Kontrola zabezpieczeń: reagowanie na zdarzenia

Reagowanie na zdarzenia obejmuje mechanizmy kontroli w cyklu życia reagowania na zdarzenia — przygotowywanie, wykrywanie i analizowanie, zawieranie i działania po zdarzeniu, w tym korzystanie z usług platformy Azure (takich jak Microsoft Defender for Cloud i Sentinel) i/lub innych usług w chmurze w celu zautomatyzowania procesu reagowania na zdarzenia.

IR-1: Przygotowanie — aktualizowanie planu reagowania na zdarzenia i proces obsługi

Zasada zabezpieczeń: Upewnij się, że organizacja przestrzega najlepszych rozwiązań branżowych w celu opracowania procesów i planów reagowania na zdarzenia zabezpieczeń na platformach w chmurze. Należy pamiętać o modelu wspólnej odpowiedzialności i wariancjach w usługach IaaS, PaaS i SaaS. Będzie to miało bezpośredni wpływ na współpracę z dostawcą usług w chmurze w zakresie reagowania na zdarzenia i obsługi działań, takich jak powiadamianie o zdarzeniach i klasyfikacja, zbieranie dowodów, badanie, eliminowanie i odzyskiwanie.

Regularnie testuj plan reagowania na zdarzenia i proces obsługi, aby upewnić się, że są aktualne.

Wskazówki dotyczące platformy Azure: Aktualizowanie procesu reagowania na zdarzenia organizacji w celu uwzględnienia obsługi zdarzeń na platformie Azure. Na podstawie używanych usług platformy Azure i charakteru aplikacji dostosuj plan reagowania na zdarzenia i podręcznik, aby upewnić się, że mogą one służyć do reagowania na zdarzenie w środowisku chmury.

Implementacja platformy Azure i dodatkowy kontekst:

• Zaimplementuj zabezpieczenia w środowisku przedsiębiorstwa:
• Przewodnik po dokumentacji dotyczącej reagowania na zdarzenia
• NIST SP800-61 Computer Security Incident Handling Guide
• Omówienie reagowania na zdarzenia

Wskazówki dotyczące platformy AWS: aktualizowanie procesu reagowania na zdarzenia organizacji w celu uwzględnienia obsługi zdarzeń. Upewnij się, że istnieje ujednolicony plan reagowania na zdarzenia w wielu chmurach, aktualizując proces reagowania na zdarzenia organizacji w celu uwzględnienia obsługi zdarzeń na platformie AWS. Na podstawie używanych usług AWS i charakteru aplikacji postępuj zgodnie z przewodnikiem reagowania na zdarzenia zabezpieczeń platformy AWS, aby dostosować plan reagowania na zdarzenia i podręcznik, aby upewnić się, że mogą one służyć do reagowania na zdarzenie w środowisku chmury.

Implementacja platformy AWS i dodatkowy kontekst:

• Przewodnik reagowania na zdarzenia zabezpieczeń platformy AWS

Wskazówki dotyczące platformy GCP: Aktualizowanie procesu reagowania na zdarzenia organizacji w celu uwzględnienia obsługi zdarzeń. Upewnij się, że istnieje ujednolicony plan reagowania na zdarzenia w wielu chmurach, aktualizując proces reagowania na zdarzenia organizacji w celu uwzględnienia obsługi zdarzeń na platformie Google Cloud.

Implementacja GCP i dodatkowy kontekst:

• Proces reagowania na zdarzenia dotyczące danych

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Operacje zabezpieczeń
• Przygotowywanie zdarzenia
• Analiza zagrożeń

IR-2: Przygotowanie — powiadomienie o zdarzeniu konfiguracji

Zasada zabezpieczeń: Upewnij się, że alerty zabezpieczeń i powiadomienia o zdarzeniach z platformy dostawcy usług w chmurze oraz ze swoich środowisk mogą być odbierane przez właściwą osobę kontaktową w organizacji reagowania na zdarzenia.

