コンピュータ システムで最初に収集する必要がある最も不安定なタイプの証拠は、実行中のプロセスです。
実行中のプロセスとは、現在コンピュータ システム上で実行されており、メモリ、CPU、ディスク領域、ネットワーク帯域幅などのリソースを使用しているプログラムまたはアプリケーションです。実行中のプロセスは、システムのシャットダウン、再起動、ログオフ、またはクラッシュ時に急速に変化したり、完全に消えたりする可能性があるため、非常に不安定です。実行中のプロセスは、他のプロセスやユーザーによって変更または終了される可能性もあります。したがって、コンピュータ システム内の他の種類の証拠よりも先に、実行中のプロセスを収集する必要があります。

代替コントロールは、主要なコントロールが実行不可能または効果的でない場合に、代替または追加のセキュリティ レイヤーを提供できるため、古いサーバーが侵害されるリスクを最小限に抑える最適なアプローチです。代替コントロールは、主要なコントロールが実行不可能または効果的でない場合に、脆弱性または攻撃のリスクを軽減するために実装されるセキュリティ対策です。たとえば、サーバーが古いオペレーティング システムを実行していて、パッチを適用できない場合、代替コントロールとして、サーバーをネットワークの残りの部分から分離するか、サーバーとの間の悪意のあるトラフィックを監視およびブロックするファイアウォールまたは侵入防止システムを実装することができます。代替コントロールは、エクスプロイトの可能性や影響を軽減するのに役立ちますが、リスクを完全に排除することはできません。したがって、セキュリティ アナリストは、できるだけ早く古いサーバーのアップグレードまたは交換も検討する必要があります。

まず各システムの NTP 構成を確認する必要があります。これは、異なるシステム間で正確で一貫性のあるタイムスタンプを保証するために不可欠です。NTP はネットワーク タイム プロトコルであり、ネットワーク経由でコンピューターのクロックを同期するために使用されます。NTP は階層型のタイム ソース システムを使用し、各レベルにはストラタム番号が割り当てられます。原子時計や GPS 受信機などの最も正確なタイム ソースはストラタム 0 にあり、それらと同期するデバイスはストラタム 1 にあります。NTP クライアントは複数の NTP サーバーを照会し、アルゴリズムを使用して最適なタイム ソースを選択し、それに応じてクロックを調整できます1。各システムで NTP 構成が一貫していないか正しくない場合、ログとイベントのタイム スタンプが異なる可能性があり、異なるシステム間でインシデントを相関させることが困難になります。これは、セキュリティ分析とイベントの相関、およびネットワークのコンプライアンスと監査に影響を与える可能性があります23。参考資料: Windows タイム サービスの仕組み、時刻同期 - 知っておくべきことすべて、SIEM とは? | Microsoft セキュリティ

解決策については以下の説明部分を確認してください
Explanation:
パート1:

パート2:
コンプライアンス レポートに基づいて、各サーバーに次の変更を推奨します。
AppServ1: このサーバーには変更は必要ありません。
AppServ2: クライアントとサーバー間の安全な暗号化と通信を確保するため、このサーバーで TLS 1.0 と TLS 1.1 を無効にするか、TLS 1.2 にアップグレードしてください。潜在的な脆弱性やバグを修正するため、このサーバーで Apache をバージョン 2.4.17 からバージョン 2.4.18 以上に更新してください。
AppServ3: このサーバーで Apache をバージョン 2.4.19 からバージョン 2.4.18 以下にダウングレードして、会社のアプリケーションおよびポリシーとの互換性と安定性を確保します。このサーバーでポート番号を 8080 からポート 80 (HTTP の場合) またはポート 443 (HTTPS の場合) に変更して、デフォルトのポート規則に従い、他のサービスとの混乱や競合を回避します。
AppServ4: 潜在的な脆弱性やバグを修正するには、このサーバーで Apache をバージョン 2.4.16 からバージョン 2.4.18 以上に更新します。デフォルトのポート規則に従い、他のサービスとの混乱や競合を避けるために、このサーバーでポート番号を 8443 からポート 80 (HTTP の場合) またはポート 443 (HTTPS の場合) に変更します。

インシデント対応計画とは、セキュリティ侵害や攻撃に直面したときに組織が従う、事前に定義された一連の手順とガイドラインです。インシデント対応計画は、組織がインシデントを迅速かつ効果的に封じ込め、分析、根絶、回復し、ビジネス運営、評判、顧客への損害や影響を防止または最小限に抑えるのに役立ちます。インシデント対応計画では、インシデント対応チームの役割と責任、通信チャネルとプロトコル、エスカレーションとレポートの手順、インシデント対応に使用できるツールとリソースも定義します。
会社のインシデント対応計画に従うことで、管理者はセキュリティ インシデントを処理するためのベスト プラクティスと標準に従っていること、および関連する利害関係者や当局と調整および協力していることを確認できます。会社のインシデント対応計画に従うことで、インシデントによって発生する可能性のある法的、規制的、または契約上の責任や罰則を回避または軽減することもできます。
他のオプションは、会社のインシデント対応計画に従うほど効果的でも適切でもありません。
社内のインシデント対応チームに通知する (A) ことは良いステップですが、会社のインシデント対応計画に従って行う必要があります。この計画では、報告する相手、時期、方法、内容が指定されている場合があります。最善のアプローチのために教訓を確認することは良いステップですが、アクティブ対応フェーズ中ではなく、インシデントが解決されて終了した後に行う必要があります。アクセスがいつ開始されたかを特定する (D) ことは良いステップですが、インシデント対応計画の分析フェーズの一部として行う必要があり、計画に従う前に行うべきではありません。