Sdílet prostřednictvím

Řízení zabezpečení: Protokolování a detekce hrozeb

Protokolování a detekce hrozeb zahrnují kontroly pro detekci hrozeb v cloudu a povolení, shromažďování a ukládání protokolů auditu pro cloudové služby, včetně povolení detekce, vyšetřování a nápravných procesů s ovládacími prvky pro generování vysoce kvalitních výstrah s nativní detekcí hrozeb v cloudových službách; Zahrnuje také shromažďování protokolů s cloudovou monitorovací službou, centralizaci analýzy zabezpečení pomocí SIEM, synchronizace času a uchovávání protokolů.

LT-1: Povolení možností detekce hrozeb

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Princip zabezpečení: Pokud chcete podporovat scénáře detekce hrozeb, monitorujte všechny známé typy prostředků pro známé a očekávané hrozby a anomálie. Nakonfigurujte pravidla filtrování a analýzy výstrah tak, aby extrahovali vysoce kvalitní výstrahy z dat protokolu, agentů nebo jiných zdrojů dat, aby se snížil počet falešně pozitivních výsledků.

Doprovodné materiály k Azure: Využijte funkci detekce hrozeb v programu Microsoft Defender for Cloud pro příslušné služby Azure.

Informace o detekci hrozeb, které nejsou součástí služeb Microsoft Defenderu, najdete v směrných plánech služby Microsoft Cloud Security Benchmark pro příslušné služby a povolte tak možnosti detekce hrozeb nebo výstrah zabezpečení v rámci služby. Ingestování výstrah a dat protokolu z Programu Microsoft Defender pro cloud, Microsoft 365 Defender a protokolování dat z jiných prostředků do instancí služby Azure Monitor nebo Microsoft Sentinel za účelem vytváření analytických pravidel, která detekují hrozby a vytvářejí výstrahy, které odpovídají konkrétním kritériím ve vašem prostředí.

Pro prostředí OT (Operational Technology), která zahrnují počítače, které řídí nebo monitorují prostředky ICS (Industrial Control System) nebo SCADA (Supervisory Control and Data Acquisition), použijte Microsoft Defender for IoT k inventarizaci prostředků a detekci hrozeb a ohrožení zabezpečení.

U služeb, které nemají nativní funkci detekce hrozeb, zvažte shromažďování protokolů roviny dat a analýzu hrozeb prostřednictvím služby Microsoft Sentinel.

Implementace Azure a další kontext:

Pokyny pro AWS: K detekci hrozeb použijte Amazon GuardDuty, která analyzuje a zpracovává následující zdroje dat: protokoly toků VPC, protokoly událostí správy AWS CloudTrail, protokoly událostí cloudTrail S3, protokoly auditu EKS a protokoly DNS. GuardDuty dokáže hlásit problémy se zabezpečením, jako je eskalace oprávnění, zveřejnění využití přihlašovacích údajů nebo komunikace se škodlivými IP adresami nebo doménami.

Nakonfigurujte AWS Config tak, aby kontrolovali pravidla v SecurityHubu pro monitorování dodržování předpisů, jako je posun konfigurace, a v případě potřeby vytvořte zjištění.

U detekce hrozeb, které nejsou součástí GuardDuty a SecurityHubu, povolte možnosti detekce hrozeb nebo výstrah zabezpečení v rámci podporovaných služeb AWS. Extrahujte výstrahy do služby CloudTrail, CloudWatch nebo Microsoft Sentinel a vytvořte analytická pravidla, která proaktivují hrozby odpovídající konkrétním kritériím ve vašem prostředí.

K monitorování určitých služeb v AWS, jako jsou instance EC2, můžete také použít Microsoft Defender for Cloud.

Pro prostředí OT (Operational Technology), která zahrnují počítače, které řídí nebo monitorují prostředky ICS (Industrial Control System) nebo SCADA (Supervisory Control and Data Acquisition), použijte Microsoft Defender for IoT k inventarizaci prostředků a detekci hrozeb a ohrožení zabezpečení.

Implementace AWS a další kontext:

Pokyny pro GCP: Detekce hrozeb událostí v Google Cloud Security Command Center je využívána pro detekci hrozeb pomocí dat z logů, jako jsou Aktivita správců, Přístup k datům GKE, Protokoly toku VPC, Cloud DNS a Protokoly brány firewall.

Kromě toho použijte sadu Security Operations Suite pro moderní SOC s Chronicle SIEM a SOAR. Chronicle SIEM a SOAR poskytují možnosti detekce, vyšetřování a proaktivního vyhledávání hrozeb.