Wskazówki dotyczące platformy Azure: Konfigurowanie informacji kontaktowych dotyczących zdarzeń zabezpieczeń w usłudze Microsoft Defender for Cloud. Te informacje kontaktowe są używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że twoje dane zostały użyte przez bezprawną lub nieautoryzowaną stronę. Dostępne są również opcje dostosowywania alertów zdarzeń i powiadomień w różnych usługach platformy Azure na podstawie potrzeb związanych z reagowaniem na zdarzenia.

Implementacja platformy Azure i dodatkowy kontekst:

• Jak ustawić kontakt zabezpieczeń usługi Microsoft Defender for Cloud

Wskazówki dotyczące platformy AWS: Konfigurowanie informacji kontaktowych o zdarzeniach zabezpieczeń w programie AWS Systems Manager Incident Manager (centrum zarządzania incydentami dla platformy AWS). Te informacje kontaktowe są używane do komunikacji zarządzania incydentami między tobą a platformą AWS za pośrednictwem różnych kanałów (np. wiadomości e-mail, wiadomości SMS lub rozmowy głosowej). Możesz zdefiniować plan zaangażowania kontaktu oraz plan eskalacji, aby opisać, jak i kiedy Menedżer Incydentów nawiązuje kontakt oraz eskaluje działania, jeśli kontakt lub kontakty nie odpowiadają na incydent.

Implementacja platformy AWS i dodatkowy kontekst:

• Kontakt z menedżerem zdarzeń

Wskazówki dotyczące platformy GCP: konfigurowanie powiadomień o zdarzeniach zabezpieczeń dla określonych kontaktów przy użyciu centrum poleceń zabezpieczeń lub kroniki. Użyj usług Google Cloud i interfejsów API innych firm, aby dostarczać powiadomienia e-mail i czat w czasie rzeczywistym, aby otrzymywać alerty o ustaleniach zabezpieczeń w usłudze Security Command Center lub playbookach do wyzwalania akcji do wysyłania powiadomień w Chronicle.

Implementacja GCP i dodatkowy kontekst:

• Włączanie powiadomień e-mail i czatów w czasie rzeczywistym
• Używanie akcji w podręcznikach:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Operacje zabezpieczeń
• Przygotowywanie zdarzenia

IR-3: Wykrywanie i analiza — tworzenie zdarzeń na podstawie alertów wysokiej jakości

Zasada zabezpieczeń: Upewnij się, że masz proces tworzenia alertów wysokiej jakości i mierzenia jakości alertów. Dzięki temu możesz wyciągać wnioski z poprzednich zdarzeń i ustalać priorytety alertów dla analityków, dzięki czemu nie marnują czasu na fałszywie dodatnie wyniki.

Alerty wysokiej jakości można tworzyć na podstawie doświadczeń z poprzednich zdarzeń, zweryfikowanych źródeł społeczności i narzędzi przeznaczonych do generowania i czyszczenia alertów przez łączenie i korelowanie różnych źródeł sygnałów.

Wskazówki dotyczące platformy Azure: Usługa Microsoft Defender dla Chmury udostępnia alerty wysokiej jakości w wielu zasobach platformy Azure. Możesz użyć łącznika danych usługi Microsoft Defender for Cloud do przesyłania strumieniowego alertów do usługi Microsoft Sentinel. Usługa Microsoft Sentinel umożliwia tworzenie zaawansowanych reguł alertów w celu automatycznego generowania zdarzeń na potrzeby badania.

Wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji eksportu, aby ułatwić identyfikowanie zagrożeń dla zasobów platformy Azure. Eksportuj alerty i zalecenia ręcznie lub w ciągły sposób.

Implementacja platformy Azure i dodatkowy kontekst:

• Jak skonfigurować eksport
• Jak przesyłać strumieniowo alerty do usługi Azure Sentinel

Wskazówki dotyczące platformy AWS: Użyj narzędzi zabezpieczeń, takich jak SecurityHub lub GuardDuty i innych narzędzi innych firm, aby wysyłać alerty do aplikacji Amazon CloudWatch lub Amazon EventBridge, aby zdarzenia można było automatycznie tworzyć w programie Incident Manager na podstawie zdefiniowanych kryteriów i zestawów reguł. Możesz również ręcznie utworzyć zdarzenia w Menedżerze zdarzeń w celu dalszej obsługi i śledzenia zdarzeń.

