Kongsi melalui


Cadangan untuk tindak balas insiden keselamatan

Terpakai kepada Power Platform cadangan senarai semak Well-Architected Security:

SE:11 Tentukan dan uji prosedur tindak balas insiden yang berkesan yang merangkumi spektrum insiden, daripada isu setempat kepada pemulihan bencana. Tentukan dengan jelas pasukan atau individu mana yang menjalankan prosedur.

Panduan ini menerangkan cadangan untuk melaksanakan tindak balas insiden keselamatan untuk beban kerja. Jika terdapat kompromi keselamatan pada sistem, pendekatan tindak balas insiden yang sistematik membantu mengurangkan masa yang diperlukan untuk mengenal pasti, mengurus dan mengurangkan insiden keselamatan. Insiden ini boleh mengancam kerahsiaan, integriti dan ketersediaan sistem dan data perisian.

Kebanyakan perusahaan mempunyai pasukan operasi keselamatan pusat (juga dikenali sebagai Pusat Operasi Keselamatan [SOC], atau SecOps). Tanggungjawab pasukan operasi keselamatan adalah untuk mengesan, mengutamakan dan menyusun serangan yang berpotensi dengan cepat. Pasukan itu juga memantau data telemetri berkaitan keselamatan dan menyiasat pelanggaran keselamatan.

Seni konseptual yang menunjukkan pendekatan kolaboratif untuk mengurangkan potensi dan risiko yang direalisasikan.

Walau bagaimanapun, anda juga mempunyai tanggungjawab untuk melindungi beban kerja anda. Adalah penting bahawa sebarang aktiviti komunikasi, penyiasatan dan memburu adalah usaha kerjasama antara pasukan beban kerja dan pasukan SecOps.

Panduan ini menyediakan pengesyoran untuk anda dan pasukan beban kerja anda untuk membantu anda mengesan, menguji dan menyiasat serangan dengan cepat.

Definisi

Istilah Takrif
Isyarat Pemberitahuan yang mengandungi maklumat tentang kejadian.
Kesetiaan amaran Ketepatan data yang menentukan amaran. Makluman kesetiaan tinggi mengandungi konteks keselamatan yang diperlukan untuk mengambil tindakan segera. Makluman kesetiaan rendah kekurangan maklumat atau mengandungi bunyi bising.
Positif palsu Amaran yang menunjukkan kejadian yang tidak berlaku.
Insiden Peristiwa yang menunjukkan akses tanpa kebenaran kepada sistem.
Tindak balas insiden Proses yang mengesan, bertindak balas dan mengurangkan risiko yang berkaitan dengan kejadian.
Triaj Operasi tindak balas insiden yang menganalisis isu keselamatan dan mengutamakan pengurangannya.

Strategi reka bentuk utama

Anda dan pasukan anda melakukan operasi tindak balas insiden apabila isyarat atau amaran menunjukkan kemungkinan insiden keselamatan. Makluman kesetiaan tinggi mengandungi konteks keselamatan yang mencukupi yang memudahkan penganalisis membuat keputusan. Makluman kesetiaan tinggi menghasilkan bilangan positif palsu yang rendah. Panduan ini mengandaikan bahawa sistem amaran menapis isyarat kesetiaan rendah dan memfokuskan pada makluman kesetiaan tinggi yang mungkin menunjukkan insiden sebenar.

Tetapkan pemberitahuan insiden

Makluman keselamatan perlu menjangkau orang yang sesuai dalam pasukan anda dan dalam organisasi anda. Wujudkan titik hubungan yang ditetapkan pada pasukan beban kerja anda untuk menerima pemberitahuan insiden. Pemberitahuan ini hendaklah termasuk sebanyak mungkin maklumat tentang sumber yang terjejas dan sistem. Makluman mesti termasuk langkah seterusnya, supaya pasukan anda boleh mempercepatkan tindakan.

Kami mengesyorkan agar anda log dan mengurus pemberitahuan dan tindakan insiden dengan menggunakan alat khusus yang menyimpan jejak audit. Dengan menggunakan alat standard, anda boleh mengekalkan bukti yang mungkin diperlukan untuk penyiasatan undang-undang yang berpotensi. Cari peluang untuk melaksanakan automasi yang boleh menghantar pemberitahuan berdasarkan tanggungjawab pihak yang bertanggungjawab. Kekalkan rantaian komunikasi dan pelaporan yang jelas semasa kejadian.

