Compartilhar via

Recolha de registos de auditoria do Microsoft 365

  • Artigo

Os registos de auditoria desempenham uma função importante na manutenção, resolução de problemas e proteção dos inquilinos dos clientes e da infraestrutura interna do Microsoft 365. Devido à escala em que o Microsoft 365 funciona, a recolha e o processamento dos registos de auditoria têm de ser estrategicamente geridos para garantir uma monitorização eficiente e eficaz.

Este artigo fornece uma descrição geral das práticas de registo de auditoria do Microsoft 365, incluindo que tipos de eventos são capturados, que informações estão contidas em cada registo, como as políticas de registo são impostas e como os dados de registo são protegidos em todas as fases do ciclo de vida.

Definindo eventos auditáveis

A equipa de Segurança do Microsoft 365 é responsável por definir os registos de linha de base que têm de ser recolhidos no Microsoft 365. Mantêm uma lista oficial de tipos de eventos que cada sistema tem de capturar, bem como os dados que cada evento registado tem de conter.

O Microsoft 365 captura dados de registo de várias origens, incluindo:

  • Logs de eventos
  • Registos do AppLocker
  • Dados de desempenho
  • Dados do System Center
  • Registos de detalhes da chamada
  • Dados de qualidade da experiência
  • Registos do Servidor Web do IIS
  • Registos do SQL Server
  • Dados do Syslog
  • Registos de auditoria de segurança

Cada um dos registos nesta lista tem de conter, pelo menos, as seguintes informações para estabelecer o tipo de evento, origem, localização, resultado, hora e entidade associadas:

  • Source User ID
  • ID de Utilizador de Destino – conforme relevante/adequado para o tipo de evento
  • Carimbo de data/hora do evento (Data e Hora)
  • Detalhes do evento
    • Tipo
    • Resultado (êxito/falha)
    • Informações detalhadas – definidas por tipo de evento
  • Source & Target Hostname – conforme relevante/apropriado para o tipo de evento
  • Endereços e protocolos de rede de destino & de origem – conforme relevante/adequado para o tipo de evento

A lista de eventos auditáveis e dados relacionados é informada por avaliações de risco em curso, normas de segurança do Microsoft 365, requisitos empresariais e requisitos de conformidade. A equipe de segurança do Microsoft 365 analisa e atualiza a lista de eventos auditáveis ​​para contabilizar novas ameaças, mudanças no sistema, lições aprendidas com incidentes anteriores e requisitos de conformidade em alteração.

As equipas de serviço podem definir requisitos de registo adicionais para o respetivo serviço, além da lista de eventos auditáveis definidos pela equipa de Segurança do Microsoft 365. Os eventos específicos do aplicativo são revisados ​​e atualizados durante as revisões de serviço e as fases de planejamento dos marcos do recurso. A equipa de Segurança do Microsoft 365 também ajuda a orientar estas equipas de serviço individuais em funções de auditoria para satisfazer as suas necessidades específicas. Os eventos auditáveis ao nível do serviço são revistos e atualizados sempre que é efetuada uma alteração significativa ao sistema.

Devido à escala da Microsoft, a quantidade de dados capturados tem de ser equilibrada com a capacidade de armazená-la e processá-la. Recolher informações sobre todos os eventos possíveis e os conteúdos aí presentes seria impraticável do ponto de vista analítico e de um recurso. Ao ser seletiva com os tipos de dados de registo recolhidos, a Microsoft pode manter o estado de funcionamento e a segurança dos respetivos sistemas de informação de forma eficiente e eficaz.

Gerenciamento centralizado

O Microsoft 365 impõe os requisitos de registo centralmente através das políticas definidas pela Equipa de Segurança do Microsoft 365. Cada sistema do Microsoft 365 tem de incluir um agente de registo personalizado, o Office Data Loader (ODL), que é instalado como parte da linha de base do sistema. O ODL impõe políticas de registo central e está configurado para recolher e enviar os eventos definidos pela Segurança do Microsoft 365 para serviços centralizados para processamento e armazenamento.

O ODL está configurado para limpar automaticamente todas as informações do utilizador final e carregar eventos em lotes a cada cinco minutos. Todos os campos que contenham dados de cliente, como informações de inquilino e informações identificáveis do utilizador final, são removidos e substituídos por um valor hash. As alterações permanentes ou irreversíveis ao conteúdo do registo de auditoria e à ordenação de tempo, para além da limpeza descrita anteriormente, são proibidas.

Os dados de registo são carregados para uma solução de monitorização de segurança proprietária para análise quase em tempo real (NRT), verificando os registos de potenciais eventos de segurança e indicadores de desempenho. Os registos também são carregados para um serviço de computação de macrodados interno (Azure Data Lake) para armazenamento de longo prazo. Todas as transferências de dados de registo ocorrem através de uma ligação TLS fips 140-2 validada para garantir a confidencialidade dos dados durante o trânsito.

A maioria dos dados de registo de auditoria armazenados no Azure Data Lake são mantidos durante pelo menos um ano para suportar investigações de incidentes de segurança e para cumprir os requisitos de retenção regulamentar. As equipas de serviço podem selecionar períodos de retenção alternativos de 90 dias ou mais para tipos específicos de dados de registo para suportar as necessidades das respetivas aplicações. As políticas de backup e retenção de log do Microsoft 365 garantem que os dados de log estão prontamente disponíveis para investigações de incidentes, relatórios de conformidade e quaisquer outros requisitos de negócios.

Controle de acesso

A Microsoft realiza uma monitorização e auditoria abrangentes de todas as operações, privilégios e delegação que ocorrem no Microsoft 365. O acesso aos dados do Microsoft 365 armazenados no Azure Data Lake está restrito a pessoal autorizado e todos os pedidos e aprovações de controlo de acesso são capturados para análise de eventos de segurança. A Microsoft revê os níveis de acesso quase em tempo real para garantir que os respetivos sistemas só podem ser acedidos por utilizadores com justificações comerciais autorizadas e que cumprem os requisitos de elegibilidade. Todo o acesso permitido é rastreável para um utilizador exclusivo.

A Microsoft restringe a gestão de registos de auditoria a um subconjunto limitado de membros da Equipa de Segurança responsáveis pela funcionalidade de auditoria. A filosofia de controlo de acesso interno da Microsoft gira em torno dos princípios de Just-In-Time (JIT) e Just-Enough-Access (JEA). Como tal, a Equipa de Segurança não tem acesso administrativo permanente ao Azure Data Lake e todas as alterações são registadas e auditadas.