Jeśli używasz usługi Microsoft Defender for Cloud do monitorowania kont platformy AWS, możesz również użyć usługi Microsoft Sentinel do monitorowania i zgłaszania alertów o zdarzeniach zidentyfikowanych przez usługę Microsoft Defender for Cloud w zasobach platformy AWS.

Implementacja platformy AWS i dodatkowy kontekst:

• Tworzenie zdarzenia w programie Incident Manager
• Jak usługa Defender for Cloud Apps pomaga chronić środowisko usług Amazon Web Services (AWS)

Wskazówki dotyczące platformy GCP: Integrowanie usług Google Cloud i innych firm w celu wysyłania dzienników i alertów do Centrum poleceń zabezpieczeń lub Kroniki, dzięki czemu zdarzenia mogą być tworzone automatycznie na podstawie zdefiniowanych kryteriów. Możesz również ręcznie tworzyć i edytować wyniki zdarzeń w usłudze Security Command Center lub reguły w kronikach w celu dalszej obsługi i śledzenia zdarzeń.

Jeśli używasz usługi Microsoft Defender for Cloud do monitorowania projektów GCP, możesz również użyć usługi Microsoft Sentinel do monitorowania i powiadamiania o zdarzeniach zidentyfikowanych przez usługę Microsoft Defender for Cloud w zasobach GCP lub przesyłać strumieniowo dzienniki GCP bezpośrednio do usługi Microsoft Sentinel.

Implementacja GCP i dodatkowy kontekst:

• Konfigurowanie centrum poleceń zabezpieczeń
• Zarządzanie regułami przy użyciu Edytora reguł
• Łączenie projektów GCP z usługą Microsoft Defender for Cloud
• Strumieniowanie dzienników z Google Cloud Platform do Microsoft Sentinel

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Operacje zabezpieczeń
• Przygotowywanie zdarzenia
• Analiza zagrożeń

IR-4: Wykrywanie i analiza — badanie zdarzenia

Zasada zabezpieczeń: Upewnij się, że zespół ds. operacji zabezpieczeń może wykonywać zapytania dotyczące różnych źródeł danych i korzystać z nich podczas badania potencjalnych zdarzeń, aby utworzyć pełny wgląd w to, co się stało. Należy zbierać różne dzienniki, aby śledzić działania potencjalnej osoby atakującej w ramach całego łańcucha zagrożeń, aby uniknąć efektu martwego pola. Należy również upewnić się, że szczegółowe informacje i wnioski są rejestrowane dla innych analityków i na potrzeby przyszłych badań.

Jeśli twoja organizacja nie ma istniejącego rozwiązania do agregowania dzienników zabezpieczeń i alertów, użyj natywnego rozwiązania do zarządzania zdarzeniami i rozwiązaniami SIEM w chmurze. Skoreluj dane incydentów na podstawie danych pochodzących z różnych źródeł, aby zawęźć badania incydentów.

Wskazówki dotyczące platformy Azure: Upewnij się, że zespół ds. operacji zabezpieczeń może wykonywać zapytania i korzystać z różnych źródeł danych zebranych z odpowiednich usług i systemów. Ponadto źródła mogą również obejmować:

• Dane dziennika tożsamości i dostępu: użyj dzienników i obciążeń usługi Azure AD (takich jak systemy operacyjne lub poziom aplikacji) dzienników dostępu do korelowania zdarzeń tożsamości i dostępu.
• Dane sieciowe: użyj dzienników przepływów sieciowych grup zabezpieczeń, usługi Azure Network Watcher i usługi Azure Monitor, aby przechwycić dzienniki przepływu sieci i inne informacje analityczne.
• Dane aktywności związane z zdarzeniami z migawek systemów, których dotyczy ten wpływ, które można uzyskać za pośrednictwem:
  • Funkcja tworzenia migawek maszyn wirtualnych na platformie Azure umożliwia utworzenie migawki dysku działającego systemu.
  • Natywna możliwość zrzutu pamięci systemu operacyjnego w celu utworzenia migawki pamięci uruchomionego systemu.
  • Funkcja migawki innych obsługiwanych usług platformy Azure lub własnych możliwości oprogramowania w celu utworzenia migawek uruchomionych systemów.

