Descripción de la recopilación de registros de Microsoft 365
Los registros de auditoría son fundamentales para mantener, solucionar problemas y proteger los inquilinos de los clientes y la infraestructura interna de Microsoft 365. Debido a la escala a la que opera Microsoft 365, la recopilación y el procesamiento de los registros de auditoría deben administrarse estratégicamente para garantizar una supervisión eficaz y eficaz. Decidir qué tipos de datos de registro recopilar es fundamentalmente importante para una supervisión eficaz, ya que los registros proporcionan una gran cantidad de información sobre el estado y la seguridad de un sistema de información. Sin embargo, la supervisión eficaz requiere la capacidad de detectar señales significativas y accionables del flujo perpetuo de datos de registro. Esto lo hacemos en Microsoft 365 al definir claramente los tipos de eventos que deben registrar nuestros componentes del sistema, así como los datos que los eventos registrados deben contener.
Definición de eventos auditables
Para distinguir las señales significativas de los datos de registro es fundamental auditar los eventos de forma coherente entre los componentes del sistema. El equipo de seguridad de Microsoft 365 es responsable de definir los registros de línea base que se deben recopilar en Microsoft 365, incluidos los eventos de interés para la supervisión de seguridad y la respuesta a incidentes, así como los eventos de diagnóstico para admitir el estado del servicio e identificar problemas del sistema. La lista de eventos auditables y datos relacionados está informada por las evaluaciones de riesgos en curso, los estándares de seguridad de Microsoft 365, los requisitos empresariales y los requisitos de cumplimiento. Además de la lista de eventos de auditoría definidos por el equipo de Seguridad de Microsoft 365, los equipos de servicio pueden definir los requisitos de registro adicionales para su servicio.
La lista de eventos auditables incluye eventos del sistema operativo de registros de aplicaciones y seguridad, sistemas de detección de intrusiones basados en host y eventos relacionados con el control de acceso. Por ejemplo, los servicios de Microsoft 365 son necesarios para auditar el acceso con privilegios. El acceso con privilegios en los ambientes de producción de Microsoft 365 es administrado por una caja de seguridad y una Caja de seguridad del cliente para aplicar Zero Standing Access (ZSA). Todas las solicitudes de acceso cuando es necesario (JIT) se registran a través de la caja de seguridad y la Caja de seguridad del cliente. Además, los comandos con privilegios que ejecutan los ingenieros del equipo de servicio mediante el acceso JIT temporal se registran y están disponibles a través de registros e informes centralizados. Estos eventos de control de acceso proporcionan datos fundamentales para la supervisión de la seguridad y la investigación de incidentes. También proporcionan al cliente un registro auditable de la Caja de seguridad del cliente con las acciones realizadas por el personal de Microsoft relacionadas con su espacio empresarial.
El equipo de Seguridad de Microsoft 365 revisa y actualiza la lista de eventos auditables para tener en cuenta las nuevas amenazas, los cambios del sistema, las lecciones aprendidas de incidentes anteriores y los requisitos de cumplimiento cambiantes. Como mínimo, esta revisión tiene lugar anualmente, mientras que los eventos auditables de nivel de servicio se revisan y actualizan cada vez que se realiza un cambio significativo en el sistema. Los eventos específicos de la aplicación se revisan y actualizan durante las revisiones del servicio y las fases de planeación de los hitos de la característica. El equipo de seguridad de Microsoft 365 también ayuda a guiar a estos equipos de servicio individuales en funciones de auditoría para satisfacer sus necesidades específicas. Debido a la escala de Microsoft, la cantidad de datos capturados debe equilibrarse con la capacidad de almacenarlos y procesarlos. Al ser selectivo con los tipos de datos de registro recopilados, Microsoft puede mantener la salud y la seguridad de sus sistemas de información de una manera eficaz y eficaz. Por lo tanto, los requisitos de registro en los Servicios de Microsoft 365 incluyen eventos que cada componente del sistema debe capturar y los datos que debe contener cada evento registrado. Al revisar y actualizar continuamente la lista de eventos auditables, Microsoft puede armarse con los datos necesarios para detectar y responder a amenazas de seguridad, proporcionar un servicio óptimo a los clientes y cumplir los requisitos de cumplimiento.
Contenidos del evento
Tan importantes como los tipos de eventos que recopilamos son los datos que contienen esos eventos. Los eventos registrados deben tener suficiente información para admitir la supervisión precisa y la investigación eficaz de incidentes. La Seguridad de Microsoft 365 requiere que las entradas de registro contengan suficiente información para determinar el tipo de evento que se produjo junto con su origen y resultado. Para establecer un orden de hora adecuado, todos los eventos deben tener una marca de tiempo acorde con la hora universal coordinada (UTC). Además, los registros de eventos deben registrar dónde se produjo el evento, los usuarios o hosts del sistema implicados y cualquier otro detalle relevante para el tipo de evento. Por ejemplo, los detalles específicos de los eventos de red pueden incluir las direcciones de red y los protocolos usados, junto con los nombres de host de origen y destino. La normalización de los requisitos de contenido del evento garantiza que nuestros registros proporcionen el nivel de detalle necesario para sus propósitos previstos.
Aplicación de nuestra directiva de registro
Microsoft 365 aplica los requisitos de registro en el nivel de máquina como parte del proceso de implementación. Las imágenes de línea base incluyen un agente de registro personalizado denominado Office Data Loader (ODL). El ODL está configurado para recopilar los eventos definidos por la Seguridad de Microsoft 365 y enviar estos eventos a los servicios centralizados para su procesamiento y almacenamiento. Los datos de registro se cifran en tránsito y se limpian para obtener información del usuario final antes de cargarse en el servicio central de almacenamiento de registros.