Microsoft 安全事件管理
Microsoft 不断努力为 Microsoft 客户提供高度安全的企业级服务,但安全事件是不可避免的现实,必须彻底和迅速地进行管理。 本文档概述了 Microsoft 如何使用经过尝试和真实的方法和技术处理安全事件,以尽量减少其潜在影响。 安全事件是指对存储在 Microsoft 设备或 Microsoft 设施中的客户数据的任何非法访问,或未经授权访问可能导致客户数据丢失、泄露或更改的此类设备或设施。 Microsoft 在响应安全事件时的目标是保护客户数据和 Microsoft 联机服务。
Microsoft 联机服务安全团队和各种服务团队共同工作,并采用相同的方法来处理安全事件:
- 准备
- 检测和分析
- 遏制、根除和恢复
- 事件后活动
Microsoft 安全事件管理方法
Microsoft 管理安全事件的方法符合 美国国家标准与技术研究院 (NIST) 特别出版物 (SP) 800-61。 Microsoft 拥有多个专门的团队,共同防止、监视、检测和响应安全事件。
| 团队/区域 | 说明 |
|---|---|
| Microsoft 安全响应中心 | 识别、监视、解决和响应安全事件和 Microsoft 软件安全漏洞。 |
| 网络防御运营中心 | 网络防御运营中心是一个物理位置,汇集了公司内部的安全响应团队和专家,帮助实时保护、检测和响应威胁。 |
| 公司、外部和法律事务 | 为可疑的安全事件提供法律和法规建议。 |
| Microsoft 数据中心安全团队 | 专注于常见安全工程投资的各种服务的团队,以保护、检测和响应服务体系结构风险和威胁。 |
| Microsoft 安全响应团队 | 与服务团队合作的独立 Azure、Dynamics 365和 Microsoft 365 安全团队构建适当的安全事件管理流程并推动任何安全事件响应。 |
| Microsoft 治理、风险和合规性 (GRC) 团队 | 提供有关法规要求、合规性和隐私的指导。 |
| 服务团队 | Azure、Dynamics 365、Microsoft 365 的工程团队负责每项服务的安全相关策略和决策。 |
| Azure 运营经理 | 监督与 Azure 相关的安全和隐私事件的调查和解决。 |
| Microsoft 威胁情报中心 (MSTIC) | 提供针对 Microsoft 基础结构和资产的当前最新数字安全威胁,帮助 Microsoft 内部的合作伙伴团队确定缓解和预防工作行动计划的优先级,并通过采用准实时事件监视/检测来增强保护。 |
| 客户体验通信团队 | 负责有关安全和服务事件的所有客户通信的工程团队。 单独的团队专门负责 Azure、Dynamics 365和 Microsoft 365。 |
响应管理过程
Microsoft 联机服务安全团队和服务团队协同处理安全事件,并采用相同的方法处理安全事件,这基于 NIST 800-61 响应管理阶段:
- 准备:是指能够做出响应所需的组织准备,包括工具、流程、资格和准备情况。
- 检测 & 分析:指在生产环境中检测安全事件并分析所有事件以确认安全事件的真实性的活动。
- 遏制、根除、恢复:是指根据上一阶段所做的分析,为遏制安全事件而采取的必要和适当的操作。 此阶段可能还需要进行更多分析,以便从安全事件中完全恢复。
- 事后活动:指在安全事件恢复后执行的事后分析。 审查在此过程中执行的操作,以确定是否需要在准备阶段或检测和分析阶段进行任何更改。
联合安全响应模型
Microsoft 联机服务由 Microsoft 核心产品组成,包括 Azure、Dynamics 365和 Microsoft 365。 这些服务中的每一个都由单独的团队运营,具有自己的安全操作流程。 Microsoft 的其他团队(如 MSTIC)也参与 Microsoft 联机服务的各种安全方面。 由于众多团队在构成 Microsoft 联机服务的所有各种服务中从事安全运营管理,因此 Microsoft 实现了联合安全响应模型。
下表显示了各种 Microsoft 联机服务安全运营团队与 Microsoft 服务团队之间的操作边界:
| 活动 | Microsoft 安全团队运营 | Microsoft 服务团队运营 |
|---|---|---|
| 检测和分析 | - 检测要求 - 安全监视和分析 - 国际奥委会) 扫描 (妥协指标 - 漏洞搜寻 - 全天候安全待命和事件响应主管 |
- 检测要求 - 监视基础结构部署 - 服务分析和见解 - 事件和警报会审 - 24x7 全天候服务工程 |
| 遏制、根除、恢复 | - 事件响应主管 - 取证调查 - 安全专业知识和咨询 - 恢复指南 |
- 安全事件所有者 - 服务见解和专业知识 - 执行遏制、根除和恢复 |
| 事件后活动 | - 事后分析主管 - 数据收集和存档 - 经验教训和 bug 请求 - 事件报告 |
- 服务端事件分析 - 确定后续活动的优先级 - 实施安全投资 - 服务安全准备情况 |