为什么本机 Office 365 和 Azure AD 审核不够好？

Netwrix 2018云安全报告显示，云技术已经吸引了越来越多企业的关注。 42% 的受访者已准备好更广泛地采用云，其中一半计划在不久的将来在云中存储更多客户、员工和财务信息。对于许多组织来说，这意味着采用 Office 365 和 Azure AD。据微软称，Office 365 有 1.2 亿活跃企业用户，Azure AD 正在用于管理全球 500 万个组织的基础设施。
云的优势之一是它使内容共享变得非常容易。但这也是一个缺点——在 Netwrix 调查中，未经授权的访问风险位居云安全问题的首位； 69% 的受访者点出了它的名字。那么 Microsoft 如何帮助组织保护其 Office 365 和 Azure AD 部署的安全，以及本机工具有哪些限制？

Microsoft 采取了哪些措施来提高 Office 365 和 Azure AD 的安全性？

Microsoft 为帮助企业开展云安全工作做了大量工作。它推出了 Office 365 安全与合规中心，帮助用户更好地管理数据访问。它提供富有洞察力的报告，例如风险登录、风险事件和面临风险的用户，这些报告突出显示已被标记为风险的用户并列出他们的活动。它还提供安全评分，这是一种风险评估工具，可以为您提供有关提高云安全性应采取的操作的建议。在 Azure AD 中，Microsoft 正在实施条件访问策略，多重身份验证很快将成为所有 Azure 管理员的默认设置。

为什么默认的安全措施仍然不够？

然而，尽管在安全性方面取得了这些进步，但仍然存在三个重大问题，使许多组织对于仅依靠 Office 365 和 Azure AD 中的内置审核功能来确保安全性犹豫不决。

问题#1：日志保留期短

许多合规性标准要求公司存储审核日志的时间远远超过 Microsoft 的时间 — Office 365 最多为 90 天，Azure AD 为 30 天。例如，PCI DSS 要求组织将日志存储一年，而 HIPAA 则要求日志保留六年。 GDPR 没有指定特定的日志保留期限，但确实要求组织能够随时调查违规行为，Ponemon Institute 的 2017 年数据泄露成本研究发现，平均需要 206 天才能检测到数据泄露.
显然，对于需要提供合规性证据或调查大多数安全事件的公司来说，微软短暂的日志保留期是不够的，除非他们在日志数据被覆盖之前定期手动保存日志数据——这是一个乏味且容易出错的过程。因此，许多组织都在寻找能够提供可靠、自动化日志收集和经济高效的长期存储的第三方审核解决方案。

问题#2：不支持混合环境

尽管 Gartner 预测到 2021 年公共云市场将增长 160% 以上，但本地部署仍将持续一段时间。该分析公司估计，2018 年有 72% 的公司采取混合方式，这一数字与前几年相比没有太大变化，并且在不久的将来也不太可能改变。随着公司选择逐步迁移到云，他们需要一种方法来确保其本地和基于云的基础设施的安全。
Microsoft 确实提供了各种有助于云中数据访问治理和风险评估的报告，但尝试将这些报告与来自本地报告和其他多种不同格式的来源的数据集成起来既困难又耗时。为了发现主动威胁并快速调查事件，安全专业人员需要对整个 IT 基础设施进行全面分析，因此许多组织正在寻找第三方解决方案，以提供对所有系统中所有审计数据的单点访问并以统一的方式呈现数据。

问题#3：可用性问题

尽管微软不断更新和改进Office 365和Azure AD，但一些关键的可用性问题仍然没有得到解决。这包括审计报告中的过滤功能较差，以及无法按时间顺序以外的顺序对报告进行排序。 Office 365 和 Azure AD 都不提供预定义的合规性报告；用户必须将审计数据导出为 CSV 格式，并在 Excel 中手动编译审计报告——对于已经支付额外费用以获得其他功能的公司来说，这是一种可疑的乐趣。因此，组织开始寻找更灵活、更易于使用的解决方案。

Office 365 和 Azure AD 的本机审核功能可满足一些基本需求，帮助你管理数据访问并确保内容共享符合安全策略。然而，该功能不足以实现并证明符合法规和行业标准。日志保留期短、缺乏对混合环境的支持以及可用性问题促使公司寻找第三方解决方案来帮助他们简化安全性和合规性工作。