Plán reakce na cloudové incidenty pro Azure a Microsoft 365

 

Cloudová bezpečnost nespočívá jen v hašení požárů při spuštění varování; jde o jasnou choreografii pro každou fázi incidentu. Specifický plán reakce na incidenty pro Azure a Microsoft 365 Chrání kontinuitu podnikání, snižuje dopad a uchovává forenzní důkazy tím, že propojuje lidi, procesy a technologie v osvědčeném rámci.

Abyste se vyhnuli jakýmkoli překvapením, je vhodné sladit své obchodování s cyklem NIST SP 800-61: příprava; detekce a analýza; izolace, eradikace a obnova; a následné činnostiV Azure se to promítá do využití nativních služeb (Microsoft Defender XDR, Defender for Cloud, Microsoft Sentinel, Azure Monitor, Logic Apps), automatizace opakujících se úkolů a dokumentování a testování plánu pomocí simulací a simulačních cvičení.

Provozní rámec a pilíře cloudové reakce

Základním kamenem je strategie, která se vyhýbá dlouhým prodlevám a opakovaným útokům. Tři pilíře podpírají disciplínu a bezpečnostní operační centrum1) příprava (plány, role, nástroje a kontakty), 2) detekce, analýza a vyšetřování (upozornění na kvalitu, sjednocené incidenty a forenzní analýzy) a 3) omezení, obnova a učení (automatizace, obnova a neustálé zlepšování).

Pro posílení těchto pilířů v Azure potřebujete plány přizpůsobené modelu sdílené odpovědnosti. jednotná telemetrie identity, sítě a zátěžea postupy pro uchovávání důkazů, které fungují „jako služba“ (snímky virtuálních počítačů, neměnné kopie protokolů, právní rezervace v skladování).

Příprava PIR-1: Plán a proces specifický pro Azure

Bez plánu optimalizovaného pro cloud se reakce stává chaotickou a pomalou. Princip je jasný.Dokumentuje plán IR navržený pro Azure a Microsoft 365, testuje jeho účinnost pomocí pravidelných cvičení a zvažuje, jak eskalovat záležitost k Microsoftu (podpora, MSRC), když je platforma ohrožena.

Rizika, která je třeba zmírnit: zmatek v důsledku nepřesných rolí, selhání v důsledku používání vzorců v datových centrech, Špatná koordinace se zúčastněnými stranamineověřené nástroje a dovednosti, nedodržování předpisů v důsledku pozdního oznámení a ztráta důkazů v důsledku slabých procesů výběru a úschovy.

Relevantní úkol ATT&CK: Protivníci prodlužují svou přítomnost, když je obrana oslabena (TA0005/T1562), maximalizují škody ničením dat (TA0040/T1485) a zorganizovat exfiltraci využití pozdních odpovědí (TA0009/T1074).

Plán IR-1.1 specifický pro Azure

Váš průvodce by měl podrobně popsat hranice sdíleného modelu (IaaS, PaaS, SaaS), použití Azure Monitor, ID vstupu (audit a začátky), NSG Flow ZáznamyOchránce pro clouda jak pořizovat snímky virtuálních počítačů, výpisy paměti nebo síťové zachycení bez „tahání za kabel“.

To zahrnuje koordinaci se společností Microsoft: kdy otevírat případy, jak zapojit MSRC a co lezecké trasy Sledujte incidenty, které ovlivní vrstvu platformy. Integrujte Defender for Cloud s kontakty 24 hodin denně, 7 dní v týdnu, úrovněmi závažnosti odpovídajícími vaší klasifikaci, aplikacemi Logic Apps pro automatizaci oznámení a průběžným exportem zjištění do protokolu incidentů.

Minimální kapacity plánu: vymezení odpovědností podle služeb, postupy pro izolaci zdrojů (virtuální počítač, kontejnery, úložiště) s automatizací a metody pro shromažďování důkazů s jejich uchováváním a označováním.

