Compartilhar via


Descrição geral do registo de auditoria e monitorização

Como é que os serviços online da Microsoft empregam o registo de auditoria?

Os serviços online da Microsoft empregam registos de auditoria para detetar atividades não autorizadas e prestar responsabilidade ao pessoal da Microsoft. Os registos de auditoria capturam detalhes sobre alterações à configuração do sistema e eventos de acesso, com detalhes para identificar quem foi o responsável pela atividade, quando e onde a atividade ocorreu e qual foi o resultado da atividade. A análise de registos automatizada suporta a deteção quase em tempo real de comportamento suspeito. Os potenciais incidentes são escalados para a equipa de resposta de segurança da Microsoft adequada para uma investigação mais aprofundada.

O registo de auditoria interna dos serviços online da Microsoft captura dados de registo de várias origens, tais como:

  • Logs de eventos
  • Registos do AppLocker
  • Dados de desempenho
  • Dados do System Center
  • Registos de detalhes da chamada
  • Dados de qualidade da experiência
  • Registos do Servidor Web do IIS
  • Registos do SQL Server
  • Dados do Syslog
  • Registos de auditoria de segurança

Como é que os serviços online da Microsoft centralizam e reportam os registos de auditoria?

Muitos tipos diferentes de dados de registo são carregados dos servidores da Microsoft para uma solução de monitorização de segurança proprietária para análise quase em tempo real (NRT) e um serviço de computação de macrodados interno (Cosmos) ou o Azure Data Explorer (Kusto) para armazenamento de longo prazo. Esta transferência de dados ocorre através de uma ligação TLS fips 140-2 validada em portas aprovadas e protocolos através de ferramentas de gestão de registos automatizadas.

Os registos são processados no NRT através de métodos baseados em regras, estatísticas e machine learning para detetar indicadores de desempenho do sistema e potenciais eventos de segurança. Os modelos de machine learning utilizam dados de registo de entrada e dados de registo históricos armazenados no Cosmos ou no Kusto para melhorar continuamente as capacidades de deteção. As deteções relacionadas com a segurança geram alertas, notificando os engenheiros de chamada de um possível incidente e acionando ações de remediação automatizadas quando aplicável. Além da monitorização de segurança automatizada, as equipas de serviços utilizam ferramentas de análise e dashboards para correlação de dados, consultas interativas e análise de dados. Estes relatórios são utilizados para monitorizar e melhorar o desempenho geral do serviço.

Auditar fluxo de dados.

Como é que os serviços online da Microsoft protegem os registos de auditoria?

As ferramentas utilizadas nos serviços online da Microsoft para recolher e processar registos de auditoria não permitem alterações permanentes ou irreversíveis ao conteúdo do registo de auditoria original ou à ordenação de tempo. O acesso aos dados do serviço online da Microsoft armazenados no Cosmos ou no Kusto está restrito a pessoal autorizado. Além disso, a Microsoft restringe a gestão dos registos de auditoria a um subconjunto limitado de membros da equipa de segurança responsáveis pela funcionalidade de auditoria. O pessoal da equipa de segurança não tem acesso administrativo permanente ao Cosmos ou ao Kusto. O acesso administrativo requer aprovação de acesso Just-In-Time (JIT) e todas as alterações aos mecanismos de registo do Cosmos são registadas e auditadas. Os registos de auditoria são retidos o tempo suficiente para suportar investigações de incidentes e cumprir os requisitos regulamentares. O período exato de retenção de dados de registo de auditoria determinado pelas equipas de serviço; A maioria dos dados do registo de auditoria é retida durante 90 dias no Cosmos e 180 dias no Kusto.

Como é que os serviços online da Microsoft protegem os dados pessoais dos utilizadores que podem ser capturados nos registos de auditoria?

Antes de carregar dados de registo, uma aplicação de gestão de registos automatizada utiliza um serviço de limpeza para remover quaisquer campos que contenham dados do cliente, como informações de inquilino e dados pessoais do utilizador, e substituir esses campos por um valor hash. Os registos anonimizados e com hash são reescritos e, em seguida, carregados para o Cosmos. Todas as transferências de registos ocorrem através de uma ligação encriptada TLS (FIPS 140-2).

