Microsoft安全事件管理

Microsoft不断工作,为Microsoft客户提供高度安全的企业级服务,但安全事件是不可避免的现实,必须彻底和迅速地进行管理。 本文档概述了Microsoft如何使用已尝试和真实的方法和技术处理安全事件,以尽量减少其潜在影响。 安全事件是指对存储在Microsoft设备或Microsoft设施中的客户数据的任何非法访问,或未经授权访问可能导致客户数据丢失、泄露或更改的此类设备或设施。 响应安全事件时,Microsoft的目标是保护客户数据和Microsoft联机服务。

Microsoft联机服务安全团队和各个服务团队共同工作,并采用相同的方法来处理安全事件:

  • 准备
  • 检测和分析
  • 遏制、根除和恢复
  • 事件后活动

Microsoft安全事件管理方法

Microsoft管理安全事件的方法符合 美国国家标准与技术研究院 (NIST) 特别出版物 (SP) 800-61。 Microsoft有多个专门的团队协同工作,防止、监视、检测和响应安全事件。

团队/区域 说明
Microsoft 安全响应中心 识别、监视、解决和响应安全事件,并Microsoft软件安全漏洞。
网络防御运营中心 网络防御运营中心是一个物理位置,汇集了公司内部的安全响应团队和专家,帮助实时保护、检测和响应威胁。
公司、外部和法律事务 为可疑的安全事件提供法律和法规建议。
Microsoft Datacenter安全团队 专注于常见安全工程投资的各种服务的团队,以保护、检测和响应服务体系结构风险和威胁。
Microsoft安全响应团队 独立的 Azure、Dynamics 365和Microsoft 365 个安全团队与服务团队合作,构建适当的安全事件管理流程并推动任何安全事件响应。
Microsoft治理、风险和合规性 (GRC) 团队 提供有关法规要求、合规性和隐私的指导。
服务团队 Azure Dynamics 365 Microsoft 365 的工程团队负责每项服务的安全相关策略和决策。
Azure 运营经理 监督与 Azure 相关的安全和隐私事件的调查和解决。
Microsoft威胁情报中心 (MSTIC) 针对Microsoft基础结构和资产提供最新的数字安全威胁,帮助合作伙伴团队Microsoft确定缓解和预防工作行动计划的优先级,并通过采用准实时事件监视/检测来增强保护。
客户体验通信团队 负责有关安全和服务事件的所有客户通信的工程团队。 单独的团队专门负责 Azure、Dynamics 365 和 Microsoft 365。

响应管理过程

Microsoft联机服务安全团队和服务团队共同处理安全事件,并采用相同的方法处理安全事件,这基于 NIST 800-61 响应管理阶段:

  • 准备:是指能够做出响应所需的组织准备,包括工具、流程、资格和准备情况。
  • 检测 & 分析:指在生产环境中检测安全事件并分析所有事件以确认安全事件的真实性的活动。
  • 遏制、根除、恢复:是指根据上一阶段所做的分析,为遏制安全事件而采取的必要和适当的作。 此阶段可能还需要进行更多分析,以便从安全事件中完全恢复。
  • 事后活动:指在安全事件恢复后执行的事后分析。 审查在此过程中执行的作,以确定是否需要在准备阶段或检测和分析阶段进行任何更改。

安全事件管理阶段。

联合安全响应模型

Microsoft联机服务包括核心Microsoft产品,包括 Azure、Dynamics 365 和 Microsoft 365。 这些服务中的每一个都由单独的团队运营,具有自己的安全作流程。 Microsoft的其他团队(如 MSTIC)也参与Microsoft联机服务的各种安全方面。 由于在构成Microsoft联机服务的所有各种服务中,由众多团队负责安全运营管理,Microsoft实现了联合安全响应模型。

下表显示了各种Microsoft联机服务安全运营团队与Microsoft服务团队之间的作边界:

活动 Microsoft安全团队运营 Microsoft服务团队运营
检测和分析 - 检测要求
- 安全监视和分析
- 国际奥委会) 扫描 (妥协指标
- 漏洞搜寻
- 全天候安全待命和事件响应主管
- 检测要求
- 监视基础结构部署
- 服务分析和见解
- 事件和警报会审
- 24x7 全天候服务工程
遏制、根除、恢复 - 事件响应主管
- 取证调查
- 安全专业知识和咨询
- 恢复指南
- 安全事件所有者
- 服务见解和专业知识
- 执行遏制、根除和恢复
事件后活动 - 事后分析主管
- 数据收集和存档
- 经验教训和 bug 请求
- 事件报告
- 服务端事件分析
- 确定后续活动的优先级
- 实施安全投资
- 服务安全准备情况