Interne Protokollierung für Microsoft 365-Engineering

Zusätzlich zu den Ereignissen und Protokolldaten, die für Kunden verfügbar sind, verwaltet Microsoft ein internes Protokolldatenerfassungssystem, das Microsoft 365-Technikern zur Verfügung steht. Viele verschiedene Arten von Protokolldaten werden von Microsoft 365-Servern in eine proprietäre Sicherheitsüberwachungslösung für die Nahezu-Echtzeitanalyse (NRT) und einen internen Big Data Computing-Dienst (Cosmos) für die langfristige Speicherung hochgeladen. Diese Datenübertragung erfolgt über eine FIPS 140-2-validierte TLS-Verbindung auf genehmigten Ports und Protokollen mithilfe eines proprietären Automatisierungstools namens Office Data Loader (ODL). Die in Microsoft 365 zum Sammeln und Verarbeiten von Überwachungsdatensätzen verwendeten Tools erlauben keine dauerhaften oder unwiderruflichen Änderungen an den ursprünglichen Überwachungsdatensätzen oder der Zeitanordnung.

Serviceteams verwenden Cosmos als zentrales Repository, um eine Analyse der Anwendungsnutzung durchzuführen, die System- und Betriebsleistung zu messen und nach Anomalien und Mustern zu suchen, die auf Probleme oder Sicherheitsprobleme hinweisen können. Jedes Serviceteam lädt einen Basisplan hoch, der Folgendes umfasst:

  • Ereignisprotokolle
  • AppLocker-Protokolle
  • Leistungsdaten
  • System Center-Daten
  • Anrufdetaildatensätze
  • Qualität der Erfahrungsdaten
  • IIS-Webserverprotokolle
  • SQL Server-Protokolle
  • Syslog-Daten
  • Sicherheitsüberwachungsprotokolle

Vor dem Hochladen verwendet die ODL-Anwendung einen Scrubbingdienst, um alle Felder zu entfernen, die Kundendaten enthalten, z. B. Mandanteninformationen und Informationen zur Identifizierung durch Endbenutzer, und diese Felder durch einen Hashwert zu ersetzen. Die Bereinigungsprotokolle werden in Cosmos und in die NRT-Sicherheitsüberwachungslösung hochgeladen, die die Protokolle auf potenzielle Sicherheitsereignisse und Leistungsindikatoren analysiert. Der Zeitraum der Aufbewahrung von Überwachungsprotokolldaten in Cosmos wird von den Serviceteams bestimmt; die meisten Überwachungsprotokolldaten werden 90 Tage oder länger aufbewahrt, um Untersuchungen von Sicherheitsvorfällen zu unterstützen und um gesetzliche Aufbewahrungsanforderungen zu erfüllen.

Der Zugriff auf in Cosmos gespeicherte Microsoft 365-Daten ist auf autorisiertes Personal beschränkt. Microsoft beschränkt die Verwaltung von Überwachungsprotokollen auf eine begrenzte Teilmenge der Sicherheitsteammitglieder, die für die Überwachungsfunktionalität verantwortlich sind. Das Sicherheitsteam hat keinen ständigen administrativen Zugriff auf Cosmos, und alle Änderungen werden aufgezeichnet und überwacht.

Nach der NRT-Analyse kann jedes Serviceteam Analysetools und Dashboards für Datenkorrelation, interaktive Abfragen und Datenanalysen verwenden. Diese Berichte werden verwendet, um die Gesamtleistung des Diensts zu überwachen und zu verbessern.