Usługa Microsoft Sentinel zapewnia obszerną analizę danych w praktycznie dowolnym źródle dziennika i portalu zarządzania przypadkami w celu zarządzania pełnym cyklem życia zdarzeń. Informacje wywiadowcze podczas badania mogą być skojarzone z incydentem na potrzeby śledzenia i raportowania.

Uwaga: W przypadku przechwycenia danych związanych z incydentami w celu zbadania upewnij się, że istnieją odpowiednie zabezpieczenia, aby chronić dane przed nieautoryzowanymi zmianami, takimi jak wyłączenie rejestrowania lub usuwania dzienników, które mogą być wykonywane przez osoby atakujące podczas działania naruszenia danych w locie.

Implementacja platformy Azure i dodatkowy kontekst:

• Zrób migawkę dysku maszyny z systemem Windows
• Migawka dysku maszyny z systemem Linux
• Microsoft Azure Support diagnostic information and memory dump collection (Obsługa informacji diagnostycznych i zbierania zrzutów pamięci na platformie Microsoft Azure)
• Badanie zdarzeń za pomocą usługi Azure Sentinel

Wskazówki dotyczące AWS: Źródła danych do badania to scentralizowane źródła rejestrowania, które zbierają dane z usług objętych zakresem i działających systemów, ale mogą również obejmować:

• Dane dziennika tożsamości i dostępu: użyj dzienników i obciążeń zarządzania dostępem i tożsamościami (na przykład systemów operacyjnych lub na poziomie aplikacji) w celu korelowania zdarzeń tożsamości i dostępu.
• Dane sieciowe: użyj dzienników przepływu VPC, dublowań ruchu VPC oraz usługi Azure CloudTrail i CloudWatch, aby przechwycić dzienniki przepływu sieci i inne informacje analityczne.
• Migawki uruchomionych systemów, które można uzyskać za pomocą:
  • Możliwość migawek w usłudze Amazon EC2(EBS) w celu utworzenia migawki dysku uruchomionego systemu.
  • Natywna możliwość zrzutu pamięci systemu operacyjnego w celu utworzenia migawki pamięci uruchomionego systemu.
  • Funkcja migawki usług AWS lub własnych możliwości oprogramowania w celu utworzenia migawek uruchomionych systemów.

W przypadku agregowania danych powiązanych z rozwiązaniem SIEM do usługi Microsoft Sentinel zapewnia ona obszerną analizę danych w praktycznie dowolnym źródle dziennika i portalu zarządzania przypadkami w celu zarządzania pełnym cyklem życia zdarzeń. Informacje wywiadowcze podczas badania mogą być skojarzone z incydentem na potrzeby śledzenia i raportowania.

Uwaga: W przypadku przechwycenia danych związanych z incydentami w celu zbadania upewnij się, że istnieją odpowiednie zabezpieczenia, aby chronić dane przed nieautoryzowanymi zmianami, takimi jak wyłączenie rejestrowania lub usuwania dzienników, które mogą być wykonywane przez osoby atakujące podczas działania naruszenia danych w locie.

