Общие сведения о ведении журналов аудита и мониторинге в Microsoft 365
В облачных средах заказчики и поставщики облачных служб сообща отвечают за обеспечение безопасной и соответствующей требованиям вычислительной среды. Для определения областей ответственности при эксплуатации и обеспечении безопасности в службах Microsoft 365 корпорация Майкрософт использует модель общей ответственности. Несмотря на то что Microsoft 365 обеспечивает безопасность базовой инфраструктуры облака и облачных служб, заказчики должны знать свои обязанности по обеспечению безопасной среды клиентов для своих пользователей и данных. В контексте ведения журналов аудита и мониторинга заказчики отвечают за мониторинг собственных клиентов и пользователей в соответствии со своими организационными и нормативными требованиями.
В службах Microsoft 365 имеются широкие возможности ведения журналов, позволяющие удовлетворять организационные требования заказчиков. Эти же возможности используются для наших внутренних систем ведения журналов аудита и мониторинга. В Microsoft 365 используются функции централизованного сбора журналов и непрерывного мониторинга системы безопасности для обнаружения угроз безопасности и реагирования на них. Это позволяет получать пригодные для аудита записи действий, выполняемых сотрудниками Майкрософт, обеспечивать соответствие требованиям и выполнять наши бизнес-требования.
Наша стратегия ведения журналов аудита и мониторинга построена на четко определенных требованиях к ведению журналов, разработанных группой безопасности Microsoft 365. Данные журналов, которые мы собираем, позволяют эффективно отслеживать состояние безопасности, быстро реагировать на инциденты и обеспечивать доступность служб. Благодаря централизованному сбору журналов в защищенных репозиториях невозможно изменить записи в этих журналах, и они хранятся согласно операционным и нормативным требованиям. Чтобы можно было быстро обнаруживать угрозы безопасности и реагировать на них, наши системы мониторинга безопасности анализируют данные журналов в режиме, близком к режиму реального времени, оповещают соответствующих сотрудников и во многих случаях автоматически предпринимают необходимые контрмеры. Команды служб используют функцию централизованного ведения журналов не только для мониторинга безопасности, но и для поддержания работоспособности служб и обеспечения их оптимальной доступности для наших заказчиков.