Gestion des incidents de sécurité Microsoft : activité post-incident
Autopsie
Certains incidents de sécurité, en particulier ceux qui ont un impact sur le client ou entraînent une violation de données, sont soumis à un incident complet après mortem. L’équipe de réponse de sécurité effectue un post-morttem détaillé avec toutes les parties impliquées dans la réponse aux incidents de sécurité pour :
- Documentez la séquence d’événements à l’origine de l’incident.
- Créez un résumé technique de l’incident tel qu’il est soutenu par la preuve qui inclut les acteurs impliqués dans la violation (si connu). Ce résumé inclut la façon dont la réponse a été exécutée et d’autres points clés à retenir.
- Identifiez les défaillances techniques, les défaillances procédurales, les erreurs manuelles, les failles de processus et les problèmes de communication, et/ou tous les vecteurs d’attaque précédemment inconnus qui ont été identifiés lors de la réponse aux incidents de sécurité.
Le post-mortem influence directement l’amélioration du service en ligne Microsoft, les processus opérationnels et la documentation en définissant de nouvelles priorités dans le cycle de développement d’ingénierie Microsoft services en ligne.
Documentation
Tous les principaux résultats techniques du processus post mortem sont capturés dans un rapport et des investissements ou des correctifs de service sous la forme de bogues ou de demandes de modification de développement. Ces résultats sont suivis par les équipes d’ingénierie appropriées. Pour les échecs de processus et les problèmes inter-organisationnelles, les problèmes sont documentés dans la base de données de l’équipe de réponse de sécurité et suivis avec les groupes appropriés pour les résoudre.
Amélioration des processus
La réponse à un incident de sécurité dans Microsoft services en ligne implique la coordination avec plusieurs groupes répartis dans différentes organisations au sein de Microsoft, et potentiellement avec des organisations externes appropriées telles que les forces de l’ordre. Nous savons qu’il est essentiel d’évaluer nos réponses après chaque incident de sécurité pour la suffisance et l’exhaustivité. Pour toutes les améliorations ou modifications identifiées, l’équipe de réponse de sécurité évalue les suggestions en consultation avec les équipes et les parties prenantes appropriées et, le cas échéant, les incorpore dans des procédures opérationnelles standard. Toutes les modifications, bogues ou améliorations de service requises identifiées pendant la réponse aux incidents de sécurité ou l’activité post mortem sont journalisées et suivies dans une base de données d’ingénierie Microsoft interne. Tous les bogues ou fonctionnalités potentiels sont attribués au propriétaire approprié. L’équipe de réponse de sécurité Microsoft examine toutes les entrées jusqu’à ce que le problème soit résolu.
Articles connexes
- Gestion des incidents de sécurité Microsoft
- Gestion des incidents de sécurité Microsoft : préparation
- Gestion des incidents de sécurité Microsoft : détection et analyse
- Gestion des incidents de sécurité Microsoft : confinement, éradication et récupération
- Comment enregistrer un ticket de support d’événement de sécurité
- Notification de violation Azure et Dynamics 365 dans le cadre du RGPD