K monitorování určitých služeb v GCP, jako jsou instance výpočetních virtuálních počítačů, můžete také použít Microsoft Defender for Cloud.

Pro prostředí OT (Operational Technology), která zahrnují počítače, které řídí nebo monitorují prostředky ICS (Industrial Control System) nebo SCADA (Supervisory Control and Data Acquisition), použijte Microsoft Defender for IoT k inventarizaci prostředků a detekci hrozeb a ohrožení zabezpečení.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

LT-2: Povolení detekce hrozeb pro správu identit a přístupu

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Princip zabezpečení: Detekce hrozeb pro identity a správu přístupu monitorováním přihlašování uživatelů a aplikací a přístupových anomálií. Mělo by být upozorněno na vzorce chování, jako je nadměrný počet neúspěšných pokusů o přihlášení a neplatné účty v předplatném.

Pokyny k Azure: Azure AD poskytuje následující protokoly, které je možné zobrazit v sestavách Azure AD nebo integrovat se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a analýzy pro sofistikovanější případy použití monitorování a analýz:

  • Přihlášení: Sestava přihlášení poskytuje informace o používání spravovaných aplikací a uživatelských přihlašovacích aktivitách.
  • Protokoly auditu: Poskytuje sledovatelnost prostřednictvím protokolů pro všechny změny provedené různými funkcemi v Rámci Azure AD. Mezi příklady protokolů auditu patří změny všech prostředků v Azure AD, jako je přidání nebo odebrání uživatelů, aplikací, skupin, rolí a zásad.
  • Rizikové přihlášení: Rizikové přihlášení je indikátor pokusu o přihlášení, který mohl provést někdo, kdo není oprávněným vlastníkem uživatelského účtu.
  • Uživatelé označení příznakem rizika: Rizikový uživatel je indikátorem pro uživatelský účet, který mohl být ohrožen.

Azure AD také poskytuje modul Identity Protection, který umožňuje zjišťovat a opravovat rizika související s uživatelskými účty a chováním při přihlašování. Mezi příklady rizik patří úniky přihlašovacích údajů, přihlášení z anonymních nebo malwarových IP adres propojených s heslem, password spray. Zásady ve službě Azure AD Identity Protection umožňují vynucovat ověřování vícefaktorového ověřování na základě rizik ve spojení s podmíněným přístupem Azure u uživatelských účtů.

Microsoft Defender for Cloud je navíc možné nakonfigurovat tak, aby upozorňoval na zastaralé účty v předplatném a podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření. Kromě základního monitorování hygieny zabezpečení může modul Microsoft Defender for Cloud Threat Protection shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (jako jsou virtuální počítače, kontejnery, app service), datové prostředky (například SQL DB a úložiště) a vrstvy služeb Azure. Tato funkce umožňuje zobrazit anomálie účtů uvnitř jednotlivých prostředků.

Poznámka: Pokud připojujete místní Active Directory k synchronizaci, použijte řešení Microsoft Defenderu for Identity k identifikaci, zjišťování a zkoumání pokročilých hrozeb, kompromitovaných identit a škodlivé činnosti uvnitř vaší organizace.

Implementace Azure a další kontext:

Pokyny pro AWS: AWS IAM poskytuje následující záznamy a sestavy pro aktivity uživatelů konzole pomocí Access Advisor IAM a zprávy o přihlašovacích údajích IAM.

  • Každé úspěšné přihlášení a neúspěšné pokusy o přihlášení.
  • Stav vícefaktorového ověřování (MFA) pro každého uživatele
  • Neaktivní uživatel IAM

Pro monitorování přístupu na úrovni rozhraní API a detekci hrozeb použijte Amazon GuadDuty k identifikaci zjištění souvisejících s IAM. Mezi příklady těchto zjištění patří:

