Explorar análise e relatórios de log do Microsoft 365

  • 6 minutos

Não importa quais dados de log um sistema coleta, o log de auditoria só será útil se puder ser usado para gerar alertas significativos e relatórios acionáveis. O Microsoft 365 usa sistemas automatizados que analisam dados de log quase em tempo real para dar suporte à segurança contínua e ao monitoramento de integridade do serviço.

Monitoramento e resposta de segurança em escala

Princípios de monitoramento de segurança: - Os alertas devem ser robustos: precisamos ter sinais e lógica para uma variedade de comportamentos diferentes do invasor. - Os alertas devem ser precisos: precisamos gerar alertas significativos para evitar distrações de ruído. - Os alertas devem ser rápidos: precisamos capturar os invasores com rapidez suficiente para detê-los

O Microsoft 365 envolve o monitoramento contínuo de segurança de seus sistemas para detectar e responder a ameaças aos Microsoft 365 Services. As soluções baseadas em nuvem, escala e automação são pilares fundamentais de nossa estratégia de monitoramento e resposta. Para que nós capturemos e interrompamos ataques com eficiência na escala de alguns dos principais serviços do Microsoft 365, nossos sistemas de monitoramento precisam gerar automaticamente alertas altamente precisos quase em tempo real. Da mesma forma, quando um problema é detectado, precisamos da capacidade de reduzir o risco em escala. Não podemos contar com nossa equipe para corrigir manualmente os problemas computador a máquina. Para reduzir os riscos em escala, usamos ferramentas baseadas em nuvem para aplicar contramedidas automaticamente e fornecer aos engenheiros ferramentas para aplicar mitigações aprovadas rapidamente em todo o ambiente.

Os dados de log e telemetria que coletamos permitem alertas de monitoramento de segurança 24 horas por dia, 7 dias por semana. Nosso sistema de alertas analisa os dados de log conforme eles são carregados, produzindo alertas quase em tempo real. Isso inclui alertas baseados em regras e alertas mais sofisticados com base em modelos de aprendizado de máquina. Nossa lógica de monitoramento vai além dos cenários de ataque genéricos e incorpora reconhecimento profundo da arquitetura e das operações do serviço. Usamos dados de monitoramento de segurança para melhorar continuamente nossos modelos para detectar novos tipos de ataques e melhorar a precisão de nosso monitoramento de segurança.

Diagrama que mostra o fluxo de dados começando da infraestrutura de serviço para o carregador de dados do Office, que, em seguida, se divide e flui entre o cosmos e a pipeline de monitoramento de segurança; os dados da pipeline de monitoramento de segurança fluem para os painéis das ferramentas de análise e para alertas e automação..

Quando precisamos tomar uma ação em resposta a um alerta ou investigar ainda mais as evidências forenses em todo o serviço, nossas ferramentas baseadas em nuvem nos permitem responder rapidamente em todo o ambiente. Essas ferramentas incluem agentes inteligentes e totalmente automatizados que respondem a ameaças detectadas com contramedidas de segurança. Em muitos casos, esses agentes implantam contramedidas automáticas para atenuar detecções de segurança em escala sem intervenção humana. Quando isso não é possível, o sistema de monitoramento de segurança alerta automaticamente os engenheiros de chamada apropriados, que estão equipados com um conjunto de ferramentas que permitem que eles atuem em tempo real para atenuar as ameaças detectadas em escala. Possíveis incidentes detectados pelo monitoramento de segurança são escalonados para a equipe de Resposta à Segurança do Microsoft 365 e resolvidos usando o processo de resposta a incidentes de segurança.

Monitoramento de integridade do serviço

Além do monitoramento de segurança, as equipes de serviço analisam dados de log para seus próprios serviços como parte do monitoramento de integridade do serviço. O monitoramento da integridade do serviço ajuda a identificar possíveis problemas relacionados ao desempenho do sistema, experiência do usuário e desvios do uso do serviço de linha de base. Os problemas de integridade do serviço que afetam a disponibilidade são relatados aos engenheiros da equipe de serviço por meio de alertas automatizados. Em muitos casos, nossos serviços respondem automaticamente a problemas de integridade do serviço usando medidas automatizadas de autorrecuperação, como restaurar dados corrompidos de uma zona de replicação ou escalar horizontalmente automaticamente o serviço para lidar com o aumento das cargas.

Além de resolver problemas de curto prazo, as equipes de serviço usam dados de tendência de integridade do serviço para planejamento de capacidade e outras metas estratégicas de longo prazo para manter o serviço ideal para nossos clientes. As equipes de serviço incorporam dados de desempenho de serviço e experiência do usuário no planejamento de recursos para garantir que nossos serviços continuem a atender às necessidades dos clientes.