Condividi tramite


Panoramica della registrazione e del monitoraggio dei controlli

In che modo Microsoft Servizi online usa la registrazione di controllo?

Microsoft Servizi online usare la registrazione di controllo per rilevare attività non autorizzate e fornire responsabilità al personale Microsoft. I log di controllo acquisiscono i dettagli sulle modifiche alla configurazione del sistema e sugli eventi di accesso, con i dettagli per identificare chi era responsabile dell'attività, quando e dove si è svolta l'attività e qual è stato il risultato dell'attività. L'analisi automatica dei log supporta il rilevamento quasi in tempo reale di comportamenti sospetti. Per ulteriori indagini, i potenziali eventi imprevisti vengono inoltrati al team di risposta alla sicurezza Microsoft appropriato.

Microsoft Servizi online registrazione di controllo interno acquisisce i dati di log da varie origini, ad esempio:

  • Registri eventi
  • Log di AppLocker
  • Dati sulle prestazioni
  • Dati di System Center
  • Record dettagli chiamata
  • Dati sulla qualità dell'esperienza
  • Log del server Web IIS
  • log SQL Server
  • Dati syslog
  • Log di controllo di sicurezza

In che modo Microsoft Servizi online centralizzare e segnalare i log di controllo?

Molti tipi di dati di log vengono caricati dai server Microsoft in una soluzione proprietaria di monitoraggio della sicurezza per l'analisi near real-time (NRT) e un servizio interno di big data computing (Cosmos) o Azure Esplora dati (Kusto) per l'archiviazione a lungo termine. Questo trasferimento dei dati avviene tramite una connessione TLS convalidata FIPS 140-2 su porte e protocolli approvati tramite strumenti di gestione dei log automatizzati.

I log vengono elaborati in NRT usando metodi basati su regole, statistiche e machine learning per rilevare indicatori di prestazioni del sistema e potenziali eventi di sicurezza. I modelli di Machine Learning usano i dati di log in ingresso e i dati di log cronologici archiviati in Cosmos o Kusto per migliorare continuamente le funzionalità di rilevamento. I rilevamenti correlati alla sicurezza generano avvisi, notificano ai tecnici di chiamata un potenziale evento imprevisto e attivano azioni di correzione automatizzate quando applicabile. Oltre al monitoraggio automatizzato della sicurezza, i team dei servizi usano strumenti di analisi e dashboard per la correlazione dei dati, le query interattive e l'analisi dei dati. Questi report vengono usati per monitorare e migliorare le prestazioni complessive del servizio.

Flusso di dati di controllo.

In che modo Microsoft Servizi online proteggere i log di controllo?

Gli strumenti usati in Microsoft Servizi online per raccogliere ed elaborare i record di controllo non consentono modifiche permanenti o irreversibili al contenuto o all'ordine dell'ora del record di controllo originale. L'accesso ai dati del servizio online Microsoft archiviati in Cosmos o Kusto è limitato al personale autorizzato. Inoltre, Microsoft limita la gestione dei log di controllo a un subset limitato di membri del team di sicurezza responsabili delle funzionalità di controllo. Il personale del team di sicurezza non ha accesso amministrativo permanente a Cosmos o Kusto. L'accesso amministrativo richiede l'approvazione dell'accesso JIT (Just-In-Time) e tutte le modifiche apportate ai meccanismi di registrazione per Cosmos vengono registrate e controllate. I log di controllo vengono conservati abbastanza a lungo da supportare le indagini sugli eventi imprevisti e soddisfare i requisiti normativi. Periodo esatto di conservazione dei dati del log di controllo determinato dai team del servizio; la maggior parte dei dati del log di controllo viene conservata per 90 giorni in Cosmos e 180 giorni in Kusto.

In che modo Microsoft Servizi online proteggere i dati personali degli utenti che possono essere acquisiti nei log di controllo?

Prima di caricare i dati di log, un'applicazione di gestione dei log automatizzata usa un servizio di scrubbing per rimuovere tutti i campi che contengono dati dei clienti, ad esempio informazioni sul tenant e dati personali dell'utente, e sostituire tali campi con un valore hash. I log anonimizzati e con hash vengono riscritti e quindi caricati in Cosmos. Tutti i trasferimenti di log vengono eseguiti tramite una connessione crittografata TLS convalidata FIPS 140-2.

