事件响应规划

使用此表作为清单来准备安全运营中心 (SOC) 以响应网络安全事件。

已完成 活动 说明 好处
桌面练习 对可预见的影响业务的网络事件定期进行桌面练习,这些事件会迫使组织管理层考虑基于风险的困难决策。 坚决地将网络安全确立为业务问题并加以说明。 在整个组织中开发肌肉记忆,并找出困难决策和决策权利问题。
确定攻击前决策和决策者 作为对桌面练习的补充,请确定基于风险的决策、制定决策的条件以及必须制定和执行这些决策的人员。 例如:

谁/何时/是否向执法机构寻求帮助?

谁/何时/是否登记事件响应者?

谁/何时/是否支付勒索赎金?

谁/何时/是否通知外部审核人员?

谁/何时/是否通知隐私监管机构?

谁/何时/是否通知证券监管机构?

谁/何时/是否通知董事会或审计委员会?

谁有权关闭任务关键型工作负载?
定义要涉及的初始响应参数和联系人,简化对事件的响应。
维持特权 通常,建议可设置特权,而事实却可以发现。 培训关键事件负责人,使其在特权下交流建议、事实和意见,以便保留特权并降低风险。 若要考虑众多通信渠道(包括电子邮件、协作平台、聊天、文档、工件)时,维护特权可能是一个难以应付的过程。 例如,可以使用 Microsoft Teams 会议室。 事件人员和支持外部组织之间采取一致方法有助于减少任何潜在的法律风险。
内部交易注意事项 考虑向管理层发送通知,以便采取相应措施来降低违规风险。 董事会和外部审核人员往往会意识到你有缓解措施,这些措施可在动荡时期降低可疑证券交易的风险。
事件角色和职责 playbook 确立基本角色和职责,使各种流程能够保持关注重点并使其进度向前推进。

当响应团队远程工作时,可能需要对时区和适当交接调查人员进行其他考虑。

可能必须与其他有关团队(例如供应商团队)进行通信。
技术事件负责人 - 始终在事件中合成输入和结果,并规划后续操作。

沟通联系人 - 消除与技术事件负责人与管理层沟通的负担,这样他们就可以继续参与事件,切不会失去关注。

此活动应包括管理执行层通讯和互动以及其他第三方,例如监管机构。

事件记录者 - 消除从事件响应者记录结果、决策和操作的负担,并从头到尾准确记录事件。

前瞻性规划师 - 与任务关键型业务过程所有者合作,制定业务连续性活动和准备,以考量持续 24、48、72、96 小时或更长时间的信息系统损害。

公共关系 - 在发生可能引起公众注意的事件时,与前瞻性规划师一起思考并起草公共沟通方法的方案,以解决可能出现的情况。
隐私事件响应 playbook 为了满足日益严格的隐私法规,在 SecOps 和隐私办公室之间制定一本共同拥有的剧本。 此剧本将允许快速评估可能因安全事件引起的潜在隐私问题。 评估安全事件对隐私的潜在影响很难,因为大多数安全事件都发生在技术性很强的 SOC 中。 这些事件必须迅速提交给隐私办公室(通常需要 72 小时通知),来确定监管风险。
渗透测试 对业务关键型系统、关键基础结构和备份执行时间点模拟攻击,以识别安全状况中的弱点。 通常,此活动由相关外部专家团队进行,他们专注于绕过预防性控制和呈现主要漏洞这类事项。 鉴于最近人为操作的勒索软件事件,渗透测试应针对更大范围的基础结构进行,尤其是攻击和控制任务关键型系统和数据备份的能力。
红队/蓝队/紫队/绿队 对业务关键型系统、关键基础结构和备份进行连续或定期的模拟攻击,以识别安全状况中的弱点。 通常,此活动由内部攻击团队(红队)进行,他们专注于测试检测控制和团队(蓝队)的有效性。

例如,可以使用 Microsoft Defender XDR for Office 365 中的攻击模拟训练和 Microsoft Defender XDR for Endpoint 中的攻击教程和模拟
红队、蓝队和紫队攻击模拟在执行效果好的情况下,可用于多种目的:
  • 使整个 IT 组织的工程师都能在其自己的基础结构专业方面模拟攻击。
  • 呈现可见性和检测方面的差距。
  • 全面提升安全工程技能。
  • 用作更连续和更广泛的流程。


