了解 Microsoft 365 記錄保護和保留
Microsoft 365 是一個包含各種系統元件的超大規模動態雲端服務。 為了有效地處理環境中的記錄資料,並保護記錄不受到修改,我們會使用安全、集中式處理和儲存體服務來執行記錄收集與分析。
記錄彙總
每個系統都包含自定義記錄代理程式、Office 數據載入器 (ODL) ,其會安裝為系統基準的一部分。 ODL 負責強制執行 Microsoft 365 安全性小組所定義的集中記錄原則,並將記錄數據上傳至集中式服務以進行處理和儲存。 ODL 設定為自動清除所有用戶資訊,並每隔幾分鐘分批上傳事件,並以哈希值移除並取代包含客戶數據的字段。 所有記錄數據傳輸都是透過經 FIPS 140-2 驗證的 TLS 加密連線在核准的埠和通訊協定上進行,以保護傳輸中的記錄數據。 除了先前所述的清除之外,還禁止對稽核記錄內容和時間順序進行永久或無法復原的變更。 記錄數據會上傳至專屬的安全性監視解決方案,以進行近乎即時的分析,並檢查記錄中是否有潛在的安全性事件和效能指標。 記錄也會上傳至巨量數據運算服務 (Azure Data Lake) 以供長期儲存。 中央記憶體服務會動態配置稽核記錄的稽核儲存空間,確保不會因為缺少儲存空間而遺失任何數據。 系統會回報任何稽核處理失敗,並視需要呈報給 Microsoft 365 安全性。
記錄保留
Microsoft 365 會依照安全性最佳作法和合規性法規保留稽核記錄資料。 大部分類型的稽核記錄資料至少會保留 90 天,以支援事件調查與合規性需求。 服務小組可以針對特定類型的記錄資料選取替代保留期,以支援其應用程式的需求。
此外,Microsoft 365 將許多稽核記錄類型保留在名為 Cosmos 的內部資料儲存體與運算服務中至少一年,以支援安全性事件調查,並滿足法規保留的要求。 此記錄資料的存取僅限於少數安全小組人員。 Microsoft 365 記錄保留和備份原則可確保事件調查、合規性報告及任何其他商務需求可隨時使用記錄資料。
存取控制
Microsoft 會對 Microsoft 365 內發生的所有委派、許可權和作業執行廣泛的監視和稽核。 存取儲存在 Azure Data Lake 中的 Microsoft 365 記錄數據僅限於授權的人員,而且會擷取所有存取控制要求和核准以進行安全性事件分析。 Microsoft 會檢閱存取層級,以確保只有具有授權業務理由並符合資格需求的使用者才能存取其系統。 所有允許的存取都可追蹤至唯一的使用者。 稽核記錄的管理僅限於負責稽核功能的有限安全性小組成員子集,這些成員沒有常設的系統管理存取權。