瞭解 Microsoft Online Services 事件回應階段 2 - 偵測和分析
Microsoft 著重於主要威脅案例和互補的偵測和分析活動,以在攻擊生命週期中儘早啟用安全性回應。 偵測工具已設定為在偵測到潛在事件時,提供充分的資訊來執行有效且有效率的回應動作。 Microsoft 有專門的安全性訊號小組,負責使用安全性回應小組及其合作夥伴的學習來改善潛在安全性事件的偵測。
偵測工具和策略
雖然 Microsoft 已準備好處理任何事件,但偵測策略著重於常見的攻擊媒介,例如內部威脅、Web 服務攻擊、阻斷服務攻擊和租用戶攻擊。 事件的徵兆分成兩個類別之一:前置體和指標。 前置詞表示未來可能會發生事件,而指標則表示事件可能已發生或可能正在發生。
事件回應程式中最具挑戰性的部分之一,就是精確地偵測和評估可能的事件,因為與 Microsoft Online Services 相關聯的活動數量龐大。 即使指標正確無誤,也不一定表示已發生事件。 Microsoft 使用具有不同詳細程度和精確度的多種技術來偵測潛在事件。
集中式稽核記錄和分析是用來偵測異常或可疑活動的主要方法之一。 來自 Microsoft Online Services 伺服器和基礎結構裝置的記錄檔會收集並儲存在中央的合併資料庫中。 集中式記錄分析可讓 Microsoft 的安全性回應小組全面監視環境,並將來自不同服務的記錄專案相互關聯。
其他偵測工具包括網路型和主機型入侵檢測系統、集中管理的防病毒軟體和反惡意代碼套件,以及手動偵測方法,例如工程師和終端用戶的觀察。 Microsoft 採用具有雲端堆疊所有元件專長認證的高經驗、熟練且熟練的人員。 工程師的專業知識讓我們的自動化偵測機制更加完善。
呈報與調查
由於每個觀察可能不是安全性問題,因此服務小組必須執行初始分級和初步檢閱,以檢查問題的性質並判斷其嚴重性。 如果判斷為真正的安全性事件,Microsoft 的安全性回應小組會建立並維護服務小組要遵循的呈報準則和程式。
一旦呈報,安全性回應小組會作為安全性事件回應程序其餘部分的重要協調器。 安全性回應小組負責分析偵測指標,以判斷是否已發生安全性事件,並視需要調整其嚴重性層級。 如果團隊在任何時候發現客戶資料已遭洩漏、修改或損毀,該團隊會啟動客戶安全性通知程序。
在調查開始時,安全性回應小組會與服務小組合作,記錄與事件相關的所有資訊,並在整個事件回應程式中維持其正確性。 相關資訊可能包含:
- 事件摘要
- 根據事件的潛在影響,事件的嚴重性和優先順序
- 導致事件偵測的所有指標清單
- 任何相關事件的清單
- 安全性回應小組和任何相關服務小組所採取之所有動作的清單
- 事件回應程序期間收集的任何證據,將保留供檢討和可能的鑒識調查使用
- 建議的後續步驟和動作
在呈報潛在的安全性事件時,對應的調查團隊只會包含對調查至關重要的人員。 非 Microsoft 全職員工 (例如轉包處理者或職員增強) 則不參與其中。 這些人員只有在必要且範圍有限時才會重新參與。