Manfaatkan penyelesaian pengurusan peristiwa maklumat keselamatan (SIEM) dan penyelesaian tindak balas automatik orkestrasi keselamatan (SOAR) yang disediakan oleh organisasi anda. Sebagai alternatif, anda boleh mendapatkan alat pengurusan insiden dan menggalakkan organisasi anda menyeragamkannya untuk semua pasukan beban kerja.

Siasat dengan pasukan triaj

Ahli pasukan yang menerima pemberitahuan insiden bertanggungjawab untuk menyediakan proses triaj yang melibatkan orang yang sesuai berdasarkan data yang tersedia. Pasukan triage, sering dipanggil pasukan jambatan, mesti bersetuju dengan mod dan proses komunikasi. Adakah kejadian ini memerlukan perbincangan tak segerak atau panggilan jambatan? Bagaimanakah pasukan harus menjejaki dan menyampaikan kemajuan penyiasatan? Di manakah pasukan boleh mengakses aset insiden?

Tindak balas insiden ialah sebab penting untuk memastikan dokumentasi dikemas kini, seperti susun atur seni bina sistem, maklumat pada peringkat komponen, klasifikasi privasi atau keselamatan, pemilik dan titik hubungan utama. Jika maklumat itu tidak tepat atau ketinggalan zaman, pasukan jambatan membuang masa yang berharga untuk cuba memahami cara sistem berfungsi, siapa yang bertanggungjawab untuk setiap kawasan dan apakah kesan peristiwa itu.

Untuk siasatan lanjut, libatkan orang yang sesuai. Anda mungkin menyertakan pengurus insiden, pegawai keselamatan atau petunjuk berpusatkan beban kerja. Untuk memastikan triaj fokus, kecualikan orang yang berada di luar skop masalah. Kadang-kadang pasukan berasingan menyiasat kejadian itu. Mungkin terdapat pasukan yang pada mulanya menyiasat isu itu dan cuba mengurangkan insiden itu, dan satu lagi pasukan khusus yang mungkin melakukan forensik untuk siasatan mendalam untuk memastikan isu yang luas. Anda boleh mengkuarantin persekitaran beban kerja untuk membolehkan pasukan forensik melakukan penyiasatan mereka. Dalam sesetengah kes, pasukan yang sama mungkin mengendalikan keseluruhan siasatan.

Pada fasa awal, pasukan triaj bertanggungjawab untuk menentukan vektor yang berpotensi dan kesannya terhadap kerahsiaan, integriti dan ketersediaan (juga dipanggil CIA) sistem.

Dalam kategori CIA, tetapkan tahap keterukan awal yang menunjukkan kedalaman kerosakan dan keperluan mendesak pemulihan. Tahap ini dijangka berubah dari semasa ke semasa apabila lebih banyak maklumat ditemui dalam tahap triage.

Dalam fasa penemuan, adalah penting untuk menentukan tindakan segera dan rancangan komunikasi. Adakah terdapat sebarang perubahan pada keadaan sistem yang sedang berjalan? Bagaimanakah serangan itu boleh dibendung untuk menghentikan eksploitasi selanjutnya? Adakah pasukan perlu menghantar komunikasi dalaman atau luaran, seperti pendedahan yang bertanggungjawab? Pertimbangkan masa pengesanan dan tindak balas. Anda mungkin diwajibkan secara sah untuk melaporkan beberapa jenis pelanggaran kepada pihak berkuasa kawal selia dalam tempoh masa tertentu, yang selalunya berjam-jam atau berhari-hari.

Jika anda memutuskan untuk menutup sistem, langkah seterusnya membawa kepada proses pemulihan bencana (DR) beban kerja.

Jika anda tidak mematikan sistem, tentukan cara memulihkan kejadian tanpa menjejaskan kefungsian sistem.

Pulih daripada kejadian

Layan insiden keselamatan seperti bencana. Jika pemulihan memerlukan pemulihan sepenuhnya, gunakan mekanisme DR yang betul dari perspektif keselamatan. Proses pemulihan mesti mengelakkan kemungkinan berulang. Jika tidak, pemulihan daripada sandaran yang rosak memperkenalkan semula isu tersebut. Menggunakan semula sistem dengan kelemahan yang sama membawa kepada kejadian yang sama. Sahkan langkah dan proses failover dan failback.

Sekiranya sistem tetap berfungsi, nilai kesan pada bahagian sistem yang sedang berjalan. Teruskan memantau sistem untuk memastikan sasaran kebolehpercayaan dan prestasi lain dipenuhi atau diselaraskan semula dengan melaksanakan proses degradasi yang betul. Jangan berkompromi privasi kerana mitigasi.

