事件回應規劃
使用此表格作為檢查清單,以準備您的安全性作業中心 (SOC) 以回應網路安全事件。
| 完成 | 活動 | 描述 | 優點 |
|---|---|---|---|
| 表格頂端練習 | 定期執行可預見業務影響之網路事件的定期練習,迫使貴組織的管理考慮以風險為基礎的困難決策。 | 牢牢地建立並說明網路安全作為商業問題。 開發肌肉記憶,並呈現整個組織的困難決策和決策權利問題。 | |
| 判斷攻擊前決策和決策者 | 作為表頂練習的補充,決定風險型決策、決策準則,以及誰必須做出和執行這些決策。 例如: 誰/何時/如果向執法部門尋求協助? 誰/何時/如果登記事件回應者? 誰/何時/如果支付贖金? 誰/何時/如果通知外部稽核員? 誰/何時/如果通知隱私權監管部門? 誰/何時/如果通知證券監管機構? 誰/何時/如果通知董事會或審計委員會? 誰有權關閉任務關鍵性工作負載? |
定義初始響應參數和聯繫人,以簡化事件的回應。 | |
| 維護許可權 | 通常,建議可以享有特權,但事實是可以探索的。 訓練重要事件領導者在特權下傳達建議、事實和意見,以便保留特權,降低風險。 | 考慮許多通訊頻道時,維護許可權可能是一個混亂的程式,包括電子郵件、共同作業平臺、聊天、檔、成品。 例如,您可以使用 Microsoft Teams 會議室。 跨事件人員和支援外部組織的一致方法可協助減少任何潛在的法律風險。 | |
| 測試人員交易考慮 | 考慮應向管理層通知,以減少證券違規風險。 | 董事會和外部審計師傾向於瞭解,您有風險降低風險的可疑證券交易在動蕩時期。 | |
| 事件角色和責任劇本 | 建立基本角色和責任,讓各種程式能夠保持專注和向前發展。 當您的回應小組位於遠程時,可能需要時區的其他考慮,並適當移交給調查人員。 您可能必須與其他可能涉及的小組進行通訊,例如廠商小組。 |
技術事件領導者 – 一律在事件中,合成輸入和結果,並規劃下一個動作。 通訊聯絡 員 – 從技術事件領導者移除與管理溝通的負擔,讓他們可以繼續參與事件,而不會失去焦點。 此活動應包括管理主管傳訊,以及與其他第三方(例如監管機構)的互動。 事件錄製器 – 從頭到尾移除記錄事件回應者的結果、決策和動作的負擔,併產生事件的準確會計。 向前規劃 – 與任務關鍵商務程式擁有者合作,制定商務持續性活動和準備,考慮資訊系統受損,持續 24、48、72、96 小時以上。 公共關係 – 如果事件可能引起公眾的關注,向前規劃者考慮並起草解決可能結果的公共溝通方法。 |
|
| 隱私權事件回應劇本 | 為了滿足日益嚴格的隱私權法規,請開發 SecOps 與隱私權辦公室之間的共同擁有劇本。 此劇本將允許快速評估可能因安全性事件而產生的潛在隱私權問題。 | 很難評估安全性事件是否有可能影響隱私權的潛力,因為大部分的安全性事件都發生在高度技術性的SOC中。 這些事件必須迅速浮出水面到隱私辦公室(通常有72小時的通知預期),其中監管風險已確定。 | |
| 滲透測試 | 針對業務關鍵系統、關鍵基礎結構和備份進行時間點模擬攻擊,以找出安全性狀態的弱點。 一般而言,這項活動是由一組外部專家小組進行,其重點是略過預防性控制和呈現關鍵弱點。 | 根據最近的人為操作勒索軟體事件,應針對基礎結構範圍增加進行滲透測試,特別是攻擊和控制任務關鍵系統和數據備份的能力。 | |
| 紅隊/藍隊/紫色隊/綠色隊 | 針對業務關鍵系統、重要基礎結構、備份進行持續或定期的模擬攻擊,以找出安全性狀態的弱點。 通常,這項活動是由內部攻擊小組(紅色小組)進行,他們專注於測試偵探控制和團隊(藍色團隊)的有效性。 例如,您可以在適用於 Office 365 的 Microsoft Defender 全面偵測回應 中使用 攻擊模擬訓練,以及端點 Microsoft Defender 全面偵測回應 的攻擊教學課程和模擬。 |
