Microsoft 365 로그 보호 및 보존에 대해 알아보기
Microsoft 365는 다양한 시스템 구성 요소를 포함하는 동적인 하이퍼 스케일 클라우드입니다. 환경에서 로그 데이터를 효과적으로 처리하고 수정으로부터 로그를 보호하기 위해 안전한 중앙 집중식 처리 및 저장소 서비스를 사용하여 로그 수집 및 분석을 수행합니다.
로그 집계
각 시스템에는 시스템 기준의 일부로 설치된 사용자 지정 로깅 에이전트인 ODL(Office Data Loader)이 포함됩니다. ODL은 Microsoft 365 보안 팀에서 정의한 중앙 로깅 정책을 적용하고 처리 및 스토리지를 위해 중앙 집중식 서비스에 로그 데이터를 업로드하는 작업을 담당합니다. ODL은 모든 최종 사용자 정보를 자동으로 스크러빙하고 몇 분마다 일괄 처리로 이벤트를 업로드하여 고객 데이터가 포함된 필드를 해시 값으로 제거하고 대체하도록 구성됩니다. 모든 로그 데이터 전송은 승인된 포트 및 프로토콜에서 FIPS 140-2 유효성이 검사된 TLS 암호화 연결을 통해 수행되어 전송 중인 로그 데이터를 보호합니다. 이전에 설명한 스크러빙을 제외하고 레코드 콘텐츠 및 시간 순서를 감사하기 위한 영구 또는 돌이킬 수 없는 변경은 금지됩니다. 로그 데이터는 거의 실시간 분석을 위해 독점 보안 모니터링 솔루션에 업로드되어 로그에서 잠재적인 보안 이벤트 및 성능 지표를 확인합니다. 로그는 장기 스토리지를 위해 빅 데이터 컴퓨팅 서비스(Azure Data Lake)에 업로드됩니다. 중앙 스토리지 서비스는 감사 로그에 감사 스토리지 공간을 동적으로 할당하여 스토리지 공간 부족으로 인해 데이터가 손실되지 않도록 합니다. 감사 처리 실패가 보고되고 적절하게 Microsoft 365 보안으로 에스컬레이션됩니다.
로그 보존
Microsoft 365는 보안 모범 사례 및 규정 준수 규정에 따라 감사 로그 데이터를 보존합니다. 대부분의 감사 로그 데이터는 인시던트 조사 및 규정 준수 요구 사항을 지원하기 위해 최소 90일 동안 보존됩니다. 서비스팀은 애플리케이션의 요구를 지원하기 위해 특정 유형의 로그 데이터에 대한 대체 보존 기간을 선택할 수 있습니다.
또한, Microsoft 365는 보안 인시던트 조사를 지원하고 규정 보존 요구 사항을 충족하기 위해 Cosmos라는 내부 데이터 저장소 및 컴퓨팅 서비스에 여러 유형의 감사 레코드를 1년 이상 보존합니다. 이 로그 데이터에 대한 액세스는 소수의 보안팀 담당자로 제한됩니다. Microsoft 365 로그 보존 및 백업 정책은 인시던트 조사, 규정 준수 보고 및 기타 비즈니스 요구 사항에 로그 데이터를 즉시 사용할 수 있도록 합니다.
액세스 제어
Microsoft는 Microsoft 365 내에서 발생하는 모든 위임, 권한 및 작업에 대한 광범위한 모니터링 및 감사를 수행합니다. Azure Data Lake에 저장된 Microsoft 365 로그 데이터에 대한 액세스는 권한 있는 담당자로 제한되며 보안 이벤트 분석을 위해 모든 액세스 제어 요청 및 승인이 캡처됩니다. Microsoft는 액세스 수준을 검토하여 비즈니스 근거를 승인하고 자격 요구 사항을 충족하는 사용자만 시스템에 액세스할 수 있는지 확인합니다. 허용된 모든 액세스는 고유한 사용자로 추적할 수 있습니다. 감사 로그 관리는 감사 기능을 담당하는 보안 팀 구성원의 제한된 하위 집합으로 제한되며, 관리자 권한은 유지되지 않습니다.