通过

Microsoft 安全事件管理:遏制、根除和恢复

  • 项目

根据安全响应团队执行的分析,服务团队制定了适当的遏制和恢复计划,以最大程度地减少安全事件的影响。 然后,相应的服务团队在安全响应团队的支持下,在生产环境中应用该计划。

遏制

检测到安全事件后,请务必在攻击者访问更多资源或造成更多损害之前控制入侵。 安全事件响应过程的主要目标是限制对客户或其数据或 Microsoft 系统、服务和应用程序的影响。

消除

消除是根除安全事件的过程,具有较高的置信度。 目标是双重目标:

  • 将对手从环境中完全逐出
  • 以缓解漏洞 ((如果已知) 启用或可能使攻击者重新进入环境)。

根据事件的性质、安全事件的范围、渗透的深度和可能的影响,安全响应小组建议服务团队采用根除技术。 考虑到这些根除步骤可能导致的潜在业务影响,这些决策由服务团队和安全响应团队在经过执行事件管理器的详细分析和批准后做出,并在必要时 () 。

恢复

随着响应团队获得合理的信心级别,即攻击者已从环境中逐出,并且所有已知的易受攻击的路径已被消除,各个服务团队将启动还原步骤,以将服务引入已知且良好的配置。 这些还原步骤是与安全响应团队协商的。 此活动包括识别服务的最后已知良好状态、从备份还原到此状态、检查处于已还原状态的易受攻击路径等。安全响应团队在与服务团队协商后,确定环境的最佳恢复计划。

恢复的一个关键方面是增强警惕和控制,以验证恢复计划是否已成功执行,并且环境中不存在违规迹象。

客户安全事件通知

如果 Microsoft 确定发生了安全事件,我们将在我们同意的合同和合规性要求内,及时通知你。 识别所有受影响的租户后,相应的通信团队将努力确定可能适用于受影响租户的任何相关法规。 通信团队使用适用法规中定义的相应通信通道来通知相应的租户联系人。

事件响应过程。

通知包括有关事件的详细信息,例如事件说明、Microsoft 采取的操作对客户数据的影响(如果有)和/或客户为解决问题和防止重复事件而建议执行的操作。 通知将传递到 Microsoft 联机服务 租户的指定管理员 () 。 若要确保收到通知,应确保管理员在其租户配置文件中提供和维护准确的联系信息。 此外,根据事件的性质,还可以通过 Microsoft 365 服务运行状况仪表板通知 Microsoft 365 客户。