Comprendere la raccolta di log di Microsoft 365
I log di controllo sono fondamentali per la gestione, la risoluzione dei problemi e la protezione sia dei tenant dei clienti che dell'infrastruttura interna di Microsoft 365. A causa della scalabilità con cui opera Microsoft 365, la raccolta e l'elaborazione dei log di controllo devono essere gestite in modo strategico per garantire un monitoraggio efficiente ed efficace. Decidere quali tipi di dati di log raccogliere è fondamentale per un monitoraggio efficace, in quanto i log forniscono un'ampia gamma di informazioni sull'integrità e la sicurezza di un sistema informativo. Tuttavia, un monitoraggio efficace richiede la possibilità di individuare segnali significativi e interattivi dal flusso perpetuo di dati di log. Questa operazione viene eseguita in Microsoft 365 definendo chiaramente i tipi di eventi che devono essere registrati dai componenti di sistema e i dati che gli eventi registrati devono contenere.
Definizione di eventi controllabili
Per distinguere segnali importanti dai dati di log, è fondamentale controllare gli eventi in modo coerente tra i componenti di sistema. Il team di Microsoft 365 Security è responsabile della definizione dei log di base che devono essere raccolti in Microsoft 365, inclusi gli eventi di interesse per il monitoraggio della sicurezza e la risposta agli eventi imprevisti, nonché gli eventi diagnostici per supportare l'integrità del servizio e identificare i problemi di sistema. L'elenco degli eventi controllabili e dei dati correlati è informato dalle valutazioni dei rischi in corso, dagli standard di sicurezza di Microsoft 365, dai requisiti aziendali e dai requisiti di conformità. Oltre all'elenco degli eventi controllabili definiti dal team di sicurezza di Microsoft 365, i team di servizio possono definire requisiti di registrazione aggiuntivi per il servizio.
L'elenco degli eventi controllabili include gli eventi del sistema operativo dai log di sicurezza e delle applicazioni, i sistemi di rilevamento delle intrusioni basati su host e gli eventi correlati al controllo di accesso. Ad esempio, i servizi Microsoft 365 sono necessari per controllare l'accesso privilegiato. L'accesso privilegiato negli ambienti di produzione Microsoft 365 è gestito da Lockbox e Customer Lockbox per applicare Zero Standing Access (ZSA). Tutte le richieste di accesso JIT (Just-In-Time) vengono registrate tramite Lockbox e Customer Lockbox. Inoltre, i comandi con privilegi eseguiti dai tecnici del team di servizio che usano l'accesso JIT temporaneo vengono registrati e resi disponibili tramite la registrazione e la creazione di report centralizzate. Questi eventi di controllo di accesso forniscono dati essenziali per il monitoraggio della sicurezza e l'analisi degli incidenti. Inoltre, forniscono al cliente un record controllabile di azioni Customer Lockbox eseguite dal personale Microsoft in relazione al tenant del cliente.
Il team di sicurezza di Microsoft 365 esamina e aggiorna l'elenco degli eventi controllabili per tenere conto di nuove minacce, modifiche del sistema, lezioni apprese dagli incidenti precedenti e modifiche apportate ai requisiti di conformità. Questa revisione viene eseguita almeno ogni anno, mentre gli eventi controllabili a livello di servizio vengono esaminati e aggiornati ogni volta che viene apportata una modifica significativa al sistema. Gli eventi specifici delle applicazioni vengono esaminati e aggiornati durante le revisioni dei servizi e le fasi di pianificazione delle attività cardine delle funzionalità. Il team di Microsoft 365 Security consente inoltre di guidare questi singoli team di servizi sulle funzioni di controllo per soddisfare le proprie esigenze specifiche. A causa della scalabilità di Microsoft, la quantità di dati acquisiti deve essere bilanciata con la possibilità di archiviarli ed elaborarli. Essendo selettivo con i tipi di dati di log raccolti, Microsoft può mantenere l'integrità e la sicurezza dei propri sistemi informativi in modo efficiente ed efficace. Pertanto, i requisiti di registrazione nei servizi di Microsoft 365 includono eventi che devono essere acquisiti da ogni componente di sistema e i dati che ogni evento registrato deve contenere. Esaminando e aggiornando continuamente l'elenco degli eventi controllabili, Microsoft può fornire i dati necessari per rilevare e rispondere alle minacce alla sicurezza, fornire un servizio ottimale ai clienti e soddisfare i requisiti di conformità.
Contenuti degli eventi
Oltre ai tipi di eventi raccolti, sono importanti anche i dati contenuti in tali eventi. Gli eventi registrati devono disporre di informazioni sufficienti per supportare un monitoraggio accurato e indagini efficaci sugli incidenti. Sicurezza Microsoft 365 richiede che le voci di log contengano informazioni sufficienti per determinare il tipo di evento che si è verificato insieme all'origine e al risultato dell'evento. Per stabilire l'ordinamento temporale corretto, tutti gli eventi devono presentare l'indicatore data e ora in base al Coordinated Universal Time (UTC). Inoltre, i registri eventi devono registrare la posizione in cui si è verificato l'evento, tutti gli utenti o gli host di sistema coinvolti nell'evento e tutti gli altri dettagli rilevanti per il tipo di evento. Ad esempio, i dettagli specifici degli eventi di rete possono includere gli indirizzi di rete e i protocolli usati, oltre ai nomi host di origine e di destinazione. La standardizzazione dei requisiti del contenuto degli eventi garantisce che i log forniscano il livello di dettaglio necessario per gli scopi previsti.
Applicazione dei criteri di registrazione
Microsoft 365 impone requisiti di registrazione a livello di computer come parte del processo di distribuzione. Le immagini di base includono un agente di registrazione personalizzato denominato Office Data Loader (ODL). L'ODL è configurato per raccogliere gli eventi definiti da Sicurezza Microsoft 365 e inviare tali eventi ai servizi centralizzati per l'elaborazione e l'archiviazione. I dati di log vengono crittografati in transito e sottoposti a pulitura per le informazioni dell'utente finale prima di essere caricati nel servizio di archiviazione dei log centrale.