Microsoft 보안 인시던트 관리: 인시던트 후 활동

사후

일부 보안 인시던트, 특히 고객에게 영향을 주거나 데이터 위반을 초래하는 인시던트는 전체 인시던트 사후 처리의 대상이 됩니다. 보안 대응 팀은 다음과 같은 보안 인시던트 대응에 관련된 모든 당사자와 자세한 사후 관리를 수행합니다.

• 인시던트가 발생한 이벤트 시퀀스를 문서화합니다.
• 위반에 관련된 행위자를 포함하는 증거에서 지원하는 인시던트에 대한 기술 요약을 만듭니다(알려진 경우). 이 요약에는 응답이 실행된 방법 및 기타 주요 내용이 포함됩니다.
• 보안 인시던트 대응 중에 식별된 기술 경과, 절차적 오류, 수동 오류, 프로세스 결함 및 통신 결함 및/또는 이전에 알려지지 않은 공격 벡터를 식별합니다.

사후 시스템은 Microsoft 온라인 서비스 엔지니어링 개발 주기에서 새로운 우선 순위를 설정하여 Microsoft 온라인 서비스 개선, 운영 프로세스 및 설명서에 직접적인 영향을 줍니다.

설명서

사후 관리 프로세스의 모든 주요 기술 결과는 버그 또는 개발 변경 요청의 형태로 보고서 및 서비스 투자 또는 수정에 캡처됩니다. 이러한 결과는 적절한 엔지니어링 팀과 후속 작업입니다. 프로세스 실패 및 조직 간 문제의 경우 보안 대응 팀의 데이터베이스에 문제를 문서화하고 이를 해결하기 위한 적절한 그룹과 후속 작업을 수행합니다.

프로세스 개선

Microsoft 온라인 서비스 보안 인시던트에 대응하려면 Microsoft 내의 여러 조직과 잠재적으로 법 집행과 같은 적절한 외부 조직에 분산된 여러 그룹과의 조정이 포함됩니다. 우리는 충분성과 완전성 모두에 대한 모든 보안 인시던트 후 응답을 평가하는 것이 중요하다는 것을 알고 있습니다. 확인된 개선 사항 또는 변경 사항에 대해 보안 대응 팀은 적절한 팀 및 이해 관계자와 협의하여 제안을 평가하고 적절한 경우 이를 표준 운영 절차에 통합합니다. 보안 인시던트 대응 또는 사후 작업 중에 식별된 모든 필수 변경, 버그 또는 서비스 개선 사항은 내부 Microsoft 엔지니어링 데이터베이스에서 기록 및 추적됩니다. 모든 잠재적인 버그 또는 기능은 적절한 소유자에게 할당됩니다. Microsoft 보안 대응 팀은 문제가 해결될 때까지 모든 항목을 검토합니다.

관련 문서

• Microsoft 보안 인시던트 관리
• Microsoft 보안 인시던트 관리: 준비
• Microsoft 보안 인시던트 관리: 검색 및 분석
• Microsoft 보안 인시던트 관리: 봉쇄, 근절 및 복구
• 보안 이벤트 지원 티켓을 기록하는 방법
• Azure 및 Dynamics 365 GDPR의 위반 알림