紅色、藍色和紫色小組攻擊模擬,完成時,會提供許多用途:
綠色小組會在IT或安全性設定中實作變更。 |
|
| 商務持續性規劃 | 對於任務關鍵性商務程式,設計和測試持續性程式,可讓最小可行商務在資訊系統受損期間運作。 例如,使用 Azure 備份和還原計劃 來保護攻擊期間的重要商務系統,以確保快速復原您的商務作業。 |
|
|
| 災害復原 | 對於支援任務關鍵性商務程序的信息系統,您應該設計和測試經常性/冷、熱/暖備份和復原案例,包括預備時間。 | 進行裸機組建的組織通常會發現無法復寫或不符合服務等級目標的活動。 在不支援的硬體上執行的任務關鍵性系統多次無法還原到新式硬體。 還原備份通常不會經過測試,而且會遇到問題。 備份可能會進一步離線,因此暫存時間尚未納入復原目標。 |
|
| 頻外通訊 | 準備如何在下列案例中溝通:
|
雖然這是一個困難的練習,但決定如何將重要資訊永久儲存在離線裝置和大規模散發的位置。 例如:
|
|
| 強化、衛生和生命週期管理 | 與因特網安全性中心 (CIS) 前 20 名安全性控制一致,強化您的基礎結構並執行徹底的衛生活動。 | 為了應對最近人為操作的勒索軟體事件,Microsoft發佈了 保護網路攻擊殺傷鏈每個階段的特定指導方針 。 本指南適用於Microsoft功能或其他提供者的功能。 特定注意事項為:
|
|
| 事件回應規劃 | 事件發生開始時,請決定:
|
一開始,人們傾向於在事件中擲回所有可用的資源,希望能夠快速解決。 一旦您認識到或預期事件會延長一段時間,請採取不同的姿態,與您的員工和供應商一起,讓他們能夠安頓更長的時間。 | |
| 事件回應者 | 彼此建立明確的期望。 報告進行中活動的常用格式包括:
|
事件回應者採用不同的技術和方法,包括死箱分析、巨量數據分析,以及產生累加結果的能力。 從明確的期望開始,將促進明確的溝通。 |
事件回應資源
- 適用於新角色和經驗豐富的分析師Microsoft安全性產品和服務的概觀
- 劇本 ,以取得響應常見攻擊方法的詳細指引
- Microsoft Defender 全面偵測回應 事件回應
- 適用於雲端的 Microsoft Defender (Azure)
- Microsoft Sentinel 事件回應
- Microsoft事件回應小組指南會分享安全性小組和領導者的最佳做法
- Microsoft事件回應指南可協助安全性小組分析可疑活動
金鑰Microsoft安全性資源
| 資源 | 描述 |
|---|---|
| 2021 Microsoft 數位防禦報告 | 報告包含來自安全專家、從業者和Microsoft的防禦者學習,讓世界各地的人員能夠抵禦網路威脅。 |
| Microsoft 網路安全性參考結構 | 一組可視化架構圖表,顯示Microsoft的網路安全性功能及其與Microsoft雲端平臺的整合,例如Microsoft 365 和 Microsoft Azure 和第三方雲端平臺和應用程式。 |
| 分鐘信息圖 下載 | Microsoft SecOps 小組如何執行事件回應以減輕持續攻擊的概觀。 |
| Azure 雲端採用架構 安全性作業 | 建立或現代化安全性作業功能領導者的戰略指導方針。 |
| Microsoft安全性作業的安全性最佳做法 | 如何使用 SecOps 中心,比以組織為目標的攻擊者更快移動。 |
| Microsoft IT 架構設計人員模型的雲端安全性 | 跨Microsoft雲端服務和平台的安全性,以進行身分識別和裝置存取、威脅防護和信息保護。 |
| Microsoft 安全性文件 | Microsoft的其他安全性指引。 |