Diagnosis ialah proses interaktif sehingga vektor, dan potensi pembetulan dan sandaran, dikenal pasti. Selepas diagnosis, pasukan mengusahakan pemulihan, yang mengenal pasti dan menggunakan pembetulan yang diperlukan dalam tempoh yang boleh diterima.

Metrik pemulihan mengukur tempoh masa yang diambil untuk menyelesaikan isu. Sekiranya berlaku penutupan, mungkin terdapat keperluan mendesak mengenai masa pemulihan. Untuk menstabilkan sistem, ia mengambil masa untuk menggunakan pembetulan, tampalan dan ujian, serta menggunakan kemas kini. Tentukan strategi pembendungan untuk mengelakkan kerosakan selanjutnya dan penyebaran kejadian. Membangunkan prosedur pembasmian untuk menghapuskan sepenuhnya ancaman daripada alam sekitar.

Pertukaran: Terdapat pertukaran antara sasaran kebolehpercayaan dan masa pemulihan. Semasa kejadian, kemungkinan anda tidak memenuhi keperluan lain yang tidak berfungsi atau berfungsi. Sebagai contoh, anda mungkin perlu menyahdayakan bahagian sistem anda semasa anda menyiasat insiden tersebut, atau anda mungkin perlu mengambil keseluruhan sistem di luar talian sehingga anda menentukan skop kejadian. Pembuat keputusan perniagaan perlu memutuskan secara eksplisit apakah sasaran yang boleh diterima semasa kejadian. Nyatakan dengan jelas orang yang bertanggungjawab atas keputusan itu.

Belajar daripada kejadian

Insiden mendedahkan jurang atau titik terdedah dalam reka bentuk atau pelaksanaan. Ia merupakan peluang penambahbaikan yang didorong oleh pelajaran dalam aspek reka bentuk teknikal, automasi, proses pembangunan produk yang termasuk ujian dan keberkesanan proses tindak balas insiden. Mengekalkan rekod insiden terperinci, termasuk tindakan yang diambil, garis masa dan penemuan.

Kami amat mengesyorkan agar anda menjalankan semakan berstruktur selepas kejadian, seperti analisis punca dan retrospektif. Jejaki dan utamakan hasil ulasan tersebut dan pertimbangkan untuk menggunakan perkara yang anda pelajari dalam reka bentuk beban kerja masa hadapan.

Pelan penambahbaikan harus termasuk kemas kini kepada latihan dan ujian keselamatan, seperti latihan kesinambungan perniagaan dan pemulihan bencana (BCDR). Gunakan kompromi keselamatan sebagai senario untuk melaksanakan latihan BCDR. Latihan boleh mengesahkan cara proses yang didokumenkan berfungsi. Tidak sepatutnya ada berbilang buku permainan tindak balas insiden. Gunakan satu sumber yang boleh anda laraskan berdasarkan saiz kejadian dan sejauh mana kesan itu meluas atau disetempatkan. Latihan adalah berdasarkan situasi hipotesis. Menjalankan latihan dalam persekitaran berisiko rendah, dan sertakan fasa pembelajaran dalam latihan.

Menjalankan semakan selepas kejadian, atau bedah siasat, untuk mengenal pasti kelemahan dalam proses tindak balas dan bidang untuk penambahbaikan. Berdasarkan pengajaran yang anda pelajari daripada kejadian itu, kemas kini pelan tindak balas insiden (IRP) dan kawalan keselamatan.

Hantar komunikasi yang diperlukan

Melaksanakan pelan komunikasi untuk memberitahu pengguna tentang gangguan dan untuk memaklumkan pihak berkepentingan dalaman tentang pemulihan dan penambahbaikan. Orang lain dalam organisasi anda perlu dimaklumkan tentang sebarang perubahan pada garis dasar keselamatan beban kerja untuk mengelakkan insiden masa hadapan.

Menjana laporan insiden untuk kegunaan dalaman dan, jika perlu, untuk pematuhan peraturan atau tujuan undang-undang. Selain itu, gunakan laporan format standard (templat dokumen dengan bahagian yang ditentukan) yang digunakan oleh pasukan SOC untuk semua kejadian. Pastikan setiap insiden mempunyai laporan yang berkaitan dengannya sebelum anda menutup siasatan.

Power Platform Kemudahan

Bahagian berikut menerangkan mekanisme yang boleh anda gunakan sebagai sebahagian daripada prosedur tindak balas insiden keselamatan anda.