IR-1.2 Vybavení a výcvik

Definujte strukturu s cloudovými analytiky, architekty Azure, právními a compliance odděleními, oddělením pro zajištění kontinuity podnikání a kritické externí kontakty (Podpora společnosti Microsoft, poradci a regulační orgány). Proškolte tým pomocí materiálů Microsoft Security Academy a Defender/Sentinel, abyste zvládli cloudové nástroje a pracovní postupy.

Realistický příklad: Poskytovatel zdravotní péče připraví plán v souladu s HIPAA, naváže nepřetržité kontakty v Defenderu pro Cloud s automatickou eskalací na právní oddělení, provádí čtvrtletní cvičení Chrání před ransomwarem a únikem dat a automatizuje snímky virtuálních počítačů a export protokolů Azure, aby se důkazy uchovávaly po dobu šesti let.

Klíčová mapování kontrol: NIST SP 800-53 (IR-1, IR-2, CP-2), CIS Controls v8 (17.1–17.3), NIST CSF (PR.IP-9/10, RS.CO-1), ISO 27001 (A.5.24–A.5.27), PCI-DSS (12.10), SOC 2 (CC9.1). Úroveň: nezbytná.

Oznámení o incidentech IR-2 a automatizovaná komunikace

Pokud varování závisí na manuálních úkonech, koordinace přichází pozdě a útočník získává půdu pod nohama. Zásada: spravuje oznámení s automatickými spouštěčiAktuální seznamy kontaktů a integrace s bezpečnostními službami společnosti Microsoft pro splnění regulačních termínů a mobilizaci správných lidí.

Rizika, kterým je třeba se vyhnout: opožděné uznání ze strany vedoucích pracovníků/právních/forenzních expertů, pokuty za promeškané lhůty (GDPR 72h, HIPAA 60 days, PCI s upravenými časy), nedostatek spolupráce s dodavatelem, ztráta důvěry zákazníků a nekoordinované úsilí, které zvyšuje dopad.

Související s ATT&CK: Kanály C2 přetrvávají s pomalými notifikacemi (TA0011/T1071), exfiltrace přes C2 (TA0010/T1041) a nasazení ransomwaru závratným tempem (TA0040/T1486), pokud se výstup zpozdí.

Kontakty zabezpečení IR-2.1 v Defenderu pro Cloud

Nastavte si primární a sekundární kontakty s globálním pokrytím, pravidelně je kontrolujte a povolte e-mail, SMS a hovory. lezecké trasyPřiřaďte kontakty podle typu incidentu (únik dat, zranitelnost platformy, přerušení služby) a použijte přizpůsobené šablony podle závažnosti.

Na úrovni rozsahu definujte kontakty podle skupiny pro správu, předplatného nebo skupiny zdrojů. Integrujte se s vaším ITSM (Azure DevOps, ServiceNow) pro automatické vytváření tiketů a sledovat životní cyklus incidentu od první minuty.

Toky oznámení IR-2.2 s aplikacemi Logic Apps a Sentinel

Vytváření playbooků v Microsoft Sentinel a pracovních postupech Logické aplikace upozorňovat podle závažnosti, typu zdroje a dopadu na podnikání; přidává matice zúčastněných stran podle role, schválení, spouštěčů souladu s předpisy (GDPR/HIPAA/PCI) a eskalace podle času, pokud nikdo nepotvrdí událost.

Používejte Azure Monitor s pravidly a Event Huby k streaming v reálném čase na platformy třetích stran a Kanály Teams a pošta a soubory oslovit správné publikum konzistentními a schválenými sděleními.

Příklad: Finanční firma automatizuje podávání zpráv regulačním orgánům (SEC/FINRA) a interní oznámení klientům, čímž výrazně zkracuje dobu potřebnou k oznámení a eliminuje lidské chyby v kritické komunikaci díky schváleným šablonám a pracovním postupům.

