Microsoft 365 のログ収集を理解する
監査ログは、顧客テナントと Microsoft 365 内部インフラストラクチャの両方を維持、トラブルシューティング、保護するために重要です。 Microsoft 365 が動作する規模のため、監査ログの収集と処理は、効率的で効果的な監視を確保するために戦略的に管理する必要があります。 ログは情報システムの正常性とセキュリティに関する豊富な情報を提供するため、収集するログ データの種類を決定することは、効果的な監視にとって非常に重要です。 ただし、効果的な監視には、ログ データの永続的なストリームから意味のある実用的な信号を検出する機能が必要です。 Microsoft 365 では、システム コンポーネントがログに記録しなければならないイベントの種類と、記録されたイベントに含まれていなければならないデータを明確に定義することで、これを実現しています。
監査可能なイベントの定義
ログ データから意味のあるシグナルを識別するには、すべてのシステム コンポーネント全体で一貫してイベントの監査を行うことが重要です。 Microsoft 365 セキュリティ チームは、Microsoft 365 全体で収集する必要があるベースライン ログの定義を担当します。これには、セキュリティ監視とインシデント対応に関する関心のあるイベントや、サービスの正常性をサポートし、システムの問題を特定するための診断イベントが含まれます。 監査可能なイベントと関連データの一覧は、進行中のリスク評価、Microsoft 365 セキュリティ標準、ビジネス要件、コンプライアンス要件によって通知されます。 Microsoft 365 セキュリティ チームが定義する監査イベントのリストに加えて、サービス チームがサービスに関する追加のロギングの要件を定義する可能性もあります。
監査可能なイベントのリストには、セキュリティ ログやアプリケーション ログからのオペレーティング システム イベント、ホスト ベースの侵入検出システム、アクセス制御に関連するイベントが含まれています。 たとえば、すべての Microsoft 365 サービスは、特権アクセスを監査する必要があります。 Microsoft 365 の運用環境での特権アクセスは、ロックボックスとカスタマー ロックボックスによって管理されており、ゼロ常駐アクセス (ZSA) を強制しています。 すべての Just-In-Time (JIT) アクセス要求は、ロックボックスとカスタマー ロックボックスを通して記録されます。 また、一時的な JIT アクセスを使用してサービス チームのエンジニアが実行した特権コマンドは、一元的なロギングとレポートの作成により、ログに記録され利用可能となります。 これらのアクセス制御イベントは、セキュリティ監視やインシデント調査に不可欠なデータを提供します。 また、Microsoft の担当者が顧客のテナントに関して実行したカスタマー ロックボックスのアクションの監査可能なレコードを顧客へと提供します。
Microsoft 365 セキュリティ チームは、監査可能なイベントのリストを見直して更新し、新しい脅威、システムの変更、過去のインシデントから得られた教訓、変化するコンプライアンス要件について考慮します。 少なくとも、このレビューは毎年行われますが、サービス レベルの監査可能なイベントは、システムに大幅な変更が加えられるたびにレビューおよび更新されます。 アプリケーション固有のイベントについては、サービスの見直しや機能マイルストーンの計画フェーズで見直され、更新されます。 また、Microsoft 365 セキュリティ チームは、個々のサービス チームが特定のニーズを満たすように監査機能をガイドするのにも役立ちます。 Microsoft の規模により、キャプチャされたデータの量と、それを格納および処理する機能とのバランスが取れている必要があります。 収集されたログ データの種類を選択することで、Microsoft は情報システムの正常性とセキュリティを効率的かつ効果的な方法で維持できます。 そのため、Microsoft 365 Services のログ記録要件には、各システム コンポーネントによってキャプチャする必要があるイベントと、ログに記録された各イベントに含める必要があるデータが含まれます。 監査可能なイベントの一覧を継続的に確認および更新することで、Microsoft は、セキュリティの脅威を検出して対応し、お客様に最適なサービスを提供し、コンプライアンス要件を満たすために必要なデータを活用できます。
イベントの内容
Microsoft が収集するイベントの種類と同じくらい重要なのが、これらのイベントに含まれているデータです。 ログに記録されたイベントは、正確なモニタリングと効果的なインシデント調査のサポートに十分な情報を持っている必要があります。 Microsoft 365 セキュリティでは、発生したイベントの種類やその発生源と結果を判断するために十分な情報がログ エントリに含まれていることが求められます。 正しい時間順序を確立するために、すべてのイベントに世界協定時刻 (UTC) に基づくタイムスタンプを付与する必要があります。 さらにイベント ログには、イベントが発生した場所、イベントに関与したユーザーまたはシステム ホスト、イベントの種類に関連するその他の詳細情報を記録する必要があります。 たとえば、ネットワーク イベントに関連するイベント固有の詳細情報は、ソース ホスト名やターゲットホスト名とともに、使用されたネットワーク アドレスやプロトコルを含む場合があります。 イベント内容の要件を標準化することで、Microsoft のログが目的に応じて必要とされるレベルの詳細情報を提供できるようになります。
ログ出力ポリシーを強制する
Microsoft 365 では、展開プロセスの一環として、コンピューター レベルでのロギングの要件を強制しています。 ベースライン イメージには、Office データ ローダー (ODL) と呼ばれるカスタム ログ エージェントが含まれています。 ODL は、Microsoft 365 セキュリティ で定義されているイベントを収集し、これらのイベントを中央サービスに送信して処理や保存を行うように構成されています。 ログ データは送信中に暗号化され、中央のログ ストレージ サービスにアップロードされる前に、エンド ユーザーの識別可能な情報は消去されます。