Общие сведения об реагировании на инциденты Microsoft Online Services, этап 2 — обнаружение и анализ
Корпорация Майкрософт уделяет основное внимание ключевым сценариям угроз и дополнительным действиям по обнаружению и анализу, чтобы обеспечить реагирование на угрозы как можно раньше в жизненном цикле атаки. Средства обнаружения настроены для предоставления достаточной информации для эффективных действий реагирования при обнаружении потенциального инцидента. Корпорация Майкрософт имеет специальные группы по сигналу безопасности, которые отвечают за улучшение обнаружения потенциальных инцидентов безопасности, используя знания, полученные от групп реагирования на безопасность и их партнеров.
Средства и стратегии обнаружения
Хотя корпорация Майкрософт готова обрабатывать любые инциденты, стратегии обнаружения ориентированы на распространенные векторы атак, такие как инсайдерская угроза, атаки веб-служб, атаки типа "отказ в обслуживании" и атаки клиентов. Признаки инцидентов делятся на одну из двух категорий: предшественники и индикаторы. Предвестником является признак того, что инцидент может произойти в будущем, а индикатор — это признак того, что инцидент мог произойти или может произойти сейчас.
Одной из наиболее сложных частей процесса реагирования на инциденты является точное обнаружение и оценка возможных инцидентов из-за большого объема действий, связанных с веб-службами Майкрософт. Даже если индикатор является точным, это не обязательно означает, что произошел инцидент. Корпорация Майкрософт использует несколько методов с разными уровнями детализации и точности для обнаружения потенциальных инцидентов.
Централизованное ведение журнала и анализ аудита — один из основных методов, используемых для обнаружения аномальных или подозрительных действий. Файлы журналов с серверов Microsoft Online Services и устройств инфраструктуры собираются и хранятся в центральной консолидированной базе данных. Централизованный анализ журналов позволяет группам майкрософт по реагированию на вопросы безопасности комплексно отслеживать среду и сопоставлять записи журналов из различных служб.
Другие средства обнаружения включают сетевые системы обнаружения вторжений и системы обнаружения вторжений на основе узлов, централизованно управляемые наборы антивирусов и вредоносных программ, а также методы обнаружения вручную, такие как наблюдения от инженеров и конечных пользователей. В корпорации Майкрософт работают опытные, опытные и квалифицированные специалисты, обладающие компетенциями во всех компонентах облачного стека. Опыт наших инженеров дополняет и поддерживает наши автоматизированные механизмы обнаружения.
Эскалация и исследование
Поскольку каждое наблюдение не может быть проблемой безопасности, группы обслуживания должны выполнить первоначальное рассмотрение и предварительную проверку, чтобы изучить характер проблемы и определить ее серьезность. Группы по реагированию на вопросы безопасности Корпорации Майкрософт создают и поддерживают критерии эскалации и процедуры для команд обслуживания, которые должны следовать, если наблюдение будет определено как истинный инцидент безопасности.
После эскалации группа реагирования на безопасность выступает в качестве ключевого оркестратора для остальной части процесса реагирования на инциденты безопасности. Группа реагирования на вопросы безопасности отвечает за анализ индикаторов обнаружения, чтобы определить, произошел ли инцидент безопасности, и при необходимости настроить уровень его серьезности. Если в какой-либо момент оперативная служба обнаружит, что данные клиента были раскрыты, изменены или уничтожены, она инициирует процесс уведомления клиента о нарушении безопасности.
В начале расследования группа реагирования на вопросы безопасности, работая вместе с командой службы, записывает всю информацию, относясь к инциденту, и поддерживает ее точность на протяжении всего процесса реагирования на инцидент. Важная информация может включать:
- Сводку по инциденту
- Серьезность и приоритет инцидента на основе его потенциального влияния
- Список всех индикаторов, которые привели к обнаружению инцидента
- Список всех связанных инцидентов
- Список всех действий, выполняемых группой реагирования на безопасность и всеми связанными группами обслуживания.
- Все свидетельства, собранные в процессе реагирования на инцидент, которые будут сохранены для последующего анализа и потенциальных судебных расследований
- Рекомендуемые дальнейшие действия
При эскалации потенциального инцидента безопасности соответствующая команда исследования включает только тех сотрудников, которые важны для исследования. Штатные сотрудники, не относящиеся к корпорации Майкрософт, например дополнительные обработчики данных или дополнительный персонал, исключаются. Этот персонал повторно задействуется только при необходимости и в ограниченном объеме.