Mapování: NIST SP 800-53 (IR-2, IR-6), CIS (17.4, 17.5), NIST CSF (RS.CO-1/2/3/4), ISO 27001 (A.5.24/26/28), SOC 2 (CC9.1). Úroveň: nezbytná.

IR-3 Vysoce kvalitní detekce a vytváření incidentů

Pokud je vše v šumu, kritické signály se ztratí a MTTD/MTTR se zvýší. CílMinimalizujte falešně pozitivní výsledky a konsolidujte signály do incidentů, na jejichž základě lze podniknout kroky, pomocí informací o hrozbách a automatického obohacení.

Typická rizika: únava analytiků, hrozby skryté v šumu, nesprávně přidělené zdrojeopožděná reakce, špatná integrace zpravodajských informací a nekonzistentní procesy vytváření incidentů.

ATT&CK: maskování (TA0005/T1036), použití platných účtů (TA0003/T1078) a automatizovaný sběr prodloužené (TA0009/T1119) kvetení, pokud není detekce jemně doladěna.

IR-3.1 Microsoft Defender XDR pro sjednocené signály

Kromě toho se synchronizuje se systémem Sentinel a poskytuje jednotnou schránku incidentů, koreluje s infrastrukturou (Azure, on-premises a další cloudy) a multiplatformní analýza aniž by se ztratil obchodní kontext.

IR-3.2 Pokročilá upozornění v Defenderu pro Cloud

Aktivujte plány Defenderu (servery, App Service, úložiště, kontejnery, Key Vault), povolte strojové učení pro anomální vzorce a posilte zabezpečení pomocí analýzy hrozeb. potlačuje známé falešně pozitivní výsledky s pravidelnými revizemi.

Propojuje se s XDR a Sentinel pomocí konektorů a obohacuje tak o UEBA. Pravidla KQL a korelaci mezi zátěží a službami, a tak odhalit složité kampaně dříve, než se rozšíří.

IR-3.3 Automatizované incidenty v Microsoft Sentinel

Převádí upozornění na případy s analytickými pravidly, seskupuje související signály, extrahuje entity (uživatele, hostitele, IP adresy, soubory) a aplikuje je. prioritizace podle závažnosti podle kritičnosti aktiv, rizika pro uživatele a techniky útoku.

Používejte časovou osu, výzkumný graf, strategické deníky pro shromažďování důkazů a podávání zpráv a sledování SLA pro odpověď se škálováním, pokud dojde ke zpožděním.

Typický výsledek po dosažení této fáze: drastické snížení falešně pozitivních výsledků, kompaktnější incidenty a rychlejší vyšetřování díky obohacení entit a inteligentnímu seskupování.

Řízení: NIST SP 800-53 (SI-4, IR-4/5), PCI-DSS (10.6, 11.5.1), CIS (8.11, 13.x, 17.4), NIST CSF (DE.CM/AE), ISO 27001 (A.8.16, A.5.24).

Vyšetřování a forenzní analýza IR-4 v Azure

Vyšetřování bez kompletní telemetrie vede k podcenění rozsahu a ponechání otevřených zadních vrátek. metaZachytit klíčové záznamy, centralizovat je a uchovávat důkazy s neporušeným řetězcem úschovy.

Rizika: neúplná viditelnost útoku, neidentifikované úniky dat, skrytá perzistence, zničení nebo manipulace s důkazy, prodloužená doba prodlevy a opakování v důsledku neúplné sanace.

Použitelné ATT&CK: odstranění indikátorů (TA0005/T1070 a T1070.004), ukrývání artefaktů (TA0003/T1564.001) a uznávání výzkumných schopností (TA0007/T1082).

IR-4.1 Shromažďování a analýza záznamů

Centralizace pomocí Azure Monitor, Log Analytics a Sentinel: auditování a inicializace Entra ID, protokolu aktivit (řídicí rovina), protokolů toku NSG, agentů ve virtuálních počítačích a protokoly aplikací dobře strukturované.

