Raccolta di log di controllo di Microsoft 365
I log di controllo svolgono un ruolo importante nella gestione, nella risoluzione dei problemi e nella protezione dei tenant dei clienti e dell'infrastruttura interna di Microsoft 365. A causa della scalabilità con cui opera Microsoft 365, la raccolta e l'elaborazione dei log di controllo devono essere gestite in modo strategico per garantire un monitoraggio efficiente ed efficace. Questo articolo offre una panoramica delle procedure di registrazione di controllo di Microsoft 365, tra cui i tipi di evento acquisiti, le informazioni contenute in ogni log, l'applicazione dei criteri di registrazione e la protezione dei dati di log in tutte le fasi del ciclo di vita.
Definizione di eventi controllabili
Il team di Microsoft 365 Security è responsabile della definizione dei log di base che devono essere raccolti in Microsoft 365. Mantengono un elenco ufficiale dei tipi di evento che ogni sistema deve acquisire e i dati che ogni evento registrato deve contenere.
Microsoft 365 acquisisce i dati di log da varie origini, tra cui:
- Registri eventi
- Log di AppLocker
- Dati sulle prestazioni
- Dati di System Center
- Record dettagli chiamata
- Dati sulla qualità dell'esperienza
- Log del server Web IIS
- log SQL Server
- Dati syslog
- Log di controllo di sicurezza
Ognuno dei log in questo elenco deve contenere almeno le informazioni seguenti per stabilire il tipo di evento, l'origine, la posizione, il risultato, l'ora e l'entità associati:
- ID utente di origine
- ID utente di destinazione: pertinente/appropriato per il tipo di evento
- Timestamp dell'evento (Data e ora)
- Dettagli evento
- Tipo
- Risultato (esito positivo/negativo)
- Informazioni dettagliate: definite per tipo di evento
- Nome host di origine & di destinazione: come pertinente/appropriato per il tipo di evento
- Protocolli e indirizzi di rete di destinazione & di origine, come pertinente/appropriato per il tipo di evento
L'elenco degli eventi controllabili e dei dati correlati è informato dalle valutazioni dei rischi in corso, dagli standard di sicurezza di Microsoft 365, dai requisiti aziendali e dai requisiti di conformità. Il team di sicurezza di Microsoft 365 esamina e aggiorna l'elenco degli eventi controllabili per tenere conto di nuove minacce, modifiche del sistema, lezioni apprese dagli incidenti precedenti e modifiche apportate ai requisiti di conformità.
I team di servizio possono definire requisiti di registrazione aggiuntivi per il servizio oltre all'elenco di eventi controllabili definiti dal team di Microsoft 365 Security. Gli eventi specifici delle applicazioni vengono esaminati e aggiornati durante le revisioni dei servizi e le fasi di pianificazione delle attività cardine delle funzionalità. Il team di Microsoft 365 Security consente inoltre di guidare questi singoli team di servizi sulle funzioni di controllo per soddisfare le proprie esigenze specifiche. Gli eventi controllabili a livello di servizio vengono esaminati e aggiornati ogni volta che viene apportata una modifica significativa al sistema.
A causa della scalabilità di Microsoft, la quantità di dati acquisiti deve essere bilanciata con la possibilità di archiviarli ed elaborarli. La raccolta di informazioni su ogni evento possibile e sul relativo contenuto sarebbe poco pratica dal punto di vista analitico e delle risorse. Essendo selettivo con i tipi di dati di log raccolti, Microsoft può mantenere l'integrità e la sicurezza dei propri sistemi informativi in modo efficiente ed efficace.
Gestione centralizzata
Microsoft 365 applica i requisiti di registrazione in modo centralizzato tramite i criteri impostati dal team di sicurezza di Microsoft 365. Ogni sistema Microsoft 365 deve includere un agente di registrazione personalizzato, Office Data Loader (ODL), installato come parte della baseline di sistema. ODL applica i criteri di registrazione centrale ed è configurato per raccogliere e inviare gli eventi definiti da Microsoft 365 Security ai servizi centralizzati per l'elaborazione e l'archiviazione.
ODL è configurato per eliminare automaticamente tutte le informazioni dell'utente finale e caricare eventi in batch ogni cinque minuti. Tutti i campi che contengono dati dei clienti, ad esempio informazioni sul tenant e informazioni identificabili per l'utente finale, vengono rimossi e sostituiti con un valore hash. Le modifiche permanenti o irreversibili al contenuto dei record di controllo e all'ordine dell'ora, oltre allo scrubbing descritto in precedenza, sono vietate.
I dati di log vengono caricati in una soluzione proprietaria di monitoraggio della sicurezza per l'analisi quasi in tempo reale (NRT), controllando i log per individuare potenziali eventi di sicurezza e indicatori di prestazioni. I log vengono caricati anche in un servizio interno di big data computing (Azure Data Lake) per l'archiviazione a lungo termine. Tutti i trasferimenti di dati di log vengono eseguiti tramite una connessione TLS convalidata da FIPS 140-2 per garantire la riservatezza dei dati durante il transito.
La maggior parte dei dati dei log di controllo archiviati in Azure Data Lake vengono conservati per almeno un anno per supportare le indagini degli eventi imprevisti di sicurezza e per soddisfare i requisiti di conservazione delle normative. I team di servizio possono selezionare periodi di conservazione alternativi di 90 giorni o più per tipi specifici di dati di log per supportare le esigenze delle applicazioni. I criteri di conservazione e backup dei log di Microsoft 365 assicurano l'immediata disponibilità dei dati di log per indagini sugli incidenti, report di conformità e altri requisiti aziendali.
Controllo di accesso
Microsoft esegue un monitoraggio e un controllo completi di tutte le delega, i privilegi e le operazioni che si verificano all'interno di Microsoft 365. L'accesso ai dati di Microsoft 365 archiviati in Azure Data Lake è limitato al personale autorizzato e tutte le richieste di controllo di accesso e le approvazioni vengono acquisite per l'analisi degli eventi di sicurezza. Microsoft esamina i livelli di accesso quasi in tempo reale per garantire che i sistemi siano accessibili solo agli utenti che hanno autorizzato le motivazioni aziendali e soddisfano i requisiti di idoneità. Tutto l'accesso consentito è tracciabile per un utente univoco.
Microsoft limita la gestione dei log di controllo a un subset limitato di membri del team di sicurezza responsabili delle funzionalità di controllo. La filosofia di controllo degli accessi interni di Microsoft si basa sui principi JIT (Just-In-Time) e JUST-Enough-Access (JEA). Di conseguenza, il team di sicurezza non dispone dell'accesso amministrativo permanente ad Azure Data Lake e tutte le modifiche vengono registrate e controllate.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per