürür.
Azure kılavuzu: Bulut ve Microsoft Sentinel için Microsoft Defender iş akışı otomasyonu özelliklerini kullanarak eylemleri otomatik olarak tetikleyebilir veya gelen güvenlik uyarılarına yanıt vermek için playbook'lar çalıştırabilirsiniz. Playbook'lar bildirim gönderme, hesapları devre dışı bırakma ve sorunlu ağları yalıtma gibi eylemler gerçekleştirir.
Azure uygulaması ve ek bağlam:
- Güvenlik Merkezi’nde iş akışı otomasyonunu yapılandırma
- Bulut için Microsoft Defender'de otomatik tehdit yanıtlarını ayarlama
- Azure Sentinel’de otomatik tehdit yanıtlarını ayarlama
AWS kılavuzu: Olayınızı merkezi olarak yönetmek için Microsoft Sentinel kullanıyorsanız, gelen güvenlik uyarılarına yanıt vermek için otomatik eylemler oluşturabilir veya playbook'lar çalıştırabilirsiniz.
Alternatif olarak, kişileri bilgilendirme ve/veya hesapları devre dışı bırakma ve sorunlu ağları yalıtma gibi uyarıları yanıtlamak için bir runbook çalıştırma dahil olmak üzere olay yanıt planında tanımlanan eylemleri otomatik olarak tetikleme amacıyla AWS System Manager'daki otomasyon özelliklerini kullanın.
AWS uygulaması ve ek bağlamı:
GCP kılavuzu: Olayınızı merkezi olarak yönetmek için Microsoft Sentinel kullanıyorsanız, gelen güvenlik uyarılarına yanıt vermek için otomatik eylemler oluşturabilir veya playbook'ları çalıştırabilirsiniz.
Alternatif olarak, kişileri bilgilendirme ve/veya uyarıları yanıtlamak için bir playbook çalıştırma dahil olmak üzere olay yanıt planında tanımlanan eylemleri otomatik olarak tetikleme amacıyla Chronicle'daki Playbook otomasyonlarını kullanın.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IR-7: Olay sonrası etkinlik - öğrenilen dersleri yürütür ve kanıtları saklar
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
Güvenlik ilkesi: Olay yanıtı ve işlemede gelecekteki yeteneğinizi geliştirmek için kuruluşunuzda düzenli aralıklarla ve/veya önemli olaylardan sonra öğrenilen dersleri yürütebilirsiniz.
Olayın niteliğine bağlı olarak, olayla ilgili kanıtları daha fazla analiz veya yasal işlemler için olay işleme standardında tanımlanan süre boyunca tutun.
Azure kılavuzu: Olay yanıt planınızı, playbook'unuzu (Microsoft Sentinel playbook gibi) güncelleştirmek ve Azure'daki olayların algılanması, yanıtlanması ve işlenmesinde gelecekteki yeteneğinizi geliştirmek için ortamlarınızda bulguları yeniden oluşturmak (günlükteki boşlukları gidermek için günlüğe kaydetme ve tehdit algılama gibi) için öğrenilen dersler etkinliğinden elde edilen sonucu kullanın.
Sistem günlükleri, ağ trafiği dökümleri ve sabit saklama için Azure Depolama hesabı gibi bir depolamada çalışan sistem anlık görüntüleri gibi "Algılama ve analiz - bir olay adımını araştırma" sırasında toplanan kanıtları saklayın.
Azure uygulaması ve ek bağlam:
AWS kılavuzu: Standart olay analizi şablonunu veya kendi özel şablonunuzu kullanarak Olay Yöneticisi'nde kapalı bir olay için olay analizi oluşturun. Olay yanıt planınızı, playbook'unuzu (AWS Systems Manager runbook ve Microsoft Sentinel playbook gibi) güncelleştirmek ve aws'deki olayları algılama, yanıtlama ve işleme konusunda gelecekteki yeteneğinizi geliştirmek için ortamlarınızda bulguları yeniden (günlüğe kaydetme ve tehdit algılama gibi) güncelleştirmek için öğrenilen dersler etkinliğinden elde edilen sonucu kullanın.
Sabit saklama için sistem günlükleri, ağ trafiği dökümleri ve Amazon S3 demeti veya Azure Depolama hesabı gibi depolama alanında çalışan sistem anlık görüntüsü gibi "Algılama ve analiz - bir olay adımını araştırma" sırasında toplanan kanıtları saklayın.
AWS uygulaması ve ek bağlamı:
GCP kılavuzu: GcP'de olayların algılanması, yanıtlanması ve işlenmesinde gelecekteki yeteneğinizi geliştirmek için olay yanıtı planınızı, playbook'unuzu (Chronicle veya Microsoft Sentinel playbook gibi) güncelleştirmek ve bulguları ortamlarınıza yeniden oluşturmak (günlükteki boşlukları gidermek için günlüğe kaydetme ve tehdit algılama gibi) için öğrenilen ders etkinliğinden elde edilen sonucu kullanın.
Sabit saklama için sistem günlükleri, ağ trafiği dökümleri ve çalışan sistem anlık görüntüleri gibi "Algılama ve analiz - olay adımını araştırma" sırasında toplanan kanıtları Google Cloud Storage veya Azure Depolama hesabı gibi depolama alanında tutun.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):