了解 Microsoft Online Services 事件响应阶段 2 - 检测和分析
Microsoft 专注于关键威胁方案以及补充检测和分析活动,以便在攻击生命周期中尽早实现安全响应。 检测工具配置为提供足够的信息,以便在检测到潜在事件时执行有效且高效的响应操作。 Microsoft 有专门的安全信号团队,他们负责利用安全响应团队及其合作伙伴的学习来改进对潜在安全事件的检测。
检测工具和策略
虽然 Microsoft 已准备好处理任何事件,但检测策略侧重于常见的攻击途径,例如内部威胁、Web 服务攻击、拒绝服务攻击和租户攻击。 事件迹象分为两类:前兆和指标。 前兆是一个迹象,表明将来可能发生事件,一个指示符表示某个事件可能已经发生或可能正在发生。
事件响应过程最具挑战性的部分之一是准确检测和评估可能与 Microsoft Online Services 相关的大量活动。 即使指示器是准确的,也不一定意味着发生了事件。 Microsoft 使用具有不同详细程度和保真度的多种技术来检测潜在事件。
集中式审核日志记录和分析是用于检测异常或可疑活动的主要方法之一。 来自 Microsoft Online Services 服务器和基础结构设备的日志文件收集并存储在中央统一数据库中。 集中式日志分析允许 Microsoft 的安全响应团队全面监视环境并关联来自不同服务的日志条目。
其他检测工具包括基于网络和基于主机的入侵检测系统、集中管理的防病毒和反恶意软件套件,以及手动检测方法,例如工程师和最终用户的观察结果。 Microsoft 在云堆栈的所有组件中雇佣了经验丰富、精通且技术娴熟的人员。 我们的工程师的专业知识可以补充并支持我们的自动化检测机制。
呈报和调查
由于每个观察可能不是安全问题,因此服务团队必须执行初始会审和初步评审,以检查问题的性质并确定其严重性。 Microsoft 的安全响应团队创建和维护服务团队在观察结果确定为真正的安全事件时要遵循的升级标准和过程。
升级后,安全响应团队将充当安全事件响应过程的其余部分的关键业务流程协调程序。 安全响应团队负责分析检测指标,以确定是否已发生安全事件,并根据需要调整其严重性级别。 如果团队在任何时候发现客户数据遭到披露、修改或销毁,则团队将启动客户安全通知流程。
在调查开始时,安全响应团队会与服务团队协作,记录与事件相关的所有信息,并在整个事件响应过程中保持其准确性。 相关信息可能包括:
- 事件摘要
- 基于潜在影响的事件严重性和优先级
- 导致检测到该事件的所有指示器的列表
- 任何相关事件的列表
- 安全响应团队和任何关联的服务团队执行的所有操作的列表
- 在事件响应过程中收集的任何证据,这些证据将保留用于事后分析和潜在的取证调查
- 建议的后续步骤和操作
当呈报潜在安全事件时,相应的调查团队仅包括对调查至关重要的人员。 非 Microsoft 全职员工(如子流程人员或劳务派遣员工)不参与此工作。 这些人员仅在必要时重新参与,且参与范围受限。