Logo

Soovitused organisatsioonile küberintsidendi käsitlemisel

CERT-EE aitab vajadusel olemasoleva materjali põhjal intsidendi juurpõhjust uurida, konsulteerib intsidendi lahendamist, pakub ajutist võrguseirelahendust (S4A) ja aitab vajadusel reaalajas logisid jälgida.

NB! CERT-EE ei võta organisatsioonilt intsidendi lahendamise vastutust ega juhtimist üle, vastutab jätkuvalt organisatsioon ise.

CERT-EE ootab teavitusi kõigi küberintsidentide kohta. Täiendavaks konsultatsiooniks ja intsidendi analüüsiks on vaja, et:

  • organisatsioon on valmis intsidendi detaile jagama;
  • organisatsioonil on kontaktisik, kes on volitatud CERT-EEga rääkima.

Andmete konfidentsiaalsus tagatakse vastavalt küberturvalisuse seaduse § 13 lg 2.

Küberintsidendi käsitlemise sammud

1. Teavita CERT-EEd viivitamata, kuid hiljemalt 24 tundi pärast teada saamist küberintsidendist:

  • millel on süsteemi turvalisusele või teenuse toimepidevusele oluline mõju;
  • mille oluline mõju süsteemi turvalisusele või teenuse toimepidevusele ei ole ilmne, kuid seda võib mõistlikult eeldada.

2. Kasuta teavitamiseks CERT-EE teavituse vormi raport.cert.ee:

Esita intsidenditeavitus

3. Fikseeri olukord:

  • talleta lokaalsed ja logiserveri logid (vt järgmist alateemat "Logid");
  • säilita konfiguratsioon (nt tulemüüri reeglid);
  • tee mõjutatud süsteemidest kettatõmmised;
  • talleta vähemalt viimane varukoopia enne intsidenti, võimalusel aga kõik selleks momendiks säilinud intsidendis osalenud süsteemide varukoopiad.

4. Määratle intsidendi ulatus, mõjutatud süsteemid.

5. Isoleeri kompromiteeritud ja kompromiteerimise kahtlusega süsteemid.

6. IT-teenuse töö taastamine.

  • NB! Palume vältida asjakohaste tõendusmaterjalide (logide) hävimist süsteemi taastamise käigus.

7. Planeeri parendustegevused intsidendi juurpõhjuste analüüsi tulemusena.

Logid

Intsidendi lahendamisel ja juurpõhjuste analüüsil on kõige kriitilisema tähtsusega logides olev info. Kõiki logisid soovitame hoida minimaalselt 1 aasta, võimalusel 3 aastat või rohkem. Logid tuleb varundada eraldatult – eraldi võrgukettal või eraldi serveris.

Logid, millest võib intsidendi analüüsil kasu olla:

  • Võrguseadmete logid: tulemüürid (session create, drop jms), VPNi seadmed, switchid ja ruuterid.
  • Võrguliikluse metaandmed (netflow) või full-pcap võimekus (CERT-EE aitab seda koguda S4A võrguliikluse sensori abil juhul, kui CERT-EE on kaasatud intsidendi lahendamisse).
  • Baas-võrguteenuste logi: DHCP logi, DNS päringute logi.
  • Kõikide asjasse puutuvate domeenikontrollerite logid (lisaks primaarsele domeenikontrollerile ka sekundaarsete DCde logi) ja/või teiste identiteedi ja pääsuhalduse süsteemide logid, sh pilveteenustest (Microsoft Entra ID, Okta, OneLogin).
  • Turbetehnoloogiate logi: näiteks AV/EDR/XDR tooted.
  • Rakenduste logi, eriti kõik, mis puudutab kasutajate autentimist ja autoriseerimist: näiteks sisselogimised, väljalogimised, uute kontode loomised, õiguste muutmised.
  • Veebiserverite logi.
  • Lõppsüsteemidest operatsioonisüsteemide logi:
    • vaikimisi mahalogitavad sündmused (Windows Event Log, Linux syslog);
    • kui on eraldi konfitud, siis logi protsesside, võrguühenduste, failisüsteemi operatsioonide kohta: näiteks Windowsi süsteemides väga kasulik Sysmoni poolt tekitatud logi, Linuxis auditd logi.
  • Serverite out-of-band haldusliideste logi (IMM, IPMI, ILO).
  • ISP logid: tuleb välja küsida teenusepakkujalt.

NB! Windowsi puhul tuleb täiendav logimine eraldi seadistada, sest vaikeseadetes logid ei pruugi olla piisavad intsidendi lahendamiseks.

CERT Soovitused Küberintsidendist teavitamine

Viimati uuendatud 05.05.2026

search block image