Nastavení standardních hodnot pro protokolování a monitorování

  • 5 min

Protokolování a monitorování jsou důležité požadavky při pokusu o identifikaci, detekci a zmírnění bezpečnostních hrozeb. Správná zásada protokolování umožňuje určit, kdy došlo k narušení zabezpečení. Zásady také můžou potenciálně identifikovat, kdo je zodpovědný. Protokoly aktivit Azure poskytují data o externím přístupu k prostředku a poskytují diagnostické protokoly, takže máte informace o provozu konkrétního prostředku.

Poznámka:

Protokol aktivit Azure je protokol předplatného, který poskytuje přehled o událostech na úrovni předplatného, ke kterým došlo v Azure. Pomocí protokolu aktivit můžete určit, co, kdo a kdy u jakýchkoli operací zápisu, ke kterým došlo u prostředků ve vašem předplatném.

Doporučení k zásadám protokolování

Následující části popisují doporučení zabezpečení v srovnávacím testu zabezpečení CIS Microsoft Azure Foundations v. 3.0.0 k nastavení zásad protokolování a monitorování pro vaše předplatná Azure. Součástí každého doporučení jsou základní kroky, které je potřeba provést na webu Azure Portal. Tyto kroky byste měli provést pro vlastní předplatné a pomocí vlastních prostředků ověřit každé doporučení zabezpečení. Mějte na paměti, že možnosti na úrovni 2 můžou omezovat některé funkce nebo aktivity, takže pečlivě zvažte, které možnosti zabezpečení budete nakonec vynucovat.

Ujistěte se, že existuje nastavení diagnostiky – úroveň 1.

Protokol aktivit Azure poskytuje přehled o událostech na úrovni předplatného, ke kterým došlo v Azure. Tento protokol obsahuje širokou škálu dat, od provozních dat Azure Resource Manageru až po aktualizace událostí služby Azure Service Health. Protokol aktivit se dříve označoval jako protokol auditu nebo provozní protokol. Kategorie Administrativní hlásí události řídicí roviny pro vaše předplatná.

Každé předplatné Azure má jeden protokol aktivit. Protokol poskytuje data o operacích prostředků, které pocházejí mimo Azure.

Diagnostické protokoly jsou generovány zdrojem. Diagnostické protokoly poskytují informace o provozu prostředku. U každého prostředku musíte povolit nastavení diagnostiky.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Monitor.

  2. V nabídce vlevo vyberte protokol aktivit.

  3. V nabídce protokolu aktivit vyberte Exportovat protokoly aktivit.

  4. Pokud se nezobrazují žádná nastavení, vyberte své předplatné a pak vyberte Přidat nastavení diagnostiky.

    Snímek obrazovky s podoknem Nastavení diagnostiky a vybranou možností Přidat nastavení diagnostiky

  5. Zadejte název nastavení diagnostiky a pak vyberte kategorie protokolů a podrobnosti o cíli.

  6. V řádku nabídek vyberte Uložit.

Tady je příklad vytvoření nastavení diagnostiky:

Snímek obrazovky znázorňující podokno pro vytvoření nastavení diagnostiky a vybrané možnosti

Vytvořte upozornění protokolu aktivit pro přiřazení politiky – úroveň 1

Pokud monitorujete vytvořené zásady, uvidíte, kteří uživatelé můžou vytvářet zásady. Tyto informace vám můžou pomoct zjistit porušení zabezpečení nebo nesprávnou konfiguraci prostředků Nebo předplatného Azure.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Monitor.

  2. V nabídce vlevo vyberte Výstrahy.

  3. V nabídce Výstrahy vyberte Vytvořit a pak vyberte Pravidlo upozornění.

  4. V podokně Vytvořit pravidlo upozornění vyberte Vybrat obor.

  5. V podokně Vybrat prostředek v rozevíracím seznamu Filtrovat podle typu prostředku vyberte Přiřazení zásady (policyAssignments).

  6. Vyberte prostředek, který chcete monitorovat.

  7. Vyberte Hotovo.

    Snímek obrazovky znázorňující přidání upozornění monitorování pro prostředek Azure

  8. Pro dokončení vytvoření výstrahy, dokončete kroky popsané v Vytvořte pravidlo upozornění z podokna Upozornění služby Azure Monitor.

Vytvoření upozornění protokolu aktivit pro vytvoření, aktualizaci nebo odstranění skupiny zabezpečení sítě – úroveň 1

Ve výchozím nastavení se při vytváření, aktualizaci nebo odstranění skupin zabezpečení sítě nevytvářejí žádná upozornění monitorování. Změna nebo odstranění skupiny zabezpečení může umožnit přístup k interním prostředkům z nesprávných zdrojů nebo k neočekávanému odchozímu síťovému provozu.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Monitor.

  2. V nabídce vlevo vyberte Výstrahy.

  3. V nabídce Výstrahy vyberte Vytvořit a pak vyberte Pravidlo upozornění.

  4. V podokně Vytvořit pravidlo upozornění vyberte Vybrat obor.

  5. V podokně Vybrat prostředek v rozevíracím seznamu Filtrovat podle typu prostředku vyberte Skupiny zabezpečení sítě.

  6. Vyberte Hotovo.

  7. Pro dokončení vytvoření výstrahy, dokončete kroky popsané v Vytvořte pravidlo upozornění z podokna Upozornění služby Azure Monitor.

Vytvoření upozornění protokolu aktivit pro vytvoření nebo aktualizaci pravidla brány firewall SQL Serveru – úroveň 1

Monitorování událostí, které vytvářejí nebo aktualizují pravidlo brány firewall SQL Serveru, poskytuje přehled o změnách přístupu k síti a může zkrátit dobu potřebnou ke zjištění podezřelé aktivity.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Monitor.

  2. V nabídce vlevo vyberte Výstrahy.

  3. V nabídce Výstrahy vyberte Vytvořit a pak vyberte Pravidlo upozornění.

  4. V podokně Vytvořit pravidlo upozornění vyberte Vybrat rozsah.

  5. V podokně Vybrat prostředek vyberte v rozevíracím seznamu Filtrovat podle typu prostředku sql servery.

  6. Vyberte Hotovo.

  7. Pro dokončení vytvoření výstrahy, dokončete kroky popsané v Vytvořte pravidlo upozornění z podokna Upozornění služby Azure Monitor.