감사 로깅 및 모니터링 개요

Microsoft 온라인 서비스 감사 로깅을 어떻게 사용합니까?

Microsoft 온라인 서비스 감사 로깅을 사용하여 무단 활동을 감지하고 Microsoft 담당자에 대한 책임을 제공합니다. 감사 로그는 시스템 구성 변경 및 액세스 이벤트에 대한 세부 정보를 캡처하며, 활동을 담당한 사람, 활동이 발생한 시기 및 위치 및 활동의 결과를 식별하는 세부 정보를 제공합니다. 자동화된 로그 분석은 의심스러운 동작을 거의 실시간으로 검색할 수 있습니다. 잠재적 인시던트가 추가 조사를 위해 적절한 Microsoft 보안 대응 팀으로 에스컬레이션됩니다.

Microsoft 온라인 서비스 내부 감사 로깅은 다음과 같은 다양한 원본에서 로그 데이터를 캡처합니다.

  • 이벤트 로그
  • AppLocker 로그
  • 성능 데이터
  • System Center 데이터
  • 호출 세부 정보 레코드
  • 환경 데이터 품질
  • IIS 웹 서버 로그
  • 로그 SQL Server
  • Syslog 데이터
  • 보안 감사 로그

Microsoft 온라인 서비스 감사 로그를 중앙 집중화하고 보고하려면 어떻게 해야 할까요?

Microsoft 서버에서 NRT(거의 실시간) 분석을 위한 독점 보안 모니터링 솔루션 및 장기 스토리지를 위한 Cosmos(내부 빅 데이터 컴퓨팅 서비스) 또는 Kusto(Azure Data Explorer)로 다양한 유형의 로그 데이터가 업로드됩니다. 이 데이터 전송은 자동화된 로그 관리 도구를 사용하여 승인된 포트 및 프로토콜에서 FIPS 140-2 유효성이 검사된 TLS 연결을 통해 발생합니다.

로그는 규칙 기반, 통계 및 기계 학습 방법을 사용하여 NRT에서 처리되어 시스템 성능 지표 및 잠재적 보안 이벤트를 검색합니다. 기계 학습 모델은 들어오는 로그 데이터와 Cosmos 또는 Kusto에 저장된 기록 로그 데이터를 사용하여 검색 기능을 지속적으로 개선합니다. 보안 관련 검색은 경고를 생성하여 호출 중인 엔지니어에게 잠재적인 인시던트에 대해 알리고 해당하는 경우 자동화된 수정 작업을 트리거합니다. 서비스 팀은 자동화된 보안 모니터링 외에도 데이터 상관 관계, 대화형 쿼리 및 데이터 분석을 위해 분석 도구 및 대시보드를 사용합니다. 이러한 보고서는 서비스의 전반적인 성능을 모니터링하고 개선하는 데 사용됩니다.

감사 데이터 흐름.

Microsoft 온라인 서비스 감사 로그를 보호하려면 어떻게 해야 할까요?

Microsoft 온라인 서비스 감사 레코드를 수집하고 처리하는 데 사용되는 도구는 원래 감사 레코드 콘텐츠 또는 시간 순서를 영구하거나 되돌릴 수 없는 변경을 허용하지 않습니다. Cosmos 또는 Kusto에 저장된 Microsoft 온라인 서비스 데이터에 대한 액세스는 권한 있는 직원으로 제한됩니다. 또한 Microsoft는 감사 기능을 담당하는 보안 팀 구성원의 제한된 하위 집합으로 감사 로그 관리를 제한합니다. 보안 팀 직원은 Cosmos 또는 Kusto에 대한 관리 액세스 권한이 없습니다. 관리 액세스에는 JIT(Just-In-Time) 액세스 승인이 필요하며 Cosmos에 대한 로깅 메커니즘에 대한 모든 변경 내용이 기록 및 감사됩니다. 감사 로그는 인시던트 조사를 지원하고 규정 요구 사항을 충족할 수 있을 만큼 오래 유지됩니다. 서비스 팀에서 결정한 감사 로그 데이터 보존의 정확한 기간입니다. 대부분의 감사 로그 데이터는 Cosmos에서 90일, Kusto에서 180일 동안 보존됩니다.

Microsoft 온라인 서비스 감사 로그에 캡처될 수 있는 사용자 개인 데이터를 보호하려면 어떻게 해야 할까요?

