探索 Microsoft 365 記錄分析和報告

  • 6 分鐘

無論系統收集何種記錄資料,稽核記錄只有在可用來產生有意義的警示和可採取動作的報告時才有用。 Microsoft 365 使用以幾乎即時方式分析記錄資料的自動化系統,來支援持續的安全性與服務健康情況監視。

大規模安全性監視和回應

安全性監控的原則:警示必須健全:我們需要針對各種不同的攻擊者行為提供信號和邏輯。警示必須準確:我們必須引發有意義的警示,以避免干擾噪音。警示必須快速:我們必須快速抓到攻擊者,才能停止攻擊。

Microsoft 365 會持續監視其系統的安全性,以偵測及回應對 Microsoft 365 服務的威脅。 自動化、規模、雲端式解決方案為監測和回應策略的關鍵要點。 為了我們能有效捕捉和停止某些針對 Microsoft 365 核心服務規模的攻擊,我們的監視系統必須以近乎即時的方式自動發出高度精確的警示。 同樣地,當偵測到問題時,我們需要能夠大規模降低風險的能力 – 我們無法依賴我們的小組以手動方式逐一修正電腦問題。 為了大規模降低風險,我們使用雲端式工具以自動套用因應措施,並提供工具給工程師以在整個環境中快速套用獲核准的風險降低措施。

我們收集的記錄資料可啟用全年無休全天候 24 小時的安全性監視和警示。 我們的警示系統會在記錄資料上傳時分析資料,以幾乎即時的方式產生警示。 這包括以規則型的警示,和其它以機器學習模型為基礎的更複雜警示。 我們的監視邏輯超越一般攻擊案例,並納入對服務架構和作業的深層認知。 我們使用安全性監視資料以持續改善我們的模型,以偵測新型攻擊並改善安全性監視的準確性。

圖表顯示資料從服務基礎結構開始流至 Office 資料載入器,其接著會分割成 Cosmos 和安全性監視管線之間的流量; 然後,來自安全性監視管線的資料會流向分析工具儀表板,並且流向警示和自動化。

當我們需要採取行動以回應警示或透過服務進一步調查鑑定證據時,我們的雲端式工具可讓我們在整個環境中快速回應。 這些工具含有完全自動化的智慧型代理程式,可回應偵測到的威脅與安全性因應措施。 在許多情況下,這些代理程式會部署自動化因應措施,以在不需要人為介入的情況下大規模降低安全性偵測。 如果無法執行這項操作,安全性監視功能系統會自動向適當的待命工程師 (已配有一組工具) 發出警示,讓他們即時採取行動並大規模緩解偵測到的威脅。 由安全性監視功能偵測到的潛在事件會向上呈報至 Microsoft 365 安全性回應小組,並利用安全性事件回應程序加以解決。

服務健康情況監視

除了安全性監視之外,服務團隊會分析自己的服務記錄資料,做為服務健康情況監視的一部分。 服務健康情況監視可協助識別與系統效能、使用者體驗和基準服務使用偏差相關的潛在問題。 影響可用性的服務健康情況問題會透過自動化警示向服務團隊工程師報告。 在許多情況下,我們的服務會使用自動化自我修復措施來自動回應服務健康情況的問題,例如從複寫區域還原損壞的資料,或自動相應放大服務以處理增加的負載。

除了解決短期問題之外,服務團隊還使用服務健康趨勢資料進行容量規劃和其他長期策略目標,以維護客戶的最佳服務。 服務團隊將服務效能和使用者體驗資料納入功能規劃,以確保我們的服務持續符合客戶的需求。