Descrição geral do registo de auditoria e monitorização
Como é que os serviços online da Microsoft empregam o registo de auditoria?
Os serviços online da Microsoft empregam registos de auditoria para detetar atividades não autorizadas e prestar responsabilidade ao pessoal da Microsoft. Os registos de auditoria capturam detalhes sobre alterações à configuração do sistema e eventos de acesso, com detalhes para identificar quem foi o responsável pela atividade, quando e onde a atividade ocorreu e qual foi o resultado da atividade. A análise de registos automatizada suporta a deteção quase em tempo real de comportamento suspeito. Os potenciais incidentes são escalados para a equipa de resposta de segurança da Microsoft adequada para uma investigação mais aprofundada.
O registo de auditoria interna dos serviços online da Microsoft captura dados de registo de várias origens, tais como:
- Logs de eventos
- Registos do AppLocker
- Dados de desempenho
- Dados do System Center
- Registos de detalhes da chamada
- Dados de qualidade da experiência
- Registos do Servidor Web do IIS
- Registos do SQL Server
- Dados do Syslog
- Registos de auditoria de segurança
Como é que os serviços online da Microsoft centralizam e reportam os registos de auditoria?
Muitos tipos de dados de registo são carregados a partir de servidores da Microsoft para uma solução de monitorização de segurança proprietária para análise quase em tempo real (NRT) e um serviço de computação de macrodados interno (Cosmos) ou o Azure Data Explorer (Kusto) para armazenamento de longo prazo. Esta transferência de dados ocorre através de uma ligação TLS validada FIPS 140-2 em portas aprovadas e protocolos com ferramentas de gestão de registos automatizadas.
Os registos são processados no NRT através de métodos baseados em regras, estatísticas e machine learning para detetar indicadores de desempenho do sistema e potenciais eventos de segurança. Os modelos de machine learning utilizam dados de registo de entrada e dados de registo históricos armazenados no Cosmos ou no Kusto para melhorar continuamente as capacidades de deteção. As deteções relacionadas com a segurança geram alertas, notificando os engenheiros de chamada de um possível incidente e acionando ações de remediação automatizadas quando aplicável. Além da monitorização de segurança automatizada, as equipas de serviços utilizam ferramentas de análise e dashboards para correlação de dados, consultas interativas e análise de dados. Estes relatórios são utilizados para monitorizar e melhorar o desempenho geral do serviço.
Como é que os serviços online da Microsoft protegem os registos de auditoria?
As ferramentas utilizadas nos serviços online da Microsoft para recolher e processar registos de auditoria não permitem alterações permanentes ou irreversíveis ao conteúdo do registo de auditoria original ou à ordenação de tempo. O acesso aos dados do serviço online da Microsoft armazenados no Cosmos ou no Kusto está restrito a pessoal autorizado. Além disso, a Microsoft restringe a gestão dos registos de auditoria a um subconjunto limitado de membros da equipa de segurança responsáveis pela funcionalidade de auditoria. O pessoal da equipa de segurança não tem acesso administrativo permanente ao Cosmos ou ao Kusto. O acesso administrativo requer aprovação de acesso Just-In-Time (JIT) e todas as alterações aos mecanismos de registo do Cosmos são registadas e auditadas. Os registos de auditoria são retidos o tempo suficiente para suportar investigações de incidentes e cumprir os requisitos regulamentares. O período exato de retenção de dados de registo de auditoria determinado pelas equipas de serviço; A maioria dos dados do registo de auditoria é retida durante 90 dias no Cosmos e 180 dias no Kusto.
Como é que os serviços online da Microsoft protegem os dados pessoais dos utilizadores que podem ser capturados nos registos de auditoria?
Antes de carregar dados de registo, uma aplicação de gestão de registos automatizada utiliza um serviço de limpeza para remover quaisquer campos que contenham dados do cliente, como informações de inquilino e dados pessoais do utilizador, e substituir esses campos por um valor hash. Os registos anonimizados e com hash são reescritos e, em seguida, carregados para o Cosmos. Todas as transferências de registos ocorrem através de uma ligação encriptada TLS validada FIPS 140-2.
