Explorer l’analyse des journaux et la création de rapports dans Microsoft 365

  • 6 minutes

Quelle que soit la nature des données de journal collectées par un système, la journalisation d’audit est uniquement utile si elle peut être utilisée pour générer des alertes pertinentes et des rapports exploitables. Microsoft 365 utilise des systèmes automatisés qui analysent les données de journal en temps quasi réel pour prendre en charge la surveillance de l’état du service et de la sécurité.

Surveillance de la sécurité et réponse à l’échelle

Principes de surveillance de la sécurité : – Les alertes doivent être robustes : nous devons avoir des signaux et une logique pour différents comportements d’attaquant. – Les alertes doivent être précises : nous devons déclencher des alertes significatives afin d’éviter les distractions dues au bruit. – Les alertes doivent être rapides : nous devons intercepter les attaquants suffisamment rapidement pour les arrêter

Microsoft 365 est engagé dans la surveillance continue de la sécurité de ses systèmes pour détecter les menaces contre les services Microsoft 365 et y répondre. L’automatisation, l’évolutivité et les solutions basées sur le cloud constituent les piliers de notre stratégie de surveillance et de réponse. Pour que nous puissions intercepter et arrêter efficacement les attaques au niveau de certains des services principaux Microsoft 365, nos systèmes de surveillance doivent déclencher automatiquement des alertes extrêmement précises en quasi temps réel. De même, lorsqu’un problème est détecté, nous devons être en mesure de limiter les risques à grande échelle ; nous ne pouvons pas compter sur notre équipe pour résoudre manuellement tous les problèmes de chaque ordinateur. Pour limiter les risques à grande échelle, nous utilisons des outils basés sur le cloud afin d’appliquer automatiquement des contre-mesures et d’offrir aux ingénieurs des outils qui permettent d’appliquer rapidement des mesures d’atténuation approuvées au sein de l’environnement.

Les données de journalisation que nous collectons permettent de générer une surveillance de sécurité et des alertes, 24 h/24, 7 j/7. Notre système d’alertes analyse les données de journal à mesure qu’elles sont chargées, générant des alertes en temps quasi réel. Il s’agit notamment d’alertes basées sur des règles et d’alertes plus sophistiquées basées sur les modèles d’apprentissage automatique. Nos logiques de surveillance vont au-delà des scénarios d’attaques génériques et intègrent une connaissance approfondie de l’architecture des services et de leurs activités. Nous utilisons les données de surveillance de la sécurité pour améliorer continuellement nos modèles afin de détecter d’autres types d’attaques et d’améliorer la précision de notre surveillance.

Diagramme montrant le flux de données commençant de l’infrastructure du service au chargeur de données de bureau, qui se divise et circule ensuite entre Cosmos et le pipeline de surveillance de la sécurité. Les données du pipeline de surveillance de la sécurité circulent ensuite vers les tableaux de bord des outils d’analyse et vers l’alerte et l’automatisation.

Lorsque nous devons effectuer une action en réponse à une alerte ou pour étudier de façon plus approfondie des preuves sur l’ensemble du service, nos outils basés sur le cloud nous permettent une réponse rapide dans tout l’environnement. Ces outils incluent des agents entièrement automatisés et intelligents qui répondent aux menaces détectées à l’aide de contre-mesures de sécurité. Dans de nombreux cas, ces agents déploient des contre-mesures automatiques afin d’atténuer les détections de sécurité à grande échelle sans intervention humaine. Lorsque ce n’est pas possible, le système de surveillance de la sécurité avertit automatiquement les techniciens concernés qui disposent d’un groupe d’outils qui leur permettent d’agir en temps réel afin d’atténuer les menaces détectées à grande échelle. Les incidents potentiels détectés par la surveillance de la sécurité sont escaladés à l’équipe de sécurité Microsoft 365 et résolus à l’aide du processus de réponse aux incidents de sécurité.

Surveillance de l'état du service

Outre la surveillance de la sécurité, les équipes de service analysent les données du journal pour leurs propres services dans le cadre de la surveillance de l’état du service. La surveillance de l’état du service permet d’identifier les problèmes potentiels relatifs aux performances du système, à l’expérience utilisateur et aux variations par rapport à l’utilisation de référence du service. Les problèmes d’état du service affectant la disponibilité sont signalés aux ingénieurs de service par le biais d’alertes automatisées. Dans de nombreux cas, nos services répondent automatiquement aux problèmes d’état du service à l’aide de mesures de réparation spontanées automatiques, telles que la restauration de données endommagées depuis une zone de réplication ou la mise à l’échelle automatique du service pour gérer des chargements croissants.

En plus de résoudre les problèmes à court terme, les équipes de service utilisent les données de tendances d’état du service pour la planification de la capacité et d’autres objectifs stratégiques à long terme dans le but de maintenir un service optimal pour nos clients. Les équipes de service intègrent des données sur les performances du service et l’expérience utilisateur dans la planification des fonctionnalités pour vérifier que nos services répondent aux besoins des clients.