Общие сведения о коллекции журналов Microsoft 365
Журналы аудита имеют решающее значение для обслуживания, устранения неполадок и защиты клиентов и внутренней инфраструктуры Microsoft 365. В связи с масштабом работы Microsoft 365 сбор и обработка журналов аудита должны быть стратегически управляемыми, чтобы обеспечить эффективный и эффективный мониторинг. Решение о типах собираемых данных журнала крайне важно для эффективного мониторинга, так как журналы предоставляют множество сведений о работоспособности и безопасности информационной системы. Однако для эффективного мониторинга требуется возможность обнаруживать значимые и практические сигналы из бессрочного потока данных журнала. Мы осуществляем это в Microsoft 365, четко определяя типы событий, которые должны регистрироваться компонентами системы, а также данные, которые должны содержаться в зарегистрированных событиях.
Определение событий подлежащих аудиту
Чтобы увидеть значимые сигналы в данных журнала, важно согласованно проводить аудит событий в компонентах системы. Команда безопасности Microsoft 365 отвечает за определение базовых журналов, которые должны собираться в Microsoft 365, включая события, представляющие интерес для мониторинга безопасности и реагирования на инциденты, а также диагностические события для поддержки работоспособности служб и выявления системных проблем. Список проверяемых событий и связанных данных определяется текущими оценками рисков, стандартами безопасности Microsoft 365, бизнес-требованиями и требованиями к соответствию. Помимо списка событий аудита, определенных командой Безопасности Microsoft 365, команды служб могут определять дополнительные требования к ведению журнала для своих служб.
Список событий, подлежащих аудиту, включает события операционной системы из журналов безопасности и приложений, системы обнаружения вторжений на основе узла и события, связанные с управлением доступом. Например, службы Microsoft 365 должны проводить аудит привилегированного доступа. Привилегированный доступ в рабочих средах Microsoft 365 управляется хранилищем и защищенным хранилищем для обеспечения отсутствия постоянного доступа (ZSA). Все запросы доступа JIT регистрируются в хранилище и защищенном хранилище. Кроме того, привилегированные команды, запускаемые инженерами группы обслуживания с использованием временного доступа JIT, регистрируются в журнале и доступны через централизованные журналы и отчеты. Эти события управления доступом предоставляют важные данные для мониторинга безопасности и исследования инцидентов. Кроме того, они предоставляют клиенту запись с возможностью аудита о действиях в защищенном хранилище, выполненных персоналом Майкрософт в связи с клиентом пользователя.
Команда Безопасности Microsoft 365 проверяет и обновляет список событий, подлежащих аудиту, чтобы учесть новые угрозы, изменения системы, уроки, полученные из прошлых инцидентов, и изменение требований к обеспечению соответствия. Как минимум, эта проверка проводится ежегодно, а проверяемые события уровня обслуживания проверяются и обновляются при внесении значительных изменений в систему. События для конкретных приложений проверяются и обновляются во время проверок служб и на этапах планирования вех функций. Команда безопасности Microsoft 365 также помогает этим отдельным группам обслуживания управлять функциями аудита в соответствии с их конкретными потребностями. В связи с масштабом корпорации Майкрософт объем захваченных данных должен быть сбалансирован с возможностью их хранения и обработки. Благодаря выборке типов собираемых данных журналов корпорация Майкрософт может эффективно и эффективно поддерживать работоспособность и безопасность своих информационных систем. Таким образом, требования к ведению журнала в службах Microsoft 365 включают события, которые должны быть записаны каждым компонентом системы, и данные, которые должно содержать каждое зарегистрированное событие. Постоянно просматривая и обновляя список проверяемых событий, корпорация Майкрософт может вооружаться данными, необходимыми для обнаружения угроз безопасности и реагирования на них, предоставления клиентам оптимального обслуживания и соответствия требованиям.
Содержимое событий
Данные, содержащиеся в событиях так же важны, как типы событий, которые мы собираем. Зарегистрированные события должны содержать достаточно информации для обеспечения точного мониторинга и эффективного расследования инцидентов. Безопасность Microsoft 365 требует, чтобы записи журнала содержали достаточно информации для определения типа произошедшего события, а также источник и результат события. Для правильного упорядочения по времени все события должны быть содержать метку времени в формате UTC. Кроме того, журналы событий должны записывать место события, всех пользователей или системные узлы, связанные с событием, а также любые другие сведения, относящиеся к типу события. Например, сведения о событиях сети могут включать сетевые адреса и используемые протоколы, а также имена исходных и целевых узлов. Стандартизация требований к содержимому событий гарантирует, что наши журналы обеспечивают уровень детализации, необходимый для их целей.
Применение политики ведения журнала
Microsoft 365 применяет требования к ведению журнала на уровне компьютера в рамках процесса развертывания. Базовые образы включают настраиваемый агент ведения журнала, называемый загрузчиком данных Office (ODL). ODL настроен на сбор событий, определенных Безопасностью Microsoft 365, и на отправку этих событий в централизованные службы для обработки и хранения. Данные журнала шифруются при передаче и очищаются от сведений конечного пользователя перед их отправкой в централизованную службу хранения журналов.