Qual é a estratégia da Microsoft para monitorizar a segurança?
A Microsoft dedica-se à monitorização de segurança contínua dos respetivos sistemas para detetar e responder a ameaças aos serviços online da Microsoft. Os nossos principais princípios para a monitorização e alertas de segurança são:
- Robustez: sinais e lógica para detetar vários comportamentos de ataque
- Precisão: alertas significativos para evitar distrações de ruído
- Velocidade: capacidade de apanhar atacantes com rapidez suficiente para os deter
As soluções baseadas em nuvem, escala e automação são pilares fundamentais de nossa estratégia de monitoramento e resposta. Para evitarmos efetivamente ataques à escala de alguns dos serviços online da Microsoft, os nossos sistemas de monitorização precisam de emitir automaticamente alertas altamente precisos quase em tempo real. Da mesma forma, quando um problema é detetado, precisamos da capacidade de mitigar o risco em escala, não podemos confiar na nossa equipa para corrigir manualmente os problemas computador a computador. Para mitigar riscos em escala, utilizamos ferramentas baseadas na cloud para aplicar automaticamente contramedidas e fornecer aos engenheiros ferramentas para aplicar rapidamente ações de mitigação aprovadas em todo o ambiente.
Como é que os serviços online da Microsoft executam a monitorização de segurança?
Os serviços online da Microsoft utilizam o registo centralizado para recolher e analisar eventos de registo de atividades que possam indicar um incidente de segurança. As ferramentas de log centralizadas agregam logs de todos os componentes do sistema, incluindo logs de eventos, logs de aplicativos, logs de controle de acesso e sistemas de detecção de intrusão baseados em rede. Além do registo do servidor e dos dados ao nível da aplicação, a infraestrutura principal está equipada com agentes de segurança personalizados que geram telemetria detalhada e fornecem deteção de intrusões baseada no anfitrião. Usamos essa telemetria para monitoramento e análise forense.
Os dados de registo e telemetria que recolhemos permitem alertas de segurança 24 horas por dia, 7 dias por semana. Nosso sistema de alertas analisa os dados de log conforme eles são carregados, produzindo alertas quase em tempo real. Isso inclui alertas baseados em regras e alertas mais sofisticados com base em modelos de aprendizado de máquina. Nossa lógica de monitoramento vai além dos cenários de ataque genéricos e incorpora reconhecimento profundo da arquitetura e das operações do serviço. Analisamos os dados de monitorização de segurança para melhorar continuamente os nossos modelos para detetar novos tipos de ataques e melhorar a precisão da nossa monitorização de segurança.
Como é que os serviços online da Microsoft respondem aos alertas de monitorização de segurança?
Quando os eventos de segurança que acionam alertas requerem uma ação reativa ou uma investigação mais aprofundada das provas forenses em todo o serviço, as nossas ferramentas baseadas na cloud permitem uma resposta rápida em todo o ambiente. Essas ferramentas incluem agentes inteligentes e totalmente automatizados que respondem a ameaças detectadas com contramedidas de segurança. Em muitos casos, esses agentes implantam contramedidas automáticas para atenuar detecções de segurança em escala sem intervenção humana. Quando esta resposta não é possível, o sistema de monitorização de segurança alerta automaticamente os engenheiros de serviço adequados, que estão equipados com um conjunto de ferramentas que lhes permitem agir em tempo real para mitigar ameaças detetadas em escala. Os potenciais incidentes são escalados para a equipa de resposta de segurança da Microsoft adequada e são resolvidos com o processo de resposta a incidentes de segurança.
Como é que os serviços online da Microsoft monitorizam a disponibilidade do sistema?
A Microsoft monitoriza ativamente os seus sistemas para obter indicadores de utilização excessiva de recursos e utilização anormal. A monitorização de recursos é complementada por redundâncias de serviço para ajudar a evitar períodos de indisponibilidade inesperados e fornecer aos clientes acesso fiável a produtos e serviços. Os problemas de estado de funcionamento do serviço online da Microsoft são comunicados rapidamente aos clientes através do Dashboard do Service Health (SHD).
