Visão geral de monitoramento de segurança

Qual é a estratégia da Microsoft para monitorar a segurança?

A Microsoft se envolve no monitoramento contínuo de segurança de seus sistemas para detectar e responder a ameaças aos serviços online da Microsoft. Nossos princípios principais para monitoramento e alertas de segurança são:

  • Robustez: sinais e lógica para detectar vários comportamentos de ataque
  • Precisão: alertas significativos para evitar distrações de ruído
  • Velocidade: capacidade de capturar invasores rapidamente o suficiente para impedi-los

As soluções baseadas em nuvem, escala e automação são pilares fundamentais de nossa estratégia de monitoramento e resposta. Para evitarmos ataques efetivamente na escala de alguns dos serviços online da Microsoft, nossos sistemas de monitoramento precisam levantar automaticamente alertas altamente precisos em tempo real. Da mesma forma, quando um problema é detectado, precisamos da capacidade de reduzir o risco em escala, não podemos contar com nossa equipe para corrigir manualmente problemas máquina a máquina. Para reduzir os riscos em escala, usamos ferramentas baseadas em nuvem para aplicar automaticamente contramedidas e fornecer ferramentas aos engenheiros para aplicar ações de mitigação aprovadas rapidamente em todo o ambiente.

Como os serviços online da Microsoft executam o monitoramento de segurança?

Os serviços online da Microsoft usam o log centralizado para coletar e analisar eventos de log para atividades que possam indicar um incidente de segurança. As ferramentas de log centralizadas agregam logs de todos os componentes do sistema, incluindo logs de eventos, logs de aplicativos, logs de controle de acesso e sistemas de detecção de intrusão baseados em rede. Além do registro em log do servidor e dados no nível do aplicativo, a infraestrutura principal é equipada com agentes de segurança personalizados que geram telemetria detalhada e fornecem detecção de intrusão baseada em host. Usamos essa telemetria para monitoramento e análise forense.

Os dados de log e telemetria que coletamos permitem alertas de segurança 24 horas por dia. Nosso sistema de alertas analisa os dados de log conforme eles são carregados, produzindo alertas quase em tempo real. Isso inclui alertas baseados em regras e alertas mais sofisticados com base em modelos de aprendizado de máquina. Nossa lógica de monitoramento vai além dos cenários de ataque genéricos e incorpora reconhecimento profundo da arquitetura e das operações do serviço. Analisamos os dados de monitoramento de segurança para melhorar continuamente nossos modelos para detectar novos tipos de ataques e melhorar a precisão do nosso monitoramento de segurança.

Como os serviços online da Microsoft respondem aos alertas de monitoramento de segurança?

Quando os eventos de segurança que disparam alertas exigem ação responsiva ou investigação posterior de evidências forenses em todo o serviço, nossas ferramentas baseadas em nuvem permitem uma resposta rápida em todo o ambiente. Essas ferramentas incluem agentes inteligentes e totalmente automatizados que respondem a ameaças detectadas com contramedidas de segurança. Em muitos casos, esses agentes implantam contramedidas automáticas para atenuar detecções de segurança em escala sem intervenção humana. Quando essa resposta não é possível, o sistema de monitoramento de segurança alerta automaticamente os engenheiros de chamada apropriados, que são equipados com um conjunto de ferramentas que permitem que eles ajam em tempo real para mitigar ameaças detectadas em escala. Os possíveis incidentes são escalonados para a equipe de resposta de segurança apropriada da Microsoft e são resolvidos usando o processo de resposta a incidentes de segurança.

Como os serviços online da Microsoft monitoram a disponibilidade do sistema?

A Microsoft monitora ativamente seus sistemas em busca de indicadores de sobreutilização de recursos e uso anormal. O monitoramento de recursos é complementado por redundâncias de serviço para ajudar a evitar o tempo de inatividade inesperado e fornecer aos clientes acesso confiável a produtos e serviços. Os problemas de saúde do serviço online da Microsoft são comunicados prontamente aos clientes por meio do ShD (Painel de Saúde do Serviço).

Os serviços online do Azure e do Dynamics 365 utilizam vários serviços de infraestrutura para monitorar sua disponibilidade de segurança e saúde. A implementação do teste de Transação Sintética (STX) permite que os serviços do Azure e do Dynamics verifiquem a disponibilidade de seus serviços. A estrutura STX foi projetada para dar suporte ao teste automatizado de componentes em serviços em execução e é testada em alertas de falha de site ao vivo. Além disso, o serviço de Monitoramento de Segurança do Azure (ASM) implementou procedimentos de teste sintético centralizado para verificar a função de alertas de segurança conforme esperado em serviços novos e em execução.

Os serviços online da Microsoft são regularmente auditados para conformidade com regulamentações e certificações externas. Consulte a tabela a seguir para validação de controles relacionados ao monitoramento de segurança.

Azure e Dynamics 365

Auditorias externas Section Data do relatório mais recente
ISO 27001/27002

Instrução of Applicability
Certificação
A.12.1.3: Monitoramento de disponibilidade e planejamento de capacidade 2 de dezembro de 2020
ISO 27017

Instrução of Applicability
Certificação
A.12.1.3: Monitoramento de disponibilidade e planejamento de capacidade
A.16.1: Gerenciamento de incidentes e melhorias de segurança da informação
2 de dezembro de 2020
SOC 1 IM-1: Estrutura de gerenciamento de incidentes
IM-2: Configuração de detecção de incidentes
IM-3: Procedimentos de gerenciamento de incidentes
IM-4: Incidente pós-morte
VM-1: Log e coleção de eventos de segurança
VM-12: Monitoramento de disponibilidade de serviços do Azure
VM-4: Investigação de eventos mal-intencionados
VM-6: Monitoramento de vulnerabilidades de segurança
31 de março de 2021
SOC 2
SOC 3
IM-1: Estrutura de gerenciamento de incidentes
IM-2: Configuração de detecção de incidentes
IM-3: Procedimentos de gerenciamento de incidentes
IM-4: Incidente pós-morte
PI-2: Revisão de desempenho do SLA do portal do Azure
VM-1: Log e coleção de eventos de segurança
VM-12: Monitoramento de disponibilidade de serviços do Azure
VM-4: Investigação de eventos mal-intencionados
VM-6: Monitoramento de vulnerabilidades de segurança
31 de março de 2021

Office 365

Auditorias externas Section Data do relatório mais recente
FedRAMP AC-2: Gerenciamento de contas
AC-17: Acesso remoto
AU-7: Redução de auditoria e geração de relatório
SI-4: Monitoramento do sistema de informações
SI-7: Integridade de software, firmware e informações
24 de setembro de 2020
ISO 27001/27002/27017

Instrução of Applicability
Certificação
A.12.1.3: Monitoramento de disponibilidade e planejamento de capacidade Abril de 20, 2021
SOC 1 CA-19: Alterar monitoramento
CA-26: Relatório de incidentes de segurança
CA-29: engenheiros de chamada
CA-48: log de datacenter
24 de dezembro de 2020
SOC 2 CA-19: Alterar monitoramento
CA-26: Relatório de incidentes de segurança
CA-29: engenheiros de chamada
CA-30: Monitoramento de disponibilidade
CA-48: log de datacenter
24 de dezembro de 2020
SOC 3 CUEC-08: Relatórios de incidentes
CUEC-10: Contratos de serviço
24 de dezembro de 2020

Recursos