הנחיות למעקב, לרישום ביומן ולהתראות

ההנחיות הבאות לגבי פלטפורמת אבטחה מינימלית תואמות לעמודה של מעקב, רישום ביומן והתראות.

הנחיות לרמה בסיסית

קודם צריך להטמיע את ההנחיות הבאות לגבי מעקב, רישום ביומן והתראות.

פריט	הרשמה לעדכוני אבטחה דחופים
תיאור	כדאי להירשם לקבלת התראות על עדכוני אבטחה דחופים ל Google Cloud מוצרים כדי לקבל עדכונים על נקודות חולשה ועל אמצעים לצמצום הסיכון.
מידע קשור	עדכוני אבטחה דחופים
מזהה פריט	MVSP-CO-1.54
מיפוי	אמצעי בקרה קשורים בתקן NIST-800-53: SI-5 אמצעי בקרה קשורים בפרופיל CRI: PR.IP-1.4

פריט	הגדרת קבוצות של אנשי קשר חיוניים
תיאור	כדי לוודא שכתובת אימייל כללית או רשימת תפוצה שנמצאות במעקב יקבלו התראות חשובות, צריך להגדיר את אנשי הקשר החיוניים. ‫Google שולחת התראות אבטחה קריטיות (למשל, פריצה פוטנציאלית לחשבון) לכתובות האימייל שרשומות כאנשי קשר חיוניים. אם כתובת האימייל של אדם מסוים משמשת למטרה הזו, ההתראה לא תתקבל אם האדם הזה לא זמין או עזב את החברה. שימוש בכתובת אימייל קבוצתית שנבדקת באופן קבוע עוזר להבטיח שההתראות האלה, שחשוב להגיב עליהן במהירות, יגיעו לצוות פעיל שיוכל להגיב במהירות.
מידע קשור	סקירה כללית על Essential Contacts
מזהה פריט	MSVP-CO-1-55
מיפוי	אמצעי בקרה קשורים בתקן NIST-800-53: IR-4 אמצעי בקרה קשורים בפרופיל CRI: PR.IP-1.4 אמצעי בקרה ב-Compliance Manager: הגדרת אנשי קשר חיוניים

פריט	מעקב אחרי אנומליות בחיוב
תיאור	אתם יכולים להשתמש בתכונה 'אנומליות בחיוב' בחיוב ב-Cloud כדי לעקוב אחרי עלייה חדה או חריגה בהוצאות הצפויות. עלייה פתאומית ולא צפויה בחשבון הענן היא אינדיקטור עיקרי לפריצה אבטחתית. לפעמים, עלייה חדה ולא צפויה בחיובים נגרמת על ידי תוקפים שקיבלו גישה ומשתמשים במשאבים לפעילויות לא מורשות. הפעלת זיהוי אנומליות בחיוב מספקת מערכת אזהרה מוקדמת חיונית, כך שתוכלו לסמן אוטומטית את הפעילות החשודה הזו.
מידע קשור	הצגה וניהול של אנומליות בעלויות הגדרה של התראות פרוגרמטיות
מזהה פריט	MSVP-CO-1-56
מיפוי	אמצעי בקרה קשורים בתקן NIST-800-53: AU-6 אמצעי בקרה קשורים בפרופיל CRI: DE.AE-1.1

הנחיות לרמה בינונית

אחרי שמטמיעים את ההנחיות הבסיסיות, מטמיעים את ההנחיות הבאות בנושא מעקב, רישום והתראות.

פריט	הפעלת ניהול כללי חומת אש
תיאור	כברירת מחדל, כללי חומת האש לא כותבים יומנים באופן אוטומטי.רישום ביומן של כללי חומת האש מאפשר לכם לבצע ביקורת, לאמת ולנתח את ההשפעות של כללי חומת האש. לדוגמה, אפשר לקבוע אם כלל חומת אש שנועד לדחות תנועה פועל כמצופה. רישום ביומן שימושי גם אם רוצים לדעת כמה חיבורים מושפעים מכלל חומת אש נתון. מפעילים את הרישום ביומן לכל כלל בחומת האש. אפשר להגדיר רישום ביומן באמצעות צינור עיבוד נתונים שמשמש ליצירת חומת אש.
מידע קשור	שימוש בניהול כללי חומת אש
מזהה פריט	MSVP-CO-1-58
מיפוי	אמצעי בקרה קשורים בתקן NIST-800-53: AU-2 AU-3 AU-8 AU-9 אמצעי בקרה קשורים בפרופיל CRI: DM.ED-7.1 DM.ED-7.2 DM.ED-7.3 DM.ED-7.4 PR.IP-1.4 אמצעי בקרה ב-Compliance Manager: הפעלת רישום ביומן של כללי חומת האש

