共用方式為

Microsoft 365 稽核記錄收集

  • 發行項

稽核記錄在維護、疑難解答及保護客戶租用戶和內部 Microsoft 365 基礎結構方面扮演重要的角色。 由於 Microsoft 365 的運作規模,必須策略性地管理稽核記錄的收集和處理,以確保有效率且有效的監視。 本文提供 Microsoft 365 稽核記錄做法的概觀,包括擷取的事件類型、每個記錄中包含哪些資訊、如何強制執行記錄原則,以及如何在其生命週期的所有階段保護記錄數據。

定義可稽核事件

Microsoft 365 安全性小組負責定義必須跨 Microsoft 365 收集的基準記錄。 它們會維護每個系統必須擷取的事件類型官方清單,以及每個記錄事件必須包含的數據。

Microsoft 365 會從各種來源擷取記錄數據,包括:

  • 事件記錄
  • AppLocker 記錄
  • 效能資料
  • System Center 數據
  • 通話詳細數據記錄
  • 體驗數據的品質
  • IIS Web 伺服器記錄
  • SQL Server 記錄
  • Syslog 數據
  • 安全性稽核記錄

此清單中的每個記錄至少必須包含下列資訊,才能建立相關聯的事件類型、來源、位置、結果、時間和實體:

  • 來源用戶標識碼
  • 目標使用者識別碼 – 與事件類型相關/適用
  • 事件時間戳 (日期 & 時間)
  • 事件詳細資料
    • 類型
    • 成功/失敗 (結果)
    • 詳細資訊 – 根據事件類型定義
  • 來源 & 目標主機名 – 與事件類型相關/適當
  • 來源 & 目標網路位址和通訊協定 – 與事件類型相關/適用

持續的風險評估、Microsoft 365 安全性標準、商務需求和合規性需求會通知可稽核的事件和相關數據清單。 Microsoft 365 安全性團隊會檢查並更新可稽核事件的清單,以考慮新的威脅、系統變更、從過去事件學習的經驗,以及變更合規性需求。

除了 Microsoft 365 安全性小組所定義的可稽核事件清單之外,服務小組還可以定義其服務的其他記錄需求。 在服務審查與功能里程碑的規劃階段期間,會審查並更新應用程式特定事件。 Microsoft 365 安全性小組也可協助引導這些個別服務小組執行稽核功能,以符合其特定需求。 每當對系統進行重大變更時,就會檢閱並更新服務層級的可稽核事件。

由於 Microsoft 的規模,擷取的數據量必須與儲存和處理數據的能力取得平衡。 從資源和分析的觀點來看,收集每個可能事件和其中內容的資訊都不切實際。 藉由選擇收集的記錄數據類型,Microsoft 可以有效率且有效的方式維護其資訊系統的健康情況和安全性。

集中式管理

Microsoft 365 會透過 Microsoft 365 安全性小組所設定的原則,集中強制執行記錄需求。 每個 Microsoft 365 系統都必須包含自定義記錄代理程式、Office 數據載入器 (ODL) ,並安裝為系統基準的一部分。 ODL 會強制執行中央記錄原則,並將 Microsoft 365 安全性所定義的事件收集並傳送至集中式服務,以進行處理和儲存。

ODL 設定為自動清除所有用戶資訊,並每隔五分鐘批次上傳事件。 包含客戶數據的任何欄位,例如租使用者資訊和用戶可識別資訊,都會移除,並以哈希值取代。 除了先前所述的清除之外,還禁止對稽核記錄內容和時間順序進行永久或無法復原的變更。

記錄數據會上傳至專屬的安全性監視解決方案,以進行近乎即時的 (NRT) 分析,檢查記錄中是否有潛在的安全性事件和效能指標。 記錄也會上傳至內部巨量數據運算服務 (Azure Data Lake) 以供長期儲存。 所有記錄數據傳輸都會透過 FIPS 140-2 驗證的 TLS 連線進行,以確保傳輸期間的數據機密性。

儲存在 Azure Data Lake 中的大部分稽核記錄數據會保留至少一年,以支援安全性事件的調查,並符合法規保留需求。 服務小組可能會針對特定類型的記錄數據選取 90 天或更長的替代保留期間,以支援其應用程式的需求。 Microsoft 365 記錄保留和備份原則可確保事件調查、合規性報告及任何其他商務需求可隨時使用記錄資料。

存取控制

Microsoft 會對 Microsoft 365 內發生的所有委派、許可權和作業執行廣泛的監視和稽核。 存取儲存在 Azure Data Lake 中的 Microsoft 365 數據僅限於授權的人員,而且會擷取所有存取控制要求和核准以進行安全性事件分析。 Microsoft 會近乎即時地檢閱存取層級,以確保只有具有授權業務理由並符合資格需求的使用者才能存取其系統。 所有允許的存取都可追蹤至唯一的使用者。

Microsoft 將稽核記錄的管理限制為負責稽核功能的有限安全性小組成員子集。 Microsoft 的內部訪問控制 原理 是以 Just-In-Time (JIT) 和 Just-Enough-Access (JEA) 原則為中心。 因此,安全性小組沒有 Azure Data Lake 的常設系統管理存取權,而且會記錄並稽核所有變更。