绿色团队在 IT 或安全配置中实现更改。
业务连续性规划 对于任务关键型业务流程,设计并测试连续性流程,使最小可行业务能够在信息系统受损时正常运行。

例如,使用 Azure 备份和还原计划在遭到攻击期间保护关键业务系统,确保业务操作快速恢复。
  • 突出这一点事实:对于 IT 系统受损或缺失,并没有持续性的解决方法。
  • 可以强调对复杂数字复原能力的需求和资金投入,而不是较简单的备份和恢复。
灾难恢复 对于支持任务关键型业务流程的信息系统,应设计和测试热/冷和热/暖备份和恢复方案,包括暂存时间。 执行裸机生成的组织通常会发现一些活动无法复制或不符合服务级目标。

多次在不受支持的硬件上运行的任务关键型系统无法还原为新式硬件。

备份还原通常未经过测试,并且会遇到问题。 备份可能会进一步脱机,因此暂存时间不会纳入还原目标。
带外沟通 准备好如何在以下情况下进行沟通:
  • 电子邮件和协作服务减损
  • 文档存储库的赎金
  • 人员电话号码不可用。
虽然这是一项困难的练习,但请确定如何将重要信息以不变的方式存储在离线设备和位置进行大规模分发。 例如:
  • 电话号码
  • 拓扑
  • 生成文档
  • IT 还原过程
强化、清洁和生命周期管理 根据 Internet 安全中心 (CIS) 前 20 项安全控制,强化基础结构并执行全面的清洁活动。 为应对最近人为操作的勒索软件事件,Microsoft 已发布具体指南,来保护网络攻击杀伤链的每个阶段。 本指南适用于 Microsoft 功能或其他提供商的功能。 尤其需要注意的是:
  • 在系统遭到勒索时创建和维护不可变的备份副本。 还可考虑如何保留不可变日志文件,使攻击者更难以掩盖其行踪。
  • 与灾难恢复不支持的硬件相关的风险。
事件响应规划 在事件开始时,确定以下内容:
  • 重要的组织参数。
  • 人员角色和职责分配。
  • 紧迫感(例如全天候办公时间)。
  • 持续期间用于实现可持续性的工作人员。
人们倾向于在一开始就将所有可用资源投入到某一事件中,并希望快速解决问题。 若是确定或预计事件会持续很长一段时间,请采取与员工和供应商不同的态势,让他们能够适应更长时间的费力工作。
事件响应方 彼此确立明确的期望。 报告正在进行的活动的常用格式包括:
  • 我们已完成的操作(结果如何)?
  • 我们正在执行哪些操作(可产生什么结果,何时产生)?
  • 我们接下来计划做什么(何时期待结果比较现实)?
事件响应方采用不同的技术和方法,包括死箱分析、大数据分析以及生成增量结果的功能。 一开始就明确期望,将有助于清晰沟通。

事件响应资源

Microsoft 主要安全资源

资源 说明
2021 Microsoft 数字防御报告 这份报告涵盖了 Microsoft 安全专家、管理人员和防御人员的经验,旨在增强各地人员抵御网络威胁的能力。
Microsoft 网络安全参考体系结构 一组直观的体系结构图,展示了 Microsoft 的网络安全功能及其与 Microsoft 云平台(例如 Microsoft 365 和 Microsoft Azure)和第三方云平台及应用程序的集成。
“时间至关重要”信息图下载 概述 Microsoft 的安全运营团队如何响应事件来缓解正在遭受的攻击。
Azure 云采用框架安全操作 为建立安全运营功能或使之现代化的领导者提供的战略指导。
Microsoft 安全最佳做法 - 安全运营 如何充分利用安全运营中心抢在组织攻击者前面行动。
面向 IT 架构师的 Microsoft 云安全模型 Microsoft 云服务和平台中用于标识和设备访问、威胁防护以及信息保护的安全措施。
Microsoft 安全文档 Microsoft 的其他安全指南。