Microsoft Security Incident Management: Post-Incident-Aktivität
Postmortem
Einige Sicherheitsvorfälle, insbesondere solche, die sich auf den Kunden auswirken oder zu einer Datenverletzung führen, unterliegen einem vollständigen Vorfall nach demMortem. Das Sicherheitsreaktionsteam führt ein ausführliches Postmortem mit allen an der Reaktion auf Sicherheitsvorfälle beteiligten Parteien durch:
- Dokumentieren Sie die Abfolge der Ereignisse, die den Vorfall verursacht haben.
- Erstellen Sie eine technische Zusammenfassung des Vorfalls, die von den Beweisen unterstützt wird, die die an der Sicherheitsverletzung beteiligten Akteure enthält (sofern bekannt). Diese Zusammenfassung enthält, wie die Antwort ausgeführt wurde, und andere wichtige Erkenntnisse.
- Identifizieren Sie technische Fehler, Prozedurfehler, manuelle Fehler, Prozessfehler und Kommunikationsstörungen und/oder bisher unbekannte Angriffsvektoren, die während der Reaktion auf Sicherheitsvorfälle identifiziert wurden.
Das Postmortem wirkt sich direkt auf die Verbesserung des Onlinediensts, die betrieblichen Prozesse und die Dokumentation von Microsoft aus, indem neue Prioritäten im Entwicklungszyklus von Microsoft Onlinedienste festgelegt werden.
Dokumentation
Alle wichtigen technischen Erkenntnisse im postmortem-Prozess werden in einem Bericht und Serviceinvestitionen oder Korrekturen in Form von Fehlern oder Entwicklungsänderungsanforderungen erfasst. Diese Erkenntnisse werden mit den entsprechenden Engineering-Teams verfolgt. Bei Prozessfehlern und organisationsübergreifenden Problemen werden Probleme in der Datenbank des Sicherheitsreaktionsteams dokumentiert und mit den entsprechenden Gruppen verfolgt, um sie zu beheben.
Prozessverbesserung
Die Reaktion auf einen Sicherheitsvorfall in Microsoft Onlinedienste umfasst die Koordination mit mehreren Gruppen, die auf verschiedene Organisationen innerhalb von Microsoft verteilt sind, und potenziell sogar mit geeigneten externen Organisationen wie Strafverfolgungsbehörden. Wir wissen, dass es wichtig ist, unsere Antworten nach jedem Sicherheitsvorfall sowohl auf Suffizienz als auch auf Vollständigkeit zu bewerten. Bei identifizierten Verbesserungen oder Änderungen wertet das Sicherheitsreaktionsteam die Vorschläge in Absprache mit den entsprechenden Teams und Projektbeteiligten aus und integriert sie gegebenenfalls in Standardbetriebsverfahren. Alle erforderlichen Änderungen, Fehler oder Dienstverbesserungen, die während der Reaktion auf Sicherheitsvorfälle oder der postmortem-Aktivität identifiziert wurden, werden in einer internen Microsoft Engineering-Datenbank protokolliert und nachverfolgt. Alle potenziellen Fehler oder Features werden dem entsprechenden Besitzer zugewiesen. Das Microsoft Security Response-Team überprüft alle Einträge, bis das Problem behoben ist.
Verwandte Artikel
- Verwaltung von Microsoft-Sicherheitsvorfällen
- Verwaltung von Microsoft-Sicherheitsvorfällen: Vorbereitung
- Verwaltung von Microsoft-Sicherheitsvorfällen: Erkennung und Analyse
- Verwaltung von Microsoft-Sicherheitsvorfällen: Eindämmung, Beseitigung und Wiederherstellung
- Protokollieren eines Supporttickets für Sicherheitsereignisse
- Azure und Dynamics 365-Benachrichtigung bei Datenschutzverletzung im Rahmen der DSGVO