  • Rozhraní API použité k přístupu do prostředí AWS bylo použito neobvyklým způsobem nebo bylo použito k obejití obranných opatření.
  • Rozhraní API slouží k:
    • zjišťování prostředků byla vyvolána neobvyklým způsobem.
    • Sběr dat z prostředí AWS byl vyvolán neobvyklým způsobem.
    • manipulace s daty nebo procesy v prostředí AWS proběhla neobvyklým způsobem.
    • získání neoprávněného přístupu k prostředí AWS bylo vyvoláno neobvyklým způsobem.
    • Způsob, jakým byl neoprávněný přístup k prostředí AWS vyvolán, byl neobvyklý.
    • Oprávnění na vysoké úrovni k prostředí AWS bylo vyžádáno neobvyklým způsobem.
    • vyvolána ze známé škodlivé IP adresy.
    • vyvolána pomocí kořenových přihlašovacích údajů.
  • Protokolování AWS CloudTrail bylo deaktivováno.
  • Zásady hesel účtu byly oslabovány.
  • Bylo zjištěno více úspěšných přihlášení ke konzole po celém světě.
  • Přihlašovací údaje vytvořené výhradně pro instanci EC2 prostřednictvím spouštěcí role instance se používají z jiného účtu v rámci AWS.
  • Přihlašovací údaje vytvořené výhradně pro instanci EC2 prostřednictvím spouštěcí role instance se používají z externí IP adresy.
  • Rozhraní API bylo vyvoláno ze známé škodlivé IP adresy.
  • Rozhraní API bylo vyvoláno z IP adresy ve vlastním seznamu hrozeb.
  • Rozhraní API bylo vyvoláno z IP adresy výstupního uzlu Tor.

Implementace AWS a další kontext:

Pokyny pro GCP: Použijte Detekci hrozeb událostí v Google Cloud Security Command Center pro určité typy detekce hrozeb souvisejících se službou IAM, jako je detekce událostí, kdy neaktivní spravovaný uživatelský účet služby obdržel jednu nebo více citlivých rolí IAM.

Mějte na paměti, že protokoly Identity Google i protokoly Google Cloud IAM vytvářejí protokoly aktivit správce, ale pro jiný rozsah. Protokoly identity Google slouží pouze pro operace odpovídající platformě Identity Platform, zatímco protokoly IAM jsou určené pro operace odpovídající IAM pro Google Cloud. Protokoly IAM obsahují záznamy volání API nebo jiné akce, které upravují konfiguraci nebo metadata prostředků. Tyto protokoly například zaznamenávají, když uživatelé vytvářejí instance virtuálních počítačů nebo mění oprávnění správy identit a přístupu.

Pomocí sestav Cloud Identity a IAM můžete zasílat upozornění na určité vzory podezřelých aktivit. Pomocí funkce Policy Intelligence můžete také analyzovat aktivity účtů služeb za účelem identifikace aktivit, jako jsou účty služeb ve vašem projektu, které se v posledních 90 dnech nepoužívaly.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

LT-3: Povolení protokolování pro šetření zabezpečení

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Princip zabezpečení: Povolte protokolování cloudových prostředků tak, aby splňovaly požadavky na vyšetřování incidentů zabezpečení a pro účely reakce na zabezpečení a dodržování předpisů.

Doprovodné materiály k Azure: Povolte protokolování prostředků na různých úrovních, jako jsou protokoly pro prostředky Azure, operační systémy a aplikace uvnitř virtuálních počítačů a dalších typů protokolů.

Mějte na paměti různé typy protokolů pro zabezpečení, audit a další provozní protokoly na úrovních roviny správy/řízení a roviny dat. Na platformě Azure jsou k dispozici tři typy protokolů:

  • Protokol prostředků Azure: Protokolování operací prováděných v rámci prostředku Azure (roviny dat). Například získání tajného kódu z trezoru klíčů nebo vytvoření požadavku na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
  • Protokol aktivit Azure: Protokolování operací na jednotlivých prostředcích Azure ve vrstvě předplatného zvenčí (roviny správy). Pomocí protokolu aktivit můžete určit, kdo a kdy pro všechny operace zápisu (PUT, POST, DELETE) pořízené s prostředky ve vašem předplatném. Pro každé předplatné Azure existuje jeden protokol aktivit.
  • Protokoly Azure Active Directory: Protokoly historie přihlašovacích aktivit a auditních záznamů změn provedených v Azure Active Directory pro konkrétního nájemce.

K povolení protokolů prostředků a shromažďování dat protokolů u prostředků Azure můžete použít také Microsoft Defender for Cloud a Azure Policy.

Implementace Azure a další kontext:

Pokyny pro AWS: Protokolování AWS CloudTrail pro události správy (operace řídicí roviny) a datové události (operace roviny dat) a monitorování těchto tras pomocí CloudWatch pro automatizované akce.

