Microsoft 365-Überwachungsprotokollsammlung
Überwachungsprotokolle spielen eine wichtige Rolle bei der Wartung, Problembehandlung und dem Schutz von Kundenmandanten und der internen Microsoft 365-Infrastruktur. Aufgrund des Umfangs, in dem Microsoft 365 arbeitet, muss die Erfassung und Verarbeitung von Überwachungsprotokollen strategisch verwaltet werden, um eine effiziente und effektive Überwachung sicherzustellen. Dieser Artikel bietet eine Übersicht über die Überwachungsprotokollierungsmethoden von Microsoft 365, einschließlich der erfassten Ereignistypen, der Informationen, die in den einzelnen Protokollen enthalten sind, wie Protokollierungsrichtlinien erzwungen werden und wie Protokolldaten in allen Phasen des Lebenszyklus geschützt werden.
Definieren von überwachbaren Ereignissen
Das Microsoft 365-Sicherheitsteam ist für die Definition der Baselineprotokolle verantwortlich, die in Microsoft 365 gesammelt werden müssen. Sie verwalten eine offizielle Liste der Ereignistypen, die jedes System erfassen muss, sowie die Daten, die jedes protokollierte Ereignis enthalten muss.
Microsoft 365 erfasst Protokolldaten aus verschiedenen Quellen, einschließlich:
- Ereignisprotokolle
- AppLocker-Protokolle
- Leistungsdaten
- System Center-Daten
- Anrufdetailsetaildatensätze
- Quality of Experience Data (Qualität der Erfahrungsdaten)
- IIS-Webserverprotokolle
- SQL Server-Protokolle
- Syslog-Daten
- Sicherheitsüberwachungsprotokolle
Jedes der Protokolle in dieser Liste muss mindestens die folgenden Informationen enthalten, um den Ereignistyp, die Quelle, den Standort, das Ergebnis, die Uhrzeit und die zugeordnete Entität festzulegen:
- Quell-Benutzer-ID
- Zielbenutzer-ID – soweit relevant/angemessen für den Ereignistyp
- Ereignis-Zeitstempel (Datum und Uhrzeit)
- Ereignisdetails
- Typ
- Ergebnis (Erfolg/Fehler)
- Detailinformationen – definiert pro Ereignistyp
- Quell-& Zielhostname – relevant/angemessen für den Ereignistyp
- Quell-& Zielnetzwerkadressen und -protokolle – soweit relevant/angemessen für den Ereignistyp
Die Liste der überprüfbaren Ereignisse und zugehörigen Daten wird durch laufende Risikobewertungen, Microsoft 365-Sicherheitsstandards, Geschäftsanforderungen und Complianceanforderungen informiert. Das Microsoft 365 Security-Team prüft und aktualisiert die Liste der überwachbaren Ereignisse, um neue Bedrohungen, Änderungen am System, Erkenntnisse aus früheren Vorfällen sowie geänderte Compliance-Anforderungen zu berücksichtigen.
Serviceteams können zusätzliche Protokollierungsanforderungen für ihren Dienst definieren, zusätzlich zur Liste der überprüfbaren Ereignisse, die vom Microsoft 365-Sicherheitsteam definiert werden. Anwendungsspezifische Ereignisse werden während Dienstüberprüfungen und der Planungsphase von Feature-Meilensteinen überprüft und aktualisiert. Das Microsoft 365 Security-Team hilft auch dabei, diese einzelnen Serviceteams bei Überwachungsfunktionen zu leiten, um ihre spezifischen Anforderungen zu erfüllen. Überprüfbare Ereignisse auf Dienstebene werden überprüft und aktualisiert, wenn eine wesentliche Änderung am System vorgenommen wird.
Aufgrund der Skalierung von Microsoft muss die Menge der erfassten Daten mit der Fähigkeit, sie zu speichern und zu verarbeiten, ausgeglichen werden. Das Sammeln von Informationen zu jedem möglichen Ereignis und den darin enthaltenen Inhalten wäre sowohl vom Ressourcen- als auch vom analytischen Standpunkt aus unpraktisch. Durch die selektive Verwendung der Arten der gesammelten Protokolldaten kann Microsoft die Integrität und Sicherheit seiner Informationssysteme auf effiziente und effektive Weise gewährleisten.
