了解 Microsoft Online Services 事件响应阶段 3 - 遏制、根除和恢复
根据安全响应团队协调的分析,制定了适当的遏制和恢复计划,以尽量减少安全事件的影响、保留证据以及消除环境中的威胁。 相关服务团队在安全响应团队的支持下实施计划,以确保成功消除威胁,并完全恢复受影响的服务。
遏制
遏制的主要目标是限制对 Microsoft 系统、应用程序、客户、客户数据的损害。 在此阶段,安全响应团队与受影响的服务团队合作,以限制安全事件的影响并防止进一步损坏。 遏制策略取决于事件类型,但可能包括重建受影响的系统、隔离和隔离受感染的主机,或控制对关键资源的访问。 对于影响较大的事件,计划会因复杂性而逐案确定。 Microsoft Online Services 中的各种自动响应也可能帮助团队控制事件。
数据收集和分析贯穿于遏制阶段,确保已正确识别事件的根本原因,让所有受影响的服务和租户都包含在规划和恢复计划中。 成功地跟踪所有受影响的服务有助于实现完全隔离和恢复。
消除
消除是根除安全事件的过程,具有较高的置信度。 消除的目标有两个:将攻击者完全地从环境中逐出,缓解导致事件或使攻击者重回环境的任何漏洞。
逐出攻击者并缓解漏洞的步骤基于在上一个事件响应阶段执行的分析。 根据事件的影响,活动可能包括删除攻击者项目、终止恶意进程、重置机密,或在某些情况下完全重建系统。 在整个过程中,安全响应团队将继续使用网络和进程监视等策略来跟踪和监视攻击者的活动。 安全响应团队与受影响的服务团队协调,以确保按设计执行计划,并成功从环境中删除威胁。 在消除威胁并解决其根本原因之前,无法进行恢复。
恢复
当安全响应团队确信攻击者已从环境中逐出并且已知漏洞已得到修正时,他们将与受影响的服务团队合作启动恢复。 恢复会将受影响的服务引入已知的安全配置。 恢复过程包括识别服务的最后已知良好状态、从备份还原到此状态,以及确认还原状态可缓解导致事件的漏洞。
恢复过程的一个关键方面是增强了检测控制,以验证恢复计划是否成功执行,确保环境中没有泄露信号。 其他检测控制包括增强的网络级别监视、针对事件响应过程中识别的攻击向量的定向警报,以及针对关键资源的其他安全团队警报。 增强的监视有助于确保消除成功,并且攻击者无法再次进入环境。