Comprendre la phase 2 de réponse aux incidents microsoft Online Services - Détection et analyse
Microsoft se concentre sur les scénarios de menaces clés et les activités de détection et d’analyse complémentaires pour permettre une réponse de sécurité aussi tôt que possible dans le cycle de vie des attaques. Les outils de détection sont configurés de manière à fournir suffisamment d'informations pour permettre des actions de réponse efficaces et efficientes lorsqu'un incident potentiel est détecté. Microsoft dispose d’équipes de signal de sécurité dédiées qui sont chargées d’améliorer la détection des incidents de sécurité potentiels à l’aide des enseignements des équipes de réponse de sécurité et de leurs partenaires.
Outils et stratégies de détection
Bien que Microsoft soit prêt à gérer n’importe quel incident, les stratégies de détection se concentrent sur les vecteurs d’attaque courants tels que les menaces internes, les attaques de service web, les attaques par déni de service et les attaques de locataire. Les signes d’incidents appartiennent à l’une des deux catégories suivantes : les précurseurs et les indicateurs. Un précurseur est un signe qu’un incident peut se produire à l’avenir et un indicateur est un signe qu’un incident peut s’être produit ou peut se produire maintenant.
L’une des parties les plus difficiles du processus de réponse aux incidents est la détection et l’évaluation précises des incidents possibles en raison du volume d’activité associé à Microsoft Online Services. Même si un indicateur est exact, cela ne signifie pas nécessairement qu’un incident s’est produit. Microsoft utilise plusieurs techniques avec différents niveaux de détail et de fidélité pour détecter les incidents potentiels.
La journalisation et l’analyse d’audit centralisées sont l’une des principales méthodes utilisées pour détecter les activités anormales ou suspectes. Les fichiers journaux des serveurs microsoft Online Services et des appareils d’infrastructure sont collectés et stockés dans une base de données centralisée consolidée. L’analyse centralisée des journaux permet aux équipes de réponse de sécurité de Microsoft de surveiller de manière complète l’environnement et de mettre en corrélation les entrées de journal de différents services.
D’autres outils de détection incluent les systèmes de détection des intrusions basés sur le réseau et sur l’hôte, les suites antivirus et anti-programmes malveillants gérées de manière centralisée, ainsi que les méthodes de détection manuelle, telles que les observations des ingénieurs et des utilisateurs finaux. Microsoft emploie des personnes hautement expérimentées, compétentes et qualifiées avec des compétences dans tous les composants de la pile cloud. L’expertise de nos ingénieurs complète et prend en charge nos mécanismes de détection automatisés.
Réaffectation et examen
Étant donné que chaque observation peut ne pas être un problème de sécurité, les équipes de service doivent effectuer un tri initial et un examen préliminaire pour examiner la nature du problème et déterminer sa gravité. Les équipes de réponse de sécurité de Microsoft créent et gèrent les critères d’escalade et les procédures que les équipes de service doivent suivre si l’observation est considérée comme un véritable incident de sécurité.
Une fois remontée, l’équipe de réponse de sécurité sert d’orchestrateur de clés pour le reste du processus de réponse aux incidents de sécurité. L’équipe de réponse de sécurité est chargée d’analyser les indicateurs de détection pour déterminer si un incident de sécurité s’est produit et pour ajuster son niveau de gravité si nécessaire. Si, à un stade quelconque, l’équipe découvre que les données client ont été divulguées, modifiées ou supprimées, l’équipe lance le processus de notification de la sécurité du client.
Au début de l’enquête, l’équipe de réponse de sécurité, en collaboration avec l’équipe de service, enregistre toutes les informations relatives à l’incident et maintient leur exactitude tout au long du processus de réponse aux incidents. Les informations pertinentes peuvent être les suivantes :
- Résumé de l’incident
- La gravité et la priorité de l’incident en fonction de son impact potentiel
- Liste de tous les indicateurs qui ont provoqué la détection de l’incident
- Liste des incidents associés
- Liste de toutes les actions effectuées par l’équipe de réponse de sécurité et toutes les équipes de service associées
- Les preuves rassemblées pendant le processus de réponse aux incidents, lesquelles sont conservées pour les analyses post mortem et d'éventuelles examens médico-légaux
- Étapes et actions suivantes recommandées
Lorsqu’un incident de sécurité potentiel est remonté, l’équipe d’examen correspondante inclut uniquement les membres du personnel qui sont critiques pour l’examen. Les employés à plein temps non-Microsoft, tels que les sous-traitants ou l'augmentation du personnel, sont désengagés. Ces personnels ne sont réengagés qu'en cas de nécessité et dans des fonctions de portée limitée.