V Sentinelu a UEBA se k rekonstrukci historie útoku a... využívá výzkumný graf, lovecké záznamy a mapování na ATT&CK. zaměřit se na hlavní příčinu s přesností.

IR-4.2 Forenzní schopnosti a uchovávání důkazů

Automatizujte snímky virtuálních počítačů, zálohování disku Azure během incidentu, výpisy paměti a export protokolů do Neměnné úložiště Azure a zachycování paketů pomocí nástroje Network Watcher.

Dokumentujte řetězec úschovy pomocí hashů a digitálních podpisů, řiďte přístup, integrujte forenzní nástroje třetích stran a replikujte napříč regiony. zákonné požadavky Požadují to.

V regulovaných odvětvích (např. finančním) to urychluje vyšetřování, dodržuje regulační lhůty a zajišťuje sledovatelnost pro soudní spory nebo audity.

CSF NIST: NIST CSF (RS.AN)Kontrolní prvky: NIST SP 800-53 (IR-4, AU-6/7), PCI-DSS (10.6.x, 12.10.x), CIS (8.x, 13.2, 17.4), ISO 27001 (A.5.24/25/28, A.8.16).

IR-5 Stanovení priorit podle dopadu a závažnosti

Bez obchodního kontextu se vše zdá naléhavé a zdroje se plýtvají. Klíč: označit aktiva podle důležitosti, pochopit rozsah regulace a automatizovat závažnost a eskalaci.

Rizika: opožděná reakce na kritické incidenty, syndrom vyhoření týmu u méně závažných případů, zesílený provozní nebo finanční dopad, selhání v dodržování předpisů a laterální progres, zatímco se díváme jinam.

IR-5.1 Analýza kritickosti a dopadu aktiv

Označte zdroje Azure (kritické/vysoké/střední/nízké), integrujte je klasifikace dat S Microsoft Purview označte regulované zdroje (PCI, HIPAA, SOX) a přidejte vlastníky a kontakty pro zefektivnění rozhodování.

V aplikaci Defender for Cloud můžete pomocí inventáře a stavu zabezpečení propojit výstrahy s důležitostí aktiv a vystavením veřejnosti a upřednostnit to, co pro firmu skutečně znamená pokrok.

IR-5.2 Automatizované bodování a škálování

V Sentinelu se vypočítává vícefaktorové skóre (kritičnost, důvěrnost, důvěra v IoC, regulační rozsah, dotčení uživatelé) a spouští eskalace po dobu, pokud nedojde k rozpoznání do X minut.

Aktivuje specifické spouštěče: upozornění pro vedení kritických systémů nebo potenciální úniky osobních údajůa automatické zapojení do právních záležitostí a ochrany soukromí, pokud je to relevantní.

výsledek: Zdroje přidělované uvážlivě, doby odezvy odpovídající riziku a méně zbytečných eskalací u drobných incidentů.

Kontroly: NIST SP 800-53 (IR-5, RA-2/3), PCI-DSS (12.10.5), CIS (1.1/1.2, 17.4/17.5), NIST CSF (DE.AE-1, RS.AN), ISO 27001 (A.5.24, A.5.27, A.8.8).

IR-6 Automatizace zadržování, likvidace a obnovy

Útoky jsou automatické; reakce musí být také. Cílem je zkrátit klíčové minuty, eliminovat lidské chyby a udržovat konzistenci napříč incidenty.

Vytvářejte playbooky Sentinel s Logic Apps pro pozastavení účtů a relací, izolaci virtuálních počítačů (NSG, segmentace virtuální sítě, Azure Firewall, vyloučení nástroje pro vyrovnávání zátěže) a uzamčení. hashe/IoC, odebrat oprávnění v přihlášení, rotovat klíče a aktivovat zálohy.