Microsoft Sentinel

Penyelesaian Microsoft Sentinel untuk Microsoft Power Platform membolehkan pelanggan mengesan pelbagai aktiviti yang mencurigakan, termasuk:

  • Power Apps pelaksanaan daripada geografi yang tidak dibenarkan
  • Pemusnahan data yang mencurigakan oleh Power Apps
  • Pemadaman besar-besaran Power Apps
  • Serangan pancingan data yang dibuat melalui Power Apps
  • Power Automate mengalir aktiviti dengan pekerja yang berlepas
  • Microsoft Power Platform penyambung yang ditambah pada persekitaran
  • Kemas kini atau pengalihan keluar dasar Microsoft Power Platform pencegahan kehilangan data

Untuk maklumat lanjut, lihat penyelesaian Microsoft Sentinel untuk gambaran Microsoft Power Platform keseluruhan.

Pengelogan Aktiviti Microsoft Purview

Power Apps, Power Automate, Penyambung, Pencegahan Kehilangan Data dan Power Platform pengelogan aktiviti pentadbiran dijejaki dan dilihat daripada portal pematuhan Microsoft Purview.

Untuk maklumat lanjut, lihat:

Lockbox Pelanggan

Kebanyakan operasi, sokongan dan penyelesaian masalah yang dilakukan oleh kakitangan Microsoft (termasuk subpemproses) tidak memerlukan akses kepada data pelanggan. Power Platform Dengan Kotak Kunci Pelanggan, Microsoft menyediakan antara muka untuk pelanggan menyemak dan meluluskan (atau menolak) permintaan capaian data dalam keadaan yang jarang berlaku apabila capaian data kepada data pelanggan diperlukan. Ia digunakan dalam kes yang jurutera Microsoft perlu mencapai data pelanggan, sama ada sebagai respons kepada tiket sokongan yang dimulakan oleh pelanggan atau masalah yang dikenal pasti oleh Microsoft. Untuk maklumat lanjut, lihat Mengakses data pelanggan dengan selamat menggunakan Kotak Kunci Pelanggan dalam Power Platform dan Dynamics 365.

Kemas Kini Keselamatan

Pasukan Perkhidmatan sentiasa melakukan perkara berikut untuk memastikan keselamatan sistem:

  • Imbasan perkhidmatan untuk mengenal pasti kemungkinan kelemahan keselamatan.
  • Penilaian perkhidmatan untuk memastikan kawalan keselamatan utama beroperasi dengan berkesan.
  • Penilaian perkhidmatan untuk menentukan pendedahan kepada sebarang kelemahan yang dikenal pasti oleh Pusat Tindak Balas Keselamatan Microsoft (MSRC), yang kerap memantau tapak kesedaran kerentanan luaran.

Pasukan ini juga mengenal pasti dan menjejak sebarang isu yang dikenal pasti dan mengambil tindakan pantas untuk mengurangkan risiko apabila perlu.

Bagaimanakah saya boleh mengetahui tentang kemas kini keselamatan?

Oleh kerana pasukan Perkhidmatan berusaha untuk menggunakan pengurangan risiko dengan cara yang tidak memerlukan masa henti perkhidmatan, pentadbir biasanya tidak melihat pemberitahuan Pusat Mesej untuk kemas kini keselamatan. Jika kemas kini keselamatan memerlukan kesan perkhidmatan, ia dianggap sebagai penyelenggaraan terancang dan akan disiarkan dengan anggaran tempoh kesan dan tetingkap apabila kerja akan berlaku.

Untuk maklumat lanjut tentang keselamatan, lihat Pusat Amanah Microsoft.

Urus tetingkap penyelenggaraan anda

Microsoft kerap melakukan kemas kini dan penyelenggaraan untuk memastikan keselamatan, prestasi, ketersediaan dan untuk menyediakan ciri dan kefungsian baharu. Proses kemas kini ini menyediakan penambahbaikan perkhidmatan keselamatan dan kecil pada setiap minggu dengan setiap kemas kini dikeluarkan rantau demi rantau berdasarkan jadual pelaksanaan selamat, yang disusun dalam Stesen. Untuk maklumat tentang tetingkap penyelenggaraan lalai anda untuk persekitaran, lihat Dasar dan Komunikasi untuk insiden perkhidmatan. Lihat juga Urus tetingkap penyelenggaraan anda.

Pastikan portal pendaftaran Azure termasuk maklumat hubungan pentadbir supaya operasi keselamatan boleh dimaklumkan secara langsung melalui proses dalaman. Untuk maklumat lanjut, lihat Kemas kini tetapan pemberitahuan.

Penjajaran organisasi

Rangka Kerja Penggunaan Awan untuk Azure menyediakan panduan tentang perancangan tindak balas insiden dan operasi keselamatan. Untuk maklumat lanjut, lihat Operasi keselamatan.

Senarai semak keselamatan

Rujuk set lengkap cadangan.