Qual è la strategia di Microsoft per il monitoraggio della sicurezza?

Microsoft si impegna nel monitoraggio continuo della sicurezza dei propri sistemi per rilevare e rispondere alle minacce a Microsoft Servizi online. I nostri principi chiave per il monitoraggio e gli avvisi di sicurezza sono:

  • Robustezza: segnali e logica per rilevare vari comportamenti di attacco
  • Accuratezza: avvisi significativi per evitare distrazioni dal rumore
  • Velocità: capacità di catturare gli utenti malintenzionati abbastanza rapidamente da fermarli

Le soluzioni basate su automazione, scalabilità e cloud sono fondamentali per la nostra strategia di monitoraggio e risposta. Per prevenire efficacemente gli attacchi su larga scala di alcuni Servizi online Microsoft, i sistemi di monitoraggio devono generare automaticamente avvisi altamente accurati quasi in tempo reale. Analogamente, quando viene rilevato un problema, è necessaria la possibilità di mitigare il rischio su larga scala, non è possibile affidarsi al team per risolvere manualmente i problemi macchina per macchina. Per ridurre i rischi su larga scala, usiamo strumenti basati sul cloud per applicare automaticamente le contromisure e fornire agli ingegneri strumenti per applicare rapidamente azioni di mitigazione approvate nell'ambiente.

In che modo Microsoft Servizi online eseguire il monitoraggio della sicurezza?

Microsoft Servizi online usare la registrazione centralizzata per raccogliere e analizzare gli eventi di log per individuare le attività che potrebbero indicare un evento imprevisto di sicurezza. Gli strumenti di registrazione centralizzata aggregano i log di tutti i componenti di sistema, inclusi i log eventi, i log applicazioni, i log di controllo di accesso e i sistemi di rilevamento delle intrusioni basati sulla rete. Oltre alla registrazione del server e ai dati a livello di applicazione, l'infrastruttura di base è dotata di agenti di sicurezza personalizzati che generano dati di telemetria dettagliati e forniscono il rilevamento delle intrusioni basato su host. Questi dati di telemetria vengono usati per il monitoraggio e l'analisi forense.

I dati di registrazione e telemetria raccolti consentono avvisi di sicurezza 24 ore su 24, 7 giorni su 7. Il sistema di avviso analizza i dati di log durante il caricamento, generando avvisi quasi in tempo reale. Questo include avvisi basati su regole e avvisi più sofisticati basati su modelli di apprendimento automatico. La nostra logica di monitoraggio va oltre gli scenari di attacco generici e integra una conoscenza approfondita dell'architettura e delle operazioni del servizio. Analizziamo i dati di monitoraggio della sicurezza per migliorare continuamente i modelli per rilevare nuovi tipi di attacchi e migliorare l'accuratezza del monitoraggio della sicurezza.

In che modo Microsoft Servizi online rispondere agli avvisi di monitoraggio della sicurezza?

Quando gli eventi di sicurezza che attivano avvisi richiedono un'azione reattiva o un'ulteriore analisi delle prove forensi in tutto il servizio, gli strumenti basati sul cloud consentono una risposta rapida in tutto l'ambiente. Questi strumenti includono agenti intelligenti completamente automatizzati che rispondono alle minacce rilevate con contromisure di sicurezza. In molti casi, questi agenti distribuiscono contromisure automatiche per attenuare i rilevamenti di sicurezza su larga scala senza intervento umano. Quando questa risposta non è possibile, il sistema di monitoraggio della sicurezza avvisa automaticamente i tecnici di chiamata appropriati, dotati di un set di strumenti che consentono loro di agire in tempo reale per mitigare le minacce rilevate su larga scala. I potenziali eventi imprevisti vengono inoltrati al team di risposta alla sicurezza Microsoft appropriato e vengono risolti usando il processo di risposta agli eventi imprevisti di sicurezza.

In che modo Microsoft Servizi online monitorare la disponibilità del sistema?

Microsoft monitora attivamente i sistemi per individuare gli indicatori di utilizzo eccessivo delle risorse e utilizzo anomalo. Il monitoraggio delle risorse è integrato da ridondanze dei servizi per evitare tempi di inattività imprevisti e fornire ai clienti un accesso affidabile a prodotti e servizi. I problemi di integrità dei servizi online Microsoft vengono comunicati tempestivamente ai clienti tramite il dashboard di integrità dei servizi (SHD).

