พื้นฐานการรับมือเหตุการณ์ (Incident Response)
Incident response คือวิธีรับมือเมื่อสงสัยว่าข้อมูล สิทธิ์ token key connector หรือ policy มีปัญหา โดยทำเป็นลำดับขั้นและมีหลักฐาน.
เริ่มอ่านตรงนี้ก่อน
อธิบายแบบง่าย
พื้นฐานการรับมือเหตุการณ์ (Incident Response) คือเรื่องที่ช่วยให้เราใช้ป้องกันข้อมูล สิทธิ์ key token และความเสี่ยงจากการแชร์ผิดทางได้ถูกทางขึ้น
ระดับ
เหมาะกับคนที่ต้องตรวจงานหรือวางมาตรฐาน
ใช้เมื่อไหร่
เมื่อ token, API key, connection หรือข้อมูลลับอาจหลุด.
อ่านแล้วทำอะไรต่อ
หยุดการใช้ key เดิมก่อน ออก key ใหม่ ตรวจ log ว่า key ถูกใช้เมื่อไหร่ จากที่ไหน และแอปหรือ flow ไหนต้องแก้ connection.
เห็นภาพ: ทริคนี้เป็นยังไง
- 1ตรวจพบ (Detect)รู้ว่าเกิดอะไร
- 2จำกัดวง (Contain)กันไม่ให้ลาม
- 3กำจัด (Eradicate)ปิดช่องโหว่
- 4กู้คืน (Recover)กลับมาใช้งาน
- 5ถอดบทเรียน (Learn)กันเกิดซ้ำ
▶ เล่นอัตโนมัติ · ชี้เมาส์เพื่อหยุด · กดแถบด้านบนเพื่อข้ามขั้น
ใช้ตอนไหน?
- เมื่อ token, API key, connection หรือข้อมูลลับอาจหลุด.
- เมื่อ DLP policy หรือสิทธิ์เปลี่ยนแล้วแอป flow หรือรายงานทำงานผิดปกติ.
- เมื่อข้อมูลถูกแชร์ผิดกลุ่ม ดึงออกผิดที่ หรือมีคนเข้าถึงทรัพยากรที่ไม่ควรเห็น.
ความหมาย
สำหรับทีมข้อมูลและ Power Platform ไม่ต้องเริ่มจากศัพท์ยาก ให้จำว่าเมื่อเกิดเหตุ เราต้องรู้ว่าเกิดอะไร กระทบอะไร หยุดความเสียหายอย่างไร เก็บหลักฐานจาก log ไหน และต้องป้องกันไม่ให้เกิดซ้ำอย่างไร.
วงจรการตอบสนองแบบง่าย
ใช้ลำดับนี้เพื่อลดการเดาและเก็บหลักฐานก่อนข้อมูลหาย.
detect -> contain -> investigate -> recover -> learnตัวอย่างการใช้
API key หลุด
หยุดการใช้ key เดิมก่อน ออก key ใหม่ ตรวจ log ว่า key ถูกใช้เมื่อไหร่ จากที่ไหน และแอปหรือ flow ไหนต้องแก้ connection.
ลิงก์แชร์ผิด
ปิดลิงก์หรือถอดสิทธิ์ก่อน แล้วดู log การตรวจสอบว่าใครเปิดหรือดาวน์โหลดอะไรไปบ้าง จากนั้นปรับสิทธิ์และแจ้งเจ้าของ.