Visão geral do registro de Auditoria
Como os serviços online da Microsoft empregam o log de auditoria?
Os serviços online da Microsoft empregam log de auditoria para detectar atividades não autorizadas e fornecer responsabilidade para a equipe da Microsoft. Os logs de auditoria capturam detalhes sobre alterações de configuração do sistema e eventos de acesso, com detalhes para identificar quem foi responsável pela atividade, quando e onde a atividade ocorreu e qual foi o resultado da atividade. A análise de log automatizada dá suporte à detecção quase em tempo real de comportamento suspeito. Possíveis incidentes são escalonados para a equipe de resposta de segurança apropriada da Microsoft para investigação posterior.
O registro em log de auditoria interna dos serviços online da Microsoft captura dados de log de várias fontes, como:
- Logs de eventos
- Logs do AppLocker
- Dados de desempenho
- System Center dados
- Registros de detalhes de chamada
- Qualidade dos dados de experiência
- Logs do Servidor Web do IIS
- SQL Server logs
- Dados de syslog
- Logs de auditoria de segurança
Como os serviços online da Microsoft centralizam e relatam logs de auditoria?
Muitos tipos diferentes de dados de log são carregados dos servidores Microsoft para uma solução de monitoramento de segurança proprietária para análise quase em tempo real (NRT) e um serviço interno de computação de dados grandes (Cosmos) ou o Azure Data Explorer (Kusto) para armazenamento de longo prazo. Essa transferência de dados ocorre por meio de uma conexão TLS validada pelo FIPS 140-2 em portas e protocolos aprovados usando ferramentas de gerenciamento de log automatizadas.
Os logs são processados no NRT usando métodos de aprendizado de máquina, estatísticas e baseados em regras para detectar indicadores de desempenho do sistema e possíveis eventos de segurança. Os modelos de aprendizado de máquina usam dados de log de entrada e dados de log históricos armazenados em Cosmos ou Kusto para melhorar continuamente os recursos de detecção. As detecções relacionadas à segurança geram alertas, notificando os engenheiros de chamada sobre um possível incidente e disparando ações de correção automatizadas quando aplicável. Além do monitoramento de segurança automatizado, as equipes de serviço usam ferramentas de análise e painéis para correlação de dados, consultas interativas e análise de dados. Esses relatórios são usados para monitorar e melhorar o desempenho geral do serviço.
Para obter mais informações sobre monitoramento e alertas de segurança, consulte a visão geral do monitoramento de segurança.
Como os serviços online da Microsoft protegem logs de auditoria?
As ferramentas usadas nos serviços online da Microsoft para coletar e processar registros de auditoria não permitem alterações permanentes ou irreversíveis no conteúdo do registro de auditoria original ou na ordem de tempo. O acesso aos dados de serviço online da Microsoft armazenados Cosmos ou Kusto é restrito a funcionários autorizados. Além disso, a Microsoft restringe o gerenciamento de logs de auditoria a um subconjunto limitado de membros da equipe de segurança responsáveis pela funcionalidade de auditoria. Os funcionários da equipe de segurança não têm acesso administrativo permanente a Cosmos ou Kusto. O acesso administrativo requer aprovação de acesso just-in-time (JIT), e todas as alterações nos mecanismos de registro em log para Cosmos são registradas e auditadas. Os logs de auditoria são mantidos por tempo suficiente para dar suporte a investigações de incidentes e atender aos requisitos regulatórios. O período exato de retenção de dados de log de auditoria determinado pelas equipes de serviço; a maioria dos dados de log de auditoria é mantida por 90 dias Cosmos e 180 dias em Kusto.
Como os serviços online da Microsoft protegem os dados pessoais do usuário que podem ser capturados em logs de auditoria?
Antes de carregar dados de log, um aplicativo de gerenciamento de log automatizado usa um serviço de limpeza para remover todos os campos que contenham dados do cliente, como informações de locatários e dados pessoais do usuário, e substituir esses campos por um valor de hash. Os logs anonimizados e com hashed são reescritos e carregados em Cosmos. Todas as transferências de log ocorrem em uma conexão criptografada TLS (FIPS 140-2).
Regulamentações externas relacionadas & certificações
Os serviços online da Microsoft são regularmente auditados para conformidade com regulamentações e certificações externas. Consulte a tabela a seguir para validação de controles relacionados ao log de auditoria.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| ISO 27001/27002 Instrução of Applicability Certificação |
A.12.4: Registro em log e monitoramento | 2 de dezembro de 2020 |
| ISO 27017 Instrução of Applicability Certificação |
A.12.4: Registro em log e monitoramento | 2 de dezembro de 2020 |
| ISO 27018 Instrução of Applicability Certificação |
A.12.4: Registro em log e monitoramento | 2 de dezembro de 2020 |
| SOC 1 | VM-1: Log e coleção de eventos de segurança | 31 de março de 2021 |
| SOC 2 | C5-6: Acesso restrito a logs VM-1: Log e coleção de eventos de segurança |
31 de março de 2021 |
Office 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP | AU-2: Eventos de auditoria AU-3: Conteúdo dos registros de auditoria AU-4: Capacidade de armazenamento de auditoria AU-5: Resposta a falhas de processamento de auditoria AU-6: Revisão, análise e relatórios de auditoria AU-7: Redução de auditoria e geração de relatório AU-8: Carimbos de data/hora AU-9: Proteção de informações de auditoria AU-10: não repúdio AU-11: Retenção de registro de auditoria AU-12: Geração de auditoria |
24 de setembro de 2020 |
| ISO 27001/27002/27017 Instrução of Applicability Certificação |
A.12.4: Registro em log e monitoramento | Abril de 20, 2021 |
| SOC 1 SOC 2 |
CA-48: log de datacenter CA-60: Log de auditoria |
24 de dezembro de 2020 |