Entender a fase 2 de resposta a incidentes dos Serviços Online da Microsoft – detecção e análise
A Microsoft se concentra nos principais cenários de ameaças e em atividades complementares de detecção e análise para habilitar a resposta de segurança o mais cedo possível no ciclo de vida do ataque. As ferramentas de detecção são configuradas para fornecer informações suficientes para ações de resposta eficazes e eficientes quando um possível incidente é detectado. A Microsoft tem equipes de sinal de segurança dedicadas que são responsáveis por melhorar a detecção de possíveis incidentes de segurança usando os aprendizados das equipes de resposta de segurança e seus parceiros.
Ferramentas e estratégias de detecção
Enquanto a Microsoft está preparada para lidar com qualquer incidente, as estratégias de detecção são focadas em vetores de ataque comuns, como ameaças internas, ataques de serviço Web, ataques de negação de serviço e ataques de locatários. Os sinais de incidentes se enquadram em uma das duas categorias: precursores e indicadores. Um precursor é um sinal de que um incidente pode ocorrer no futuro e um indicador é um sinal de que um incidente pode ter ocorrido ou pode estar ocorrendo agora.
Uma das partes mais desafiadoras do processo de resposta a incidentes é detectar e avaliar com precisão possíveis incidentes devido ao grande volume de atividade associado ao Microsoft Online Services. Mesmo que um indicador seja preciso, isso não significa necessariamente que ocorreu um incidente. A Microsoft usa várias técnicas com diferentes níveis de detalhes e fidelidade para detectar possíveis incidentes.
O registro e a análise de auditoria centralizados são um dos métodos main usados para detectar atividades anômalas ou suspeitas. Arquivos de log de servidores e dispositivos de infraestrutura do Microsoft Online Services são coletados e armazenados em um banco de dados central e consolidado. A análise de log centralizada permite que as equipes de resposta de segurança da Microsoft monitorem de forma abrangente o ambiente e correlacionam as entradas de log de diferentes serviços.
Outras ferramentas de detecção incluem sistemas de detecção de intrusão baseados em rede e baseados em host, pacotes antivírus e anti-malware gerenciados centralmente e métodos de detecção manual, como observações de engenheiros e usuários finais. A Microsoft emprega pessoas altamente experientes, proficientes e qualificadas com competências em todos os componentes da pilha de nuvem. A experiência de nossos engenheiros complementa e dá suporte a nossos mecanismos de detecção automatizados.
Escalonamento e investigação
Como cada observação pode não ser um problema de segurança, as equipes de serviço devem realizar uma triagem inicial e uma revisão preliminar para examinar a natureza do problema e determinar sua gravidade. As equipes de resposta de segurança da Microsoft criam e mantêm os critérios e procedimentos de escalonamento para as equipes de serviço seguirem se a observação for determinada como um verdadeiro incidente de segurança.
Depois que escalonada, a equipe de resposta à segurança serve como o principal orquestrador para o restante do processo de resposta a incidentes de segurança. A equipe de resposta à segurança é responsável por analisar os indicadores de detecção para determinar se ocorreu um incidente de segurança e ajustar seu nível de gravidade, se necessário. Se a qualquer momento a equipe descobrir que os dados do cliente foram divulgados, modificados ou destruídos, a equipe iniciará o processo de notificação de segurança do cliente.
No início da investigação, a equipe de resposta à segurança, trabalhando em conjunto com a equipe de serviço, registra todas as informações relevantes para o incidente e mantém sua precisão durante todo o processo de resposta a incidentes. As informações relevantes podem incluir:
- Um resumo do incidente
- A severidade e a prioridade do incidente com base em seu impacto potencial
- Uma lista de todos os indicadores que levaram à detecção do incidente
- Uma lista de incidentes relacionados
- Uma lista de todas as ações executadas pela equipe de resposta à segurança e por todas as equipes de serviço associadas
- Qualquer evidência coletada durante o processo de resposta a incidentes, que será preservada para análise pós-mortem e possíveis investigações forenses
- Próximas etapas e ações recomendadas
Quando um possível incidente de segurança é escalonado, a equipe de investigação correspondente inclui apenas a equipe que é crítica para a investigação. Funcionários que não são da Microsoft em tempo integral, como subprocessadores ou aumento de funcionários, são desalojados. Esses funcionários só serão reacionados se necessário e em uma capacidade com escopo limitado.