瞭解 Microsoft Online Services 事件響應階段 3 - 內含專案、消除和復原
根據安全性回應小組所協調的分析,會開發適當的內含專案和復原計劃,以將安全性事件的影響降到最低、保留辨識項,以及從環境中移除威脅。 相關服務小組會在安全性回應小組支援下實作方案,以確保已成功消除威脅,且受影響的服務會進行完整復原。
遏制措施
遏制措施的主要目標是限制對 Microsoft 系統、應用程式、客戶和客戶資料的傷害。 在此階段中,安全性回應小組會與受影響的服務小組合作,以限制安全性事件的影響,並防止進一步的損害。 內含專案策略取決於事件類型,但可能包括重建受影響的系統、隔離和隔離受感染的主機,或控制重要資源的存取。 對於較大的影響事件,計劃會因其複雜度而逐一決定。 Microsoft Online Services 內的各種自動化回應也可協助小組包含事件。
遏制階段中會繼續資料的收集和分析,以確保正確識別事件的根本原因,並且在鏟除計劃和復原方案中包含了所有受影響的服務和組用戶。 成功追蹤所有受影響的服務才能進行全面的鏟除和復原。
鏟除
鏟除是透過高度自信來消除安全性事件根本原因的一個流程。 鏟除的目標有兩層: 將攻擊者完全從環境中驅逐,以及減輕造成事件或可能讓攻擊者重新進入環境的任何安全性漏洞。
會根據在先前的事件回應階段中執行的分析,來逐步鏟除並驅逐攻擊者和減輕安全性漏洞。 根據事件的影響,活動可能包括移除敵人成品、終止惡意進程、重設秘密,或在某些情況下完全重建系統。 在整個程式中,安全性回應小組會繼續使用網路和進程監視等策略來追蹤和監視敵人活動。 安全性回應小組會與受影響的服務小組協調,以確保計劃會依設計執行,並成功從環境中移除威脅。 在移除威脅並解決其根本原因之前,將無法進行復原。
復原
當安全性回應小組確信敵人已從環境中收回,且已修復已知的弱點時,他們會與受影響的服務小組合作來起始復原。 復原會將受影響的服務帶到已知的安全性組態。 復原程式包括識別服務的最後已知良好狀態、從備份還原到此狀態,以及確認還原的狀態可減輕造成事件的弱點。
復原流程的主要層面是增強的偵測控制項,以驗證復原計畫已成功執行,且環境中沒有安全性缺口的跡象。 其他偵測控制項的範例包括增加網路層級監視、針對在事件回應流程期間識別的攻擊媒介進行目標式警示,以及額外安全性小組對重要資源的警覺。 增強監視可協助確保成功鏟除攻擊,而且攻擊者無法重新進入環境。