Microsoft持續為Microsoft客戶提供高度安全的企業級服務,但安全性事件是必須徹底且徹底管理的不可避免實境。 本檔提供Microsoft如何使用已嘗試和真實的方法和技術來處理安全性事件的概觀,以將潛在影響降到最低。 安全性事件是指非法存取儲存在Microsoft設備或Microsoft設備中的客戶數據,或未經授權存取可能會導致客戶數據遺失、洩漏或改變的這類設備或設施。 回應安全性事件時,Microsoft的目標是保護客戶數據和Microsoft的 線上服務。
Microsoft 線上服務 安全性小組和各種服務小組共同合作,並採取相同的安全性事件方法:
- 準備
- 偵測和分析
- 內含專案、消除和復原
- 事件後活動
Microsoft安全性事件管理的方法
Microsoft管理安全性事件的方法符合 美國國家標準與技術局 (NIST) 特殊發行 (SP) 800-61。 Microsoft有數個專門小組共同合作,以預防、監視、偵測及回應安全性事件。
小組/區域 | 描述 |
---|---|
Microsoft 安全回應中心 | 識別、監視、解決及回應安全性事件,並Microsoft軟體安全性弱點。 |
網路防禦營運中心 | Cyber Defense Operations Center 是實體位置,可將來自整個公司的安全性回應小組和專家整合在一起,以協助即時保護、偵測及回應威脅。 |
公司、外部和法律事務 | 針對可疑的安全性事件提供法律和法規建議。 |
Microsoft Datacenter 安全性小組 | 專注於各種服務的小組,著重於常見的安全性工程投資,以保護、偵測及回應服務架構風險和威脅。 |
Microsoft安全性回應小組 | 獨立 Azure、Dynamics 365 和Microsoft 365 安全性小組,可與服務小組合作來建置適當的安全性事件管理程式,並推動任何安全性事件回應。 |
Microsoft治理、風險和合規性 (GRC) 小組 | 提供法規需求、合規性和隱私權的指引。 |
服務小組 | 適用於 Azure、Dynamics 365、Microsoft 365 的工程小組負責每個服務的安全性相關原則和決策。 |
Azure 作業管理員 | 監督 Azure 相關安全性和隱私權事件的調查和解決。 |
Microsoft威脅情報中心 (MSTIC) | 針對Microsoft基礎結構和資產提供數位安全性威脅的目前技術狀態、協助Microsoft內的夥伴小組優先處理風險降低和預防工作行動計劃,以及採用近乎即時的事件監視/偵測來增加保護。 |
客戶體驗通訊小組 | 負責安全性和服務事件之所有客戶通訊的工程小組。 個別小組專用於 Azure、Dynamics 365 和 Microsoft 365。 |
回應管理程式
Microsoft 線上服務 安全性小組和服務小組合作,並根據 NIST 800-61 回應管理階段,對安全性事件採取相同的方法:
- 準備:指的是能夠回應所需的組織準備,包括工具、程式、專長認證和整備程度。
- 偵測 & 分析:是指在生產環境中偵測安全性事件,以及分析所有事件以確認安全性事件真實性的活動。
- 內含專案、消除、復原:是指根據在上一個階段中完成的分析,為包含安全性事件所採取的必要和適當動作。 在此階段中也可能需要進行更多分析,才能從安全性事件完全復原。
- 事件後活動:指的是在安全性事件復原之後執行的事後分析。 系統會檢閱在程式期間執行的作業動作,以判斷是否需要在準備或偵測和分析階段中進行任何變更。
同盟安全性回應模型
Microsoft 線上服務 包含核心Microsoft產品,包括 Azure、Dynamics 365 和 Microsoft 365。 這些服務都由個別小組以自己的安全性作業程序來運作。 MSTIC 等Microsoft的其他小組也會參與Microsoft 線上服務 的各種安全性層面。 由於許多小組都在組成Microsoft 線上服務的各種服務上進行安全性作業管理,因此Microsoft已實作同盟安全性回應模型。
下表顯示各種Microsoft在線服務安全性作業小組與Microsoft服務小組之間的作業界限:
活動 | Microsoft安全性小組作業 | Microsoft服務小組作業 |
---|---|---|
偵測和分析 | - 偵測需求 - 安全性監視和分析 - IOC) 掃掠 (入侵指標 - 入侵搜捕 - 24x7 安全性待命和事件回應潛在客戶 |
- 偵測需求 - 監視基礎結構部署 - 服務分析和深入解析 - 事件和警示分級 - 24x7 服務工程待命 |
內含專案、消除、復原 | - 事件回應潛在客戶 - 鑑識調查 - 安全性專業知識和諮詢 - 復原指引 |
- 安全性事件擁有者 - 服務見解和專業知識 - 執行內含專案、消除和復原 |
事件後活動 | - 事件後分析潛在客戶 - 資料收集和封存 - 學習到的課程和 Bug 要求 - 事件報告 |
- 服務端事件分析 - 優先處理後續活動 - 實作安全性投資 - 服務安全性整備 |