Implementacja platformy AWS i dodatkowy kontekst:

• Dublowanie ruchu
• Tworzenie kopii zapasowych woluminów EBS z wykorzystaniem AMI i migawek EBS
• Użyj pamięci niezmiennej

Wytyczne GCP: Źródła danych do badania to scentralizowane źródła rejestrowania, które zbierają dane z usług objętych zakresem i działających systemów, ale mogą również obejmować:

• Dane dziennika tożsamości i dostępu: użyj dzienników i obciążeń zarządzania dostępem i tożsamościami (na przykład systemów operacyjnych lub na poziomie aplikacji) w celu korelowania zdarzeń tożsamości i dostępu.
• Dane sieciowe: użyj dzienników przepływu VPC i kontrolek usługi VPC, aby przechwycić dzienniki przepływu sieci i inne informacje analityczne.
• Migawki uruchomionych systemów, które można uzyskać za pomocą:
  1. Możliwość migawek na maszynach wirtualnych GCP w celu utworzenia migawki dysku uruchomionego systemu.
  2. Natywna możliwość zrzutu pamięci systemu operacyjnego w celu utworzenia migawki pamięci uruchomionego systemu.
  3. Funkcja migawki usług GCP lub własnych możliwości oprogramowania w celu utworzenia migawek działających systemów.

W przypadku agregowania danych powiązanych z rozwiązaniem SIEM do usługi Microsoft Sentinel zapewnia ona obszerną analizę danych w praktycznie dowolnym źródle dziennika i portalu zarządzania przypadkami w celu zarządzania pełnym cyklem życia zdarzeń. Informacje wywiadowcze podczas badania mogą być skojarzone z incydentem na potrzeby śledzenia i raportowania.

Uwaga: W przypadku przechwycenia danych związanych z incydentami w celu zbadania upewnij się, że istnieją odpowiednie zabezpieczenia, aby chronić dane przed nieautoryzowanymi zmianami, takimi jak wyłączenie rejestrowania lub usuwania dzienników, które mogą być wykonywane przez osoby atakujące podczas działania naruszenia danych w locie.

Implementacja GCP i dodatkowy kontekst:

• Security Command Center — źródła zabezpieczeń
• Obsługiwane zestawy danych
• Tworzenie migawek dysków i zarządzanie nimi
• Strumieniowanie dzienników z Google Cloud Platform do Microsoft Sentinel

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Operacje zabezpieczeń
• Przygotowywanie zdarzenia
• Analiza zagrożeń

IR-5: Wykrywanie i analiza — określanie priorytetów zdarzeń

Zasada zabezpieczeń: podaj kontekst zespołom ds. operacji zabezpieczeń, aby ułatwić im określenie, na których zdarzeniach należy najpierw skoncentrować, na podstawie ważności alertu i poufności zasobów zdefiniowanej w planie reagowania na zdarzenia w organizacji.

Ponadto oznaczanie zasobów przy użyciu tagów i tworzenie systemu nazewnictwa w celu identyfikowania i kategoryzowania zasobów w chmurze, zwłaszcza tych przetwarzających poufne dane. Twoim zadaniem jest ustalenie priorytetów korygowania alertów w oparciu o krytyczne znaczenie zasobów i środowiska, w którym wystąpiło zdarzenie.

Wskazówki dotyczące platformy Azure: usługa Microsoft Defender for Cloud przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Poziom zagrożenia opiera się na tym, jak pewny jest Microsoft Defender dla Chmury w odniesieniu do wykrycia lub analizy, która posłużyła do wystawienia alertu, a także na poziomie pewności co do złośliwych intencji stojących za działaniem, które doprowadziło do alertu.

Podobnie usługa Microsoft Sentinel tworzy alerty i zdarzenia z przypisaną ważnością i innymi szczegółami na podstawie reguł analizy. Użyj szablonów reguł analitycznych i dostosuj reguły zgodnie z potrzebami organizacji, aby obsługiwać priorytetyzację zdarzeń. Reguły automatyzacji w usłudze Microsoft Sentinel umożliwiają zarządzanie i organizowanie reagowania na zagrożenia w celu zmaksymalizowania wydajności i skuteczności operacji zabezpieczeń, w tym tagowania zdarzeń w celu ich klasyfikowania.

