Visão geral do registro de Auditoria

Como os serviços online da Microsoft empregam o log de auditoria?

Os serviços online da Microsoft empregam log de auditoria para detectar atividades não autorizadas e fornecer responsabilidade para a equipe da Microsoft. Os logs de auditoria capturam detalhes sobre alterações de configuração do sistema e eventos de acesso, com detalhes para identificar quem foi responsável pela atividade, quando e onde a atividade ocorreu e qual foi o resultado da atividade. A análise de log automatizada dá suporte à detecção quase em tempo real de comportamento suspeito. Possíveis incidentes são escalonados para a equipe de resposta de segurança apropriada da Microsoft para investigação posterior.

O registro em log de auditoria interna dos serviços online da Microsoft captura dados de log de várias fontes, como:

  • Logs de eventos
  • Logs do AppLocker
  • Dados de desempenho
  • System Center dados
  • Registros de detalhes de chamada
  • Qualidade dos dados de experiência
  • Logs do Servidor Web do IIS
  • SQL Server logs
  • Dados de syslog
  • Logs de auditoria de segurança

Como os serviços online da Microsoft centralizam e relatam logs de auditoria?

Muitos tipos diferentes de dados de log são carregados dos servidores Microsoft para uma solução de monitoramento de segurança proprietária para análise quase em tempo real (NRT) e um serviço interno de computação de dados grandes (Cosmos) ou o Azure Data Explorer (Kusto) para armazenamento de longo prazo. Essa transferência de dados ocorre por meio de uma conexão TLS validada pelo FIPS 140-2 em portas e protocolos aprovados usando ferramentas de gerenciamento de log automatizadas.

Os logs são processados no NRT usando métodos de aprendizado de máquina, estatísticas e baseados em regras para detectar indicadores de desempenho do sistema e possíveis eventos de segurança. Os modelos de aprendizado de máquina usam dados de log de entrada e dados de log históricos armazenados em Cosmos ou Kusto para melhorar continuamente os recursos de detecção. As detecções relacionadas à segurança geram alertas, notificando os engenheiros de chamada sobre um possível incidente e disparando ações de correção automatizadas quando aplicável. Além do monitoramento de segurança automatizado, as equipes de serviço usam ferramentas de análise e painéis para correlação de dados, consultas interativas e análise de dados. Esses relatórios são usados para monitorar e melhorar o desempenho geral do serviço.

Para obter mais informações sobre monitoramento e alertas de segurança, consulte a visão geral do monitoramento de segurança.

Auditar o fluxo de dados.

Como os serviços online da Microsoft protegem logs de auditoria?

As ferramentas usadas nos serviços online da Microsoft para coletar e processar registros de auditoria não permitem alterações permanentes ou irreversíveis no conteúdo do registro de auditoria original ou na ordem de tempo. O acesso aos dados de serviço online da Microsoft armazenados Cosmos ou Kusto é restrito a funcionários autorizados. Além disso, a Microsoft restringe o gerenciamento de logs de auditoria a um subconjunto limitado de membros da equipe de segurança responsáveis pela funcionalidade de auditoria. Os funcionários da equipe de segurança não têm acesso administrativo permanente a Cosmos ou Kusto. O acesso administrativo requer aprovação de acesso just-in-time (JIT), e todas as alterações nos mecanismos de registro em log para Cosmos são registradas e auditadas. Os logs de auditoria são mantidos por tempo suficiente para dar suporte a investigações de incidentes e atender aos requisitos regulatórios. O período exato de retenção de dados de log de auditoria determinado pelas equipes de serviço; a maioria dos dados de log de auditoria é mantida por 90 dias Cosmos e 180 dias em Kusto.

Como os serviços online da Microsoft protegem os dados pessoais do usuário que podem ser capturados em logs de auditoria?

Antes de carregar dados de log, um aplicativo de gerenciamento de log automatizado usa um serviço de limpeza para remover todos os campos que contenham dados do cliente, como informações de locatários e dados pessoais do usuário, e substituir esses campos por um valor de hash. Os logs anonimizados e com hashed são reescritos e carregados em Cosmos. Todas as transferências de log ocorrem em uma conexão criptografada TLS (FIPS 140-2).

Os serviços online da Microsoft são regularmente auditados para conformidade com regulamentações e certificações externas. Consulte a tabela a seguir para validação de controles relacionados ao log de auditoria.

Azure e Dynamics 365

Auditorias externas Section Data do relatório mais recente
ISO 27001/27002

Instrução of Applicability
Certificação
A.12.4: Registro em log e monitoramento 2 de dezembro de 2020
ISO 27017

Instrução of Applicability
Certificação
A.12.4: Registro em log e monitoramento 2 de dezembro de 2020
ISO 27018

Instrução of Applicability
Certificação
A.12.4: Registro em log e monitoramento 2 de dezembro de 2020
SOC 1 VM-1: Log e coleção de eventos de segurança 31 de março de 2021
SOC 2 C5-6: Acesso restrito a logs
VM-1: Log e coleção de eventos de segurança
31 de março de 2021

Office 365

Auditorias externas Section Data do relatório mais recente
FedRAMP AU-2: Eventos de auditoria
AU-3: Conteúdo dos registros de auditoria
AU-4: Capacidade de armazenamento de auditoria
AU-5: Resposta a falhas de processamento de auditoria
AU-6: Revisão, análise e relatórios de auditoria
AU-7: Redução de auditoria e geração de relatório
AU-8: Carimbos de data/hora
AU-9: Proteção de informações de auditoria
AU-10: não repúdio
AU-11: Retenção de registro de auditoria
AU-12: Geração de auditoria
24 de setembro de 2020
ISO 27001/27002/27017

Instrução of Applicability
Certificação
A.12.4: Registro em log e monitoramento Abril de 20, 2021
SOC 1
SOC 2
CA-48: log de datacenter
CA-60: Log de auditoria
24 de dezembro de 2020