Microsoft 安全性事件管理

Microsoft 會持續努力為 Microsoft 客戶提供高度安全的企業級服務,但安全性事件是一個不可避免的實境,必須徹底且全面地管理。 本檔提供 Microsoft 如何使用已嘗試和真實的方法和技術來處理安全性事件的概觀,以將潛在影響降到最低。 安全性事件是指任何非法存取儲存在 Microsoft 設備或 Microsoft 設備中的客戶資料,或未經授權存取可能會導致客戶資料遺失、洩漏或改變的這類設備或設施。 Microsoft 在回應安全性事件時的目標是要保護客戶資料和 Microsoft 的線上服務。

Microsoft 線上服務安全性小組和各種服務小組共同運作,並採取相同的安全性事件方法:

  • 準備
  • 偵測和分析
  • 內含專案、消除和復原
  • 事件後活動

Microsoft 的安全性事件管理方法

Microsoft 管理安全性事件的方法符合 美國國家標準與技術局 (NIST) 特殊發行 (SP) 800-61。 Microsoft 有數個專門小組共同合作,以預防、監視、偵測及回應安全性事件。

小組/區域 描述
Microsoft 安全回應中心 識別、監視、解決及回應安全性事件和 Microsoft 軟體安全性弱點。
網路防禦營運中心 Cyber Defense Operations Center 是實體位置,可將來自整個公司的安全性回應小組和專家整合在一起,以協助即時保護、偵測及回應威脅。
公司、外部和法律事務 針對可疑的安全性事件提供法律和法規建議。
Microsoft Datacenter Security Team 專注于各種服務的小組,著重于常見的安全性工程投資,以保護、偵測及回應服務架構風險和威脅。
Microsoft 安全性回應小組 與服務小組合作的獨立 Azure、Dynamics 365 和 Microsoft 365 安全性小組,可建置適當的安全性事件管理程式,並推動任何安全性事件回應。
GRC) 小組 (Microsoft 治理、風險和合規性 提供法規需求、合規性和隱私權的指引。
服務小組 適用于 Azure、Dynamics 365、Microsoft 365 的工程小組,負責每個服務的安全性相關原則和決策。
Azure 作業管理員 監督 Azure 相關安全性和隱私權事件的調查和解決。
Microsoft 威脅情報中心 (MSTIC) 針對 Microsoft 基礎結構和資產提供數位安全性威脅的目前技術狀態、協助 Microsoft 內部的合作夥伴小組優先處理風險降低和預防工作動作計畫,以及採用近乎即時的事件監視/偵測來增加保護。
客戶體驗通訊小組 負責安全性和服務事件之所有客戶通訊的工程小組。 個別小組專門負責 Azure、Dynamics 365 和 Microsoft 365。

回應管理程式

Microsoft 線上服務安全性小組和服務小組共同合作,並採用以 NIST 800-61 回應管理階段為基礎的相同安全性事件方法:

  • 準備:指的是能夠回應所需的組織準備,包括工具、程式、專長認證和整備程度。
  • 偵測 & 分析:是指在生產環境中偵測安全性事件,以及分析所有事件以確認安全性事件真實性的活動。
  • 內含專案、消除、復原:是指根據在上一個階段中完成的分析,為包含安全性事件所採取的必要和適當動作。 在此階段中也可能需要進行更多分析,才能從安全性事件完全復原。
  • 事件後活動:指的是在安全性事件復原之後執行的事後分析。 系統會檢閱在程式期間執行的作業動作,以判斷是否需要在準備或偵測和分析階段中進行任何變更。

安全性事件管理階段。

同盟安全性回應模型

Microsoft 線上服務包含核心 Microsoft 產品,包括 Azure、Dynamics 365 和 Microsoft 365。 這些服務都由個別小組以自己的安全性作業程式來運作。 Microsoft 的其他小組,例如 MSTIC,也會參與 Microsoft 線上服務的各種安全性層面。 由於許多小組都在組成 Microsoft 線上服務的所有各種服務上進行安全性作業管理,因此 Microsoft 已實作同盟安全性回應模型。

下表顯示各種 Microsoft 線上服務安全性作業小組與 Microsoft 服務小組之間的作業界限:

活動 Microsoft 安全性小組作業 Microsoft 服務小組作業
偵測和分析 - 偵測需求
- 安全性監視和分析
- IOC) 掃掠 (入侵指標
- 入侵搜捕
- 24x7 安全性待命和事件回應潛在客戶
- 偵測需求
- 監視基礎結構部署
- 服務分析和深入解析
- 事件和警示分級
- 24x7 服務工程待命
內含專案、消除、復原 - 事件回應潛在客戶
- 鑒識調查
- 安全性專業知識和諮詢
- 復原指引
- 安全性事件擁有者
- 服務見解和專業知識
- 執行內含專案、消除和復原
事件後活動 - 事件後分析潛在客戶
- 資料收集和封存
- 學習到的課程和 Bug 要求
- 附隨報告
- 服務端事件分析
- 優先處理後續活動
- 實作安全性投資
- 服務安全性整備