Microsoft 365-Protokollanalyse und Berichterstellung kennenlernen

  • 6 Minuten

Unabhängig von den protokollierten Daten, die ein System sammelt, ist die Überwachungsprotokollierung nur hilfreich, wenn sie zum Generieren aussagekräftiger Warnungen und praxisorientierter Berichte verwendet werden kann. Microsoft 365 verwendet automatisierte Systeme, die Protokolldaten fast in Echtzeit analysieren, um die kontinuierliche Sicherheit und die Dienststatusüberwachung zu unterstützen.

Sicherheitsüberwachung und Reaktionen mit Skalierung

Grundsätze der Sicherheitsüberwachung: – Warnungen müssen robuster sein: Wir benötigen Signale und Logik für eine Vielzahl unterschiedlicher Angriffsverhalten. – Warnungen müssen genau sein: Wir müssen aussagekräftige Warnungen auslösen, um Ablenkungen durch Unnötiges zu vermeiden. – Warnungen müssen schnell sein: Wir müssen Angreifer schnell genug abfangen, um sie zu stoppen

Microsoft 365 setzt sich für die kontinuierliche Sicherheitsüberwachung seiner Systeme ein, um Bedrohungen für Microsoft 365-Dienste zu erkennen und darauf zu reagieren. Automatisierungs-, Skalierungs- und cloudbasierte Lösungen sind die Schlüsselpfeiler unserer Überwachungs- und Reaktionsstrategie. Damit wir Angriffe im Rahmen einiger Microsoft 365-Basisdienste effektiv erfassen und stoppen können, müssen unsere Überwachungssysteme fast in Echtzeit automatisch hochgenaue Benachrichtigungen auslösen. Gleichermaßen muss, wenn ein Problem festgestellt wird, die Möglichkeit zur Minimierung des Risikos im erforderlichen Umfang vorhanden sein – wir können uns nicht darauf verlassen, dass unser Team Probleme Computer für Computer manuell behebt. Um Risiken erforderlichen Umfang zu minimieren, verwenden wir cloudbasierte Tools, um automatisch Gegenmaßnahmen anzuwenden und Entwicklern Werkzeuge zur Verfügung zu stellen, mit denen bewährte Minimierungsmaßnahmen in der gesamten Umgebung schnell angewendet werden können.

Die gesammelten Protokollierungsdaten ermöglichen Sicherheitsüberwachung und -benachrichtigungen rund um die Uhr. Unser Warnungssystem analysiert Protokolldaten, während sie hochgeladen werden, und erzeugt fast in Echtzeit Warnungen. Es umfasst regelbasierte und fortgeschrittene Warnungen basierend auf Modellen für maschinelles Lernen. Unsere Überwachungslogik geht über generische Angriffsszenarien hinaus und enthält ein tiefgreifendes Wissen über die Dienstarchitektur und den Betrieb. Wir verwenden Sicherheitsüberwachungsdaten, um unsere Modelle kontinuierlich zu verbessern und neue Arten von Angriffen zu erkennen sowie die Genauigkeit unserer Sicherheitsüberwachung zu verbessern.

Diagramm, das den Datenfluss von der Dienstinfrastruktur zum Office-Datenladeprogramm zeigt, der sich dann aufteilt und zwischen Cosmos und der Sicherheitsüberwachungspipeline fließt; Daten aus der Sicherheitsüberwachungspipeline fließen dann zu den Dashboards der Analysetools sowie zu Warnungen und zur Automatisierung.

Wenn wir eine Aktion als Reaktion auf eine Warnung oder zur weiteren Untersuchung forensischer Nachweise während des gesamten Diensts ergreifen müssen, lassen sich mit unseren cloudbasierten Tools in der gesamten Umgebung schnell reagieren. Zu diesen Tools zählen vollständig automatisierte, intelligente Agents, die mit Sicherheitsmaßnahmen auf erkannte Bedrohungen reagieren. In vielen Fällen werden mit diesen Agenten automatische Gegenmaßnahmen zur Minimierung von Sicherheitsentdeckungen im erforderlichen Umfang bereitgestellt. Wenn dies nicht möglich ist, warnt das Sicherheitsuberwachungssystem automatisch die entsprechenden Techniker, die mit einer Reihe von Werkzeugen ausgerüstet sind, die es Ihnen ermöglichen, in Echtzeit zu agieren, um erkannte Bedrohungen im erforderlichen Umfang zu minimieren. Potenzielle Zwischenfälle, die von der Sicherheitsüberwachung erkannt werden, werden an das Microsoft 365 Security Response-Team eskaliert, um mithilfe des Prozesses für die Reaktion auf Sicherheitsvorfälle behoben zu werden.

Dienststatusüberwachung

Neben der Sicherheitsüberwachung analysieren Dienstteams die Protokolldaten für ihre eigenen Dienste als Teil der Dienststatusüberwachung. Die Dienststatusüberwachung hilft bei der Identifizierung potenzieller Probleme im Zusammenhang mit der Systemleistung, der Benutzererfahrung und Abweichungen von der geplanten Dienstverwendung. Dienststatusprobleme, die Auswirkungen auf die Verfügbarkeit haben, werden den Technikern des Dienstteams durch automatisierte Benachrichtigungen mitgeteilt. In vielen Fällen antworten unsere Dienste automatisch auf Probleme mit dem Dienststatus mithilfe automatischer Problembehebungsmaßnahmen, z. B. die Wiederherstellung von beschädigten Daten aus einer Replikationszone oder das automatische Skalieren des Diensts zur Unterstützung einer erhöhten Auslastung.

Neben der Lösung von kurzfristigen Problemen verwenden die Dienstteams auch Dienststatus-Trenddaten für die Kapazitätsplanung und andere langfristige strategische Zielen, um den optimalen Service für unsere Kunden aufrechtzuerhalten. Dienstteams nutzen die Dienstleistungs- und Benutzererfahrungsdaten für die Funktionsplanung, um sicherzustellen, dass unsere Dienste den Anforderungen des Kunden weiterhin gerecht werden.