Automatizujte změny v síti (NSG, firewall, směrování ExpressRoute/VPN), vynucujte podmíněný přístup k blokování rizikového přístupu a používejte PIM k… zrušit JIT a atraktivní privilegia s lidským schválením akcí s vysokým dopadem.

Příklad: automatická izolace kompromitovaných virtuálních počítačů s uchováním důkazů, pozastavení účtů s vysokou mírou důvěryhodnosti výstrahy, oznámení zúčastněným stranám a vytváření/škálování tiketů s plnou sledovatelností.

NIST SP 800-53 (IR-4/5/6/8), CIS (17.4/17.6/17.7), NIST CSF (RS.RP/MI), ISO 27001 (A.5.24–A.5.26), SOC 2 (CC7.3/7.4/9.1).

IR-7 Po incidentu: Ponaučení a uchovávání důkazů

Dobrá reakce nekončí uzavřením případu. Musíme se učit, upravovat a uchovávat důkazy plnit si povinnosti a vyvarovat se opakovaných přestupků.

Zorganizujte 48–72hodinovou analýzu s technickými, obchodními, právními a zástupci pro ochranu osobních údajů; aplikujte techniky analýzy hlavních příčin (pět proč, Ishikawovy diagramy), vytvářejte položky v Azure DevOps s přiřazenými odpovědnostmi a termíny a Aktualizace pravidel a herních plánůDoplňte cvičení u stolu scénáři z reálného života.

Pro důkazy použijte Azure Blob s neměnnými zásadami (časové uchovávání a zákonné uchovávání), klasifikujte typy důkazů a doby trvání (např. HIPAA 6 let, SOX často 7, PCI-DSS minimálně 1 rok s dostupnými 3 měsíci; GDPR vyžaduje minimalizace a zdůvodnění bez pevně stanoveného víceletého období), úschova s ​​hašem a podpisy a případně replikace napříč regiony.

Kontroly: NIST SP 800-53 (IR-4(4/5/10), CP-9(8), AU-11), CIS (17.8/17.9), RS.IM-1/2, ISO 27001 (A.5.24, A.5.28, A.8.13), SOC 2 (A1.2/1.3).

Základní kontrolní seznam pro provoz a řízení

1. Institucionalizujte aktivity, které z plánu udělají každodenní disciplínu: časté cvičení u stolu s rozhodnutími založenými na riziku, která pozdvihnou konverzaci na obchodní úroveň.
2. Definujte předchozí rozhodnutí a odpovědnosti: kdy zapojit orgány činné v trestním řízení, aktivovat externí záchranné složky, posoudit výkupné, informovat auditory nebo úřadyeskalovat k představenstvu nebo vypnout kritické zátěže.
3. Zachovává právní mlčenlivost oddělením rad, faktů a názorů; sjednocuje komunikační kanály (konferenční centra Microsoft); a koordinuje s třetími stranami aby se snížila expozice.
4. Připravovat interní komunikaci s představenstvem za účelem zmírnění tržní rizika v obdobích zranitelnosti a vyhýbat se pochybným operacím.
5. Stanovuje role v incidentech: technický vedoucí (syntetizuje a rozhoduje), komunikační styčný pracovník (řídí vedoucí pracovníky a regulační orgány), zapisovatel (sledovatelnost), budoucí organizátor (kontinuita v čase 24/48/72/96h) a vztahy s veřejností pro scénáře s vysokou viditelností.
6. Vytvořte si systém ochrany osobních údajů mezi SecOps a kanceláří pro ochranu osobních údajů s kritéria rychlého hodnocení a bezproblémové lhůty (např. 72 hodin podle GDPR).
7. Penetrační testování programu a kampaně červených/modrých/fialových/zelených týmů s využitím Simulace obránců Pro Office 365 a Endpoint přináší vylepšení zelený tým.
8. Plán pro kontinuitu provozu a zotavení po havárii (aktivní/pasivní a aktivní/polopasivní) s realistické RPO/RTOZohledňuje doby dočasného skladování a rizika technické vybavení není podporováno.
9. Připravte si alternativní komunikační kanály pro případ ztráty e-mailu/spolupráce nebo úložiště. distribuuje offline kritická čísla, topologie a postupy obnovy.
10. Posiluje hygienu a životní cyklus (CIS Top 20): neměnné kopie a záznamy, průběžné opravování a bezpečnou konfiguraci se zaměřením na ransomware ovládaný člověkem.
11. Definujte plán reakce (organizační parametry, nepřetržitý provoz nebo pravidelné směny, udržitelnost personálu) a dohodne se na formátu podat zprávu: co jsme udělali/výsledky, co děláme/do kdy, co budeme dělat dál/kdy.