Služba Amazon CloudWatch Logs umožňuje shromažďovat a ukládat protokoly z vašich prostředků, aplikací a služeb téměř v reálném čase. Existují tři hlavní kategorie protokolů:

  • Odeslané protokoly: Protokoly nativně publikované službami AWS vaším jménem. V současné době jsou protokoly toku Amazon VPC a protokoly Amazon Route 53 dva podporované typy. Tyto dva protokoly jsou ve výchozím nastavení povolené.
  • Protokoly publikované službami AWS: Protokoly z více než 30 služeb AWS se publikují do CloudWatch. Patří mezi ně Amazon API Gateway, AWS Lambda, AWS CloudTrail a mnoho dalších. Tyto protokoly je možné povolit přímo ve službách a cloudwatch.
  • Vlastní protokoly: Protokoly z vlastní aplikace a místních prostředků. Tyto protokoly možná budete muset shromáždit tak, že do operačních systémů nainstalujete agenta CloudWatch a předáte je do CloudWatch.

Zatímco mnoho služeb publikuje protokoly pouze do protokolů CloudWatch, některé služby AWS můžou publikovat protokoly přímo do AmazonS3 nebo Amazon Kinesis Data Firehose, kde můžete použít různé zásady ukládání a uchovávání protokolů.

Implementace AWS a další kontext:

Pokyny pro GCP: Povolte protokolování prostředků na různých úrovních, jako jsou protokoly pro prostředky Azure, operační systémy a aplikace uvnitř virtuálních počítačů a dalších typů protokolů.

Mějte na paměti různé typy protokolů pro zabezpečení, audit a další provozní protokoly na úrovních roviny správy/řízení a roviny dat. Služba protokolování cloudu Operations Suite shromažďuje a agreguje všechny typy událostí protokolu z úrovní prostředků. Protokolování cloudu podporuje čtyři kategorie protokolů:

  • Protokoly platformy – protokoly napsané vašimi službami Google Cloud
  • Protokoly komponent – podobně jako protokoly platformy, ale jsou to protokoly generované softwarovými komponentami poskytovanými společností Google, které běží ve vašich systémech.
  • Protokoly zabezpečení – hlavně protokoly auditu, které zaznamenávají aktivity správy a přístupy v rámci vašich prostředků.
  • Napsané uživatelem – protokoly napsané vlastními aplikacemi a službami
  • Protokoly s více cloudy a protokoly hybridního cloudu – protokoly od jiných poskytovatelů cloudu, jako je Microsoft Azure, a protokoly z místní infrastruktury.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

LT-4: Povolení protokolování sítě pro účely bezpečnostního šetření

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10.8

Princip zabezpečení: Povolte protokolování síťových služeb, které podporují vyšetřování incidentů souvisejících se sítí, proaktivní vyhledávání hrozeb a generování výstrah zabezpečení. Záznamy sítě mohou zahrnovat záznamy ze síťových služeb, jako je filtrování IP adres, síťový firewall, aplikační firewall, DNS, monitorování toku a tak dále.

Pokyny k Azure: Povolení a shromažďování protokolů prostředků skupiny zabezpečení sítě (NSG), protokolů toku NSG, protokolů brány Azure Firewall a protokolů firewallu webových aplikací (WAF) a protokolů z virtuálních počítačů prostřednictvím agenta shromažďování dat síťového provozu pro účely analýzy zabezpečení za účelem zajištění podpory vyšetřování incidentů a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru služby Azure Monitor Log Analytics a pak pomocí Analýzy provozu poskytnout přehledy.

Shromážděte protokoly dotazů DNS, které vám pomůžou při korelaci jiných síťových dat.

Implementace Azure a další kontext:

Pokyny pro AWS: Povolte a shromážděte síťové logy, jako jsou logy toku VPC, logy WAF a logy dotazů Překladače Route53 pro analýzu bezpečnosti, podpory vyšetřování incidentů a tvorby bezpečnostních upozornění. Protokoly je možné exportovat do CloudWatch k monitorování nebo do S3 bucketu pro import do Microsoft Sentinel pro centralizovanou analýzu.

Implementace AWS a další kontext:

Pokyny pro GCP: Většina protokolů síťových aktivit je dostupná prostřednictvím VPC Flow Logs, které zaznamenávají vzorek síťových toků odesílaných a přijatých prostředky, včetně instancí používaných jako virtuální stroje Google Compute a uzlů Kubernetes. Tyto protokoly se dají použít pro monitorování sítě, forenzní analýzy, analýzu zabezpečení v reálném čase a optimalizaci výdajů.

