Gerenciamento de incidentes de segurança da Microsoft: atividade pós-incidente
Autópsia
Alguns incidentes de segurança, especialmente aqueles incidentes que estão afetando o cliente ou resultam em uma violação de dados, estão sujeitos a um incidente completo após a morte. A equipe de resposta de segurança realiza uma pós-morte detalhada com todas as partes envolvidas na resposta a incidentes de segurança para:
- Documente a sequência de eventos que causaram o incidente.
- Crie um resumo técnico do incidente, conforme suportado pelas evidências que incluem os atores envolvidos na violação (se conhecido). Este resumo inclui como a resposta foi executada e outros principais takeaways.
- Identifique lapsos técnicos, falhas processuais, erros manuais, falhas de processo e falhas de comunicação e/ou quaisquer vetores de ataque até então desconhecidos que foram identificados durante a resposta a incidentes de segurança.
A pós-morte influencia diretamente o aprimoramento de serviços online da Microsoft, os processos operacionais e a documentação definindo novas prioridades no ciclo de desenvolvimento de engenharia do Microsoft serviços online.
Documentação
Todas as principais descobertas técnicas no processo pós-morte são capturadas em um relatório e investimentos de serviço ou correções na forma de bugs ou solicitações de alteração de desenvolvimento. Essas descobertas são seguidas com as equipes de engenharia apropriadas. Para falhas de processo e problemas entre organizações, os problemas são documentados no banco de dados da equipe de resposta de segurança e acompanhados com os grupos apropriados para resolvê-los.
Aprimoramento do processo
Responder a um incidente de segurança na Microsoft serviços online envolve a coordenação com vários grupos espalhados por diferentes organizações dentro da Microsoft e, potencialmente, até mesmo organizações externas apropriadas, como a aplicação da lei. Sabemos que é fundamental avaliar nossas respostas após cada incidente de segurança para suficiência e integridade. Para quaisquer melhorias ou alterações identificadas, a equipe de resposta à segurança avalia as sugestões em consulta com as equipes e os stakeholders apropriados e, quando apropriado, as incorpora em procedimentos operacionais padrão. Todas as alterações, bugs ou melhorias de serviço necessárias identificadas durante a resposta a incidentes de segurança ou atividade pós-morte são registradas e rastreadas em um banco de dados interno de engenharia da Microsoft. Todos os bugs ou recursos potenciais são atribuídos ao proprietário apropriado. A equipe de resposta de segurança da Microsoft examina todas as entradas até que o problema seja resolvido.
Artigos relacionados
- Gerenciamento de incidentes de segurança da Microsoft
- Gerenciamento de incidentes de segurança da Microsoft: preparação
- Gerenciamento de incidentes de segurança da Microsoft: detecção e análise
- Gerenciamento de incidentes de segurança da Microsoft: contenção, erradicação e recuperação
- Como registrar um tíquete de suporte a eventos de segurança
- Notificação de Violação do Azure e do Dynamics 365 no GDPR