로그 데이터를 업로드하기 전에 자동화된 로그 관리 애플리케이션은 스크러빙 서비스를 사용하여 테넌트 정보 및 사용자 개인 데이터와 같은 고객 데이터가 포함된 필드를 제거하고 해당 필드를 해시 값으로 대체합니다. 익명화 및 해시된 로그를 다시 작성한 다음 Cosmos에 업로드합니다. 모든 로그 전송은 TLS 암호화 연결(FIPS 140-2)을 통해 발생합니다.

보안을 모니터링하기 위한 Microsoft의 전략은 무엇인가요?

Microsoft는 Microsoft 온라인 서비스 대한 위협을 감지하고 대응하기 위해 시스템의 지속적인 보안 모니터링에 참여하고 있습니다. 보안 모니터링 및 경고의 주요 원칙은 다음과 같습니다.

  • 견고성: 다양한 공격 동작을 감지하는 신호 및 논리
  • 정확도: 노이즈로 인한 방해를 방지하기 위한 의미 있는 경고
  • 속도: 공격자를 막을 수 있을 만큼 빠르게 공격자를 잡을 수 있는 능력

자동화, 규모 및 클라우드 기반 솔루션은 모니터링 및 대응 전략의 핵심 요소입니다. Microsoft 온라인 서비스 규모로 공격을 효과적으로 방지하려면 모니터링 시스템이 거의 실시간으로 매우 정확한 경고를 자동으로 발생시켜야 합니다. 마찬가지로 문제가 감지되면 대규모로 위험을 완화할 수 있는 기능이 필요하며, 머신별 문제를 수동으로 해결하기 위해 팀에 의존할 수 없습니다. 대규모 위험을 완화하기 위해 클라우드 기반 도구를 사용하여 자동으로 대책을 적용하고 엔지니어에게 승인된 완화 작업을 환경 전체에 신속하게 적용할 수 있는 도구를 제공합니다.

Microsoft 온라인 서비스 보안 모니터링을 어떻게 수행합니까?

Microsoft 온라인 서비스 중앙 집중식 로깅을 사용하여 보안 인시던트일 수 있는 활동에 대한 로그 이벤트를 수집하고 분석합니다. 중앙 집중식 로깅 도구는 이벤트 로그, 애플리케이션 로그, 액세스 제어 로그 및 네트워크 기반 침입 탐지 시스템을 포함한 모든 시스템 구성 요소의 로그를 집계합니다. 서버 로깅 및 애플리케이션 수준 데이터 외에도 핵심 인프라에는 자세한 원격 분석을 생성하고 호스트 기반 침입 검색을 제공하는 사용자 지정된 보안 에이전트가 장착되어 있습니다. Microsoft는 이 원격 분석을 모니터링 및 포렌식에 사용합니다.

수집한 로깅 및 원격 분석 데이터를 사용하면 24/7 보안 경고를 사용할 수 있습니다. 당사의 경고 시스템은 업로드되는 로그 데이터를 분석하여 거의 실시간으로 경고를 생성합니다. 여기에는 규칙 기반 경고와 기계 학습 모델을 기반으로 하는 보다 정교한 경고가 포함됩니다. Microsoft의 모니터링 로직은 일반적인 공격 시나리오를 넘어 서비스 아키텍처 및 운영에 대한 깊은 인식을 통합합니다. 보안 모니터링 데이터를 분석하여 모델을 지속적으로 개선하여 새로운 종류의 공격을 감지하고 보안 모니터링의 정확도를 개선합니다.

Microsoft 온라인 서비스 보안 모니터링 경고에 어떻게 대응합니까?

경고를 트리거하는 보안 이벤트에 응답 작업이 필요하거나 서비스 전체에서 포렌식 증거를 추가로 조사해야 하는 경우 클라우드 기반 도구를 통해 환경 전체에서 신속한 대응을 수행할 수 있습니다. 이러한 도구에는 보안 대책으로 탐지된 위협에 대응하는 완전 자동화된 지능형 에이전트가 포함됩니다. 많은 경우 이러한 에이전트는 자동 대응책을 배포하여 사람의 개입 없이 대규모로 보안 탐지를 완화합니다. 이 응답이 불가능한 경우 보안 모니터링 시스템은 검색된 위협을 대규모로 완화하기 위해 실시간으로 작동할 수 있는 도구 집합을 갖춘 적절한 통화 중인 엔지니어에게 자동으로 경고합니다. 잠재적 인시던트가 적절한 Microsoft 보안 대응 팀으로 에스컬레이션되고 보안 인시던트 대응 프로세스를 사용하여 해결됩니다.

Microsoft 온라인 서비스 시스템 가용성을 모니터링하려면 어떻게 해야 할까요?