Os serviços online do Azure e do Dynamics 365 utilizam vários serviços de infraestrutura para monitorizar a segurança e a disponibilidade do estado de funcionamento. A implementação de testes de Transações Sintéticas (STX) permite que os serviços do Azure e do Dynamics verifiquem a disponibilidade dos respetivos serviços. A arquitetura STX foi concebida para suportar o teste automatizado de componentes em serviços em execução e é testada em alertas de falha de sites em direto. Além disso, o serviço Monitorização de Segurança do Azure (ASM) implementou procedimentos de teste sintético centralizados para verificar a função de alertas de segurança conforme esperado nos serviços novos e em execução.
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela seguinte para obter a validação de controlos relacionados com o registo de auditoria e a monitorização.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| ISO 27001 Declaração de Aplicabilidade Certificado |
A.12.1.3: Monitorização da disponibilidade e planeamento de capacidade A.12.4: Registo e monitorização |
8 de abril de 2024 |
| ISO 27017 Declaração de Aplicabilidade Certificado |
A.12.1.3: Monitorização da disponibilidade e planeamento de capacidade A.12.4: Registo e monitorização A.16.1: Gestão de incidentes e melhorias de segurança de informações |
8 de abril de 2024 |
| ISO 27018 Declaração de Aplicabilidade Certificado |
A.12.4: Registo e monitorização | 8 de abril de 2024 |
| SOC 1 | IM-1: Arquitetura de gestão de incidentes MI-2: configuração da deteção de incidentes MI-3: Procedimentos de gestão de incidentes MI-4: Post-mortem do incidente VM-1: Registo e recolha de eventos de segurança VM-12: Monitorização da disponibilidade dos serviços do Azure VM-4: Investigação de eventos maliciosos VM-6: Monitorização de vulnerabilidades de segurança |
20 de maio de 2024 |
| SOC 2 SOC 3 |
C5-6: Acesso restrito aos registos IM-1: Arquitetura de gestão de incidentes MI-2: configuração da deteção de incidentes MI-3: Procedimentos de gestão de incidentes MI-4: Post-mortem do incidente PI-2: Revisão do desempenho do SLA do portal do Azure VM-1: Registo e recolha de eventos de segurança VM-12: Monitorização da disponibilidade dos serviços do Azure VM-4: Investigação de eventos maliciosos VM-6: Monitorização de vulnerabilidades de segurançaVM |
20 de maio de 2024 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP (Office 365) | AC-2: Gestão de contas AC-17: Acesso remoto AU-2: Eventos de auditoria AU-3: Conteúdo dos registos de auditoria AU-4: Auditar a capacidade de armazenamento AU-5: Resposta a falhas de processamento de auditoria AU-6: Análise, análise e relatórios de auditoria AU-7: Redução da auditoria e geração de relatórios AU-8: Carimbos de data/hora AU-9: Proteção das informações de auditoria AU-10: Não reativação AU-11: Retenção de registos de auditoria AU-12: Geração de auditoria SI-4: Monitorização do sistema de informações SI-7: Software, firmware e integridade das informações |
31 de julho de 2023 |
| ISO 27001/27017 Declaração de Aplicabilidade Certificação (27001) Certificação (27017) |
A.12.3: Monitorização da disponibilidade e planeamento de capacidade A.12.4: Registo e monitorização |
Março de 2024 |
| SOC 1 SOC 2 |
CA-19: Monitorização de alterações CA-26: Relatório de incidentes de segurança CA-29: Engenheiros de serviço CA-30: Monitorização da disponibilidade CA-48: Registo de datacenters CA-60: Registo de auditoria |
23 de janeiro de 2024 |
| SOC 3 | CUEC-08: Reportar incidentes CUEC-10: Contratos de serviço |
23 de janeiro de 2024 |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de