Collecte des journaux d’audit Microsoft 365
Les journaux d’audit jouent un rôle important dans la maintenance, la résolution des problèmes et la protection des locataires clients et de l’infrastructure Microsoft 365 interne. En raison de l’échelle à laquelle Microsoft 365 fonctionne, la collecte et le traitement des journaux d’audit doivent être gérés de manière stratégique pour garantir une surveillance efficace et efficace.
Cet article fournit une vue d’ensemble des pratiques de journalisation d’audit de Microsoft 365, notamment les types d’événements capturés, les informations contenues dans chaque journal, la façon dont les stratégies de journalisation sont appliquées et la façon dont les données de journal sont protégées à toutes les étapes de leur cycle de vie.
Définir des événements auditables
L’équipe de sécurité Microsoft 365 est chargée de définir les journaux de base qui doivent être collectés dans Microsoft 365. Ils conservent une liste officielle des types d’événements que chaque système doit capturer, ainsi que les données que chaque événement journalisé doit contenir.
Microsoft 365 capture les données de journal à partir de différentes sources, notamment :
- Journaux d’événements
- Journaux AppLocker
- Données de performances
- Données System Center
- Enregistrements de détails des appels
- Qualité des données d’expérience
- Journaux du serveur web IIS
- Journaux SQL Server
- Données Syslog
- Journaux d’audit de sécurité
Chacun des journaux de cette liste doit contenir au moins les informations suivantes pour établir le type d’événement, la source, l’emplacement, le résultat, l’heure et l’entité associés :
- ID utilisateur source
- ID d’utilisateur cible : le cas échéant pour le type d’événement
- Horodatage de l’événement (date et heure)
- Détails de l'événement
- Type
- Résultat (réussite/échec)
- Informations détaillées : définies par type d’événement
- Nom d’hôte source & cible : le cas échéant pour le type d’événement
- Protocoles et adresses réseau sources & cibles , selon leur pertinence/leur pertinence pour le type d’événement
La liste des événements pouvant être audités et des données associées est informée par les évaluations des risques en cours, les normes de sécurité Microsoft 365, les exigences métier et les exigences de conformité. L’équipe de sécurité Microsoft 365 examine et met à jour la liste des événements pouvant être audités afin de tenir compte de nouvelles menaces, de modifications système, de leçons tirées des incidents passés et de modifications des exigences de conformité.
Les équipes de service peuvent définir des exigences de journalisation supplémentaires pour leur service en plus de la liste des événements pouvant être audité définies par l’équipe de sécurité Microsoft 365. Les événements spécifiques aux applications sont examinés et mis à jour lors de la révision des services et des phases de planification des jalons de fonctionnalité. L’équipe de sécurité Microsoft 365 aide également à guider ces équipes de service individuelles sur les fonctions d’audit pour répondre à leurs besoins spécifiques. Les événements auditables au niveau du service sont examinés et mis à jour chaque fois qu’une modification significative du système est apportée.
En raison de l’échelle de Microsoft, la quantité de données capturées doit être équilibrée avec la possibilité de les stocker et de les traiter. La collecte d’informations sur chaque événement possible et son contenu ne serait pas pratique du point de vue des ressources et de l’analytique. En étant sélectif avec les types de données de journal collectées, Microsoft peut maintenir l’intégrité et la sécurité de ses systèmes d’information de manière efficace et efficace.
Gestion centralisée
Microsoft 365 applique les exigences de journalisation de manière centralisée via les stratégies définies par l’équipe de sécurité Microsoft 365. Chaque système Microsoft 365 doit inclure un agent de journalisation personnalisé, Office Data Loader (ODL), qui est installé dans le cadre de la base de référence système. ODL applique des stratégies de journalisation centralisées et est configuré pour collecter et envoyer les événements définis par Microsoft 365 Security aux services centralisés à des fins de traitement et de stockage.
ODL est configuré pour nettoyer automatiquement toutes les informations de l’utilisateur final et charger les événements par lots toutes les cinq minutes. Tous les champs qui contiennent des données client, telles que les informations sur le locataire et les informations d’identification de l’utilisateur final, sont supprimés et remplacés par une valeur de hachage. Les modifications permanentes ou irréversibles apportées à l’audit du contenu des enregistrements et à l’ordre du temps, à l’exception du nettoyage décrit précédemment, sont interdites.
Les données de journal sont chargées dans une solution de surveillance de la sécurité propriétaire pour l’analyse en quasi-temps réel (NRT), en vérifiant les journaux d’activité pour les événements de sécurité potentiels et les indicateurs de performance. Les journaux sont également chargés vers un service de calcul Big Data interne (Azure Data Lake) pour le stockage à long terme. Tous les transferts de données de journal se produisent via une connexion TLS validée par FIPS 140-2 pour garantir la confidentialité des données pendant le transit.
La plupart des données de journal d’audit stockées dans Azure Data Lake sont conservées pendant au moins un an pour prendre en charge les enquêtes sur les incidents de sécurité et répondre aux exigences de conservation réglementaires. Les équipes de service peuvent sélectionner d’autres périodes de rétention de 90 jours ou plus pour des types spécifiques de données de journal afin de répondre aux besoins de leurs applications. Les stratégies de rétention et de sauvegarde de journal Microsoft 365 garantissent la disponibilité des données de journalisation pour les examens d’incident, les rapports de conformité et les autres besoins de l’entreprise.
Contrôle d’accès
Microsoft effectue une surveillance et un audit complets de toutes les délégations, privilèges et opérations qui se produisent dans Microsoft 365. L’accès aux données Microsoft 365 stockées dans Azure Data Lake est limité au personnel autorisé, et toutes les demandes et approbations de contrôle d’accès sont capturées pour l’analyse des événements de sécurité. Microsoft examine les niveaux d’accès en quasi-temps réel pour s’assurer que ses systèmes sont accessibles uniquement aux utilisateurs qui ont des justifications professionnelles autorisées et qui répondent aux conditions d’éligibilité. Tout accès autorisé est traçable à un utilisateur unique.
Microsoft limite la gestion des journaux d’audit à un sous-ensemble limité de membres de l’équipe de sécurité responsables de la fonctionnalité d’audit. La philosophie du contrôle d’accès interne de Microsoft s’articule autour des principes juste-à-temps (JIT) et Juste-assez-accès (JEA). Par conséquent, l’équipe de sécurité ne dispose pas d’un accès administratif permanent à Azure Data Lake, et toutes les modifications sont enregistrées et auditées.