Microsoft 安全性事件管理
Microsoft 會持續努力為 Microsoft 客戶提供高度安全的企業級服務,但安全性事件是一個不可避免的實境,必須徹底且全面地管理。 本檔提供 Microsoft 如何使用已嘗試和真實的方法和技術來處理安全性事件的概觀,以將潛在影響降到最低。 安全性事件是指任何非法存取儲存在 Microsoft 設備或 Microsoft 設備中的客戶數據,或未經授權存取可能會導致客戶數據遺失、洩漏或改變的這類設備或設施。 Microsoft 在回應安全性事件時的目標是要保護客戶數據和 Microsoft 的 線上服務。
Microsoft 線上服務 安全性小組和各種服務小組共同合作,並採取相同的安全性事件方法:
- 準備
- 偵測和分析
- 內含專案、消除和復原
- 事件後活動
Microsoft 的安全性事件管理方法
Microsoft 管理安全性事件的方法符合 美國國家標準與技術局 (NIST) 特殊發行 (SP) 800-61。 Microsoft 有數個專門小組共同合作,以預防、監視、偵測及回應安全性事件。
| 小組/區域 | 描述 |
|---|---|
| Microsoft 安全回應中心 | 識別、監視、解決及回應安全性事件和 Microsoft 軟體安全性弱點。 |
| 網路防禦營運中心 | Cyber Defense Operations Center 是實體位置,可將來自整個公司的安全性回應小組和專家整合在一起,以協助即時保護、偵測及回應威脅。 |
| 公司、外部和法律事務 | 針對可疑的安全性事件提供法律和法規建議。 |
| Microsoft Datacenter Security Team | 專注於各種服務的小組,著重於常見的安全性工程投資,以保護、偵測及回應服務架構風險和威脅。 |
| Microsoft 安全性回應小組 | 獨立 Azure、Dynamics 365 和 Microsoft 365 安全性小組會與服務小組合作,以建置適當的安全性事件管理程式,並推動任何安全性事件回應。 |
| GRC) 小組 (Microsoft 治理、風險和合規性 | 提供法規需求、合規性和隱私權的指引。 |
| 服務小組 | 適用於 Azure、Dynamics 365、Microsoft 365 的工程小組,負責每個服務的安全性相關原則和決策。 |
| Azure 作業管理員 | 監督 Azure 相關安全性和隱私權事件的調查和解決。 |
| Microsoft 威脅情報中心 (MSTIC) | 針對 Microsoft 基礎結構和資產提供數位安全性威脅的目前技術狀態、協助 Microsoft 內部的合作夥伴小組優先處理風險降低和預防工作動作計劃,以及採用近乎即時的事件監視/偵測來增加保護。 |
| 客戶體驗通訊小組 | 負責安全性和服務事件之所有客戶通訊的工程小組。 個別小組專門負責 Azure、Dynamics 365 和 Microsoft 365。 |
回應管理程式
Microsoft 線上服務 安全性小組和服務小組共同合作,並採用以 NIST 800-61 回應管理階段為基礎的相同安全性事件方法:
- 準備:指的是能夠回應所需的組織準備,包括工具、程式、專長認證和整備程度。
- 偵測 & 分析:是指在生產環境中偵測安全性事件,以及分析所有事件以確認安全性事件真實性的活動。
- 內含專案、消除、復原:是指根據在上一個階段中完成的分析,為包含安全性事件所採取的必要和適當動作。 在此階段中也可能需要進行更多分析,才能從安全性事件完全復原。
- 事件後活動:指的是在安全性事件復原之後執行的事後分析。 系統會檢閱在程式期間執行的作業動作,以判斷是否需要在準備或偵測和分析階段中進行任何變更。
同盟安全性回應模型
Microsoft 線上服務 包含核心 Microsoft 產品,包括 Azure、Dynamics 365 和 Microsoft 365。 這些服務都由個別小組以自己的安全性作業程序來運作。 Microsoft 的其他小組,例如 MSTIC,也會參與 Microsoft 線上服務 的各種安全性層面。 由於許多小組都在組成 Microsoft 線上服務 的所有各種服務上進行安全性作業管理,因此 Microsoft 已實作同盟安全性回應模型。
下表顯示各種 Microsoft 在線服務安全性作業小組與 Microsoft 服務小組之間的作業界限:
| 活動 | Microsoft 安全性小組作業 | Microsoft 服務小組作業 |
|---|---|---|
| 偵測和分析 | - 偵測需求 - 安全性監視和分析 - IOC) 掃掠 (入侵指標 - 入侵搜捕 - 24x7 安全性待命和事件回應潛在客戶 |
- 偵測需求 - 監視基礎結構部署 - 服務分析和深入解析 - 事件和警示分級 - 24x7 服務工程待命 |
| 內含專案、消除、復原 | - 事件回應潛在客戶 - 鑑識調查 - 安全性專業知識和諮詢 - 復原指引 |
- 安全性事件擁有者 - 服務見解和專業知識 - 執行內含專案、消除和復原 |
| 事件後活動 | - 事件後分析潛在客戶 - 資料收集和封存 - 學習到的課程和 Bug 要求 - 事件報告 |
- 服務端事件分析 - 優先處理後續活動 - 實作安全性投資 - 服務安全性整備 |