Recopilación de registros de auditoría de Microsoft 365

Los registros de auditoría desempeñan un papel importante en el mantenimiento, la solución de problemas y la protección de los inquilinos de clientes y la infraestructura interna de Microsoft 365. Debido a la escala a la que opera Microsoft 365, la recopilación y el procesamiento de los registros de auditoría deben administrarse estratégicamente para garantizar una supervisión eficaz y eficaz. En este artículo se proporciona información general sobre las prácticas de registro de auditoría de Microsoft 365, incluidos qué tipos de eventos se capturan, qué información contiene cada registro, cómo se aplican las directivas de registro y cómo se protegen los datos de registro en todas las fases de su ciclo de vida.

Definición de eventos auditables

El equipo de seguridad de Microsoft 365 es responsable de definir los registros de línea base que se deben recopilar en Microsoft 365. Mantienen una lista oficial de tipos de eventos que cada sistema debe capturar, así como los datos que debe contener cada evento registrado.

Microsoft 365 captura datos de registro de varios orígenes, entre los que se incluyen:

  • Registros de eventos
  • Registros de AppLocker
  • Datos de rendimiento
  • Datos de System Center
  • Registros de detalles de llamadas
  • Calidad de los datos de la experiencia
  • Registros del servidor web de IIS
  • registros de SQL Server
  • Datos de Syslog
  • Registros de auditoría de seguridad

Cada uno de los registros de esta lista debe contener al menos la siguiente información para establecer el tipo de evento, el origen, la ubicación, el resultado, la hora y la entidad asociadas:

  • Source User ID
  • Id. de usuario de destino: según corresponda o adecuado para el tipo de evento
  • Marca de tiempo del evento (Fecha y hora)
  • Detalles del evento
    • Tipo
    • Resultado (éxito/error)
    • Información detallada: definida por tipo de evento
  • Nombre de host de origen & destino: según corresponda o adecuado para el tipo de evento
  • Protocolos y direcciones de red de origen & destino, según corresponda o apropiado para el tipo de evento.

La lista de eventos auditables y datos relacionados está informada por las evaluaciones de riesgos en curso, los estándares de seguridad de Microsoft 365, los requisitos empresariales y los requisitos de cumplimiento. El equipo de Seguridad de Microsoft 365 revisa y actualiza la lista de eventos auditables para tener en cuenta las nuevas amenazas, los cambios del sistema, las lecciones aprendidas de incidentes anteriores y los requisitos de cumplimiento cambiantes.

Los equipos de servicio pueden definir requisitos de registro adicionales para su servicio, además de la lista de eventos auditables definidos por el equipo de seguridad de Microsoft 365. Los eventos específicos de la aplicación se revisan y actualizan durante las revisiones del servicio y las fases de planeación de los hitos de la característica. El equipo de seguridad de Microsoft 365 también ayuda a guiar a estos equipos de servicio individuales en funciones de auditoría para satisfacer sus necesidades específicas. Los eventos auditables de nivel de servicio se revisan y actualizan cada vez que se realiza un cambio significativo en el sistema.

Debido a la escala de Microsoft, la cantidad de datos capturados debe equilibrarse con la capacidad de almacenarlos y procesarlos. Recopilar información sobre cada evento posible y el contenido del mismo sería poco práctico desde un punto de vista analítico y de recursos. Al ser selectivo con los tipos de datos de registro recopilados, Microsoft puede mantener la salud y la seguridad de sus sistemas de información de una manera eficaz y eficaz.

Administración centralizada

Microsoft 365 aplica los requisitos de registro de forma centralizada a través de las directivas establecidas por el equipo de seguridad de Microsoft 365. Cada sistema de Microsoft 365 debe incluir un agente de registro personalizado, Office Data Loader (ODL), que se instala como parte de la línea base del sistema. ODL aplica directivas de registro centrales y está configurado para recopilar y enviar los eventos definidos por Seguridad de Microsoft 365 a servicios centralizados para el procesamiento y el almacenamiento.

ODL está configurado para borrar toda la información del usuario final automáticamente y cargar eventos en lotes cada cinco minutos. Los campos que contienen datos de cliente, como información de inquilino e información de identificación del usuario final, se quitan y se reemplazan por un valor hash. Se prohíben los cambios permanentes o irreversibles en el contenido de los registros de auditoría y el orden de tiempo, además de la limpieza descrita anteriormente.

Los datos de registro se cargan en una solución de supervisión de seguridad propietaria para el análisis casi en tiempo real (NRT), comprobando los registros de posibles eventos de seguridad e indicadores de rendimiento. Los registros también se cargan en un servicio de informática de macrodatos interno (Azure Data Lake) para el almacenamiento a largo plazo. Todas las transferencias de datos de registro se producen a través de una conexión TLS validada por FIPS 140-2 para garantizar la confidencialidad de los datos durante el tránsito.

La mayoría de los datos de registro de auditoría almacenados en Azure Data Lake se conservan durante al menos un año para admitir investigaciones de incidentes de seguridad y cumplir los requisitos de retención normativos. Los equipos de servicio pueden seleccionar períodos de retención alternativos de 90 días o más para tipos específicos de datos de registro para satisfacer las necesidades de sus aplicaciones. Las directivas de copia de seguridad y retención de registros de Microsoft 365 garantizan que los datos de registro estén disponibles fácilmente para las investigaciones de incidentes, los informes de cumplimiento y cualquier otro requisito empresarial.

Control de acceso

Microsoft realiza una amplia supervisión y auditoría de todas las delegaciones, privilegios y operaciones que se producen en Microsoft 365. El acceso a los datos de Microsoft 365 almacenados en Azure Data Lake está restringido al personal autorizado y todas las solicitudes y aprobaciones de control de acceso se capturan para el análisis de eventos de seguridad. Microsoft revisa los niveles de acceso casi en tiempo real para asegurarse de que solo los usuarios que hayan autorizado justificaciones empresariales puedan acceder a sus sistemas y cumplan los requisitos de idoneidad. Todo el acceso permitido se puede realizar un seguimiento de un usuario único.

Microsoft restringe la administración de registros de auditoría a un subconjunto limitado de miembros del equipo de seguridad responsables de la funcionalidad de auditoría. La filosofía de control de acceso interno de Microsoft gira en torno a los principios de Just-In-Time (JIT) y Just-Enough-Access (JEA). Por lo tanto, el equipo de seguridad no tiene acceso administrativo permanente a Azure Data Lake y todos los cambios se registran y auditan.