Qual é a estratégia da Microsoft para monitorizar a segurança?

A Microsoft dedica-se à monitorização de segurança contínua dos respetivos sistemas para detetar e responder a ameaças aos serviços online da Microsoft. Os nossos principais princípios para a monitorização e alertas de segurança são:

  • Robustez: sinais e lógica para detetar vários comportamentos de ataque
  • Precisão: alertas significativos para evitar distrações de ruído
  • Velocidade: capacidade de apanhar atacantes com rapidez suficiente para os deter

As soluções baseadas em nuvem, escala e automação são pilares fundamentais de nossa estratégia de monitoramento e resposta. Para evitarmos efetivamente ataques à escala de alguns dos serviços online da Microsoft, os nossos sistemas de monitorização precisam de emitir automaticamente alertas altamente precisos quase em tempo real. Da mesma forma, quando um problema é detetado, precisamos da capacidade de mitigar o risco em escala, não podemos confiar na nossa equipa para corrigir manualmente problemas computador a computador. Para mitigar riscos em escala, utilizamos ferramentas baseadas na cloud para aplicar automaticamente contramedidas e fornecer aos engenheiros ferramentas para aplicar rapidamente ações de mitigação aprovadas em todo o ambiente.

Como é que os serviços online da Microsoft executam a monitorização de segurança?

Os serviços online da Microsoft utilizam o registo centralizado para recolher e analisar eventos de registo de atividades que possam indicar um incidente de segurança. As ferramentas de log centralizadas agregam logs de todos os componentes do sistema, incluindo logs de eventos, logs de aplicativos, logs de controle de acesso e sistemas de detecção de intrusão baseados em rede. Além do registo do servidor e dos dados ao nível da aplicação, a infraestrutura principal está equipada com agentes de segurança personalizados que geram telemetria detalhada e fornecem deteção de intrusões baseada no anfitrião. Usamos essa telemetria para monitoramento e análise forense.

Os dados de registo e telemetria que recolhemos permitem alertas de segurança 24 horas por dia, 7 dias por semana. Nosso sistema de alertas analisa os dados de log conforme eles são carregados, produzindo alertas quase em tempo real. Isso inclui alertas baseados em regras e alertas mais sofisticados com base em modelos de aprendizado de máquina. Nossa lógica de monitoramento vai além dos cenários de ataque genéricos e incorpora reconhecimento profundo da arquitetura e das operações do serviço. Analisamos os dados de monitorização de segurança para melhorar continuamente os nossos modelos para detetar novos tipos de ataques e melhorar a precisão da nossa monitorização de segurança.

Como é que os serviços online da Microsoft respondem aos alertas de monitorização de segurança?

Quando os eventos de segurança que acionam alertas requerem uma ação reativa ou uma investigação mais aprofundada das provas forenses em todo o serviço, as nossas ferramentas baseadas na cloud permitem uma resposta rápida em todo o ambiente. Essas ferramentas incluem agentes inteligentes e totalmente automatizados que respondem a ameaças detectadas com contramedidas de segurança. Em muitos casos, esses agentes implantam contramedidas automáticas para atenuar detecções de segurança em escala sem intervenção humana. Quando esta resposta não é possível, o sistema de monitorização de segurança alerta automaticamente os engenheiros de serviço adequados, que estão equipados com um conjunto de ferramentas que lhes permitem agir em tempo real para mitigar ameaças detetadas em escala. Os potenciais incidentes são escalados para a equipa de resposta de segurança da Microsoft adequada e são resolvidos com o processo de resposta a incidentes de segurança.

Como é que os serviços online da Microsoft monitorizam a disponibilidade do sistema?

A Microsoft monitoriza ativamente os seus sistemas para obter indicadores de utilização excessiva de recursos e utilização anormal. A monitorização de recursos é complementada por redundâncias de serviço para ajudar a evitar períodos de indisponibilidade inesperados e fornecer aos clientes acesso fiável a produtos e serviços. Os problemas de estado de funcionamento do serviço online da Microsoft são comunicados rapidamente aos clientes através do Dashboard do Service Health (SHD).

