Microsoft 安全事件管理:事后活动
死后
某些安全事件(尤其是那些影响客户或导致数据泄露的事件)受完整的事后调查。 安全响应团队会与参与安全事件响应的所有各方进行详细的事后调查,以响应以下情况:
- 记录导致事件的事件序列。
- 创建事件的技术摘要(如果已知) ,则由证据提供支持,包括参与违规 (的参与者)。 此摘要包括响应的执行方式和其他关键要点。
- 识别技术失误、过程故障、手动错误、进程缺陷和通信故障,以及/或在安全事件响应过程中识别的任何以前未知的攻击途径。
事后分析通过在 Microsoft 联机服务 工程开发周期中设置新的优先级,直接影响 Microsoft 联机服务改进、操作流程和文档。
文档
事后过程中的所有关键技术发现都以 bug 或开发更改请求的形式捕获在报告和服务投资或修复中。 这些发现由相应的工程团队跟进。 对于进程失败和跨组织问题,问题记录在安全响应团队的数据库中,并跟进相应的组来解决这些问题。
流程改进
响应 Microsoft 联机服务 中的安全事件涉及与 Microsoft 中不同组织中的多个组进行协调,甚至可能还会与适当的外部组织(例如执法部门)进行协调。 我们知道,在每次安全事件后评估响应是否充分性和完整性至关重要。 对于任何确定的改进或更改,安全响应团队会与相应的团队和利益干系人协商评估建议,并在适当的情况下将它们纳入标准操作过程。 在安全事件响应或事后活动期间确定的所有所需更改、bug 或服务改进都会记录和跟踪到内部 Microsoft 工程数据库中。 所有潜在的 bug 或功能都分配给相应的所有者。 Microsoft 安全响应团队会评审所有条目,直到问题得到解决。