Microsoft セキュリティ インシデント管理: インシデント後のアクティビティ
死後
一部のセキュリティ インシデント (特に、顧客に影響を与えたり、データ侵害を起こしたりするインシデント) は、完全なインシデント事後処理の対象となります。 セキュリティ対応チームは、セキュリティ インシデント対応に関与するすべての関係者と詳細な事後分析を行います。
- インシデントの原因となったイベントのシーケンスを文書化します。
- 侵害に関与するアクター (既知の場合) を含む証拠によってサポートされるインシデントの技術的な概要を作成します。 この概要には、応答の実行方法とその他の重要な点が含まれます。
- 技術的な経過、手順の失敗、手動エラー、プロセスの欠陥、通信の不具合、およびセキュリティ インシデント対応中に特定された以前に不明だった攻撃ベクトルを特定します。
事後分析は、Microsoft オンライン サービス エンジニアリング開発サイクルで新しい優先順位を設定することで、Microsoft オンライン サービスの改善、運用プロセス、ドキュメントに直接影響します。
ドキュメント
事後プロセスのすべての重要な技術的な結果は、バグや開発変更要求の形でレポートやサービスへの投資または修正に取り込まれます。 これらの結果は、適切なエンジニアリング チームにフォローアップされます。 プロセスの失敗と組織間の問題については、セキュリティ対応チームのデータベースに問題が文書化され、それに対処するための適切なグループがフォローアップされます。
プロセスの改善
Microsoft オンライン サービスのセキュリティ インシデントに対応するには、Microsoft 内の異なる組織や、法執行機関などの適切な外部組織に分散する複数のグループとの連携が必要です。 すべてのセキュリティ インシデントの後の対応を、充足性と完全性の両方で評価することが重要であることを認識しています。 特定された改善や変更の場合、セキュリティ対応チームは、適切なチームや利害関係者と相談して提案を評価し、適切な場合は標準の運用手順に組み込みます。 セキュリティ インシデント対応または事後アクティビティ中に特定されたすべての必要な変更、バグ、またはサービスの改善は、Microsoft の内部エンジニアリング データベースに記録され、追跡されます。 すべての潜在的なバグまたは機能は、適切な所有者に割り当てられます。 Microsoft セキュリティ対応チームは、問題が解決されるまで、すべてのエントリを確認します。