Os serviços online do Azure e do Dynamics 365 utilizam vários serviços de infraestrutura para monitorizar a segurança e a disponibilidade do estado de funcionamento. A implementação de testes de Transações Sintéticas (STX) permite que os serviços do Azure e do Dynamics verifiquem a disponibilidade dos respetivos serviços. A arquitetura STX foi concebida para suportar o teste automatizado de componentes em serviços em execução e é testada em alertas de falha de sites em direto. Além disso, o serviço Monitorização de Segurança do Azure (ASM) implementou procedimentos de teste sintético centralizados para verificar a função de alertas de segurança conforme esperado nos serviços novos e em execução.

Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela seguinte para obter a validação de controlos relacionados com o registo de auditoria e a monitorização.

Azure e Dynamics 365

Auditorias externas Section Data do relatório mais recente
ISO 27001/27002

Declaração de Aplicabilidade
Certificado
A.12.1.3: Monitorização da disponibilidade e planeamento de capacidade
A.12.4: Registo e monitorização
6 de novembro de 2023
ISO 27017

Declaração de Aplicabilidade
Certificado
A.12.1.3: Monitorização da disponibilidade e planeamento de capacidade
A.12.4: Registo e monitorização
A.16.1: Gestão de incidentes e melhorias de segurança de informações
6 de novembro de 2023
ISO 27018

Declaração de Aplicabilidade
Certificado
A.12.4: Registo e monitorização 6 de novembro de 2023
SOC 1 IM-1: Arquitetura de gestão de incidentes
MI-2: configuração da deteção de incidentes
MI-3: Procedimentos de gestão de incidentes
MI-4: Post-mortem do incidente
VM-1: Registo e recolha de eventos de segurança
VM-12: Monitorização da disponibilidade dos serviços do Azure
VM-4: Investigação de eventos maliciosos
VM-6: Monitorização de vulnerabilidades de segurança
20 de maio de 2024
SOC 2
SOC 3
C5-6: Acesso restrito aos registos
IM-1: Arquitetura de gestão de incidentes
MI-2: configuração da deteção de incidentes
MI-3: Procedimentos de gestão de incidentes
MI-4: Post-mortem do incidente
PI-2: Revisão do desempenho do SLA do portal do Azure
VM-1: Registo e recolha de eventos de segurança
VM-12: Monitorização da disponibilidade dos serviços do Azure
VM-4: Investigação de eventos maliciosos
VM-6: Monitorização de vulnerabilidades de segurançaVM
20 de maio de 2024

Microsoft 365

Auditorias externas Section Data do relatório mais recente
FedRAMP (Office 365) AC-2: Gestão de contas
AC-17: Acesso remoto
AU-2: Eventos de auditoria
AU-3: Conteúdo dos registos de auditoria
AU-4: Auditar a capacidade de armazenamento
AU-5: Resposta a falhas de processamento de auditoria
AU-6: Análise, análise e relatórios de auditoria
AU-7: Redução da auditoria e geração de relatórios
AU-8: Carimbos de data/hora
AU-9: Proteção das informações de auditoria
AU-10: Não rejeição
AU-11: Retenção de registos de auditoria
AU-12: Geração de auditoria
SI-4: Monitorização do sistema de informações
SI-7: Software, firmware e integridade das informações
31 de julho de 2023
ISO 27001/27002/27017

Declaração de Aplicabilidade
Certificação (27001/27002)
Certificação (27017)
A.12.3: Monitorização da disponibilidade e planeamento de capacidade
A.12.4: Registo e monitorização
Março de 2024
SOC 1
SOC 2
CA-19: Monitorização de alterações
CA-26: Relatório de incidentes de segurança
CA-29: Engenheiros de serviço
CA-30: Monitorização da disponibilidade
CA-48: Registo de datacenters
CA-60: Registo de auditoria
23 de janeiro de 2024
SOC 3 CUEC-08: Reportar incidentes
CUEC-10: Contratos de serviço
23 de janeiro de 2024

Recursos