Informazioni sulla protezione e la conservazione dei log di Microsoft 365
Microsoft 365 è un cloud dinamico e su vasta scala contenente un'ampia gamma di componenti di sistema. Per elaborare in modo efficace i dati di log dall'ambiente e proteggere i log dalle modifiche, viene eseguita la raccolta e l'analisi dei log ricorrendo a servizi di elaborazione e archiviazione sicuri e centralizzati.
Aggregazione dei log
Ogni sistema include un agente di registrazione personalizzato, Office Data Loader (ODL), installato come parte della baseline di sistema. ODL è responsabile dell'applicazione dei criteri di registrazione centrale definiti dal team di sicurezza di Microsoft 365 e del caricamento dei dati di log nei servizi centralizzati per l'elaborazione e l'archiviazione. ODL è configurato per eliminare automaticamente tutte le informazioni dell'utente finale e caricare gli eventi in batch ogni pochi minuti, rimuovendo e sostituendo i campi che contengono dati dei clienti con un valore hash. Tutti i trasferimenti di dati di log vengono eseguiti tramite una connessione crittografata TLS convalidata da FIPS 140-2 su porte e protocolli approvati per proteggere i dati di log in transito. Le modifiche permanenti o irreversibili al contenuto dei record di controllo e all'ordine dell'ora, a parte lo scrubbing descritto in precedenza, sono vietate. I dati di log vengono caricati in una soluzione proprietaria di monitoraggio della sicurezza per l'analisi quasi in tempo reale, controllando i log per individuare potenziali eventi di sicurezza e indicatori di prestazioni. I log vengono caricati anche in un servizio big data computing (Azure Data Lake) per l'archiviazione a lungo termine. Il servizio di archiviazione centrale alloca dinamicamente lo spazio di archiviazione di controllo per i log di controllo, assicurando che non vengano persi dati a causa della mancanza di spazio di archiviazione. Eventuali errori di elaborazione del controllo vengono segnalati ed inoltrati a Microsoft 365 Security in base alle esigenze.
Conservazione dei log
Microsoft 365 conserva i dati dei log di audit in conformità alle best practice per la sicurezza e alle normative di conformità. La maggior parte dei tipi di dati dei log di audit viene conservata per almeno 90 giorni a supporto delle indagini sugli incidenti e dei requisiti di conformità. I team di servizio possono selezionare periodi di conservazione alternativi per tipologie di dati di log specifiche al fine di supportare le esigenze delle applicazioni.
Inoltre, Microsoft 365 conserva molti tipi di record di audit in un servizio interno di archiviazione e calcolo dei dati denominato Cosmos per almeno un anno per supportare le indagini sugli incidenti di sicurezza e soddisfare i requisiti normativi in materia di conservazione. L'accesso a tali dati di log è limitato a un numero definito di personale del team di sicurezza. I criteri di conservazione e backup dei log di Microsoft 365 assicurano l'immediata disponibilità dei dati di log per indagini sugli incidenti, report di conformità e altri requisiti aziendali.
Controllo di accesso
Microsoft esegue un monitoraggio e un controllo completi di tutte le delega, i privilegi e le operazioni che si verificano all'interno di Microsoft 365. L'accesso ai dati di log di Microsoft 365 archiviati in Azure Data Lake è limitato al personale autorizzato e tutte le richieste di controllo di accesso e le approvazioni vengono acquisite per l'analisi degli eventi di sicurezza. Microsoft esamina i livelli di accesso per garantire che i sistemi siano accessibili solo agli utenti che hanno giustificazioni aziendali autorizzate e soddisfano i requisiti di idoneità. Tutto l'accesso consentito è tracciabile per un utente univoco. La gestione dei log di controllo è limitata a un subset limitato di membri del team di sicurezza responsabili delle funzionalità di controllo, che non hanno accesso amministrativo permanente.