Microsoft 보안 인시던트 관리: 검색 및 분석

악의적인 활동을 감지하기 위해 Microsoft의 각 온라인 서비스 중앙에서 보안 이벤트 및 기타 데이터를 기록하고 다양한 분석 기술을 수행하여 비정상 또는 의심스러운 활동을 찾습니다. 로그 파일은 Microsoft 온라인 서비스 서버 및 인프라 디바이스에서 수집되고 중앙 및 통합 데이터베이스에 저장됩니다.

Microsoft는 악의적인 활동을 검색하는 위험 기반 접근 방식을 사용합니다. 인시던트 데이터와 위협 인텔리전스를 사용하여 탐지를 정의하고 우선 순위를 지정합니다.

고도로 경험이 풍부하고 능숙하며 숙련된 인력으로 구성된 팀을 고용하는 것은 검색 및 분석 단계에서 성공하기 위한 가장 중요한 핵심 요소 중 하나입니다. Microsoft는 네트워크, 라우터, 방화벽, 부하 분산 장치, 운영 체제 및 애플리케이션을 포함하여 스택 내의 모든 구성 요소에서 역량을 갖춘 직원을 포함하는 여러 서비스 팀을 고용합니다.

Microsoft 온라인 서비스 보안 검색 메커니즘에는 다른 원본에서 시작하는 알림 및 경고도 포함됩니다. Microsoft 온라인 서비스 보안 대응 팀은 보안 인시던트 에스컬레이션 프로세스의 주요 오케스트레이터입니다. 이러한 팀은 모든 에스컬레이션을 받고 보안 인시던트 유효성을 분석하고 확인하는 역할을 담당합니다.

검색의 주요 핵심 요소 중 하나는 알림입니다.

• 각 서비스 팀은 온라인 서비스 보안 팀의 요구 사항에 따라 서비스 내의 모든 작업 또는 이벤트를 기록할 책임이 있습니다. 다른 서비스 팀에서 만든 모든 로그는 미리 정의된 보안 및 검색 규칙을 사용하여 SIEM(보안 정보 및 이벤트 관리) 솔루션에 의해 처리됩니다. 이러한 규칙은 이전 보안 인시던트에서 배운 정보에 대한 보안 팀 권장 사항에 따라 개선되어 의심스럽거나 악의적인 활동이 있는지 확인합니다.
• 고객이 보안 인시던트가 진행 중이라고 판단하는 경우 Microsoft 커뮤니케이션 팀에 할당되어 모든 적절한 팀에 에스컬레이션으로 전환되는 Microsoft 지원 사례를 열 수 있습니다.

Azure, Dynamics 365 및 Microsoft 365 서비스 팀은 또한 보안 모니터링 및 로깅을 통해 추세 분석에서 얻은 인텔리전스를 사용하여 공격 또는 보안 인시던트를 나타낼 수 있는 Microsoft 온라인 서비스 정보 시스템의 이상을 검색합니다. Microsoft 온라인 서비스 시스템은 프로덕션 환경의 이러한 로그에서 중앙 로깅 서버로 출력을 집계합니다. 이러한 중앙 집중식 로깅 서버에서 로그를 검사하여 프로덕션 환경 전체의 추세를 파악합니다. 중앙 집중식 서버에서 집계된 데이터는 고급 쿼리, 대시보드 빌드 및 비정상 및 악의적 활동 검색을 위해 로깅 서비스로 안전하게 전송됩니다. 또한 이 서비스는 기계 학습을 사용하여 로그 출력으로 변칙을 검색합니다.

에스컬레이션 단계 중 및 보안 인시던트 특성에 따라 보안 대응 팀은 Microsoft의 다양한 팀에서 하나 이상의 실무 전문가를 참여시킬 수 있습니다.

• 온라인 서비스 보안 및 규정 준수 팀
• MSTIC(Microsoft Threat Intelligence Center)
• MSRC(Microsoft Security Response Center)
• CELA(회사, 외부 및 법률 업무)
• Azure 보안
• Microsoft 365 엔지니어링 및 기타

보안 대응 팀에 대한 에스컬레이션이 발생하기 전에 서비스 팀은 다음과 같은 정의된 기준에 따라 보안 인시던트의 심각도 수준을 결정하고 설정할 책임이 있습니다.

• 개인 정보
• 영향
• 범위
• 영향을 받는 테넌트 수
• 지역
• 서비스
• 인시던트 세부 정보
• 특정 고객 산업 또는 시장 규정.

인시던트 우선 순위는 인시던트의 기능적 영향, 인시던트의 정보 영향 및 인시던트의 복구 가능성을 포함하지만 제한되지 않는 고유한 요인을 사용하여 결정됩니다.

보안 팀은 보안 인시던트에 대한 에스컬레이션을 받은 후 Microsoft 온라인 서비스 보안 대응 팀, 서비스 팀 및 인시던트 통신 팀의 구성원으로 구성된 가상 팀(v-팀)을 구성합니다. 그런 다음 v 팀은 보안 인시던트 정당성을 확인하고 가양성을 제거해야 합니다. 준비 단계 중에 결정된 지표에서 제공하는 정보의 정확도는 매우 중요합니다. v 팀은 이 정보를 벡터 공격 범주별로 분석하여 보안 인시던트가 합법적인 문제인지 확인할 수 있습니다.

조사를 시작할 때 보안 인시던트 대응 팀은 사례 관리 정책에 따라 인시던트에 대한 모든 정보를 기록합니다. 사례가 진행됨에 따라 진행 중인 작업을 추적하고 인시던트 수명 주기 내내 이 데이터를 수집, 보존 및 보호하기 위한 증거 처리 표준을 따릅니다.

이러한 작업의 몇 가지 예는 다음과 같습니다.

• 요약- 인시던트 및 잠재적 영향에 대한 간략한 설명입니다.
• 인시던트의 심각도 및 우선 순위는 잠재적 영향을 평가하여 파생됩니다.
• 인시던트 검색을 초래한 식별된 모든 지표 목록
• 관련된 인시던트 목록
• v 팀이 수행한 모든 작업 목록
• 수집된 모든 증거는 사후 분석 및 향후 법의학 조사를 위해 보존될 것입니다.
• 권장되는 다음 단계 및 액션

보안 인시던트 확인 후 보안 대응 팀과 적절한 서비스 팀의 주요 목표는 공격을 포함하고, 공격을 받고 있는 서비스를 보호하고, 더 큰 글로벌 영향을 방지하는 것입니다. 동시에 적절한 엔지니어링 팀은 근본 원인을 파악하고 첫 번째 복구 계획을 준비하기 위해 노력합니다.

다음 단계에서 보안 대응 팀은 보안 인시던트의 영향을 받는 고객(있는 경우)을 식별합니다. 효과 범위는 지역, 데이터 센터, 서비스, 서버 팜, 서버 등에 따라 결정하는 데 다소 시간이 걸릴 수 있습니다. 영향을 받는 고객 목록은 서비스 팀과 해당 Microsoft 커뮤니케이션 팀에서 컴파일한 다음 계약 및 규정 준수 의무 내에서 고객 알림 프로세스를 처리합니다.

관련 문서

• Microsoft 보안 인시던트 관리
• Microsoft 보안 인시던트 관리: 준비
• Microsoft 보안 인시던트 관리: 포함, 제거 및 복구
• Microsoft 보안 인시던트 관리: 인시던트 후 작업
• 보안 이벤트 지원 티켓을 기록하는 방법
• Azure 및 Dynamics 365 GDPR의 위반 알림