Azure e Dynamics 365 Servizi online usano più servizi di infrastruttura per monitorarne la disponibilità di sicurezza e integrità. L'implementazione di test STX (Synthetic Transaction) consente ai servizi di Azure e Dynamics di controllare la disponibilità dei propri servizi. Il framework STX è progettato per supportare il test automatizzato dei componenti nei servizi in esecuzione ed è testato sugli avvisi di errore del sito live. Inoltre, il servizio Monitoraggio della sicurezza di Azure (ASM) ha implementato procedure di test sintetici centralizzate per verificare che gli avvisi di sicurezza funzionino come previsto nei servizi nuovi e in esecuzione.

I Servizi online Microsoft vengono controllati regolarmente per verificare la conformità alle normative e alle certificazioni esterne. Per la convalida dei controlli correlati alla registrazione e al monitoraggio di controllo, vedere la tabella seguente.

Azure e Dynamics 365

Controlli esterni Sezione Data report più recente
ISO 27001

Dichiarazione di applicabilità
Certificato
A.12.1.3: Monitoraggio della disponibilità e pianificazione della capacità
A.12.4: Registrazione e monitoraggio
8 aprile 2024
ISO 27017

Dichiarazione di applicabilità
Certificato
A.12.1.3: Monitoraggio della disponibilità e pianificazione della capacità
A.12.4: Registrazione e monitoraggio
A.16.1: Gestione degli eventi imprevisti e dei miglioramenti della sicurezza delle informazioni
8 aprile 2024
ISO 27018

Dichiarazione di applicabilità
Certificato
A.12.4: Registrazione e monitoraggio 8 aprile 2024
SOC 1 IM-1: Framework di gestione degli eventi imprevisti
IM-2: Configurazione del rilevamento degli eventi imprevisti
IM-3: Procedure di gestione degli eventi imprevisti
IM-4: Evento imprevisto post-mortem
VM-1: Registrazione e raccolta di eventi di sicurezza
VM-12: Monitoraggio della disponibilità dei servizi di Azure
VM-4: Indagine sugli eventi dannosi
VM-6: Monitoraggio delle vulnerabilità di sicurezza
16 agosto 2024
SOC 2
SOC 3
C5-6: Accesso limitato ai log
IM-1: Framework di gestione degli eventi imprevisti
IM-2: Configurazione del rilevamento degli eventi imprevisti
IM-3: Procedure di gestione degli eventi imprevisti
IM-4: Evento imprevisto post-mortem
PI-2: portale di Azure verifica delle prestazioni del contratto di servizio
VM-1: Registrazione e raccolta di eventi di sicurezza
VM-12: Monitoraggio della disponibilità dei servizi di Azure
VM-4: Indagine sugli eventi dannosi
VM-6: Monitoraggio della vulnerabilità di sicurezzaVM
20 maggio 2024

Microsoft 365

Controlli esterni Sezione Data report più recente
FedRAMP AC-2: Gestione degli account
AC-17: Accesso remoto
AU-2: Eventi di controllo
AU-3: Contenuto dei record di controllo
AU-4: Controllare la capacità di archiviazione
AU-5: Risposta agli errori di elaborazione del controllo
AU-6: Revisione, analisi e creazione di report di controllo
AU-7: Riduzione del controllo e generazione di report
AU-8: Timestamp
AU-9: Protezione delle informazioni di controllo
AU-10: Non ripudio
AU-11: Conservazione dei record di controllo
AU-12: Generazione di controlli
SI-4: Monitoraggio del sistema informativo
SI-7: Integrità di software, firmware e informazioni
21 agosto 2024
ISO 27001/27017

Dichiarazione di applicabilità
Certificazione (27001)
Certificazione (27017)
A.12.3: Monitoraggio della disponibilità e pianificazione della capacità
A.12.4: Registrazione e monitoraggio
Marzo 2024
SOC 1
SOC 2
CA-19: Monitoraggio delle modifiche
CA-26: Segnalazione degli eventi imprevisti di sicurezza
CA-29: Tecnici di chiamata
CA-30: Monitoraggio della disponibilità
CA-48: Registrazione del data center
CA-60: Registrazione di controllo
23 gennaio 2024
SOC 3 CUEC-08: Segnalazione di eventi imprevisti
CUEC-10: Contratti di servizio
23 gennaio 2024