Implementacja platformy Azure i dodatkowy kontekst:

• Alerty zabezpieczeń w usłudze Microsoft Defender for Cloud
• Organizowanie zasobów platformy Azure przy użyciu tagów
• Tworzenie zdarzeń na podstawie alertów zabezpieczeń firmy Microsoft

Wskazówki dotyczące platformy AWS: dla każdego zdarzenia utworzonego w Menedżerze zdarzeń przypisz poziom wpływu na podstawie zdefiniowanych kryteriów organizacji, takich jak miara ważności zdarzenia i poziomu krytycznego zasobów, na które miało to wpływ.

Implementacja platformy AWS i dodatkowy kontekst:

• Definiowanie najlepszych rozwiązań dotyczących konwencji nazewnictwa

* Wskazówki dotyczące platformy GCP: dla każdego zdarzenia utworzonego w usłudze Security Command Center określ priorytet alertu na podstawie ocen ważności przypisanych przez system i innych kryteriów zdefiniowanych przez organizację. Ocena istotności incydentu oraz poziomu krytyczności zasobów, których dotyczy incydent, pozwala określić, które alerty powinny być badane jako pierwsze.

Podobnie w Chronical, można definiować własne zasady w celu określenia priorytetów reagowania na incydenty. Implementacja GCP i dodatkowy kontekst:

• Klasyfikacje surowości ustaleń
• Zarządzanie regułami przy użyciu Edytora reguł

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Operacje zabezpieczeń
• Przygotowywanie zdarzenia
• Analiza zagrożeń

IR-6: Ograniczanie, eliminowanie i odzyskiwanie — automatyzowanie obsługi zdarzeń

Zasada zabezpieczeń: Automatyzowanie ręcznych, powtarzających się zadań w celu przyspieszenia czasu odpowiedzi i zmniejszenia obciążenia analityków. Wykonywanie ręcznych zadań trwa dłużej, spowalniając każde zdarzenie i zmniejszając liczbę zdarzeń, które może obsłużyć analityk. Zadania ręczne zwiększają również zmęczenie analityków, co zwiększa ryzyko błędu ludzkiego, który powoduje opóźnienia i obniża zdolność analityków do efektywnego skupienia się na złożonych zadaniach.

Wskazówki dotyczące platformy Azure: korzystanie z funkcji automatyzacji przepływu pracy w usłudze Microsoft Defender for Cloud i usłudze Microsoft Sentinel w celu automatycznego wyzwalania akcji lub uruchamiania podręczników w celu reagowania na przychodzące alerty zabezpieczeń. Podręczniki podejmują akcje, takie jak wysyłanie powiadomień, wyłączanie kont i izolowanie problematycznych sieci.

Implementacja platformy Azure i dodatkowy kontekst:

• Konfigurowanie automatyzacji przepływu pracy w usłudze Security Center
• Konfigurowanie automatycznych odpowiedzi na zagrożenia w usłudze Microsoft Defender for Cloud
• Konfigurowanie automatycznych odpowiedzi na zagrożenia w usłudze Azure Sentinel

Wskazówki dotyczące platformy AWS: jeśli używasz usługi Microsoft Sentinel do centralnego zarządzania zdarzeniem, możesz również utworzyć zautomatyzowane akcje lub uruchomić podręczniki w celu reagowania na przychodzące alerty zabezpieczeń.

Alternatywnie możesz użyć funkcji automatyzacji w programie AWS System Manager, aby automatycznie wyzwalać akcje zdefiniowane w planie reagowania na zdarzenia, w tym powiadamianie kontaktów i/lub uruchamianie elementu Runbook w celu reagowania na alerty, takie jak wyłączanie kont i izolowanie problematycznych sieci.

Implementacja platformy AWS i dodatkowy kontekst:

• Menedżer systemów AWS — elementy Runbook i automatyzacja

Wskazówki dotyczące platformy GCP: jeśli używasz usługi Microsoft Sentinel do centralnego zarządzania zdarzeniem, możesz również utworzyć zautomatyzowane akcje lub uruchomić podręczniki w celu reagowania na przychodzące alerty zabezpieczeń.

Alternatywnie możesz użyć automatyzacji podręcznika w kronikach, aby automatycznie wyzwalać akcje zdefiniowane w planie reagowania na zdarzenia, w tym powiadamianie kontaktów i/lub uruchamianie podręcznika w celu reagowania na alerty.

