Coleção de logs de auditoria do Microsoft 365

Os logs de auditoria atendem a uma função importante na manutenção, solução de problemas e proteção de locatários do cliente e da infraestrutura interna do Microsoft 365. Devido à escala em que o Microsoft 365 opera, a coleta e o processamento de logs de auditoria devem ser gerenciados estrategicamente para garantir um monitoramento eficiente e eficaz. Este artigo fornece uma visão geral das práticas de registro em log de auditoria do Microsoft 365, incluindo quais tipos de eventos são capturados, quais informações estão contidas em cada log, como as políticas de log são impostas e como os dados de log são protegidos em todas as fases de seu ciclo de vida.

Definindo eventos auditáveis

A equipe de Segurança do Microsoft 365 é responsável por definir os logs de linha de base que devem ser coletados no Microsoft 365. Eles mantêm uma lista oficial de tipos de eventos que cada sistema deve capturar, bem como os dados que cada evento registrado deve conter.

O Microsoft 365 captura dados de log de várias fontes, incluindo:

• Logs de eventos
• Logs do AppLocker
• Dados de desempenho
• Dados do System Center
• Registros de detalhes de chamada
• Qualidade dos dados de experiência
• Logs do Servidor Web do IIS
• logs SQL Server
• Dados do Syslog
• Logs de auditoria de segurança

Cada um dos logs desta lista deve pelo menos conter as seguintes informações para estabelecer o tipo de evento, a origem, o local, o resultado, a hora e a entidade associadas:

• Source User ID
• ID do usuário de destino – conforme relevante/apropriado para o tipo de evento
• Carimbo de data/hora do evento (Data e Hora)
• Detalhes do evento
  • Tipo
  • Resultado (êxito/falha)
  • Informações detalhadas – definidas por tipo de evento
• Nome de host de destino do & de origem – conforme relevante/apropriado para o tipo de evento
• Origem & Endereços e protocolos de rede de destino – conforme relevante/apropriado para o tipo de evento

A lista de eventos auditáveis e dados relacionados é informada por avaliações de risco contínuas, padrões de segurança do Microsoft 365, requisitos de negócios e requisitos de conformidade. A equipe de segurança do Microsoft 365 analisa e atualiza a lista de eventos auditáveis ​​para contabilizar novas ameaças, mudanças no sistema, lições aprendidas com incidentes anteriores e requisitos de conformidade em alteração.

As equipes de serviço podem definir requisitos adicionais de log para seu serviço, além da lista de eventos auditáveis definidos pela equipe de segurança do Microsoft 365. Os eventos específicos do aplicativo são revisados ​​e atualizados durante as revisões de serviço e as fases de planejamento dos marcos do recurso. A equipe de Segurança do Microsoft 365 também ajuda a orientar essas equipes de serviço individuais em funções de auditoria para atender às suas necessidades específicas. Os eventos auditáveis no nível do serviço são revisados e atualizados sempre que uma alteração significativa no sistema é feita.

Devido à escala da Microsoft, a quantidade de dados capturados deve ser equilibrada com a capacidade de armazená-los e processá-los. Coletar informações sobre cada evento possível e o conteúdo nele seria impraticável tanto do ponto de vista do recurso quanto do ponto de vista analítico. Ao ser seletiva com os tipos de dados de log coletados, a Microsoft pode manter a integridade e a segurança de seus sistemas de informações de maneira eficiente e eficaz.

Gerenciamento centralizado

O Microsoft 365 impõe requisitos de log centralmente por meio das políticas definidas pela Equipe de Segurança do Microsoft 365. Cada sistema do Microsoft 365 deve incluir um agente de log personalizado, o ODL (Office Data Loader), que é instalado como parte da linha de base do sistema. O ODL impõe políticas de log central e é configurado para coletar e enviar os eventos definidos pelo Microsoft 365 Security para serviços centralizados para processamento e armazenamento.

O ODL é configurado para esfregar todas as informações do usuário final automaticamente e carregar eventos em lotes a cada cinco minutos. Todos os campos que contêm dados do cliente, como informações de locatário e informações identificáveis do usuário final, são removidos e substituídos por um valor de hash. Alterações permanentes ou irreversíveis para auditar o conteúdo do registro e a ordenação de tempo, além da limpeza descrita anteriormente, são proibidas.

Os dados de log são carregados em uma solução proprietária de monitoramento de segurança para análise quase em tempo real (NRT), verificando logs para possíveis eventos de segurança e indicadores de desempenho. Os logs também são carregados em um serviço interno de computação de big data (Azure Data Lake) para armazenamento de longo prazo. Todas as transferências de dados de log ocorrem em uma conexão TLS validada pelo FIPS 140-2 para garantir a confidencialidade dos dados durante o trânsito.

A maioria dos dados de log de auditoria armazenados no Azure Data Lake é mantida por pelo menos um ano para dar suporte a investigações de incidentes de segurança e para atender aos requisitos de retenção regulatória. As equipes de serviço podem selecionar períodos de retenção alternativos de 90 dias ou mais para tipos específicos de dados de log para dar suporte às necessidades de seus aplicativos. As políticas de backup e retenção de log do Microsoft 365 garantem que os dados de log estão prontamente disponíveis para investigações de incidentes, relatórios de conformidade e quaisquer outros requisitos de negócios.

Controle de acesso

A Microsoft realiza monitoramento e auditoria extensivos de todas as operações, privilégios e delegações que ocorrem no Microsoft 365. O acesso aos dados do Microsoft 365 armazenados no Azure Data Lake é restrito ao pessoal autorizado e todas as solicitações e aprovações de controle de acesso são capturadas para análise de eventos de segurança. A Microsoft revisa os níveis de acesso quase em tempo real para garantir que seus sistemas só possam ser acessados por usuários que tenham justificativas comerciais autorizadas e atendam aos requisitos de elegibilidade. Todo o acesso permitido é rastreável para um usuário exclusivo.

A Microsoft restringe o gerenciamento de logs de auditoria a um subconjunto limitado de membros da Equipe de Segurança responsáveis pela funcionalidade de auditoria. A filosofia de controle de acesso interno da Microsoft gira em torno dos princípios do JIT (Just-In-Time) e do JEA (Just-Enough-Access). Como tal, a Equipe de Segurança não tem acesso administrativo permanente ao Azure Data Lake e todas as alterações são registradas e auditadas.