Descripción de la supervisión de seguridad de Microsoft 365

  • 3 minutos

Diagrama que muestra los tres principios de supervisión de la seguridad. - Las alertas deben ser sólidas: necesitamos tener señales y lógica para una variedad de comportamientos de atacantes diferentes. - Las alertas deben ser precisas: tenemos que generar alertas significativas para evitar distraer con contenido vago. - Las alertas deben ser rápidas: tenemos que detectar a los atacantes lo suficientemente rápido como para detenerlos.

Microsoft 365 participa en la supervisión de seguridad continua de sus sistemas para detectar amenazas y responder a ellas en Microsoft 365 Services. La automatización, la escala y las soluciones basadas en la nube son pilares clave de nuestra estrategia de supervisión y respuesta. Para detectar y detener de forma eficaz los ataques a escala a algunos de los servicios principales de Microsoft 365, nuestros sistemas de supervisión deben generar automáticamente alertas muy precisas casi en tiempo real. Del mismo modo, cuando se detecta un problema, necesitamos la capacidad de mitigar el riesgo a escala; no podemos confiar en nuestro equipo para corregir manualmente los problemas equipo por equipo. Para mitigar los riesgos a escala, usamos herramientas basadas en la nube para aplicar contramedidas automáticamente y proporcionar a los ingenieros herramientas para aplicar mitigaciones aprobadas rápidamente en todo el entorno.

Registro y telemetría centralizados

Microsoft 365 usa el registro centralizado para recopilar y analizar eventos de registro en busca de aquella actividad que pueda indicar un incidente de seguridad. Las herramientas de registro centralizadas agregan registros de todos los componentes del sistema, incluidos los registros de eventos, los registros de aplicaciones, los registros de control de acceso y los sistemas de detección de intrusiones basados en red. Además del registro del servidor y los datos de nivel de aplicación, la infraestructura principal de nuestro servicio está equipada con agentes de seguridad personalizados que generan telemetría detallada y proporcionan detección de intrusiones basada en host. Usamos esta telemetría para la supervisión y el análisis forense.

Los datos de registro y telemetría que recopilamos habilitan la supervisión y las alertas de seguridad cada segundo del año. Nuestro sistema de alertas analiza los datos de registro a medida que se cargan, lo que genera alertas casi en tiempo real. Incluye alertas basadas en reglas y alertas más sofisticadas basadas en modelos de aprendizaje automático. Nuestra lógica de supervisión va más allá de los escenarios de ataque genéricos e incorpora un conocimiento profundo de la arquitectura y las operaciones del servicio. Usamos los datos de supervisión de seguridad para mejorar continuamente nuestros modelos para detectar nuevos tipos de ataques y mejorar la precisión de nuestra supervisión de seguridad.

Responder a escala

Cuando es necesario realizar una acción en respuesta a una alerta o para investigar más a fondo pruebas forenses en todo el servicio, nuestras herramientas basadas en la nube nos permiten responder rápidamente en todo el entorno. Estas herramientas incluyen agentes inteligentes totalmente automatizados que responden a las amenazas detectadas con contramedidas de seguridad. En muchos casos, estos agentes implementan contramedidas automáticas para mitigar las detecciones de seguridad a escala sin intervención humana. Cuando esto no es posible, el sistema de supervisión de seguridad alerta automáticamente a los ingenieros de llamada adecuados, que están equipados con un conjunto de herramientas que les permiten actuar en tiempo real para mitigar las amenazas detectadas a escala. Los posibles incidentes detectados por la supervisión de seguridad se escalan al equipo de respuesta de seguridad de Microsoft 365 y se resuelven mediante el proceso de respuesta a incidentes de seguridad.

Más información