다음을 통해 공유

Microsoft 365 감사 로그 수집

  • 아티클

감사 로그는 고객 테넌트와 내부 Microsoft 365 인프라를 유지 관리, 문제 해결 및 보호하는 데 중요한 역할을 합니다. Microsoft 365가 작동하는 규모로 인해 효율적이고 효과적인 모니터링을 보장하기 위해 감사 로그의 수집 및 처리를 전략적으로 관리해야 합니다.

이 문서에서는 캡처되는 이벤트 유형, 각 로그에 포함된 정보, 로깅 정책이 적용되는 방법 및 수명 주기의 모든 단계에서 로그 데이터를 보호하는 방법을 포함하여 Microsoft 365의 감사 로깅 방법에 대한 개요를 제공합니다.

감사 가능한 이벤트 정의

Microsoft 365 보안 팀은 Microsoft 365에서 수집해야 하는 기준 로그를 정의해야 합니다. 각 시스템에서 캡처해야 하는 이벤트 형식의 공식 목록과 기록된 각 이벤트에 포함되어야 하는 데이터를 유지 관리합니다.

Microsoft 365는 다음을 비롯한 다양한 원본에서 로그 데이터를 캡처합니다.

  • 이벤트 로그
  • AppLocker 로그
  • 성능 데이터
  • System Center 데이터
  • 호출 세부 정보 레코드
  • 환경 데이터 품질
  • IIS 웹 서버 로그
  • SQL Server 로그
  • Syslog 데이터
  • 보안 감사 로그

이 목록의 각 로그에는 이벤트 유형, 원본, 위치, 결과, 시간 및 엔터티를 설정하려면 적어도 다음 정보가 포함되어야 합니다.

  • 원본 사용자 ID
  • 대상 사용자 ID – 이벤트 유형에 대한 관련/적절
  • 이벤트 타임스탬프(날짜 및 시간)
  • 이벤트 세부 정보
    • 유형
    • 결과(성공/실패)
    • 세부 정보 – 이벤트 유형별로 정의됨
  • 원본 & 대상 호스트 이름 – 이벤트 유형과 관련/적절합니다.
  • 원본 & 대상 네트워크 주소 및 프로토콜 – 이벤트 유형과 관련/적절한 경우

감사 가능한 이벤트 및 관련 데이터 목록은 지속적인 위험 평가, Microsoft 365 보안 표준, 비즈니스 요구 사항 및 규정 준수 요구 사항을 통해 알 수 있습니다. Microsoft 365 보안 팀은 새로운 위협, 시스템 변경, 과거 인시던트에서 얻은 교훈 및 변화하는 규정 준수 요구 사항을 설명하기 위해 감사 가능한 이벤트 목록을 검토하고 업데이트합니다.

서비스 팀은 Microsoft 365 보안 팀에서 정의한 감사 가능 이벤트 목록 외에도 서비스에 대한 추가 로깅 요구 사항을 정의할 수 있습니다. 애플리케이션별 이벤트는 서비스 검토 및 기능 이정표의 계획 단계 중에 검토 및 업데이트됩니다. Microsoft 365 보안 팀은 또한 이러한 개별 서비스 팀이 특정 요구 사항을 충족하도록 감사 기능을 안내하는 데 도움을 줍니다. 서비스 수준 감사 가능 이벤트는 시스템을 크게 변경할 때마다 검토 및 업데이트됩니다.

Microsoft의 규모로 인해 캡처된 데이터의 양은 저장 및 처리 기능과 균형을 이겨야 합니다. 가능한 모든 이벤트와 그 안에 있는 내용에 대한 정보를 수집하는 것은 리소스와 분석적 관점에서 비실용적입니다. Microsoft는 수집된 로그 데이터의 종류를 선택적으로 사용하여 정보 시스템의 상태 및 보안을 효율적이고 효과적인 방식으로 유지할 수 있습니다.

중앙 집중식 관리

Microsoft 365는 Microsoft 365 보안 팀에서 설정한 정책을 통해 로깅 요구 사항을 중앙에서 적용합니다. 각 Microsoft 365 시스템에는 시스템 기준의 일부로 설치된 사용자 지정 로깅 에이전트인 ODL(Office Data Loader)이 포함되어야 합니다. ODL은 중앙 로깅 정책을 적용하며 Microsoft 365 보안에서 정의한 이벤트를 수집하여 처리 및 스토리지를 위해 중앙 집중식 서비스로 보내도록 구성됩니다.

ODL은 모든 최종 사용자 정보를 자동으로 삭제하고 5분마다 일괄 처리로 이벤트를 업로드하도록 구성됩니다. 테넌트 정보 및 최종 사용자 식별 정보와 같은 고객 데이터가 포함된 모든 필드는 제거되고 해시 값으로 대체됩니다. 이전에 설명한 스크러빙을 제외하고 레코드 콘텐츠 및 시간 순서를 감사하기 위한 영구 또는 돌이킬 수 없는 변경은 금지됩니다.

로그 데이터는 NRT(거의 실시간) 분석을 위해 독점 보안 모니터링 솔루션에 업로드되어 로그에서 잠재적인 보안 이벤트 및 성능 지표를 확인합니다. 로그는 장기 스토리지를 위해 내부 빅 데이터 컴퓨팅 서비스(Azure Data Lake)에 업로드됩니다. 모든 로그 데이터 전송은 전송 중 데이터 기밀성을 보장하기 위해 FIPS 140-2 유효성이 검사된 TLS 연결을 통해 발생합니다.

Azure Data Lake에 저장된 대부분의 감사 로그 데이터는 보안 인시던트에 대한 조사를 지원하고 규정 보존 요구 사항을 충족하기 위해 최소 1년 동안 유지됩니다. 서비스 팀은 애플리케이션의 요구 사항을 지원하기 위해 특정 유형의 로그 데이터에 대해 90일 이상의 대체 보존 기간을 선택할 수 있습니다. Microsoft 365 로그 보존 및 백업 정책은 인시던트 조사, 규정 준수 보고 및 기타 비즈니스 요구 사항에 로그 데이터를 즉시 사용할 수 있도록 합니다.

액세스 제어

Microsoft는 Microsoft 365 내에서 발생하는 모든 위임, 권한 및 작업에 대한 광범위한 모니터링 및 감사를 수행합니다. Azure Data Lake에 저장된 Microsoft 365 데이터에 대한 액세스는 권한 있는 담당자로 제한되며 보안 이벤트 분석을 위해 모든 액세스 제어 요청 및 승인이 캡처됩니다. Microsoft는 거의 실시간으로 액세스 수준을 검토하여 비즈니스 근거를 승인하고 자격 요구 사항을 충족하는 사용자만 시스템에 액세스할 수 있도록 합니다. 허용된 모든 액세스는 고유한 사용자로 추적할 수 있습니다.

Microsoft는 감사 기능을 담당하는 보안 팀 구성원의 제한된 하위 집합으로 감사 로그 관리를 제한합니다. Microsoft의 내부 액세스 제어 철학 은 JIT(Just-In-Time) 및 JEA(Just-Enough-Access)의 원칙을 중심으로 진행됩니다. 따라서 보안 팀은 Azure Data Lake에 대한 상시 관리 액세스 권한이 없으며 모든 변경 내용이 기록 및 감사됩니다.