Información general sobre el registro de auditoría
¿Cómo emplean los servicios en línea de Microsoft el registro de auditoría?
Los servicios en línea de Microsoft emplean el registro de auditoría para detectar actividades no autorizadas y proporcionar responsabilidades al personal de Microsoft. Los registros de auditoría capturan detalles sobre los cambios de configuración del sistema y los eventos de acceso, con detalles para identificar quién fue responsable de la actividad, cuándo y dónde se realizó la actividad y cuál fue el resultado de la actividad. El análisis de registro automatizado admite la detección casi en tiempo real de comportamiento sospechoso. Los posibles incidentes se escalan al equipo de respuesta de seguridad de Microsoft adecuado para una investigación más exhaustiva.
El registro de auditoría interna de Servicios en línea de Microsoft captura datos de registro de varios orígenes, como:
- Registros de eventos
- Registros de AppLocker
- Datos de rendimiento
- System Center datos
- Registros de detalles de llamadas
- Datos de calidad de la experiencia
- Registros del servidor web iis
- SQL Server registros
- Datos de Syslog
- Registros de auditoría de seguridad
¿Cómo centralizan los servicios en línea de Microsoft e informan sobre los registros de auditoría?
Muchos tipos diferentes de datos de registro se cargan desde servidores microsoft a una solución de supervisión de seguridad propietaria para análisis casi en tiempo real (NRT) y un servicio informático de big data interno (Cosmos) o Azure Data Explorer (Kusto) para almacenamiento a largo plazo. Esta transferencia de datos se produce a través de una conexión TLS validada por FIPS 140-2 en puertos y protocolos aprobados mediante herramientas de administración de registros automatizadas.
Los registros se procesan en NRT mediante métodos basados en reglas, estadísticas y aprendizaje automático para detectar indicadores de rendimiento del sistema y eventos de seguridad potenciales. Los modelos de aprendizaje automático usan datos de registro entrantes y datos de registro histórico almacenados en Cosmos o Kusto para mejorar continuamente las capacidades de detección. Las detecciones relacionadas con la seguridad generan alertas, notificando a los ingenieros de llamadas de un posible incidente y desencadenando acciones de corrección automatizadas cuando corresponda. Además de la supervisión de seguridad automatizada, los equipos de servicio usan herramientas de análisis y paneles para la correlación de datos, consultas interactivas y análisis de datos. Estos informes se usan para supervisar y mejorar el rendimiento general del servicio.
Para obtener más información sobre la supervisión de seguridad y las alertas, vea la información general sobre la supervisión de seguridad.
¿Cómo protegen los registros de auditoría los servicios en línea de Microsoft?
Las herramientas usadas en los servicios en línea de Microsoft para recopilar y procesar registros de auditoría no permiten cambios permanentes o irreversibles en el contenido del registro de auditoría original ni en el orden de tiempo. El acceso a los datos del servicio en línea de Microsoft almacenados en Cosmos o Kusto está restringido al personal autorizado. Además, Microsoft restringe la administración de registros de auditoría a un subconjunto limitado de miembros del equipo de seguridad responsables de la funcionalidad de auditoría. El personal del equipo de seguridad no tiene acceso administrativo permanente a Cosmos o Kusto. El acceso administrativo requiere la aprobación de acceso just-in-time (JIT) y todos los cambios en los mecanismos de registro para Cosmos se registran y auditan. Los registros de auditoría se conservan lo suficiente como para admitir investigaciones de incidentes y cumplir los requisitos normativos. El período exacto de retención de datos del registro de auditoría determinado por los equipos de servicio; La mayoría de los datos del registro de auditoría se conservan durante 90 días en Cosmos y 180 días en Kusto.
¿Cómo protegen los servicios en línea de Microsoft los datos personales de los usuarios que se pueden capturar en los registros de auditoría?
Antes de cargar datos de registro, una aplicación de administración de registros automatizada usa un servicio de depuración para quitar los campos que contienen datos de clientes, como la información del inquilino y los datos personales del usuario, y reemplazar esos campos por un valor hash. Los registros anonimizados y hash se reescriben y, a continuación, se cargan en Cosmos. Todas las transferencias de registro se producen a través de una conexión cifrada TLS (FIPS 140-2).
Normativas externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para cumplir con las normativas y certificaciones externas. Consulte la siguiente tabla para la validación de controles relacionados con el registro de auditoría.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificación |
A.12.4: Registro y supervisión | 2 de diciembre de 2020 |
| ISO 27017 Declaración de aplicabilidad Certificación |
A.12.4: Registro y supervisión | 2 de diciembre de 2020 |
| ISO 27018 Declaración de aplicabilidad Certificación |
A.12.4: Registro y supervisión | 2 de diciembre de 2020 |
| SOC 1 | VM-1: Registro y colección de eventos de seguridad | 31 de marzo de 2021 |
| SOC 2 | C5-6: Acceso restringido a registros VM-1: Registro y colección de eventos de seguridad |
31 de marzo de 2021 |
Office 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| FedRAMP | AU-2: Eventos de auditoría AU-3: Contenido de registros de auditoría AU-4: Capacidad de almacenamiento de auditoría AU-5: Respuesta a errores de procesamiento de auditoría AU-6: Revisión de auditoría, análisis e informes AU-7: Reducción de auditoría y generación de informes AU-8: Marcas de tiempo AU-9: Protección de la información de auditoría AU-10: No repudio AU-11: Retención de registros de auditoría AU-12: Generación de auditoría |
24 de septiembre de 2020 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación |
A.12.4: Registro y supervisión | 20 de abril de 2021 |
| SOC 1 SOC 2 |
CA-48: Registro de centros de datos CA-60: Registro de auditoría |
24 de diciembre de 2020 |