Ovládací prvky CIS 10.x v Azure: praktické průvodce

• 10.1 Průvodce IR: návrhy plánů s rolemi a fázemi od detekce po přezkoumání, zarovnáno s CIS 19.1–19.3 a spustitelný vaším týmem.
• 10.2 Stanovení priorit a bodování: Použití závažnosti Defenderu, označení předplatného (produkční/neprodukční) a Pojmenujte zdroje s rozvahou stanovit priority podle důležitosti a prostředí.
• 10.3 Testování odezvy: naplánujte pravidelná cvičení pro odhalení mezer a aktualizovat plán s tím, co se naučilo.
• 10.4 Kontakt s MSRC: Udržujte své kontakty aktuální, aby vás společnost Microsoft mohla kontaktovat. Nahlásit neoprávněný přístup a přezkoumat uzavřené případy.
• 10.5 Integrace upozornění: Export upozornění a doporučení (průběžný export) a Zapojte je do Sentinelu pro pokročilou korelaci.
• 10.6 Automatizace odezvy: Spouštění logických aplikací z Security Center/Defender for Cloud do reagovat v reálném čase na upozornění a doporučení.

Azure CWPP jako základ pro nepřetržitou ochranu

Zralá platforma pro ochranu nákladu (CWPP) doplňuje reakci viditelností a správným postojem. Defender pro cloud a Sentinel Nabízejí SIEM/SOAR, správu a dodržování předpisů pro Azure, Microsoft 365, on-premises a další cloudy.

Architektura: konektory pro ingestování a normalizaci, analýza pomocí strojového učení, REST API Pro integrace a úložiště v Log Analytics. Integruje se s Azure Firewall, ochranou proti DDoS útokům a Key Vault a centralizuje zásady pomocí Azure Policy.

Škálovatelnost a výkon: elasticita již od návrhu, globální nasazení s ohledem na umístění dat, vrstvené úložiště a vyvažování zátěže pro rozdělení úsilí v oblasti analýzy a odezvy.

Azure Sentinel: SIEM a SOAR nové generace

Strategie ingestování a normalizace: konektory pro služby Azure a Microsoft 365 řešení třetích stran a přizpůsobené aplikace s normalizovanými daty připravenými ke korelaci.

Lov hrozeb KQL: výkonné dotazy pro detekci anomálních vzorců a objevit zranitelnosti zneužitelné ve vašem prostředí.

Management a výzkum: časové osy, diagram vztahů mezi entitami a korelace s inteligencí od společnosti Microsoft, aby pochopili celý případ útoku.

Orchestrovaná reakce: playbooky v Logic Apps, od odeslání e-mailu nebo vytvoření tiketu až po deaktivovat účty nebo obnovit systémy do států známých jako dobré.

Ochrana sítě a dat s CWPP

Zabezpečení sítě: dynamické mapování topologie, JIT přístup k virtuálním počítačům, adaptivní zpevnění s návrhy na obranu proti NSG a DDoS útokům založenou na strojovém učení v globální síti společnosti Microsoft.

