Microsoft 安全性事件管理:內含專案、消除和復原
根據安全性回應小組所執行的分析,服務小組會開發適當的內含專案和復原計劃,以將安全性事件的影響降到最低。 然後,適當的服務小組會在生產環境中套用該方案,並提供安全性回應小組的支援。
遏制措施
偵測到安全性事件之後,請務必先包含入侵,敵人才能存取更多資源或造成更大的損害。 安全性事件回應程式的主要目標是限制對客戶或其數據,或 Microsoft 系統、服務和應用程式的影響。
鏟除
鏟除是透過高度自信來消除安全性事件根本原因的一個流程。 目標是兩個折疊:
- 完全從環境中收回敵人
- 若已知) 啟用或可讓敵人重新進入環境,則可減輕弱點 (。
根據事件的本質、安全性事件的範圍、滲透深度和可能的後果,安全性回應小組建議服務小組採用消除技術。 考慮到這些消除步驟可能造成的潛在業務影響,這些決策是由服務小組和安全性回應小組在必要時由執行事件管理員 (的詳細分析和核准) 。
復原
當回應小組獲得合理程度的信賴度,認為已從環境中收回敵人,且已消除所有已知易受攻擊的路徑時,個別服務小組會起始還原步驟,以將服務帶入已知且良好的設定。 這些還原步驟會與安全性回應小組諮詢。 此活動包括識別服務的最後一個已知良好狀態、從備份還原到此狀態、檢查處於還原狀態的易受攻擊路徑等。安全性回應小組在與服務小組的諮詢中,決定環境的最佳可能復原方案。
復原的一個重要層面是增強增強的增強型和控制措施,以驗證復原計劃是否已成功執行,且環境中沒有任何缺口徵兆存在。
安全性事件的客戶通知
如果 Microsoft 判斷已發生安全性事件,我們會在合約和合規性需求內,以不重複的延遲通知您。 識別所有受影響的租用戶之後,對應的通訊小組會致力於識別可能適用於受影響租使用者的任何相關法規。 通訊小組會使用適用法規中定義的適當通道來通知適當的租用戶聯繫人。
通知包含事件的詳細資訊,例如事件的描述、對客戶數據的影響、如果有的話、Microsoft 所採取的動作,以及/或建議客戶採取以解決問題並防止週期性的動作。 通知會傳遞給指定的系統管理員 (Microsoft 線上服務 租使用者的) 。 若要確保收到通知,您應該確保系統管理員在其租使用者配置檔中提供並維護正確的連絡資訊。 此外,根據事件的性質,Microsoft 365 客戶也可以透過 Microsoft 365 服務健康情況儀錶板收到通知。