Información sobre la retención y la protección de registros de Microsoft 365
Microsoft 365 es una nube dinámica y a gran escala que contiene una variedad de componentes del sistema. Para procesar de forma eficaz los datos de registro de nuestro entorno y proteger los registros de la modificación, realizamos la recopilación y el análisis de registros mediante servicios de procesamiento y almacenamiento seguros y centralizados.
Agregación de registros
Cada sistema incluye un agente de registro personalizado, Office Data Loader (ODL), que se instala como parte de la línea base del sistema. ODL es responsable de aplicar directivas de registro centrales definidas por el equipo de seguridad de Microsoft 365 y cargar los datos de registro en servicios centralizados para el procesamiento y el almacenamiento. ODL está configurado para borrar toda la información del usuario final automáticamente y cargar eventos en lotes cada pocos minutos, quitando y reemplazando campos que contienen datos de cliente con un valor hash. Todas las transferencias de datos de registro se producen a través de una conexión cifrada TLS validada por FIPS 140-2 en puertos y protocolos aprobados para proteger los datos de registro en tránsito. Se prohíben los cambios permanentes o irreversibles en el contenido de los registros de auditoría y el orden de tiempo, además de la limpieza descrita anteriormente. Los datos de registro se cargan en una solución de supervisión de seguridad propietaria para un análisis casi en tiempo real, comprobando los registros de posibles eventos de seguridad e indicadores de rendimiento. Los registros también se cargan en un servicio de informática de macrodatos (Azure Data Lake) para el almacenamiento a largo plazo. El servicio de almacenamiento central asigna dinámicamente espacio de almacenamiento de auditoría para los registros de auditoría, lo que garantiza que no se pierdan datos debido a la falta de espacio de almacenamiento. Los errores de procesamiento de auditoría se notifican y escalan a Seguridad de Microsoft 365 según corresponda.
Retención de registros
Microsoft 365 conserva los datos de registro de auditoría de acuerdo con las normas de cumplimiento y los procedimientos recomendados de seguridad. La mayoría de los tipos de datos de registro de auditoría se conservan durante un mínimo de 90 días para admitir las investigaciones de incidentes y los requisitos de cumplimiento. Los equipos de servicio pueden seleccionar períodos de retención alternativos para tipos específicos de datos de registro para satisfacer las necesidades de sus aplicaciones.
Además, Microsoft 365 conserva muchos tipos de registros de auditoría en un servicio informático y de almacenamiento de datos interno denominado Cosmos durante al menos un año para respaldar las investigaciones de incidentes de seguridad y cumplir los requisitos de retención normativos. El acceso a estos datos de registro se limita a un pequeño número de personal del equipo de seguridad. Las directivas de copia de seguridad y retención de registros de Microsoft 365 garantizan que los datos de registro estén disponibles fácilmente para las investigaciones de incidentes, los informes de cumplimiento y cualquier otro requisito empresarial.
Control de acceso
Microsoft realiza una amplia supervisión y auditoría de todas las delegaciones, privilegios y operaciones que se producen en Microsoft 365. El acceso a los datos de registro de Microsoft 365 almacenados en Azure Data Lake está restringido al personal autorizado y todas las solicitudes y aprobaciones de control de acceso se capturan para el análisis de eventos de seguridad. Microsoft revisa los niveles de acceso para asegurarse de que solo los usuarios que hayan autorizado justificaciones empresariales puedan acceder a sus sistemas y cumplan los requisitos de idoneidad. Todo el acceso permitido se puede realizar un seguimiento de un usuario único. La administración de registros de auditoría está restringida a un subconjunto limitado de miembros del equipo de seguridad responsables de la funcionalidad de auditoría, que no tienen acceso administrativo permanente.