Ochrana dat: detekce a prevence SQL injection ve spravovaných službách, osvědčené postupy pro ukládání dat (šifrování, zabezpečený přenos(Izolace), aktualizovaný TLS při přenosu a správa klíčů v Key Vault s rotací a auditováním.

Kontejnery a Kubernetes: komplexní zabezpečení

Skenování obrázků v ACR: Automatická analýza zranitelností při nahrávání obrázků s zprávy o závažnosti a doporučení k nápravě před nasazením.

Ochrana za běhu: monitorování chování, segmentace sítě, minimální oprávnění a okamžitá reakce (izolace kontejnerů, upozornění SOC) na podezřelou aktivitu.

Specifická vylepšení K8s: detekce anomálních API nebo podů v citlivých jmenných prostorech, správa pozic, regulátory sání aby se zabránilo nasazení v rozporu s předpisy a dodržování pravidel sítě.

Nejlepší postupy: minimální základní obrazy, průběžné aktualizace a opravy, výchozí segmentace, průběžné monitorování a správa tajných dat pomocí Key Vault.

Kontinuita s Azure Site Recovery a Azure Backup

ASR zaručuje kontinuitu s pravidelnými testy zotavení s nulovým dopadem a upravený RPO/RTO podle vaší chuti k riziku, ideální pro udržení provozu v případě selhání.

Azure Backup poskytuje odolnost proti ransomwaru a chybám pomocí granulární restaurováníKontroly integrity a růst na vyžádání. Rozumné je obojí zkombinovat: ASR pro zachování provozu a zálohování pro obnovení ztraceného materiálu.

Vydání a odpověď v SDL od Microsoftu

Před spuštěním ověřte výkon pomocí zátěžového testování Azure, nasaďte WAF (Application Gateway nebo Front Door) s pravidly OWASP a Závěrečné bezpečnostní hodnocení končí. (modely hrozeb, výsledky nástrojů a ukazatele kvality).

Po spuštění spusťte plán dle potřeby, monitorujte jej pomocí Application Insights (APM a anomálie) a Ochránce pro cloud Pro prevenci a rozsáhlou detekci. Dobrá reakce začíná přípravou půdy v rámci Release.

Plány odezvy agenta Azure SRE

Plány agenta Azure SRE modelují, jak jsou incidenty detekovány, kontrolovány a zmírňovány pomocí poloautonomní nebo autonomní režimy podle vašich potřeb a filtrů pro výběr toho, co každý plán zpracovává.

Výchozí konfigurace: připojeno k Azure Monitor, zpracovává incidenty s nízkou prioritou a pracuje v režimu kontroly. Vše je přizpůsobitelnéSystémy správy (PagerDuty, ServiceNow), filtry podle typu/služby/priority/názvu a úrovně autonomie.

Autonomie: Režim kontroly (agent navrhuje a vy schvalujete) nebo Autonomní režim (Proveďte opatření s příslušnými povoleními). Pokud povolení chybí, požádejte o dočasnou vyvýšeninu s kontrolou.

Přizpůsobené instrukce: agent se učí z předchozích incidentů, generuje podrobný kontext a navrhuje nástroje k použití; můžete upravit instrukce a znovu vygenerovat seznam přidružených nástrojů.

Testování s historickými daty: Spusťte plán v režimu pouze pro čtení na minulých incidentech pro ověření chování a pokrytí před jeho aktivací v produkčním prostředí.

S tímto frameworkem – plánem přizpůsobeným pro Azure a Microsoft 365, automatizovanými oznámeními, dobře strukturovanými incidenty, forenzním vyšetřováním s neměnnými důkazy, prioritizací dopadů a orchestrací omezení – je minimalizováno čas expozice a nákladyPokud to podpoříte také CWPP, ASR/zálohováním, cvičeními na simulátoru, jasnými rolemi, metrikami a případně i autonomií agenta SRE, budete mít reakci, která odolá tlaku a s každým případem se zlepšuje.