瞭解 Microsoft Online Services 事件回應階段 1 - 準備
現在,您知道負責事件回應的團隊,我們將探索事件回應程序的各個階段。
準備可在事件發生時快速回應,甚至能防止第一時間發生事件。 Microsoft 致力於準備安全性事件的重要資源。
訓練
每位在 Microsoft 工作的員工都必須接受適當的訓練,以符合其有關安全性事件回應的角色。 當新員工開始在 Microsoft 工作時,即會進行初始訓練,之後每年進行年度復習訓練。 此訓練旨在讓員工了解 Microsoft 處理安全性的基本方法。 完成訓練後,所有員工都可以:
- 定義安全性事件。
- 解釋他們在回報安全性事件中所擔任的角色與責任。
- 描述安全性回應小組如何回應安全性事件。
- 如何將潛在的安全性事件呈報給適當的安全性回應小組。
- 闡明有關隱私權,尤其是客戶隱私權的特殊問題。
- 取得有關安全性、隱私權和呈報連絡人的其他資訊。
除了一般安全性訓練之外,參與事件回應的員工也會接受補充的角色型安全性訓練。
維護待命工程師 (OCE)
所有服務作業小組,包括安全性回應小組,都會維持待命輪替,以確保有 24x7x365 可用的資源。 輪班待命包括可用性和呈報點的備援,以確保責任制。 在管理事件的相同儀錶板內,每個服務小組會集中列出 OCE 及其待命時間。 我們的通話輪替可讓 Microsoft 隨時或大規模掛接有效的事件回應,包括廣泛或並行事件。
OCE 會使用安全 管理員 工作站來存取生產環境,而且其存取權會限定時間,且範圍限於事件回應所需的工作。
工具與資源
Microsoft 安全性回應小組負責維護與安全性事件回應相關聯的所有工具和資源。 其中包括線上協助資源,目的在快速告知值班工程師正確的程序以及如何快速、安全地呈報潛在問題。 事件回應資源也包含自定義工具、腳本和程式,可協助安全性回應小組解決各種安全性問題和攻擊類型。 OCE 必須完成每年的訓練,並取得最新的背景檢查,以維持存取事件回應工具和資源的資格。
事件回應測試
Microsoft 會定期測試、檢閱及更新其事件響應計劃,以考慮環境的變更和新的安全性威脅。 我們的事件回應測試方法會使用來自我們稱之為 Red Team 之安全性滲透測試人員內部小組的即時、無法預測的攻擊。 Red Team 會使用各種技術,嘗試在不偵測的情況下入侵 Microsoft Online Services 系統。 Red Team 工作會模擬真實世界的攻擊,並測試 Microsoft 安全性回應小組的功能。
在內部滲透測試的內容中,Microsoft 的安全性回應小組稱為Blue Team。 藍隊會使用事件回應程序來偵測和回應紅隊的攻擊,就像它們是真正安全性事件一樣。 客戶數據絕不是滲透測試的目標,但這些練習有助於確保 Microsoft Online Services 已準備好偵測、預防及回應新類型的安全性威脅。
除了進行內部滲透測試之外,Microsoft 還會進行各種其他事件響應練習,包括「擷取旗標」事件、一次性桌面練習,以及其他隨插即用或有組織的事件。 這些練習可補充進行中的內部滲透測試,以確保所有團隊已做好充分準備,能在真正的安全性事件時履行責任。
證據保護
事件回應期間收集的資料通常很敏感,必須維持安全。 Microsoft 的安全性回應小組負責確保針對所有事件相關的通訊和檔提供適當的加密和信息保護。 這包括使用安全的證據保險箱來儲存調查期間收集的鑑識證據。 該團隊遵循經核准的鑑識證據處理流程,包括監管鏈,以確保所有與事件相關的證據保持安全且未經修改。