Protokoly toků můžete zobrazit v protokolování cloudu a exportovat protokoly do cíle, který export cloudového protokolování podporuje. Protokoly toku se agregují pomocí připojení z virtuálního počítače výpočetního stroje a exportují se v reálném čase. Přihlášením k odběru Pub/Sub můžete analyzovat protokoly toků pomocí rozhraní API streamování v reálném čase.

Poznámka: Pomocí zrcadlení paketů můžete také naklonovat provoz zadaných instancí ve vaší síti virtuálního privátního cloudu (VPC) a předat ho ke kontrole. Zrcadlení paketů zachycuje veškerý provoz a paketová data, včetně datových částí a hlaviček.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

LT-5: Centralizovaná správa a analýza protokolů zabezpečení

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 není k dispozici

Princip zabezpečení: Centralizace úložiště a analýzy protokolování umožňující korelaci mezi daty protokolů U každého zdroje protokolů se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování a přístupu k datům a požadavky na uchovávání dat.

Pokud pro poskytovatele cloudových služeb nemáte existující řešení SIEM, použijte siEM nativní cloud. nebo agregovat protokoly nebo výstrahy do stávajícího SYSTÉMU SIEM.

Pokyny k Azure: Ujistěte se, že integrujete protokoly aktivit Azure do centralizovaného pracovního prostoru služby Log Analytics. Azure Monitor slouží k dotazování a provádění analýz a vytváření pravidel upozornění pomocí protokolů agregovaných ze služeb Azure, zařízení koncových bodů, síťových prostředků a dalších systémů zabezpečení.

Kromě toho povolte a připojte data do služby Microsoft Sentinel, která poskytuje možnosti správy událostí zabezpečení (SIEM) a orchestrace zabezpečení automatizované reakce (SOAR).

Implementace Azure a další kontext:

Pokyny pro AWS: Ujistěte se, že integrujete protokoly AWS do centralizovaného prostředku pro úložiště a analýzu. Pomocí CloudWatch můžete dotazovat a provádět analýzy a vytvářet pravidla upozornění pomocí protokolů agregovaných ze služeb AWS, služeb, zařízení koncových bodů, síťových prostředků a dalších systémů zabezpečení.

Kromě toho můžete agregovat protokoly v kontejneru úložiště S3 a připojit data protokolů do Služby Microsoft Sentinel, která poskytuje správu událostí zabezpečení (SIEM) a funkce automatické orchestrace zabezpečení (SOAR).

Implementace AWS a další kontext:

Pokyny pro GCP: Ujistěte se, že integrujete protokoly GCP do centralizovaného prostředku (například kontejneru protokolování cloudu Operations Suite) pro úložiště a analýzu. Protokolování cloudu podporuje většinu protokolování nativní služby Google Cloud a také aplikace třetích stran a místní aplikace. Protokolování cloudu můžete použít k dotazování a provádění analýz a k vytváření pravidel upozornění pomocí protokolů agregovaných ze služeb GCP, služeb, zařízení koncových bodů, síťových prostředků a dalších systémů zabezpečení.

Cloudový nativní SIEM použijte, pokud nemáte existující řešení SIEM pro CSP nebo agregujte protokoly nebo výstrahy do stávajícího SIEM.

Poznámka: Google poskytuje dvě rozhraní pro dotazování v protokolu, Průzkumník protokolů a Log Analytics, pro dotazy, zobrazení a analýzu protokolů. Při řešení potíží a zkoumání dat protokolů se doporučuje použít Průzkumník protokolů. K vygenerování přehledů a trendů se doporučuje použít Log Analytics.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

LT-6: Konfigurace uchovávání úložiště protokolů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Princip zabezpečení: Naplánujte strategii uchovávání protokolů podle vašich požadavků na dodržování předpisů, nařízení a obchodní požadavky. Nakonfigurujte zásady uchovávání protokolů u jednotlivých služeb protokolování, abyste zajistili, že se protokoly odpovídajícím způsobem archivují.

Doprovodné materiály k Azure: Protokoly, jako jsou protokoly aktivit Azure, se uchovávají po dobu 90 dnů a pak se odstraní. Měli byste vytvořit nastavení diagnostiky a směrovat protokoly do jiného umístění (například do pracovního prostoru služby Azure Monitor Log Analytics, služby Event Hubs nebo Azure Storage) podle vašich potřeb. Tato strategie se vztahuje také na jiné protokoly prostředků a prostředky spravované sami, jako jsou protokoly v operačních systémech a aplikacích uvnitř virtuálních počítačů.