Microsoft는 리소스 과잉 사용률 및 비정상적인 사용에 대한 지표를 위해 시스템을 적극적으로 모니터링합니다. 리소스 모니터링은 예기치 않은 가동 중지 시간을 방지하고 고객에게 제품 및 서비스에 대한 신뢰할 수 있는 액세스를 제공하기 위해 서비스 중복으로 보완됩니다. Microsoft 온라인 서비스 상태 문제는 SHD(서비스 상태 대시보드)를 통해 고객에게 즉시 전달됩니다.

Azure 및 Dynamics 365 온라인 서비스 여러 인프라 서비스를 활용하여 보안 및 상태 가용성을 모니터링합니다. STX(가상 트랜잭션) 테스트를 구현하면 Azure 및 Dynamics 서비스가 서비스의 가용성을 검사 수 있습니다. STX 프레임워크는 실행 중인 서비스에서 구성 요소의 자동화된 테스트를 지원하도록 설계되었으며 라이브 사이트 오류 경고에서 테스트됩니다. 또한 ASM(Azure Security Monitoring) 서비스는 새로운 서비스와 실행 중인 서비스에서 보안 경고가 예상대로 작동하는지 확인하기 위해 중앙 집중식 가상 테스트 절차를 구현했습니다.

Microsoft의 온라인 서비스 외부 규정 및 인증 준수에 대해 정기적으로 감사됩니다. 감사 로깅 및 모니터링과 관련된 컨트롤의 유효성 검사는 다음 표를 참조하세요.

Azure 및 Dynamics 365

외부 감사 섹션 최신 보고서 날짜
ISO 27001/27002

적용 가능성 설명
인증서
A.12.1.3: 가용성 모니터링 및 용량 계획
A.12.4: 로깅 및 모니터링
2023년 11월 6일
ISO 27017

적용 가능성 설명
인증서
A.12.1.3: 가용성 모니터링 및 용량 계획
A.12.4: 로깅 및 모니터링
A.16.1: 정보 보안 인시던트 및 개선 사항 관리
2023년 11월 6일
ISO 27018

적용 가능성 설명
인증서
A.12.4: 로깅 및 모니터링 2023년 11월 6일
SOC 1 IM-1: 인시던트 관리 프레임워크
IM-2: 인시던트 검색 구성
IM-3: 인시던트 관리 절차
IM-4: 인시던트 사후 평가
VM-1: 보안 이벤트 로깅 및 컬렉션
VM-12: Azure 서비스 가용성 모니터링
VM-4: 악의적인 이벤트 조사
VM-6: 보안 취약성 모니터링
2023년 11월 17일
SOC 2
SOC 3
C5-6: 로그에 대한 제한된 액세스
IM-1: 인시던트 관리 프레임워크
IM-2: 인시던트 검색 구성
IM-3: 인시던트 관리 절차
IM-4: 인시던트 사후 평가
PI-2: Azure Portal SLA 성능 검토
VM-1: 보안 이벤트 로깅 및 컬렉션
VM-12: Azure 서비스 가용성 모니터링
VM-4: 악의적인 이벤트 조사
VM-6: 보안 취약성 모니터링VM
2023년 11월 17일

Microsoft 365

외부 감사 섹션 최신 보고서 날짜
FedRAMP(Office 365) AC-2: 계정 관리
AC-17: 원격 액세스
AU-2: 감사 이벤트
AU-3: 감사 레코드의 콘텐츠
AU-4: 스토리지 용량 감사
AU-5: 감사 처리 실패에 대한 응답
AU-6: 감사 검토, 분석 및 보고
AU-7: 감사 감소 및 보고서 생성
AU-8: 타임스탬프를 입력합니다.
AU-9: 감사 정보 보호
AU-10: 부인하지 않음
AU-11: 레코드 보존 감사
AU-12: 감사 생성
SI-4: 정보 시스템 모니터링
SI-7: 소프트웨어, 펌웨어 및 정보 무결성
2023년 7월 31일
ISO 27001/27002/27017

적용 가능성 설명
인증(27001/27002)
인증(27017)
A.12.3: 가용성 모니터링 및 용량 계획
A.12.4: 로깅 및 모니터링
2023년 3월
SOC 1
SOC 2
CA-19: 모니터링 변경
CA-26: 보안 인시던트 보고
CA-29: 온-콜 엔지니어
CA-30: 가용성 모니터링
CA-48: 데이터 센터 로깅
CA-60: 감사 로깅
2024년 1월 23일
SOC 3 CUEC-08: 인시던트 보고
CUEC-10: 서비스 계약
2024년 1월 23일

리소스