Intern loggning för Microsoft 365-teknikInternal logging for Microsoft 365 engineering

Utöver de händelser och loggdata som är tillgängliga för kunder finns det också ett internt system för data insamling som är tillgängligt för Microsoft 365-tekniker på Microsoft.In addition to the events and log data available for customers, there is also an internal log data collection system that is available to Microsoft 365 engineers at Microsoft. Många olika typer av loggdata laddas upp från Microsoft 365-servrar till en intern, stor data dator tjänst som heter Cosmos.Many different types of log data are uploaded from Microsoft 365 servers to an internal, big data computing service called Cosmos. Varje tjänst team uppladdar gransknings loggar från sina respektive servrar till Cosmos-databasen för agg regering och analys.Each service team uploads audit logs from their respective servers into the Cosmos database for aggregation and analysis. Denna data överföring sker via en FIPS 140-2-godkänd TLS-anslutning på specifika godkända portar och protokoll med ett eget Automation-verktyg som heter Office data Loader (ODL).This data transfer occurs over a FIPS 140-2-validated TLS connection on specifically approved ports and protocols using a proprietary automation tool called the Office Data Loader (ODL). De verktyg som används i Microsoft 365 för att samla in och bearbeta gransknings poster tillåter inte permanenta eller irreversibla ändringar av den ursprungliga gransknings postens innehåll eller tidsordning.The tools used in Microsoft 365 to collect and process audit records do not allow permanent or irreversible changes to the original audit record content or time ordering.

Service Teams använder Cosmos som en central lagrings plats för att utföra en analys av program användning, för att mäta system och operativa prestanda och för att söka efter avvikelser och mönster som kan tyda på problem eller säkerhets problem.Service teams use Cosmos as a centralized repository to conduct an analysis of application usage, to measure system and operational performance, and to look for abnormalities and patterns that may indicate problems or security issues. Varje tjänst team laddar upp en original plan för loggar till Cosmos, beroende på vad de använder för att analysera, som ofta inkluderar:Each service team uploads a baseline of logs into Cosmos, depending on what they are looking to analyze, that often include:

  • Händelse loggarEvent logs
  • AppLocker-loggarAppLocker logs
  • Prestanda dataPerformance data
  • System Center-dataSystem Center data
  • Samtals detalj posterCall detail records
  • Kvaliteten på upplevelse dataQuality of experience data
  • Webb server loggar för IISIIS Web Server logs
  • SQL Server-loggarSQL Server logs
  • Syslog-dataSyslog data
  • Säkerhets gransknings loggarSecurity audit logs

Innan du laddar upp data i Cosmos använder ODL-programmet en rensnings tjänst för att obfuscate alla fält som innehåller kunddata, till exempel information om klient organisationen och informationen om identifierbara uppgifter, och ersätta dessa fält med ett hashvärde.Prior to uploading data into Cosmos, the ODL application uses a scrubbing service to obfuscate any fields that contain customer data, such as tenant information and end-user identifiable information, and replace those fields with a hash value. Anonymiserad och mellanliggande loggar skrivs om och överförs sedan till Cosmos.The anonymized and hashed logs are rewritten and then uploaded into Cosmos. Service Teams kör begränsade frågor mot deras data i Cosmos för korrelation, avisering och rapportering.Service teams run scoped queries against their data in Cosmos for correlation, alerting, and reporting. Perioden för gransknings logg data för bevarande i Cosmos bestäms av service Teams, de flesta gransknings loggdata bevaras i 90 dagar eller längre för att hantera säkerhets tillbuds undersökningar och för att uppfylla gällande bestämmelser om bevarande.The period of audit log data retention in Cosmos is determined by the service teams; most audit log data is retained for 90 days or longer to support security incident investigations and to meet regulatory retention requirements.

Åtkomst till Microsoft 365-data som lagras i Cosmos begränsas till behörig personal.Access to Microsoft 365 data stored in Cosmos is restricted to authorized personnel. Microsoft begränsar hanteringen av gransknings funktionerna till den begränsade del av tjänst team medlemmar som är ansvariga för gransknings funktionerna.Microsoft restricts the management of audit functionality to the limited subset of service team members that are responsible for audit functionality. Dessa team medlemmar har inte möjlighet att ändra eller ta bort data från Cosmos och alla ändringar i loggnings mekanismer för Cosmos registreras och granskas.These team members do not have the ability to modify or delete data from Cosmos, and all changes to logging mechanisms for Cosmos are recorded and audited.

Varje tjänst team får åtkomst till sina loggdata för analys genom att auktorisera vissa program för att genomföra en viss analys.Each service team accesses its log data for analysis by authorizing certain applications to conduct specific analysis. Säkerhets teamet för Microsoft 365 använder till exempel data från Cosmos via en tillverkarspecifik händelse logg tolkare för att korrelera, Avisera och generera åtgärds bara rapporter om möjlig misstänkt aktivitet i Microsoft 365-produktions miljön.For example, the Microsoft 365 Security team uses data from Cosmos through a proprietary event log parser to correlate, alert, and generate actionable reports on possible suspicious activity in the Microsoft 365 production environment. Rapporterna från dessa data används för att åtgärda säkerhets problem och för att förbättra tjänstens allmänna prestanda.The reports from this data are used to correct vulnerabilities, and to improve the overall performance of the service. Om en viss varning eller rapport kräver ytterligare undersökning kan tjänst personalen begära att data importeras tillbaka till Microsoft 365-tjänsten.If a specific alert or report requires further investigation, service personnel can request that data be imported back into the Microsoft 365 service. Eftersom den specifika loggen som importeras från Cosmos är i krypterad och tjänste personal inte har åtkomst till dekrypteringsnyckeln, skickas mål loggen till program mässigt via en dekrypteringsnyckel som returnerar omfattnings resultat till den behöriga tjänsten.Since the specific log being imported from Cosmos is in encrypted and service personnel do not have access to decryption keys, the target log is programmatically passed through a decryption service that returns scoped results to the authorized service personnel. Eventuella säkerhets problem som upptäcks i den här övningen rapporteras och eskaleras med Microsofts standard funktioner för säkerhets tillbuds hantering.Any vulnerabilities found from this exercise are reported and escalated using Microsoft's standard security incident management channels.