Loggfør alle aktiviteter, resultater og relevante avgjørelser for senere analyse.
- a) Etabler en tidslinje for egne og trusselaktørens aktiviteter.
- b) Oppdater hendelsesdata og situasjonsbilde underveis for best håndtering av hendelsen.
- c) Sikre elektroniske bevis for skadevareanalyse og eventuelle rettslige prosesser, se også prinsipp 3.2 - Etabler sikkerhetsovervåkning.
Implementering
a) Etabler en tidslinje for egne og trusselaktørens aktiviteter
1. Tidslinje
Opprett en detaljert tidslinje som dokumenterer både dine egne sikkerhetstiltak og trusselaktørens aktiviteter. Dette inkluderer når en mistenkelig aktivitet først ble oppdaget, hvilke tiltak som ble utført for å isolere og begrense skaden, og når situasjonen ble stabilisert.
Om det er mulig se også på logger før hendelsen ble oppdaget og se om det finnes spor tidligere enn da det ble oppdaget.
b) Oppdater hendelsesdata og situasjonsbilde underveis
1. Oversikt
Det er viktig å kontinuerlig oppdatere hendelsesdata og situasjonsbilde mens hendelsen utvikler seg. Dette sikrer at alle involverte har den mest oppdaterte informasjonen, noe som er avgjørende for effektiv beslutningstaking under press. Regelmessige oppdateringer kan også bidra til å identifisere nye trusler eller endringer i trusselaktørens taktikk.
c) Sikre elektroniske bevis
1. Arkiver bevis
For hver hendelse bør du sikre og bevare alle elektroniske bevis. Dette omfatter logger, metadata, og kopier av skadevare (malware) for analyse. Bevisene skal oppbevares på en sikker og strukturert måte for å støtte eventuelle rettslige prosesser eller dypere teknisk analyse etter hendelsen. Det er også viktig å følge etablerte prosedyrer og prinsipper for sikkerhetsovervåkning for å sikre integriteten til bevismaterialet.