Sdílet prostřednictvím

Řízení zabezpečení v3: Protokolování a detekce hrozeb

  • Článek

Protokolování a detekce hrozeb zahrnují ovládací prvky pro detekci hrozeb v Azure a povolení, shromažďování a ukládání protokolů auditu pro služby Azure, včetně povolení procesů detekce, vyšetřování a nápravy s ovládacími prvky pro generování vysoce kvalitních výstrah s nativní detekcí hrozeb ve službách Azure. Zahrnuje také shromažďování protokolů pomocí služby Azure Monitor, centralizaci analýzy zabezpečení pomocí Služby Azure Sentinel, synchronizaci času a uchovávání protokolů.

LT-1: Povolení možností detekce hrozeb

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Princip zabezpečení: Pokud chcete podporovat scénáře detekce hrozeb, monitorujte známé a očekávané hrozby a anomálie u všech známých typů prostředků. Nakonfigurujte pravidla filtrování a analýzy upozornění tak, aby extrahovali vysoce kvalitní výstrahy z dat protokolů, agentů nebo jiných zdrojů dat, abyste snížili počet falešně pozitivních výsledků.

Pokyny k Azure: Využijte možnosti detekce hrozeb služeb Azure Defender v Microsoft Defender pro cloud pro příslušné služby Azure.

Informace o detekci hrozeb, které nejsou součástí služeb Azure Defender, najdete v referenčních hodnotách služby Azure Security Benchmark pro příslušné služby, abyste v rámci služby povolili možnosti detekce hrozeb nebo výstrah zabezpečení. Extrahujte upozornění do služby Azure Monitor nebo Azure Sentinel a sestavte analytická pravidla, která budou pronásledovat hrozby, které odpovídají konkrétním kritériím v rámci vašeho prostředí.

V prostředích OT (Operational Technology), mezi která patří počítače, které řídí nebo monitorují prostředky systému ICS (Industrial Control System) nebo SCADA (Supervisory Control and Data Acquisition), použijte Defender for IoT k inventarizaci prostředků a detekci hrozeb a ohrožení zabezpečení.

U služeb, které nemají nativní detekci hrozeb, zvažte shromažďování protokolů roviny dat a analýzu hrozeb prostřednictvím Služby Azure Sentinel.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

LT-2: Povolení detekce hrozeb pro správu identit a přístupu

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Princip zabezpečení: Zjišťujte hrozby pro identity a správu přístupu monitorováním anomálií přístupu uživatelů a aplikací. Měly by se zobrazit upozornění na vzorce chování, jako je nadměrný počet neúspěšných pokusů o přihlášení a zastaralé účty v předplatném.

Pokyny pro Azure: Azure AD poskytuje následující protokoly, které je možné zobrazit v Azure AD generování sestav nebo integrovat se službou Azure Monitor, Azure Sentinel nebo jinými nástroji SIEM/monitorování pro sofistikovanější případy monitorování a analýzy:

  • Přihlášení: Sestava přihlášení obsahuje informace o používání spravovaných aplikací a aktivitách přihlašování uživatelů.
  • Protokoly auditu: Umožňuje sledovat prostřednictvím protokolů všechny změny provedené různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny jakýchkoli prostředků v rámci Azure AD, jako jsou přidání nebo odebrání uživatelů, aplikací, skupin, rolí nebo zásad.
  • Riziková přihlášení: Rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.
  • Uživatelé označení příznakem rizika: Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožen.

Azure AD také poskytuje modul Identity Protection pro zjišťování a nápravu rizik souvisejících s uživatelskými účty a přihlašováním. Mezi rizika patří únik přihlašovacích údajů, přihlášení z anonymních IP adres nebo IP adres propojených s malwarem nebo sprej hesel. Zásady v Azure AD Identity Protection umožňují vynucovat ověřování vícefaktorového ověřování na základě rizik ve spojení s podmíněným přístupem Azure u uživatelských účtů.

Kromě toho je možné nakonfigurovat Microsoft Defender pro cloud tak, aby upozorňovala na zastaralé účty v předplatném a na podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření. Kromě základního monitorování hygieny zabezpečení může modul ochrany před internetovými útoky Microsoft Defender for Cloud shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (jako jsou virtuální počítače, kontejnery, app service), datových prostředků (jako je DATABÁZE SQL a úložiště) a vrstev služby Azure. Tato funkce umožňuje zobrazit anomálie účtů uvnitř jednotlivých prostředků.

Poznámka: Pokud připojujete místní Active Directory pro synchronizaci, použijte řešení Microsoft Defender for Identity k využití místní Active Directory signály k identifikaci, zjišťování a zkoumání pokročilých hrozeb, ohrožených identit a škodlivých akcí insiderů zaměřených na vaši organizaci.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

LT-3: Povolení protokolování pro šetření zabezpečení

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Princip zabezpečení: Povolte protokolování pro cloudové prostředky, aby splňovaly požadavky na šetření incidentů zabezpečení a pro účely reakce zabezpečení a dodržování předpisů.

Pokyny k Azure: Povolte protokolování pro prostředky na různých úrovních, jako jsou protokoly pro prostředky Azure, operační systémy a aplikace uvnitř virtuálních počítačů a další typy protokolů.

