Verwaltung von Microsoft-Sicherheitsvorfällen: Eindämmung, Beseitigung und Wiederherstellung

  • Artikel

Basierend auf der Vom Sicherheitsreaktionsteam durchgeführten Analyse entwickelt das Serviceteam einen geeigneten Eindämmungs- und Wiederherstellungsplan, um die Auswirkungen des Sicherheitsvorfalls zu minimieren. Die entsprechenden Serviceteams wenden diesen Plan dann in der Produktion mit Unterstützung durch das Sicherheitsreaktionsteam an.

Eindämmung

Nach dem Erkennen eines Sicherheitsvorfalls ist es wichtig, den Angriff einzudämmen, bevor der Angreifer auf mehr Ressourcen zugreifen oder mehr Schaden anrichten kann. Das Hauptziel unserer Verfahren zur Reaktion auf Sicherheitsvorfälle besteht darin, die Auswirkungen auf Kunden oder deren Daten oder auf Microsoft-Systeme, -Dienste und -Anwendungen zu begrenzen.

Beseitigung

Als Beseitigung wird der Prozess bezeichnet, bei dem die Ursache des Sicherheitsvorfalls mit einem hohen Maß an Zuverlässigkeit eliminiert wird. Das Ziel ist zweifach:

  • den Angreifer vollständig aus der Umgebung zu entfernen
  • , um die Sicherheitsanfälligkeit (sofern bekannt) zu verringern, die den Angreifer aktiviert hat oder ermöglichen könnte, die Umgebung erneut zu wechseln.

Abhängig von der Art des Vorfalls, dem Umfang des Sicherheitsvorfalls, der Tiefe der Penetration und möglichen Auswirkungen empfiehlt das Sicherheitsreaktionsteam, dass Serviceteams Ausrottungstechniken anwenden. Angesichts der potenziellen geschäftlichen Auswirkungen, die durch diese Ausrottungsschritte verursacht werden können, werden diese Entscheidungen von Serviceteams und dem Sicherheitsreaktionsteam nach einer detaillierten Analyse und Genehmigung durch den Executive Incident Manager (falls erforderlich) getroffen.

Wiederherstellung

Da das Reaktionsteam ein angemessenes Maß an Vertrauen gewinnt, dass der Angreifer aus der Umgebung entfernt wurde und alle bekannten anfälligen Pfade beseitigt wurden, initiieren die einzelnen Serviceteams Wiederherstellungsschritte, um den Dienst auf eine bekannte und gute Konfiguration zu bringen. Diese Wiederherstellungsschritte erfolgen in Absprache mit dem Sicherheitsreaktionsteam. Diese Aktivität umfasst das Identifizieren des letzten bekannten fehlerfreien Zustands des Diensts, das Wiederherstellen von Sicherungen in diesen Zustand, das Untersuchen anfälliger Angriffspfade im wiederhergestellten Zustand usw. Das Sicherheitsreaktionsteam bestimmt in Absprache mit den Serviceteams den bestmöglichen Wiederherstellungsplan für die Umgebung.

Ein wichtiger Aspekt der Wiederherstellung ist die Verstärkte Wachsamkeit und Kontrollen, um zu überprüfen, ob der Wiederherstellungsplan erfolgreich ausgeführt wurde und dass keine Anzeichen einer Sicherheitsverletzung in der Umgebung vorhanden sind.

Kundenbenachrichtigung über Sicherheitsvorfall

Wenn Microsoft feststellt, dass ein Sicherheitsvorfall aufgetreten ist, benachrichtigen wir Sie mit unangemessener Verzögerung und im Rahmen von vertraglichen und Complianceanforderungen, denen wir zustimmen. Nach der Identifizierung aller betroffenen Mandanten arbeitet das entsprechende Kommunikationsteam daran, alle relevanten Vorschriften zu identifizieren, die für betroffene Mandanten gelten könnten. Das Kommunikationsteam verwendet den entsprechenden Kommunikationskanal, der in den geltenden Vorschriften definiert ist, um den entsprechenden Mandantenkontakt zu benachrichtigen.

Prozess zur Reaktion auf Vorfälle.

Die Benachrichtigung enthält detaillierte Informationen zu dem Vorfall, z. B. eine Beschreibung des Vorfalls, die Auswirkungen auf Kundendaten, falls vorhanden, von Microsoft ausgeführte Aktionen und/oder vorgeschlagene Aktionen für Kunden, um das Problem zu beheben und wiederholungen zu verhindern. Die Benachrichtigung wird an die angegebenen Administratoren des Microsoft Onlinedienste-Mandanten übermittelt. Um sicherzustellen, dass Benachrichtigungen empfangen werden, sollten Sie sicherstellen, dass Ihre Administratoren genaue Kontaktinformationen in ihren Mandantenprofilen bereitstellen und verwalten. Darüber hinaus können Microsoft 365-Kunden je nach Art des Vorfalls auch über das Microsoft 365 Service Health Dashboard benachrichtigt werden.