共用方式為


Microsoft安全性事件管理

Microsoft持續為Microsoft客戶提供高度安全的企業級服務,但安全性事件是必須徹底且徹底管理的不可避免實境。 本檔提供Microsoft如何使用已嘗試和真實的方法和技術來處理安全性事件的概觀,以將潛在影響降到最低。 安全性事件是指非法存取儲存在Microsoft設備或Microsoft設備中的客戶數據,或未經授權存取可能會導致客戶數據遺失、洩漏或改變的這類設備或設施。 回應安全性事件時,Microsoft的目標是保護客戶數據和Microsoft的 線上服務。

Microsoft 線上服務 安全性小組和各種服務小組共同合作,並採取相同的安全性事件方法:

  • 準備
  • 偵測和分析
  • 內含專案、消除和復原
  • 事件後活動

Microsoft安全性事件管理的方法

Microsoft管理安全性事件的方法符合 美國國家標準與技術局 (NIST) 特殊發行 (SP) 800-61。 Microsoft有數個專門小組共同合作,以預防、監視、偵測及回應安全性事件。

小組/區域 描述
Microsoft 安全回應中心 識別、監視、解決及回應安全性事件,並Microsoft軟體安全性弱點。
網路防禦營運中心 Cyber Defense Operations Center 是實體位置,可將來自整個公司的安全性回應小組和專家整合在一起,以協助即時保護、偵測及回應威脅。
公司、外部和法律事務 針對可疑的安全性事件提供法律和法規建議。
Microsoft Datacenter 安全性小組 專注於各種服務的小組,著重於常見的安全性工程投資,以保護、偵測及回應服務架構風險和威脅。
Microsoft安全性回應小組 獨立 Azure、Dynamics 365 和Microsoft 365 安全性小組,可與服務小組合作來建置適當的安全性事件管理程式,並推動任何安全性事件回應。
Microsoft治理、風險和合規性 (GRC) 小組 提供法規需求、合規性和隱私權的指引。
服務小組 適用於 Azure、Dynamics 365、Microsoft 365 的工程小組負責每個服務的安全性相關原則和決策。
Azure 作業管理員 監督 Azure 相關安全性和隱私權事件的調查和解決。
Microsoft威脅情報中心 (MSTIC) 針對Microsoft基礎結構和資產提供數位安全性威脅的目前技術狀態、協助Microsoft內的夥伴小組優先處理風險降低和預防工作行動計劃,以及採用近乎即時的事件監視/偵測來增加保護。
客戶體驗通訊小組 負責安全性和服務事件之所有客戶通訊的工程小組。 個別小組專用於 Azure、Dynamics 365 和 Microsoft 365。

回應管理程式

Microsoft 線上服務 安全性小組和服務小組合作,並根據 NIST 800-61 回應管理階段,對安全性事件採取相同的方法:

  • 準備:指的是能夠回應所需的組織準備,包括工具、程式、專長認證和整備程度。
  • 偵測 & 分析:是指在生產環境中偵測安全性事件,以及分析所有事件以確認安全性事件真實性的活動。
  • 內含專案、消除、復原:是指根據在上一個階段中完成的分析,為包含安全性事件所採取的必要和適當動作。 在此階段中也可能需要進行更多分析,才能從安全性事件完全復原。
  • 事件後活動:指的是在安全性事件復原之後執行的事後分析。 系統會檢閱在程式期間執行的作業動作,以判斷是否需要在準備或偵測和分析階段中進行任何變更。

安全性事件管理階段。

同盟安全性回應模型

Microsoft 線上服務 包含核心Microsoft產品,包括 Azure、Dynamics 365 和 Microsoft 365。 這些服務都由個別小組以自己的安全性作業程序來運作。 MSTIC 等Microsoft的其他小組也會參與Microsoft 線上服務 的各種安全性層面。 由於許多小組都在組成Microsoft 線上服務的各種服務上進行安全性作業管理,因此Microsoft已實作同盟安全性回應模型。

下表顯示各種Microsoft在線服務安全性作業小組與Microsoft服務小組之間的作業界限:

活動 Microsoft安全性小組作業 Microsoft服務小組作業
偵測和分析 - 偵測需求
- 安全性監視和分析
- IOC) 掃掠 (入侵指標
- 入侵搜捕
- 24x7 安全性待命和事件回應潛在客戶
- 偵測需求
- 監視基礎結構部署
- 服務分析和深入解析
- 事件和警示分級
- 24x7 服務工程待命
內含專案、消除、復原 - 事件回應潛在客戶
- 鑑識調查
- 安全性專業知識和諮詢
- 復原指引
- 安全性事件擁有者
- 服務見解和專業知識
- 執行內含專案、消除和復原
事件後活動 - 事件後分析潛在客戶
- 資料收集和封存
- 學習到的課程和 Bug 要求
- 事件報告
- 服務端事件分析
- 優先處理後續活動
- 實作安全性投資
- 服務安全性整備