Mějte na paměti různé typy protokolů pro zabezpečení, audit a další protokoly operací na úrovních roviny správy/řízení a roviny dat. Na platformě Azure jsou k dispozici tři typy protokolů:

  • Protokol prostředků Azure: Protokolování operací prováděných v rámci prostředku Azure (rovina dat). Například získání tajného kódu z trezoru klíčů nebo vytvoření požadavku na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
  • Protokol aktivit Azure: Protokolování operací s každým prostředkem Azure ve vrstvě předplatného z vnějšku (roviny správy). Protokol aktivit můžete použít k určení toho, co, kdo a kdy u všech operací zápisu (PUT, POST, DELETE) provedly prostředky ve vašem předplatném. Pro každé předplatné Azure existuje jeden protokol aktivit.
  • Protokoly Azure Active Directory: Protokoly historie aktivit přihlašování a záznamu auditu změn provedených v Azure Active Directory pro konkrétního tenanta.

Můžete také použít Microsoft Defender for Cloud a Azure Policy k povolení protokolů prostředků a shromažďování dat protokolů v prostředcích Azure.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

LT-4: Povolení protokolování sítě pro účely šetření zabezpečení

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10,8

Princip zabezpečení: Povolte protokolování síťových služeb, aby podporovalo vyšetřování incidentů souvisejících se sítí, proaktivní vyhledávání hrozeb a generování výstrah zabezpečení. Protokoly sítě můžou obsahovat protokoly ze síťových služeb, jako je filtrování IP adres, síťová brána firewall a brána firewall aplikací, DNS, monitorování toků atd.

Pokyny k Azure: Povolte a shromážděte protokoly prostředků skupiny zabezpečení sítě (NSG), protokoly toků NSG, protokoly Azure Firewall a protokoly Web Application Firewall (WAF) pro účely analýzy zabezpečení pro podporu vyšetřování incidentů a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru služby Azure Monitor Log Analytics a pak použít Traffic Analytics k poskytování přehledů.

Shromážděte protokoly dotazů DNS, které vám pomůžou při korelaci dalších síťových dat.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

LT-5: Centralizace správy a analýz protokolu zabezpečení

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4

Princip zabezpečení: Centralizace úložiště protokolování a analýzy za účelem zajištění korelace mezi daty protokolů Pro každý zdroj protokolu se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování a přístupu k datům a požadavky na uchovávání dat.

Pokyny k Azure: Ujistěte se, že integrujete protokoly aktivit Azure do centralizovaného pracovního prostoru služby Log Analytics. Azure Monitor slouží k dotazování a provádění analýz a vytváření pravidel upozornění pomocí protokolů agregovaných ze služeb Azure, koncových zařízení, síťových prostředků a dalších systémů zabezpečení.

Kromě toho povolte a připojte data do služby Azure Sentinel, která poskytuje možnost správy událostí informací o zabezpečení (SIEM) a funkce soAR (Security Orchestraation Automated Response).

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

LT-6: Konfigurace uchovávání úložiště protokolů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Princip zabezpečení: Naplánujte si strategii uchovávání protokolů podle vašich požadavků na dodržování předpisů, předpisy a obchodní požadavky. Nakonfigurujte zásady uchovávání protokolů v jednotlivých službách protokolování, abyste zajistili, že se protokoly správně archivují.

Pokyny k Azure: Protokoly, jako jsou události protokolů aktivit Azure, se uchovávají po dobu 90 dnů a pak se odstraní. Měli byste vytvořit nastavení diagnostiky a směrovat položky protokolu do jiného umístění (například do pracovního prostoru Služby Log Analytics služby Azure Monitor, služby Event Hubs nebo služby Azure Storage) podle svých potřeb. Tato strategie se vztahuje také na ostatní protokoly prostředků a prostředky, které spravujete sami, jako jsou protokoly v operačních systémech a aplikacích uvnitř virtuálních počítačů.

Máte možnost uchovávání protokolů, jak je uvedeno níže:

  • Pracovní prostor služby Azure Monitor Log Analytics použijte po dobu uchovávání protokolů až 1 rok nebo podle požadavků týmu odpovědí.
  • Azure Storage, Data Explorer nebo Data Lake použijte k dlouhodobému a archivačnímu úložišti po dobu delší než 1 rok a ke splnění požadavků na dodržování předpisů zabezpečení.
  • K předávání protokolů mimo Azure použijte Azure Event Hubs.

Poznámka: Azure Sentinel používá pracovní prostor služby Log Analytics jako back-end pro ukládání protokolů. Pokud plánujete uchovávat protokoly SIEM po delší dobu, měli byste zvážit dlouhodobou strategii ukládání.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

LT-7: Použití schválených zdrojů synchronizace času

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
8.4 AU-8 10.4

Princip zabezpečení: Pro časové razítko protokolování použijte schválené zdroje synchronizace času, mezi které patří data, čas a informace o časovém pásmu.

Pokyny k Azure: Microsoft udržuje časové zdroje pro většinu služeb Azure PaaS a SaaS. Pro operační systémy výpočetních prostředků použijte k synchronizaci času výchozí server NTP od Microsoftu, pokud nemáte konkrétní požadavek. Pokud potřebujete postavit svůj vlastní server NTP (Network Time Protocol), ujistěte se, že jste zabezpečili port služby UDP 123.

Všechny protokoly generované prostředky v Rámci Azure poskytují časová razítka s časovým pásmem určeným ve výchozím nastavení.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):