探索 Microsoft 365 日志分析和报告

已完成

无论系统收集什么日志数据,审核日志记录仅在可用于生成有意义的警报和可操作报告时才有用。 Microsoft 365 使用接近实时的分析日志数据的自动化系统来支持持续的安全性和服务运行状况监视。

大规模安全监视和响应

安全监视的原则 - 警报必须可靠:我们需要具有各种不同攻击者行为的信号和逻辑。- 警报必须准确:我们必须发出有意义的警报,以避免噪音的干扰。- 警报必须快速:我们必须足够快地捕获攻击者来阻止他们

Microsoft 365 对其系统进行持续安全监视,以检测和响应对 Microsoft 365 服务的威胁。 自动化、规模化和基于云的解决方案是我们监视和响应策略的关键支柱。 为了有效捕获和停止某些 Microsoft 365 核心服务规模的攻击,我们的监视系统需要近乎实时地自动发出高度准确的警报。 同样,当检测到问题时,我们需要能够大规模降低风险 - 我们无法依靠团队成员一台台手动修复问题。 为了大规模降低风险,我们使用基于云的工具自动应用对策,并为工程师提供工具,以便在整个环境中快速应用批准的缓解措施。

我们收集的日志记录数据支持全天候安全监视和警报。 警报系统会在上传日志数据时对其进行分析,并近乎实时地生成警报。 它包括基于规则的警报和基于机器学习模型的更复杂的警报。 我们的监视逻辑远不止一般攻击方案,并融入了对服务体系结构和操作的深度感知。 我们使用安全监视数据持续改进模型,以检测新类型的攻击并提高安全监视的准确性。

此关系图显示了从服务基础结构开始到 Office 数据加载程序的数据流,该数据流然后拆分为 Cosmos 和安全监视管道,并在两者之间流动;然后,来自安全监视管道的数据将流向分析工具仪表板以及警报和自动化。

当我们需要采取措施来响应警报或在整个服务中进一步调查获取证据时,基于云的工具使我们能够在整个环境中快速响应。 这些工具包括完全自动化的智能代理,后者可通过安全应对措施来响应检测到的威胁。 许多情况下,这些代理会部署自动应对措施来大规模缓解安全检测,而无需人工干预。 如果无法执行此操作,安全监视系统会自动向相应的待命工程师发出警报,这些工程师配备有一组工具,使其能够实时采取行动来大规模缓解检测到的威胁。 安全监视活动检测到的潜在安全事件将呈报给 Microsoft 365 安全响应团队,并使用安全事件响应流程进行解决。

服务运行状况监视

除了安全监视之外,作为服务运行状况监视的一部分,服务团队还会分析其服务的日志数据。 服务运行状况监视有助于识别与系统性能、用户体验和基线服务使用偏差相关的潜在问题。 系统会通过自动警报,向服务团队工程师报告影响可用性的服务运行状况问题。 许多情况下,我们的服务使用自动自我修复措施自动响应服务运行状况问题,例如,从复制区域还原损坏的数据或自动横向扩展服务以应对增加的负载。

除了解决短期问题外,服务团队还使用服务运行状况趋势数据,制定容量规划和其他长期战略目标,始终让客户获得最佳服务体验。 服务团队将服务性能和用户体验数据整合到功能规划中,确保我们的服务继续满足客户需求。