Microsoft 365-Protokollsammlung verstehen
Überwachungsprotokolle sind für die Wartung, Problembehandlung und den Schutz von Kundenmandanten und der internen Microsoft 365-Infrastruktur von entscheidender Bedeutung. Aufgrund des Umfangs, in dem Microsoft 365 arbeitet, muss die Erfassung und Verarbeitung von Überwachungsprotokollen strategisch verwaltet werden, um eine effiziente und effektive Überwachung sicherzustellen. Die Entscheidung, welche Arten von Protokolldaten gesammelt werden sollen, ist für eine effektive Überwachung von entscheidender Bedeutung, da Protokolle eine Fülle von Informationen über die Integrität und Sicherheit eines Informationssystems bieten. Eine effektive Überwachung erfordert jedoch die Fähigkeit, aussagekräftige, umsetzbare Signale aus dem permanenten Datenstrom von Protokolldaten zu erkennen. Wir sorgen dafür in Microsoft 365 durch eine klare Definition der Arten von Ereignissen, die von unseren Systemkomponenten protokolliert werden müssen, und der Daten, die protokollierte Ereignisse enthalten müssen.
Definieren von überwachbaren Ereignissen
Um relevante Signale aus Protokolldaten erkennen zu können, ist es wichtig, dass Ereignisse über Systemkomponenten hinweg einheitlich überwacht werden. Das Microsoft 365-Sicherheitsteam ist für die Definition der Baselineprotokolle verantwortlich, die in Microsoft 365 gesammelt werden müssen, einschließlich ereignissen, die für die Sicherheitsüberwachung und Reaktion auf Vorfälle von Interesse sind, sowie Diagnoseereignisse, um die Dienstintegrität zu unterstützen und Systemprobleme zu identifizieren. Die Liste der überprüfbaren Ereignisse und zugehörigen Daten wird durch laufende Risikobewertungen, Microsoft 365-Sicherheitsstandards, Geschäftsanforderungen und Complianceanforderungen informiert. Zusätzlich zur Liste der vom Microsoft 365 Security-Team definierten Ereignisse für die Überwachung können Serviceteams zusätzliche Protokollierungsanforderungen für ihren jeweiligen Dienst definieren.
Die Liste der überwachbaren Ereignisse umfasst Betriebssystemereignisse aus Sicherheits- und Anwendungsprotokollen, hostbasierten Systemen zur Erkennung von Eindringversuchen und Ereignisse im Zusammenhang mit der Zugriffssteuerung. So müssen beispielsweise Microsoft 365-Dienste den privilegierten Zugriff überwachen. Der privilegierte Zugriff wird in Microsoft 365-Produktionsumgebungen über Lockbox und die Kunden-Lockbox verwaltet, um Zero Standing Access (ZSA) zu erzwingen. Alle JIT-Zugriffsanforderungen (Just-In-Time) werden über Lockbox und die Kunden-Lockbox protokolliert. Darüber hinaus werden privilegierte Befehle, die von Service-Team-Entwicklern mit temporärem JIT-Zugriff ausgeführt werden, protokolliert und über zentrale Protokollierung und Berichterstellung bereitgestellt. Diese Ereignisse im Zusammenhang mit der Zugriffssteuerung liefern wichtige Daten für die Sicherheitsüberwachung und für die Vorfalluntersuchung. Außerdem bieten sie Kunden eine überprüfbare Aufzeichnung von Kunden-Lockbox-Aktionen, die von Microsoft-Mitarbeitern im Zusammenhang mit dem Mandanten des Kunden ausgeführt wurden.
Das Microsoft 365 Security-Team prüft und aktualisiert die Liste der überwachbaren Ereignisse, um neue Bedrohungen, Änderungen am System, Erkenntnisse aus früheren Vorfällen sowie geänderte Compliance-Anforderungen zu berücksichtigen. Diese Überprüfung findet mindestens jährlich statt, während überprüfbare Ereignisse auf Dienstebene überprüft und aktualisiert werden, wenn eine wesentliche Änderung am System vorgenommen wird. Anwendungsspezifische Ereignisse werden während Dienstüberprüfungen und der Planungsphase von Feature-Meilensteinen überprüft und aktualisiert. Das Microsoft 365 Security-Team hilft auch dabei, diese einzelnen Serviceteams bei Überwachungsfunktionen zu leiten, um ihre spezifischen Anforderungen zu erfüllen. Aufgrund der Skalierung von Microsoft muss die Menge der erfassten Daten mit der Fähigkeit, sie zu speichern und zu verarbeiten, ausgeglichen werden. Durch die selektive Verwendung der Arten der gesammelten Protokolldaten kann Microsoft die Integrität und Sicherheit seiner Informationssysteme auf effiziente und effektive Weise gewährleisten. Daher umfassen die Protokollierungsanforderungen in Microsoft 365 Services Ereignisse, die von jeder Systemkomponente erfasst werden müssen, sowie die Daten, die jedes protokollierte Ereignis enthalten muss. Durch die kontinuierliche Überprüfung und Aktualisierung der Liste der überprüfbaren Ereignisse kann Microsoft sich mit den Daten auswaffnen, die zum Erkennen und Reagieren auf Sicherheitsbedrohungen, zum Bereitstellen eines optimalen Service für Kunden und zur Erfüllung von Complianceanforderungen erforderlich sind.
Ereignisinhalte
Ebenso wichtig wie die von uns erfassten Ereignistypen sind die Daten, die diese Ereignisse enthalten. Protokollierte Ereignisse müssen genügend Informationen umfassen, um eine genaue Überwachung und eine wirksame Untersuchung von Vorfällen zu ermöglichen. Microsoft 365 Security bedingt, dass Protokolleinträge genügend Informationen enthalten, um den Ereignistyp sowie die Quelle und das Ergebnis des Ereignisses zu ermitteln. Für eine korrekte zeitliche Reihung müssen alle Ereignisse mit Zeitstempel gemäß koordinierter Weltzeit (Coordinated Universal Time, UTC) versehen werden. Darüber hinaus müssen Ereignisprotokolle den Ort, an dem das Ereignis aufgetreten ist, alle Benutzer oder Systemhosts, die am Ereignis beteiligt waren, sowie alle anderen für den Ereignistyp relevanten Details aufzeichnen. So können beispielsweise ereignisspezifische Details zu Netzwerkereignissen Netzwerkadressen und verwendete Protokolle sowie Ursprungs- und Zielhostnamen umfassen. Durch die Standardisierung der Anforderungen für Ereignisinhalte wird sichergestellt, dass unsere Protokolle die für die vorgesehenen Zwecke erforderliche Detailstufe bieten.
Erzwingen unser Protokollierungsrichtlinie
Microsoft 365 erzwingt Protokollierungsanforderungen auf Computerebene als Teil des Bereitstellungsprozesses. Basisplanimages umfassen einen benutzerdefinierten Protokollierungs-Agent, der als Office Data Loader (ODL) bezeichnet wird. Der ODL ist so konfiguriert, dass er die von Microsoft 365 Security definierten Ereignisse erfasst und sie an zentralisierte Dienste zur Verarbeitung und Speicherung sendet. Die Protokolldaten werden während der Übertragung verschlüsselt und um Endbenutzerinformationen bereinigt, bevor sie in den zentralen Protokoll-Speicherdienst hochgeladen werden.