Implementacja GCP i dodatkowy kontekst:

• Kronika SOAR Playbook

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Operacje zabezpieczeń
• Przygotowywanie zdarzenia
• Analiza zagrożeń

IR-7: Aktywność po incydencie — wyciąganie wniosków i zachowywanie dowodów

Zasada zabezpieczeń: Okresowo i/lub po wystąpieniu poważnych incydentów przeprowadzaj wdrażanie wniosków w swojej organizacji, aby poprawić przyszłe możliwości reagowania na incydenty i ich obsługi.

Na podstawie charakteru zdarzenia zachowaj dowody związane z incydentem przez okres zdefiniowany w standardzie obsługi zdarzeń w celu dalszej analizy lub działań prawnych.

Wskazówki dotyczące platformy Azure: skorzystaj z wyników uzyskanych działań, aby zaktualizować plan reagowania na zdarzenia, podręcznik (taki jak podręcznik usługi Microsoft Sentinel) i ponownie uwzględnić wyniki w środowiskach (takie jak rejestrowanie i wykrywanie zagrożeń, aby rozwiązać wszelkie luki w rejestrowaniu), aby poprawić przyszłe możliwości wykrywania, reagowania i obsługi zdarzeń na platformie Azure.

Zachowaj zebrane dowody podczas "Wykrywanie i analiza — etapu badania incydentu", takie jak dzienniki systemowe, zrzuty ruchu sieciowego i uruchomione migawki systemowe, w magazynie, takim jak konto Azure Storage, dla niezmiennego przechowywania.

Implementacja platformy Azure i dodatkowy kontekst:

• Proces reagowania na zdarzenia — czyszczenie po zdarzeniu

Wskazówki dotyczące platformy AWS: tworzenie analizy zdarzeń dla zamkniętego zdarzenia w programie Incident Manager przy użyciu standardowego szablonu analizy zdarzeń lub własnego szablonu niestandardowego. Skorzystaj z rezultatów działań z analizy doświadczeń, aby zaktualizować plan reagowania na incydenty, scenariusz (taki jak runbook Menedżera Systemów AWS i scenariusz usługi Microsoft Sentinel) oraz ponownie zintegrować ustalenia z Twoimi środowiskami (takimi jak rejestrowanie i wykrywanie zagrożeń w celu zlikwidowania wszelkich luk w rejestrowaniu), aby poprawić przyszłe możliwości wykrywania, reagowania i obsługi incydentów na platformie AWS.

Zachowaj zebrane dowody podczas kroku "Wykrywanie i analiza - badanie incydentu", takie jak dzienniki systemowe, zrzuty ruchu sieciowego oraz migawki aktualnego stanu systemu w magazynach, takich jak kubełek Amazon S3 lub konto Azure Storage, aby zapewnić ich niezmienność.

Implementacja platformy AWS i dodatkowy kontekst:

• Analiza po zdarzeniu

Wskazówki dotyczące platformy GCP: Skorzystaj z wyników uzyskanych działań w celu zaktualizowania planu reagowania na zdarzenia, podręcznika (takiego jak podręcznik Chronicle lub Microsoft Sentinel) i ponownego wdrożenia wyników w środowiskach (takich jak rejestrowanie i wykrywanie zagrożeń, aby rozwiązać wszelkie luki w rejestrowaniu), aby poprawić przyszłe możliwości wykrywania, reagowania i obsługi zdarzeń w GCP.

Zachowaj zebrane dowody podczas "Wykrywania i analizy — badanie kroku zdarzenia", takie jak dzienniki systemu, zrzuty ruchu sieciowego i uruchamianie migawek systemu w magazynie, takich jak usługa Google Cloud Storage lub konto usługi Azure Storage w celu przechowywania niezmiennego.

Implementacja GCP i dodatkowy kontekst:

• Proces reagowania na zdarzenia dotyczące danych

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Operacje zabezpieczeń
• Przygotowywanie zdarzenia
• Analiza zagrożeń