Mehr zu Microsoft 365-Protokollschutz und Aufbewahrung
Microsoft 365 ist eine dynamische, hyperskalierte Cloud, die eine Vielzahl von Systemkomponenten enthält. Um Protokolldaten aus unserer Umgebung effektiv zu verarbeiten und die Protokolle vor Veränderungen zu schützen, führen wir die Sammlung und Analyse von Protokollen mit sicheren, zentralisierten Verarbeitungs- und Speicherdiensten durch.
Protokollaggregation
Jedes System enthält einen benutzerdefinierten Protokollierungs-Agent, Office Data Loader (ODL), der als Teil der Systembaseline installiert wird. ODL ist für das Erzwingen zentraler Protokollierungsrichtlinien verantwortlich, die vom Microsoft 365-Sicherheitsteam definiert werden, und für das Hochladen der Protokolldaten in zentralisierte Dienste zur Verarbeitung und Speicherung. ODL ist so konfiguriert, dass alle Endbenutzerinformationen automatisch bereinigen und Alle paar Minuten Ereignisse in Batches hochgeladen werden, wobei Felder, die Kundendaten enthalten, durch einen Hashwert entfernt und ersetzt werden. Alle Protokolldatenübertragungen erfolgen über eine FIPS 140-2-überprüfte TLS-verschlüsselte Verbindung an genehmigten Ports und Protokollen, um Protokolldaten während der Übertragung zu schützen. Permanente oder unumkehrbare Änderungen am Überwachungsdatensatzinhalt und der Zeitreihenfolge, abgesehen von der zuvor beschriebenen Bereinigung, sind verboten. Protokolldaten werden in eine proprietäre Sicherheitsüberwachungslösung hochgeladen, um nahezu in Echtzeit zu analysieren und Protokolle auf potenzielle Sicherheitsereignisse und Leistungsindikatoren zu überprüfen. Protokolle werden auch zur langfristigen Speicherung in einen Big Data-Computing-Dienst (Azure Data Lake) hochgeladen. Der zentrale Speicherdienst ordnet Überwachungsspeicherplatz dynamisch für Überwachungsprotokolle zu, um sicherzustellen, dass keine Daten aufgrund von fehlendem Speicherplatz verloren gehen. Fehler bei der Überwachungsverarbeitung werden gemeldet und ggf. an Microsoft 365 Security eskaliert.
Protokollaufbewahrung
Microsoft 365 bewahrt Überwachungsprotokolldaten in Übereinstimmung mit bewährten Sicherheitsverfahren und Compliance-Vorschriften auf. Die meisten Arten von Überwachungsprotokolldaten werden mindestens 90 Tage lang aufbewahrt, um Vorfalluntersuchungen und Compliance-Anforderungen zu unterstützen. Service-Teams können alternative Aufbewahrungsfristen für bestimmte Arten von Protokolldaten wählen, um die Anforderungen ihrer Anwendungen zu unterstützen.
Darüber hinaus werden in Microsoft 365 viele Arten von Überwachungsdatensätzen in einem internen Datenspeicherungs- und -computingdienst namens „Cosmos“ für mindestens ein Jahr gespeichert, um Untersuchungen von Sicherheitsvorfällen zu unterstützen und um behördliche Aufbewahrungsanforderungen zu erfüllen. Der Zugriff auf diese Protokolldaten ist auf eine kleine Anzahl von Mitarbeitern des Sicherheitsteams beschränkt. Die Richtlinien von Microsoft 365 zur Aufbewahrung und Sicherung von Protokollen stellen sicher, dass Protokolldaten für Vorfalluntersuchungen, Compliance-Berichte und alle anderen Geschäftsanforderungen jederzeit verfügbar sind.
Zugriffssteuerung
Microsoft führt umfassende Überwachung und Überwachung aller Delegierungen, Berechtigungen und Vorgänge in Microsoft 365 durch. Der Zugriff auf in Azure Data Lake gespeicherte Microsoft 365-Protokolldaten ist auf autorisierte Mitarbeiter beschränkt, und alle Zugriffssteuerungsanforderungen und Genehmigungen werden für die Analyse von Sicherheitsereignissen erfasst. Microsoft überprüft die Zugriffsebenen, um sicherzustellen, dass nur Benutzer auf seine Systeme zugreifen können, die über autorisierte geschäftliche Begründungen verfügen und die Berechtigungsanforderungen erfüllen. Der gesamte zulässige Zugriff kann für einen eindeutigen Benutzer nachverfolgt werden. Die Verwaltung von Überwachungsprotokollen ist auf eine begrenzte Teilmenge von Mitgliedern des Sicherheitsteams beschränkt, die für die Überwachungsfunktionalität verantwortlich sind und nicht über ständigen Administratorzugriff verfügen.