Možnost uchovávání protokolů máte následující:

  • Pracovní prostor služby Azure Monitor Log Analytics můžete použít pro dobu uchovávání protokolů až 1 rok nebo podle požadavků týmu odpovědí.
  • Azure Storage, Data Explorer nebo Data Lake můžete použít pro dlouhodobé a archivní úložiště po dobu delší než 1 rok a splnění požadavků na dodržování předpisů zabezpečení.
  • Pomocí služby Azure Event Hubs předáte protokoly externímu prostředku mimo Azure.

Poznámka: Microsoft Sentinel používá pracovní prostor log Analytics jako svůj back-end pro úložiště protokolů. Pokud plánujete uchovávat protokoly SIEM delší dobu, měli byste zvážit dlouhodobou strategii úložiště.

Implementace Azure a další kontext:

Pokyny pro AWS: Ve výchozím nastavení se protokoly uchovávají po neomezenou dobu a v CloudWatch nikdy nevyprší. Můžete upravit zásady uchovávání informací pro každou skupinu protokolů, zachovat neomezenou dobu uchovávání nebo zvolit dobu uchovávání mezi 10 lety a jedním dnem.

Použijte Amazon S3 pro archivaci protokolů z CloudWatch a použijte správu životního cyklu objektů a zásady archivace v kontejneru. Azure Storage můžete použít k centrální archivaci protokolů tak, že přenesete soubory z AmazonU S3 do Azure Storage.

Implementace AWS a další kontext:

Pokyny GCP: Ve výchozím nastavení Operations Suite Cloud Logging uchovává protokoly po dobu 30 dnů, pokud nenakonfigurujete vlastní dobu uchovávání pro bucket Cloud Logging. Protokoly auditu aktivit správce, protokoly auditu událostí systému a protokoly transparentnosti přístupu se ve výchozím nastavení uchovávají 400 dnů. Protokolování cloudu můžete nakonfigurovat tak, aby se protokoly uchovály mezi 1 dnem a 3650 dny.

Cloud Storage slouží k archivaci protokolů z protokolování cloudu a použití správy životního cyklu objektů a zásad archivace v kontejneru. Azure Storage můžete použít k centrální archivaci protokolů tak, že přenesete soubory z Google Cloud Storage do Azure Storage.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):

LT-7: Použití schválených zdrojů synchronizace času

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID kódy ID PCI-DSS v3.2.1
8.4 AU-8 10.4

Princip zabezpečení: Použijte schválené zdroje synchronizace času pro časové razítko protokolování, které zahrnují informace o datu, čase a časovém pásmu.

Pokyny k Azure: Microsoft udržuje časové zdroje pro většinu služeb Azure PaaS a SaaS. Pro operační systémy výpočetních prostředků použijte pro synchronizaci času výchozí server NTP od Microsoftu, pokud nemáte konkrétní požadavek. Pokud potřebujete vytvořit vlastní server protokolu NTP (Network Time Protocol), ujistěte se, že jste zabezpečili port služby UDP 123.

Všechny protokoly vygenerované prostředky v Rámci Azure poskytují časové razítko s časovým pásmem určeným ve výchozím nastavení.

Implementace Azure a další kontext:

Pokyny pro AWS: AWS udržuje časové zdroje pro většinu služeb AWS. Pro prostředky nebo služby, ve kterých je nakonfigurované nastavení času operačního systému, použijte pro synchronizaci času výchozí službu Amazon Time Sync Service AWS, pokud nemáte konkrétní požadavek. Pokud potřebujete vytvořit vlastní server protokolu NTP (Network Time Protocol), ujistěte se, že jste zabezpečili port služby UDP 123.

Všechny protokoly vygenerované prostředky v AWS poskytují časové razítko s časovým pásmem určeným ve výchozím nastavení.

Implementace AWS a další kontext:

Pokyny pro GCP: Google Cloud udržuje časové zdroje pro většinu služeb Google Cloud PaaS a SaaS. Pro operační systémy výpočetních prostředků použijte výchozí server NTP Google Cloud pro synchronizaci času, pokud nemáte konkrétní požadavek. Pokud potřebujete vytvořit vlastní server protokolu NTP (Network Time Protocol), zajistěte zabezpečení portu služby UDP 123.

Poznámka: Doporučuje se nepoužívat externí zdroje NTP s virtuálními počítači výpočetního stroje, ale používat interní server NTP poskytovaný Googlem.

Implementace GCP a další kontext:

Zúčastněné strany zabezpečení zákazníků (Další informace):