Gestione degli eventi imprevisti di sicurezza Microsoft: rilevamento e analisi

Per rilevare attività dannose, ogni Servizi online Microsoft registra centralmente gli eventi di sicurezza e altri dati ed esegue varie tecniche analitiche per individuare attività anomale o sospette. I file di log vengono raccolti dai server e dai dispositivi dell'infrastruttura di Microsoft Servizi online e archiviati in database centrali e consolidati.

Microsoft adotta un approccio basato sui rischi per rilevare attività dannose. Usiamo i dati degli eventi imprevisti e l'intelligence sulle minacce per definire e assegnare priorità ai rilevamenti.

L'impiego di un team di persone altamente esperte, competenti e qualificate è uno dei pilastri più importanti per il successo nella fase di rilevamento e analisi. Microsoft impiega più team di servizi che includono dipendenti con competenze su tutti i componenti all'interno dello stack, tra cui rete, router, firewall, servizi di bilanciamento del carico, sistemi operativi e applicazioni.

I meccanismi di rilevamento della sicurezza in Microsoft Servizi online includono anche notifiche e avvisi avviati da origini diverse. Microsoft Servizi online team di risposta alla sicurezza sono gli agenti di orchestrazione principali del processo di escalation degli eventi imprevisti di sicurezza. Questi team ricevono tutte le escalation e sono responsabili dell'analisi e della conferma della validità dell'evento imprevisto di sicurezza.

Uno dei pilastri principali del rilevamento è la notifica:

• Ogni team del servizio è responsabile della registrazione di qualsiasi azione o evento all'interno del servizio in base ai requisiti del team di sicurezza del servizio online. Tutti i log creati dai diversi team di servizio vengono elaborati da una soluzione SIEM (Security Information and Event Management) con regole di sicurezza e rilevamento predefinite. Queste regole si evolvono in base alle raccomandazioni del team di sicurezza, alle informazioni apprese da eventi imprevisti di sicurezza precedenti, per determinare se sono presenti attività sospette o dannose.
• Se un cliente determina che è in corso un evento imprevisto di sicurezza, può aprire un caso di supporto con Microsoft, assegnato al team di comunicazione Microsoft e trasformato in un'escalation a tutti i team appropriati.

I team dei servizi di Azure, Dynamics 365 e Microsoft 365 usano anche l'intelligence acquisita nell'analisi delle tendenze tramite il monitoraggio e la registrazione della sicurezza per rilevare anomalie in Microsoft Servizi online sistemi informativi che potrebbero indicare un attacco o un incidente di sicurezza. Microsoft Servizi online sistemi aggregano l'output di questi log nell'ambiente di produzione in server di registrazione centralizzati. Da questi server di registrazione centralizzati, i log vengono esaminati per individuare le tendenze in tutto l'ambiente di produzione. I dati aggregati nei server centralizzati vengono trasmessi in modo sicuro in un servizio di registrazione per eseguire query avanzate, creare dashboard e rilevare attività anomale e dannose. Il servizio usa anche Machine Learning per rilevare anomalie con l'output del log.

Durante la fase di escalation e a seconda della natura dell'evento imprevisto per la sicurezza, i team di risposta alla sicurezza possono coinvolgere uno o più esperti in materia di vari team microsoft:

• Team di sicurezza e conformità dei servizi online
• Microsoft Threat Intelligence Center (MSTIC)
• Microsoft Security Response Center (MSRC)
• Affari aziendali, esterni e legali (CELA)
• Sicurezza di Azure
• Progettazione di Microsoft 365 e altri.

Prima che si verifichi un'escalation a qualsiasi team di risposta alla sicurezza, il team del servizio è responsabile della determinazione e dell'impostazione del livello di gravità dell'evento imprevisto di sicurezza in base a criteri definiti, ad esempio:

• Privacy
• Impatto
• Ambito
• Numero di tenant interessati
• Area geografica
• Servizio
• Dettagli dell'evento imprevisto
• Specifiche normative del settore dei clienti o di mercato.

La definizione delle priorità degli eventi imprevisti è determinata dall'uso di fattori distinti, tra cui, a titolo esemplificazionale, l'impatto funzionale dell'evento imprevisto, l'impatto informativo dell'evento imprevisto e la possibilità di recuperare l'evento imprevisto.

Dopo aver ricevuto un'escalation di un evento imprevisto di sicurezza, il team di sicurezza organizza un team virtuale (v-team) composto da membri del team di risposta alla sicurezza del servizio online Microsoft, dei team di servizio e del team di comunicazione degli eventi imprevisti. Il team virtuale deve quindi confermare la legittimità dell'evento imprevisto di sicurezza ed eliminare eventuali falsi positivi. L'accuratezza delle informazioni fornite dagli indicatori determinati durante la fase di preparazione è fondamentale. Analizzando queste informazioni per categoria di attacco vettoriale, il team virtuale può determinare se l'evento imprevisto per la sicurezza è un problema legittimo.

All'inizio dell'indagine, il team di risposta agli eventi imprevisti di sicurezza registra tutte le informazioni sull'evento imprevisto in base ai criteri di gestione dei casi. Man mano che il caso progredisce, seguiamo le azioni in corso e seguiamo gli standard di gestione delle prove per la raccolta, la conservazione e la protezione di questi dati per tutto il ciclo di vita degli eventi imprevisti.

Alcuni esempi di queste azioni includono:

• Riepilogo, che è una breve descrizione dell'evento imprevisto e del suo potenziale impatto
• Gravità e priorità dell'evento imprevisto, che derivano dalla valutazione del potenziale impatto
• Elenco di tutti gli indicatori identificati che hanno portato al rilevamento dell'evento imprevisto
• L’elenco di eventuali incidenti correlati
• Elenco di tutte le azioni eseguite dal team virtuale
• Eventuali prove raccolte, che verranno conservate anche per l'analisi post-mortem e le future indagini forensi
• Azioni e passaggi successivi consigliati

Dopo la conferma dell'evento imprevisto di sicurezza, gli obiettivi principali del team di risposta alla sicurezza e del team di servizio appropriato sono contenere l'attacco, proteggere i servizi in attacco ed evitare un maggiore impatto globale. Allo stesso tempo, i team di progettazione appropriati lavorano per determinare la causa radice e preparare il primo piano di ripristino.

Nella fase successiva, il team di risposta alla sicurezza identifica i clienti interessati dall'evento imprevisto di sicurezza, se presente. L'ambito dell'effetto può richiedere del tempo per determinare, in base all'area, al data center, al servizio, alla server farm, al server e così via. L'elenco dei clienti interessati viene compilato dal team di servizio e dal team di comunicazione Microsoft corrispondente, che gestisce quindi il processo di notifica dei clienti entro gli obblighi contrattuali e di conformità.

Articoli correlati

• Gestione degli eventi imprevisti della sicurezza Microsoft
• Gestione degli eventi imprevisti di sicurezza Microsoft: preparazione
• Gestione degli eventi imprevisti di sicurezza Microsoft: contenimento, eradicazione e ripristino
• Gestione degli eventi imprevisti di sicurezza Microsoft: attività post-evento imprevisto
• Come registrare un ticket di supporto eventi di sicurezza
• Notifica di violazione nell'ambito del GDPR in Azure e Dynamics 365