Explorar los informes y los análisis de registros de Microsoft 365

  • 6 minutos

Independientemente de los datos de registro que recopile un sistema, el registro de auditoría solo es útil si se puede usar para generar alertas significativas e informes accionables. Microsoft 365 usa sistemas automatizados que analizan los datos de registro casi en tiempo real para admitir la supervisión continua de la seguridad y el estado del servicio.

Supervisión y respuesta de seguridad a escala

Principios de supervisión de la seguridad: - Las alertas deben ser sólidas: necesitamos tener señales y lógica para una variedad de comportamientos de atacantes diferentes. - Las alertas deben ser precisas: tenemos que generar alertas significativas para evitar distraer con contenido vago. - Las alertas deben ser rápidas: tenemos que detectar a los atacantes lo suficientemente rápido como para detenerlos

Microsoft 365 participa en la supervisión de seguridad continua de sus sistemas para detectar amenazas y responder a ellas a Microsoft 365 Services. La automatización, la escala y las soluciones basadas en la nube son pilares clave de nuestra estrategia de supervisión y respuesta. Para detectar y detener de forma eficaz los ataques a escala a algunos de los servicios principales de Microsoft 365, nuestros sistemas de supervisión deben generar automáticamente alertas muy precisas casi en tiempo real. Del mismo modo, cuando se detecta un problema, necesitamos la capacidad de mitigar el riesgo a escala; no podemos confiar en nuestro equipo para corregir manualmente los problemas equipo por equipo. Para mitigar los riesgos a escala, usamos herramientas basadas en la nube para aplicar contramedidas automáticamente y proporcionar a los ingenieros herramientas para aplicar mitigaciones aprobadas rápidamente en todo el entorno.

Los datos de registro que recopilamos habilitan la supervisión y las alertas de seguridad in 24/7. Nuestro sistema de alertas analiza los datos de registro a medida que se cargan, lo que genera alertas casi en tiempo real. Incluye alertas basadas en reglas y alertas más sofisticadas basadas en modelos de aprendizaje automático. Nuestra lógica de supervisión va más allá de los escenarios de ataque genéricos e incorpora un conocimiento profundo de la arquitectura y las operaciones del servicio. Usamos los datos de supervisión de seguridad para mejorar continuamente nuestros modelos para detectar nuevos tipos de ataques y mejorar la precisión de nuestra supervisión de seguridad.

Diagrama que muestra el flujo de datos a partir de la infraestructura de servicio al cargador de datos de Office, que luego se divide en cosmos y fluye entre cosmos y la canalización de supervisión de seguridad; Los datos de la canalización de supervisión de seguridad fluyen a continuación a los paneles de herramientas de análisis y a alertas y automatización.

Cuando es necesario realizar una acción en respuesta a una alerta o para investigar más a fondo la evidencia forense en todo el servicio, nuestras herramientas basadas en la nube nos permiten responder rápidamente en todo el entorno. Estas herramientas incluyen agentes inteligentes totalmente automatizados que responden a las amenazas detectadas con contramedidas de seguridad. En muchos casos, estos agentes implementan contramedidas automáticas para mitigar las detecciones de seguridad a escala sin intervención humana. Cuando esto no es posible, el sistema de supervisión de seguridad alerta automáticamente a los ingenieros de llamada adecuados, que están equipados con un conjunto de herramientas que les permiten actuar en tiempo real para mitigar las amenazas detectadas a escala. Los posibles incidentes detectados por la supervisión de seguridad se escalan al equipo de respuesta de seguridad de Microsoft 365 y se resuelven mediante el proceso de respuesta a incidentes de seguridad.

Supervisión del estado del servicio

Además de la supervisión de seguridad, los equipos de servicio analizan los datos de registro de sus propios servicios como parte de la supervisión del estado del servicio. La supervisión del estado del servicio ayuda a identificar posibles problemas relacionados con el rendimiento del sistema, la experiencia del usuario y las desviaciones del uso del servicio de línea base. Los problemas de estado del servicio que afectan a la disponibilidad se notifican a los ingenieros del equipo de servicio a través de alertas automatizadas. En muchos casos, nuestros servicios responden automáticamente a problemas de estado del servicio mediante medidas automatizadas de recuperación automática, como la restauración de datos dañados desde una zona de replicación o el escalado horizontal automático del servicio para controlar el aumento de las cargas.

Además de resolver problemas a corto plazo, los equipos de servicio usan los datos de tendencia de mantenimiento del servicio para planear la capacidad y otros objetivos estratégicos a largo plazo con el fin de mantener un servicio óptimo para nuestros clientes. Los equipos de servicio incorporan datos de rendimiento del servicio y de experiencia del usuario en el planeamiento de características para garantizar que nuestros servicios sigan cumpliendo las necesidades de los clientes.