Microsoft 365 로그 수집 이해
감사 로그는 고객 테넌트와 내부 Microsoft 365 인프라를 유지 관리, 문제 해결 및 보호하는 데 중요합니다. Microsoft 365가 작동하는 규모로 인해 효율적이고 효과적인 모니터링을 보장하기 위해 감사 로그의 수집 및 처리를 전략적으로 관리해야 합니다. 로그가 정보 시스템의 상태 및 보안에 대한 풍부한 정보를 제공하므로 수집할 로그 데이터의 종류를 결정하는 것은 효과적인 모니터링에 매우 중요합니다. 그러나 효과적인 모니터링에는 로그 데이터의 영구 스트림에서 의미 있는 실행 가능한 신호를 검색하는 기능이 필요합니다. Microsoft 365에서는 시스템 구성 요소에서 기록해야 하는 이벤트 유형과 기록된 이벤트에 포함해야 하는 데이터를 명확하게 정의하여 이를 수행합니다.
감사 가능한 이벤트 정의
로그 데이터에서 의미 있는 신호를 식별하려면 시스템 구성 요소 전체에서 이벤트를 일관되게 감사하는 것이 중요합니다. Microsoft 365 보안 팀은 보안 모니터링 및 인시던트 대응에 관심 있는 이벤트와 서비스 상태를 지원하고 시스템 문제를 식별하는 진단 이벤트를 포함하여 Microsoft 365에서 수집해야 하는 기준 로그를 정의할 책임이 있습니다. 감사 가능한 이벤트 및 관련 데이터 목록은 지속적인 위험 평가, Microsoft 365 보안 표준, 비즈니스 요구 사항 및 규정 준수 요구 사항을 통해 알 수 있습니다. Microsoft 365 보안 팀에서 정의한 감사 이벤트 목록 외에도 서비스 팀은 서비스에 대한 추가 로깅 요구 사항을 정의할 수 있습니다.
감사 가능한 이벤트 목록에는 보안 및 애플리케이션 로그의 운영 체제 이벤트, 호스트 기반 침입 탐지 시스템, 액세스 제어와 관련된 이벤트가 포함됩니다. 예를 들어 Microsoft 365 서비스는 권한 있는 액세스를 감사하는 데 필요합니다. Microsoft 365 프로덕션 환경의 권한 있는 액세스는 Lockbox 및 고객 Lockbox에서 관리하여 ZSA(제로 대기 액세스)를 적용합니다. 모든 JIT(Just-In-Time) 액세스 요청은 Lockbox 및 고객 Lockbox를 통해 기록됩니다. 또한 서비스 팀 엔지니어가 임시 JIT 액세스를 사용하여 실행한 권한 있는 명령이 기록되고 중앙 집중식 로깅 및 보고를 통해 제공됩니다. 이러한 액세스 제어 이벤트는 보안 모니터링 및 인시던트 조사를 위한 중요한 데이터를 제공합니다. 또한 고객의 테넌트와 관련하여 Microsoft 직원이 수행한 Customer Lockbox 작업에 대한 감사 가능한 기록을 고객에게 제공합니다.
Microsoft 365 보안 팀은 새로운 위협, 시스템 변경, 과거 인시던트에서 얻은 교훈 및 변화하는 규정 준수 요구 사항을 설명하기 위해 감사 가능한 이벤트 목록을 검토하고 업데이트합니다. 최소한 이 검토는 매년 이루어지며, 서비스 수준 감사 가능 이벤트는 시스템을 크게 변경할 때마다 검토 및 업데이트됩니다. 애플리케이션별 이벤트는 서비스 검토 및 기능 이정표의 계획 단계 중에 검토 및 업데이트됩니다. Microsoft 365 보안 팀은 또한 이러한 개별 서비스 팀이 특정 요구 사항을 충족하도록 감사 기능을 안내하는 데 도움을 줍니다. Microsoft의 규모로 인해 캡처된 데이터의 양은 저장 및 처리 기능과 균형을 이겨야 합니다. Microsoft는 수집된 로그 데이터의 종류를 선택적으로 사용하여 정보 시스템의 상태 및 보안을 효율적이고 효과적인 방식으로 유지할 수 있습니다. 따라서 Microsoft 365 서비스의 로깅 요구 사항에는 각 시스템 구성 요소에서 캡처해야 하는 이벤트와 기록된 각 이벤트에 포함되어야 하는 데이터가 포함됩니다. Microsoft는 감사 가능한 이벤트 목록을 지속적으로 검토하고 업데이트하여 보안 위협을 감지 및 대응하고, 고객에게 최적의 서비스를 제공하고, 규정 준수 요구 사항을 충족하는 데 필요한 데이터를 사용할 수 있습니다.
이벤트 콘텐츠
우리가 수집하는 이벤트 유형만큼 중요한 것은 이벤트에 포함된 데이터입니다. 로깅된 이벤트에는 정확한 모니터링과 효과적인 인시던트 조사를 지원하기에 충분한 정보가 있어야 합니다. Microsoft 365 Security에서는 이벤트의 원본 및 결과와 함께 발생한 이벤트 유형을 결정하는 데 충분한 정보가 포함된 로그 항목이 필요합니다. 적절한 시간 순서를 설정하려면 모든 이벤트에 UTC(협정 세계시)에 따라 타임스탬프가 지정되어야 합니다. 또한 이벤트 로그는 이벤트가 발생한 위치, 이벤트와 관련된 사용자 또는 시스템 호스트, 이벤트 유형과 관련된 기타 세부 정보를 기록해야 합니다. 예를 들어, 네트워크 이벤트에 대한 이벤트별 세부 정보에는 원본 및 대상 호스트 이름과 함께 사용된 네트워크 주소 및 프로토콜이 포함될 수 있습니다. 이벤트 콘텐츠 요구 사항을 표준화하면 로그가 의도한 목적에 필요한 수준의 세부 정보를 제공할 수 있습니다.
로깅 정책 시행
Microsoft 365는 배포 프로세스의 일부로 컴퓨터 수준에서 로깅 요구 사항을 적용합니다. 기준 이미지에는 ODL(Office Data Loader)이라는 사용자 지정 로깅 에이전트가 포함됩니다. ODL은 Microsoft 365 Security에서 정의한 이벤트를 수집하고 이러한 이벤트를 처리 및 저장을 위해 중앙 집중식 서비스로 보내도록 구성됩니다. 로그 데이터는 전송 중 암호화되고 중앙 로그 저장소 서비스에 업로드되기 전에 최종 사용자 정보를 위해 스크러빙됩니다.