En savoir plus sur la protection et la rétention d’enregistrement de Microsoft 365
Microsoft 365 est un cloud dynamique et à très grande échelle comprenant de nombreux composants système. Pour traiter efficacement les données de journal de notre environnement et protéger les journaux contre toute modification, nous effectuons une collecte et une analyse de journal à l’aide de traitement sécurisés et centralisés et de services de stockage.
Agrégation de journal
Chaque système inclut un agent de journalisation personnalisé, Office Data Loader (ODL), qui est installé dans le cadre de la base de référence du système. ODL est responsable de l’application des stratégies de journalisation centralisées définies par l’équipe de sécurité Microsoft 365 et du chargement des données de journal dans des services centralisés à des fins de traitement et de stockage. ODL est configuré pour nettoyer automatiquement toutes les informations de l’utilisateur final et charger des événements par lots toutes les quelques minutes, en supprimant et en remplaçant les champs qui contiennent des données client par une valeur de hachage. Tous les transferts de données de journal se produisent via une connexion chiffrée TLS validée par FIPS 140-2 sur les ports et protocoles approuvés pour protéger les données de journal en transit. Les modifications permanentes ou irréversibles apportées au contenu des enregistrements d’audit et à l’ordre du temps, à l’exception du nettoyage décrit précédemment, sont interdites. Les données de journal sont chargées dans une solution de surveillance de la sécurité propriétaire à des fins d’analyse en quasi-temps réel, en vérifiant les journaux d’activité pour les événements de sécurité potentiels et les indicateurs de performances. Les journaux sont également chargés dans un service de calcul Big Data (Azure Data Lake) pour le stockage à long terme. Le service de stockage central alloue dynamiquement de l’espace de stockage d’audit pour les journaux d’audit, ce qui garantit qu’aucune donnée n’est perdue en raison d’un manque d’espace de stockage. Tous les échecs de traitement de l’audit sont signalés et remontés à Sécurité Microsoft 365, le cas échéant.
Rétention de journal
Microsoft 365 conserve les données du journal d’audit conformément aux meilleures pratiques en matière de sécurité et aux réglementations en matière de conformité. La plupart des types de données de journal d’audit sont conservés pendant une période minimale de 90 jours pour prendre en charge les examens d’incidents et les exigences de conformité requises. Les équipes du service peuvent sélectionner d’autres périodes de rétention pour des types de données de journal spécifiques afin de prendre en charge les besoins de leurs applications.
En outre, Microsoft 365 retient plusieurs types d’enregistrements d’audit dans un stockage interne de données et un service informatique appelé Cosmos pendant au moins un an pour prendre en charge les enquêtes sur des incidents de sécurité et de répondre aux exigences réglementaires en matière de rétention. L’accès à ces données de journal est limité à un petit nombre de membres de l’équipe chargée de la sécurité. Les stratégies de rétention et de sauvegarde de journal Microsoft 365 garantissent la disponibilité des données de journalisation pour les examens d’incident, les rapports de conformité et les autres besoins de l’entreprise.
Contrôle d’accès
Microsoft effectue une surveillance et un audit complets de toutes les délégations, privilèges et opérations qui se produisent dans Microsoft 365. L’accès aux données de journal Microsoft 365 stockées dans Azure Data Lake est limité au personnel autorisé, et toutes les demandes et approbations de contrôle d’accès sont capturées pour l’analyse des événements de sécurité. Microsoft examine les niveaux d’accès pour s’assurer que ses systèmes ne sont accessibles qu’aux utilisateurs disposant de justifications professionnelles autorisées et qui répondent aux conditions d’éligibilité. Tout accès autorisé est traçable à un utilisateur unique. La gestion des journaux d’audit est limitée à un sous-ensemble limité de membres de l’équipe de sécurité responsables de la fonctionnalité d’audit, qui n’ont pas d’accès administratif permanent.