Zentralisierte Verwaltung
Microsoft 365 erzwingt Protokollierungsanforderungen zentral über die Richtlinien, die vom Microsoft 365-Sicherheitsteam festgelegt werden. Jedes Microsoft 365-System muss einen benutzerdefinierten Protokollierungs-Agent, Office Data Loader (ODL), enthalten, der als Teil der Systembaseline installiert wird. ODL erzwingt zentrale Protokollierungsrichtlinien und ist so konfiguriert, dass die von Microsoft 365 Security definierten Ereignisse gesammelt und an zentralisierte Dienste zur Verarbeitung und Speicherung gesendet werden.
ODL ist so konfiguriert, dass alle Endbenutzerinformationen automatisch bereinigen und Alle fünf Minuten Ereignisse in Batches hochgeladen werden. Alle Felder, die Kundendaten enthalten, z. B. Mandanteninformationen und identifizierbare Informationen für Endbenutzer, werden entfernt und durch einen Hashwert ersetzt. Dauerhafte oder unumkehrbare Änderungen am Überwachungsdatensatzinhalt und der Zeitreihenfolge, abgesehen von der zuvor beschriebenen Bereinigung, sind verboten.
Protokolldaten werden zur Analyse nahezu in Echtzeit (NRT) in eine proprietäre Sicherheitsüberwachungslösung hochgeladen, wobei Protokolle auf potenzielle Sicherheitsereignisse und Leistungsindikatoren überprüft werden. Protokolle werden auch zur langfristigen Speicherung in einen internen Big Data-Computing-Dienst (Azure Data Lake) hochgeladen. Alle Protokolldatenübertragungen erfolgen über eine FIPS 140-2-überprüfte TLS-Verbindung, um die Vertraulichkeit der Daten während der Übertragung sicherzustellen.
Die meisten in Azure Data Lake gespeicherten Überwachungsprotokolldaten werden mindestens ein Jahr lang aufbewahrt, um Untersuchungen von Sicherheitsvorfällen zu unterstützen und gesetzliche Aufbewahrungsanforderungen zu erfüllen. Serviceteams können alternative Aufbewahrungsfristen von 90 Tagen oder länger für bestimmte Arten von Protokolldaten auswählen, um die Anforderungen ihrer Anwendungen zu erfüllen. Die Richtlinien von Microsoft 365 zur Aufbewahrung und Sicherung von Protokollen stellen sicher, dass Protokolldaten für Vorfalluntersuchungen, Compliance-Berichte und alle anderen Geschäftsanforderungen jederzeit verfügbar sind.
Zugriffssteuerung
Microsoft führt umfassende Überwachung und Überwachung aller Delegierungen, Berechtigungen und Vorgänge in Microsoft 365 durch. Der Zugriff auf microsoft 365-Daten, die in Azure Data Lake gespeichert sind, ist auf autorisierte Mitarbeiter beschränkt, und alle Zugriffssteuerungsanforderungen und Genehmigungen werden für die Analyse von Sicherheitsereignissen erfasst. Microsoft überprüft die Zugriffsebenen nahezu in Echtzeit, um sicherzustellen, dass nur Benutzer auf die Systeme zugreifen können, die über autorisierte geschäftliche Begründungen verfügen und die Berechtigungsanforderungen erfüllen. Der gesamte zulässige Zugriff kann für einen eindeutigen Benutzer nachverfolgt werden.
Microsoft beschränkt die Verwaltung von Überwachungsprotokollen auf eine begrenzte Teilmenge der Mitglieder des Sicherheitsteams, die für die Überwachungsfunktionalität verantwortlich sind. Die interne Zugriffssteuerungsphilosophie von Microsoft dreht sich um die Prinzipien von Just-In-Time (JIT) und Just-Enough-Access (JEA). Daher hat das Sicherheitsteam keinen ständigen Administratorzugriff auf Azure Data Lake, und alle Änderungen werden aufgezeichnet und überwacht.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für