Microsoft Online Services 인시던트 대응 2단계 이해 - 검색 및 분석
Microsoft는 공격 수명 주기 초기에 보안 대응을 가능하게 하기 위해 주요 위협 시나리오 및 보완 검색 및 분석 활동에 중점을 둡니다. 검색 도구는 잠재적인 인시던트를 탐지 할 때 효과적이고 효율적인 대응 작업에 충분한 정보를 제공하도록 구성됩니다. Microsoft에는 보안 대응 팀과 해당 파트너의 학습을 사용하여 잠재적인 보안 인시던트 검색을 개선하는 전담 보안 신호 팀이 있습니다.
탐지 도구 및 전략
Microsoft는 인시던트 처리할 준비가 되어 있지만 탐지 전략은 내부자 위협, 웹 서비스 공격, 서비스 거부 공격 및 테넌트 공격과 같은 일반적인 공격 벡터에 초점을 맞추고 있습니다. 인시던트 징후는 전구체 및 지표라는 두 가지 범주 중 하나로 나중됩니다. 전구체는 나중에 인시던트가 발생할 수 있다는 신호이며 지표는 인시던트가 발생했거나 지금 발생할 수 있다는 신호입니다.
인시던트 대응 프로세스에서 가장 어려운 부분 중 하나는 Microsoft Online Services와 관련된 엄청난 양의 활동으로 인해 가능한 인시던트 검색 및 평가입니다. 지표가 정확하더라도 반드시 인시던트가 발생했음을 의미하지는 않습니다. Microsoft는 다양한 수준의 세부 정보와 충실도를 갖춘 여러 기술을 사용하여 잠재적인 인시던트 검색을 합니다.
중앙 집중식 감사 로깅 및 분석은 비정상적이거나 의심스러운 활동을 검색하는 데 사용되는 기본 방법 중 하나입니다. Microsoft Online Services 서버 및 인프라 디바이스의 로그 파일은 수집되어 중앙 통합 데이터베이스에 저장됩니다. 중앙 집중식 로그 분석을 통해 Microsoft의 보안 대응 팀은 환경을 포괄적으로 모니터링하고 다양한 서비스의 로그 항목을 상호 연결할 수 있습니다.
다른 검색 도구로는 네트워크 기반 및 호스트 기반 침입 탐지 시스템, 중앙에서 관리되는 바이러스 백신 및 맬웨어 방지 도구 모음, 엔지니어 및 최종 사용자의 관찰과 같은 수동 검색 방법이 있습니다. Microsoft는 클라우드 스택의 모든 구성 요소에서 역량을 갖춘 고도로 경험이 풍부하고 능숙하며 숙련된 사용자를 고용합니다. 엔지니어의 전문 지식은 자동화된 검색 메커니즘을 보완하고 지원합니다.
에스컬레이션 및 조사
모든 관찰이 보안 문제가 아닐 수 있으므로 서비스 팀은 문제의 특성을 검토하고 심각도를 확인하기 위해 초기 심사 및 예비 검토를 수행해야 합니다. Microsoft의 보안 대응 팀은 관찰이 실제 보안 인시던트인 것으로 판단되는 경우 서비스 팀이 따라야 할 에스컬레이션 기준 및 절차를 만들고 유지 관리합니다.
에스컬레이션되면 보안 대응 팀은 보안 인시던트 대응 프로세스의 나머지 부분에 대한 핵심 오케스트레이터 역할을 합니다. 보안 대응 팀은 검색 지표를 분석하여 보안 인시던트가 발생했는지 여부를 확인하고 필요한 경우 심각도 수준을 조정합니다. 언제든지 팀에서 고객 데이터가 공개, 수정 또는 삭제되었음을 발견하면 팀은 고객 보안 알림 프로세스를 시작합니다.
조사 시작 시 서비스 팀과 함께 작업하는 보안 대응 팀은 인시던트와 관련된 모든 정보를 기록하고 인시던트 대응 프로세스 전반에 걸쳐 정확성을 유지합니다. 관련 정보가 포함 될 수 있음
- 인시던트 요약
- 잠재적 영향을 기반으로 하는 인시던트의 심각도 및 우선 순위
- 인시던트 탐지를 초래한 모든 지표 목록
- 관련된 인시던트 목록
- 보안 대응 팀 및 연결된 서비스 팀에서 수행한 모든 작업 목록
- 사후 분석 및 잠재적인 법정 조사를 위해 보존되는 인시던트 대응 프로세스 중에 수집된 모든 증거
- 권장되는 다음 단계 및 액션
잠재적인 보안 인시던트가 에스컬레이션되면 응답 조사 팀에는 조사에 중요한 직원만 남습니다. 하위 프로세서 또는 직원 보강과 같은 비 Microsoft 정규직 직원은 분리됩니다. 이러한 직원은 필요한 경우에만 다시 참여하며 제한된 범위만 참여합니다.