Microsoft Online Services インシデント対応フェーズ 2 について - 検出と分析
Microsoft では、攻撃ライフサイクルの早い段階でセキュリティ対応を可能にするために、主要な脅威シナリオと補完的な検出と分析アクティビティに重点を置いています。 検出ツールは、潜在的なインシデントが検出されたときに、効果的かつ効率的に応答できるようにするために、十分な情報を提供するように構成されています。 Microsoft には、セキュリティ対応チームとそのパートナーからの学習を使用して、潜在的なセキュリティ インシデントの検出を改善する責任を負う専用のセキュリティ シグナル チームがあります。
検出ツールと戦略
Microsoft はインシデントを処理する準備を整えていますが、検出戦略は、インサイダー脅威、Web サービス攻撃、サービス拒否攻撃、テナント攻撃などの一般的な攻撃ベクトルに焦点を当てています。 インシデントの兆候は、前兆と指標の 2 つのカテゴリのいずれかに分類されます。 プリカーサーは、インシデントが将来発生する可能性がある兆候であり、インジケーターは、インシデントが発生したか、現在発生している可能性があることを示す兆候です。
インシデント対応プロセスの最も困難な部分の 1 つは、Microsoft Online Services に関連する大量のアクティビティが原因で発生する可能性のあるインシデントを正確に検出して評価することです。 インジケーターが正確であっても、インシデントが発生したとは限りません。 Microsoft では、さまざまな詳細レベルと忠実性を持つ複数の手法を使用して、潜在的なインシデントを検出します。
一元的な監査ログと分析は、異常または疑わしいアクティビティを検出するために使用されるメイン方法の 1 つです。 Microsoft Online Services サーバーとインフラストラクチャ デバイスからのログ ファイルが収集され、中央の統合データベースに格納されます。 一元的なログ分析を使用すると、Microsoft のセキュリティ対応チームは環境を包括的に監視し、さまざまなサービスのログ エントリを関連付けることができます。
その他の検出ツールには、ネットワークベースおよびホストベースの侵入検出システム、一元的に管理されたウイルス対策とマルウェア対策スイート、エンジニアやエンド ユーザーからの観察などの手動検出方法があります。 Microsoft は、クラウド スタックのすべてのコンポーネントにコンピテンシーを持つ、経験豊富で熟練したスキルを持つユーザーを採用しています。 このエンジニアの専門知識が、自動検出メカニズムを補完、サポートします。
エスカレーションと調査
すべての監視はセキュリティ上の問題ではない可能性があるため、サービス チームは最初のトリアージと予備的なレビューを実行して、問題の性質を調べ、その重大度を判断する必要があります。 Microsoft のセキュリティ対応チームは、監視が真のセキュリティ インシデントであると判断された場合に従うサービス チームのエスカレーション基準と手順を作成し、維持します。
エスカレートされると、セキュリティ対応チームは、セキュリティ インシデント対応プロセスの残りの部分のキー オーケストレーターとして機能します。 セキュリティ対応チームは、検出インジケーターを分析して、セキュリティ インシデントが発生したかどうかを判断し、必要に応じて重大度レベルを調整する役割を担います。 顧客データの漏えい、変更、破壊をチームが検出した場合、チームは顧客のセキュリティ通知プロセスを開始します。
調査の開始時に、セキュリティ対応チームはサービス チームと協力して、インシデントに関連するすべての情報を記録し、インシデント対応プロセス全体を通じてその正確性を維持します。 関連情報には以下が含まれます:
- インシデントの概要
- 影響を及ぼす可能性に基づいたインシデントの重大度と優先度
- インシデントの検出のきっかけとなったすべてのインジケーターの一覧
- 関連するインシデントの一覧
- セキュリティ対応チームと関連するサービス チームによって実行されたすべてのアクションの一覧
- インシデント対応プロセス中に収集された証拠は、事後分析および法科学の調査のために保存されます
- 推奨される次のステップとアクション
潜在的なセキュリティ インシデントがエスカレートされた場合、対応する調査チームには、調査に不可欠な人材のみが含まれます。 サブプロセッサーやスタッフ増強など、Microsoft 以外のフルタイム従業員は対象から外されます。 これらの人材は必要な場合にのみ再関与し、人数に制限があります。