Descripción de la fase 2 de respuesta a incidentes de Microsoft Online Services: detección y análisis
Microsoft se centra en escenarios de amenazas clave y en actividades complementarias de detección y análisis para habilitar la respuesta de seguridad lo antes posible en el ciclo de vida de los ataques. Las herramientas de detección están configuradas para proporcionar información suficiente para acciones de respuesta eficaces cuando se detecta un posible incidente. Microsoft tiene equipos de señales de seguridad dedicados que son responsables de mejorar la detección de posibles incidentes de seguridad mediante los aprendizajes de los equipos de respuesta de seguridad y sus asociados.
Herramientas y estrategias de detección
Aunque Microsoft está preparado para controlar cualquier incidente, las estrategias de detección se centran en vectores de ataque comunes, como amenazas internas, ataques de servicio web, ataques de denegación de servicio y ataques de inquilino. Los signos de incidentes se dividen en una de dos categorías: precursores e indicadores. Un precursor es una señal de que un incidente puede producirse en el futuro y un indicador es una señal de que un incidente puede haber ocurrido o puede estar ocurriendo ahora.
Una de las partes más difíciles del proceso de respuesta a incidentes es detectar y evaluar con precisión posibles incidentes debido al gran volumen de actividad asociado a Microsoft Online Services. Incluso si un indicador es preciso, no significa necesariamente que se haya producido un incidente. Microsoft usa varias técnicas con distintos niveles de detalle y fidelidad para detectar posibles incidentes.
El registro y el análisis de auditoría centralizados es uno de los métodos principales que se usan para detectar actividades anómalas o sospechosas. Los archivos de registro de los servidores y dispositivos de infraestructura de Microsoft Online Services se recopilan y almacenan en una base de datos centralizada y consolidada. El análisis de registros centralizado permite a los equipos de respuesta de seguridad de Microsoft supervisar exhaustivamente el entorno y correlacionar las entradas de registro de diferentes servicios.
Otras herramientas de detección incluyen sistemas de detección de intrusiones basados en la red y en host, conjuntos de antivirus y antimalware administrados de forma centralizada y métodos de detección manuales, como observaciones de ingenieros y usuarios finales. Microsoft emplea a personas altamente experimentadas, competentes y cualificadas con competencias en todos los componentes de la pila en la nube. La experiencia de nuestros ingenieros complementa y respalda nuestros mecanismos de detección automatizados.
Escalación e investigación
Dado que todas las observaciones pueden no ser un problema de seguridad, los equipos de servicio deben realizar una evaluación preliminar y de evaluación inicial para examinar la naturaleza del problema y determinar su gravedad. Los equipos de respuesta de seguridad de Microsoft crean y mantienen los criterios y procedimientos de escalación que deben seguir los equipos de servicio si se determina que la observación es un verdadero incidente de seguridad.
Una vez escalado, el equipo de respuesta de seguridad actúa como orquestador clave para el resto del proceso de respuesta a incidentes de seguridad. El equipo de respuesta de seguridad es responsable de analizar los indicadores de detección para determinar si se ha producido un incidente de seguridad y ajustar su nivel de gravedad si es necesario. Si en algún momento el equipo detecta que los datos del cliente se han divulgado, modificado o destruido, inicia el proceso de notificación de seguridad al cliente.
Al principio de la investigación, el equipo de respuesta de seguridad, trabajando junto con el equipo de servicio, registra toda la información pertinente para el incidente y mantiene su precisión durante todo el proceso de respuesta al incidente. La información relevante puede incluir lo siguiente:
- Un resumen del incidente
- La gravedad y prioridad del incidente en función de su posible impacto
- Una lista de todos los indicadores que han llevado a la detección del incidente
- Una lista de cualquier incidente relacionado
- Una lista de todas las acciones realizadas por el equipo de respuesta de seguridad y los equipos de servicio asociados
- Cualquier prueba recopilada durante el proceso de respuesta a incidentes, que se conservará para el análisis posterior y las posibles investigaciones forenses.
- Acciones y pasos siguientes recomendados
Cuando se escala un posible incidente de seguridad, el equipo de investigación correspondiente incluye solo al personal que es crítico para la investigación. Los empleados a tiempo completo que no son de Microsoft, como los subencargados o los refuerzos de plantilla, no participan. Este personal solo se vuelve a implicar si es necesario y en una capacidad limitada.