Řízení zabezpečení V2: Protokolování a detekce hrozeb
Poznámka
Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.
Protokolování a detekce hrozeb se zabývá ovládacími prvky pro detekci hrozeb v Azure a povolení, shromažďování a ukládání protokolů auditu pro služby Azure. To zahrnuje povolení procesů detekce, vyšetřování a nápravy pomocí ovládacích prvků pro generování vysoce kvalitních výstrah s nativní detekcí hrozeb ve službách Azure; Zahrnuje také shromažďování protokolů pomocí služby Azure Monitor, centralizovanou analýzu zabezpečení pomocí azure Sentinelu, synchronizace času a uchovávání protokolů.
Pokud chcete zobrazit příslušné integrované Azure Policy, přečtěte si podrobnosti o integrované iniciativě dodržování právních předpisů srovnávacích testů zabezpečení Azure: Protokolování a detekce hrozeb
LT-1: Povolení detekce hrozeb pro prostředky Azure
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Ujistěte se, že monitorujete různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních upozornění, abyste snížili falešně pozitivní výsledky pro analytiky, aby je mohli řadit. Výstrahy můžou být zdrojem dat protokolu, agentů nebo jiných dat.
Použijte Azure Defender, který je založený na monitorování telemetrie služeb Azure a analýze protokolů služeb. Data se shromažďují pomocí agenta Log Analytics, který čte různé konfigurace související se zabezpečením a protokoly událostí ze systému a kopíruje data do pracovního prostoru pro účely analýzy.
Kromě toho můžete pomocí Azure Sentinelu vytvářet analytická pravidla, která loví hrozby, které odpovídají konkrétním kritériím ve vašem prostředí. Pravidla generují incidenty při porovnávání kritérií, abyste mohli prošetřit jednotlivé incidenty. Azure Sentinel může také importovat inteligentní informace o hrozbách třetích stran, aby se zlepšila jeho schopnost detekce hrozeb.
Referenční příručka k upozorněním zabezpečení Azure Security Center
Vytváření vlastních analytických pravidel pro detekci hrozeb
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-2 | 6.8 | AU-3, AU-6, AU-12, SI-4 |
Azure AD poskytuje následující protokoly uživatelů, které je možné zobrazit v sestavách Azure AD nebo integrovat se službou Azure Monitor, Azure Sentinel nebo jinými nástroji pro monitorování a monitorování pro sofistikovanější případy použití monitorování a analýzy:
Přihlášení – Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.
Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny jakýchkoli prostředků v rámci Azure AD, jako jsou přidání nebo odebrání uživatelů, aplikací, skupin, rolí nebo zásad.
Riziková přihlášení – Rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.
Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.
Azure Security Center může také upozorňovat na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření a zastaralé účty v předplatném. Kromě základního monitorování hygieny zabezpečení může Azure Defender shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (jako jsou virtuální počítače, kontejnery, app service), datové prostředky (například DATABÁZE SQL a úložiště) a vrstvy služeb Azure. Tato funkce umožňuje zobrazit anomálie účtů v jednotlivých prostředcích.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
LT-3: Povolení protokolování pro síťové aktivity Azure
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Povolte a shromážděte protokoly prostředků skupiny zabezpečení sítě( NSG), protokoly toku NSG, protokoly Azure Firewall a protokoly Web Application Firewall (WAF) pro účely analýzy zabezpečení za účelem podpory vyšetřování incidentů, vyhledávání hrozeb a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru Služby Log Analytics služby Azure Monitor a pak použít Traffic Analytics k poskytování přehledů.
Ujistěte se, že shromažďujete protokoly dotazů DNS, které vám pomůžou při korelaci dalších síťových dat.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
LT-4: Povolení protokolování pro prostředky Azure
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Povolte protokolování prostředků Azure tak, aby splňovaly požadavky na dodržování předpisů, detekci hrozeb, proaktivní vyhledávání a vyšetřování incidentů.
Můžete použít Azure Security Center a Azure Policy k povolení protokolů prostředků a shromažďování dat protokolů v prostředcích Azure pro přístup k auditování, zabezpečení a protokolům prostředků. Protokoly aktivit, které jsou automaticky dostupné, zahrnují zdroj událostí, datum, uživatele, časové razítko, zdrojové adresy, cílové adresy a další užitečné prvky.
Odpovědnost: Sdílené
Účastníci zabezpečení zákazníků (další informace):
Zabezpečení infrastruktury a koncových bodů
LT-5: Centralizace správy a analýz protokolu zabezpečení
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Centralizované ukládání a analýza protokolování pro povolení korelace. Pro každý zdroj protokolů se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování a přístupu k datům, a požadavky na uchovávání dat.
Ujistěte se, že integrujete protokoly aktivit Azure do centrálního protokolování. Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných zařízeními koncových bodů, síťovými prostředky a dalšími systémy zabezpečení Ve službě Azure Monitor můžete pomocí pracovních prostorů Služby Log Analytics dotazovat a provádět analýzy a používat účty Azure Storage pro dlouhodobé a archivní úložiště.
Kromě toho povolte a připojte data do Služby Azure Sentinel nebo siEM jiného výrobce.
Mnoho organizací se rozhodne používat Azure Sentinel pro "horká" data, která se používají často, a Azure Storage pro "studená" data, která se používají méně často.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
LT-6: Konfigurace uchovávání úložiště protokolů
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-6 | 6.4 | AU-3, AU-11 |
Nakonfigurujte uchovávání protokolů podle vašich požadavků na dodržování předpisů, nařízení a obchodní požadavky.
Ve službě Azure Monitor můžete nastavit dobu uchovávání pracovního prostoru služby Log Analytics podle předpisů vaší organizace. Pro dlouhodobé a archivní úložiště používejte účty pracovního prostoru Azure Storage, Data Lake nebo Log Analytics.
Odpovědnost: Zákazník
Účastníci zabezpečení zákazníků (další informace):
LT-7: Použití schválených zdrojů synchronizace času
| Azure ID | Ovládací prvky CIS v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-7 | 6.1 | AU-8 |
Microsoft udržuje časové zdroje pro většinu služeb Azure PaaS a SaaS. Pokud nemáte konkrétní požadavek, použijte pro synchronizaci času výchozí server NTP od Microsoftu. Pokud potřebujete vystát vlastní server protokolu NTP (Network Time Protocol), ujistěte se, že zabezpečíte port služby UDP 123.
Všechny protokoly vygenerované prostředky v Rámci Azure poskytují časové razítko s časovým pásmem určeným ve výchozím nastavení.
Jak nakonfigurovat synchronizaci času pro výpočetní prostředky Azure Windows
Jak nakonfigurovat synchronizaci času pro výpočetní prostředky Azure s Linuxem
Odpovědnost: Sdílené
Účastníci zabezpečení zákazníků (další informace):