פריט	שיתוף יומני ביקורת מ-Cloud Identity
תיאור	אם משתמשים ב-Cloud Identity, משתפים את יומני הביקורת מ-Cloud Identity אל Google Cloud. בדרך כלל, יומני ביקורת של פעילות אדמין מ-Google Workspace או מ-Cloud Identity מנוהלים ומוצגים במסוף Google Admin, בנפרד מהיומנים בסביבת Google Cloud שלכם. היומנים האלה מכילים מידע שרלוונטי לסביבה שלכם, כמו אירועים של התחברות משתמשים. Google Cloud מומלץ לשתף את יומני הביקורת של Cloud Identity עם סביבת Google Cloud העבודה שלכם כדי לנהל את היומנים מכל המקורות באופן מרכזי.
מידע קשור	יומני ביקורת ל-Google Workspace שיתוף נתונים עם שירותים של Google Cloud
מזהה פריט	MSVP-CO-1-59
מיפוי	אמצעי בקרה קשורים בתקן NIST-800-53: AC-2 AC-3 AC-8 AC-9 אמצעי בקרה קשורים בפרופיל CRI: DM.ED-7.1 DM.ED-7.2 DM.ED-7.3 DM.ED-7.4 אמצעי בקרה ב-Compliance Manager: ייבוא יומני ביקורת של Google Workspace

הנחיות לרמה מתקדמת

אחרי שמטמיעים את ההנחיות הביניים, מטמיעים את ההנחיות הבאות בנושא מעקב, רישום והתראות.

פריט	הפעלה של יומני Access Transparency
תיאור	ביומנים רגילים אפשר לראות מה המשתמשים בארגון שלכם עושים, אבל ביומנים של Access Transparency אפשר לראות מה צוות התמיכה של Google עושה כשהוא ניגש לחשבון. הגישה הזו מתבצעת בדרך כלל רק בתגובה לבקשת תמיכה. יומני Access Transparency מספקים שביל ביקורת מלא וניתן לאימות של כל הגישות, וזה חיוני כדי לעמוד בדרישות מחמירות של תאימות וניהול נתונים. אפשר להפעיל את Access Transparency ברמת הארגון.
מידע קשור	הפעלת Access Transparency
מזהה פריט	MSVP-CO-1-57
מיפוי	אמצעי בקרה קשורים בתקן NIST-800-53: AU-2 AU-3 AU-8 AU-9 אמצעי בקרה קשורים בפרופיל CRI: DM.ED-7.1 DM.ED-7.2 DM.ED-7.3 DM.ED-7.4 PR.IP-1.4 אמצעי בקרה ב-Compliance Manager: הפעלת Access Transparency

פריט	ייצוא יומנים ל-sink ביומן לאחסון לטווח ארוך
תיאור	יוצרים sink ביומן כדי לייצא יומנים לפתרון לניטור לצורכי אבטחה, ומגדירים את תקופת השמירה בהתאם לדרישות. תקופות השמירה שמוגדרות כברירת מחדל בדרך כלל לא ארוכות מספיק כדי לעמוד בדרישות של 1-7 שנים שנקבעו בתקנות תאימות כמו PCI או HIPAA. כדי לעמוד בחובות משפטיות ורגולטוריות מסוימות, חשוב ליצור sink ביומן לייצוא יומנים למיקום אחסון לטווח ארוך. בנוסף, אפשר להשתמש ב-Log sinks כדי לשלוח יומנים למערכת מרכזית לניטור לצורכי אבטחה, לצורך זיהוי מתקדם של איומים.
מידע קשור	ערכים ביומן של מסלולים
מזהה פריט	MSVP-CO-1-60
מיפוי	אמצעי בקרה קשורים בתקן NIST-800-53: AU-9 אמצעי בקרה קשורים בפרופיל CRI: PR.DS-4.1 אמצעי בקרה ב-Compliance Manager: הגדרת פריטי Sink ביומן

המאמרים הבאים

סקירה כללית של פלטפורמה מאובטחת מינימלית

הנחיות למעקב, לרישום ביומן ולהתראות קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

הנחיות לרמה בסיסית

הרשמה לעדכוני אבטחה דחופים

הגדרת קבוצות של אנשי קשר חיוניים

מעקב אחרי אנומליות בחיוב

הנחיות לרמה בינונית

הפעלת ניהול כללי חומת אש

שיתוף יומני ביקורת מ-Cloud Identity

הנחיות לרמה מתקדמת

הפעלה של יומני Access Transparency

ייצוא יומנים ל-sink ביומן לאחסון לטווח ארוך

המאמרים הבאים

הנחיות למעקב, לרישום ביומן ולהתראות