Узнайте о защите и хранении журналов Microsoft 365
Microsoft 365 — это динамическое гипермасштабируемое облако, содержащее различные системные компоненты. Чтобы эффективно обрабатывать данные журнала из нашей среды и защищать журналы от изменений, мы выполняем сбор и анализ журналов с помощью безопасных, централизованных служб обработки и хранения.
Объединение журналов
Каждая система включает в себя настраиваемый агент ведения журнала, загрузчик данных Office (ODL), который устанавливается в рамках базовых показателей системы. ODL отвечает за применение централизованных политик ведения журнала, определенных группой безопасности Microsoft 365, и отправку данных журнала в централизованные службы для обработки и хранения. ODL настроен для автоматического удаления всех сведений о конечных пользователях и отправки событий пакетами каждые несколько минут, при этом поля, содержащие данные клиента, удаляются и заменяются хэш-значением. Все передачи данных журнала выполняются через зашифрованное подключение TLS с проверкой FIPS 140-2 на утвержденных портах и протоколах для защиты данных журналов при передаче. Постоянные или необратимые изменения в содержимом записей аудита и упорядочение времени, помимо описанной ранее очистки, запрещены. Данные журнала передаются в собственное решение для мониторинга безопасности для анализа практически в реальном времени, проверки журналов на наличие потенциальных событий безопасности и показателей производительности. Журналы также отправляются в службу вычислений больших данных (Azure Data Lake) для долгосрочного хранения. Центральная служба хранилища динамически выделяет дисковое пространство аудита для журналов аудита, гарантируя отсутствие потери данных из-за нехватки дискового пространства. О любых сбоях обработки аудита сообщается и передается в Службу безопасности Microsoft 365 соответствующим образом.
Хранение журнала
Microsoft 365 хранит данные журнала аудита в соответствии с правилами безопасности и нормативными требованиями. Большинство типов данных журнала аудита хранятся как минимум в течение 90 дней для расследования инцидентов и соблюдения требований. Команды служб могут выбрать альтернативные периоды хранения для определенных типов данных журнала для поддержания своих приложений.
Кроме того, Microsoft 365 хранит множество типов записей аудита во внутренней службе хранения данных и вычислительной службы Cosmos по крайней мере в течение одного года для расследования инцидентов безопасности и выполнения нормативных требований к хранению. Доступ к этим данным журнала ограничен небольшим количеством сотрудников команды безопасности. Политики хранения журналов и резервного копирования Microsoft 365 обеспечивают доступ к данным журнала для расследования инцидентов, отчетности о соответствии требованиям законодательства и любым требованиям бизнеса.
Управление доступом.
Корпорация Майкрософт выполняет обширный мониторинг и аудит всех делегирований, привилегий и операций, выполняемых в Microsoft 365. Доступ к данным журнала Microsoft 365, хранящимся в Azure Data Lake, ограничен авторизованным персоналом, а все запросы на управление доступом и утверждения записываются для анализа событий безопасности. Корпорация Майкрософт проверяет уровни доступа, чтобы убедиться, что доступ к ее системам могут получить только пользователи, которые имеют авторизованные бизнес-обоснования и соответствуют требованиям к допустимости. Все разрешенные доступы отслеживаются для уникального пользователя. Управление журналами аудита ограничено ограниченным подмножеством участников группы безопасности, отвечающих за функциональные возможности аудита, которые не имеют постоянного административного доступа.