Empfehlungen für die Überwachung und Bedrohungserkennung
Gilt für diese Empfehlung für die Azure Well-Architected Framework-Sicherheitsprüfliste:
SE:10 | Implementieren Sie eine ganzheitliche Überwachungsstrategie, die auf modernen Mechanismen zur Bedrohungserkennung basiert, die in die Plattform integriert werden können. Mechanismen sollten zuverlässig Warnungen für die Triage erhalten und Signale an vorhandene SecOps-Prozesse senden. |
---|
In diesem Leitfaden werden die Empfehlungen für die Überwachung und Bedrohungserkennung beschrieben. Die Überwachung ist im Wesentlichen ein Prozess zum Abrufen von Informationen über ereignisse, die bereits aufgetreten sind. Die Sicherheitsüberwachung ist eine Praxis zum Erfassen von Informationen in verschiedenen Höhen der Workload (Infrastruktur, Anwendung, Betrieb), um das Bewusstsein für verdächtige Aktivitäten zu gewinnen. Das Ziel besteht darin, Vorfälle vorherzusagen und aus vergangenen Ereignissen zu lernen. Überwachungsdaten bilden die Grundlage für die Analyse der Ereignisse nach dem Vorfall, um die Reaktion auf Vorfälle und forensische Untersuchungen zu unterstützen.
Die Überwachung ist ein Operational Excellence-Ansatz, der auf allen Well-Architected Framework-Säulen angewendet wird. Dieser Leitfaden enthält nur Empfehlungen aus sicherheitsrelevanter Sicht. Allgemeine Konzepte der Überwachung, z. B. Codeinstrumentation, Datensammlung und Analyse, sind für diesen Leitfaden nicht verfügbar. Informationen zu den wichtigsten Überwachungskonzepten finden Sie unter Empfehlungen zum Entwerfen und Erstellen eines Beobachtbarkeitsframeworks.
Definitionen
Begriff | Definition |
---|---|
Überwachungsprotokolle | Eine Aufzeichnung der Aktivitäten in einem System. |
SIEM-Lösung (Security Information and Event Management) | Ein Ansatz, der integrierte Funktionen zur Bedrohungserkennung und -intelligenz basierend auf Daten verwendet, die aus mehreren Quellen aggregiert werden. |
Bedrohungserkennung | Eine Strategie zum Erkennen von Abweichungen von erwarteten Aktionen mithilfe gesammelter, analysierter und korrelierter Daten. |
Bedrohungsanalyse | Eine Strategie zum Interpretieren von Bedrohungserkennungsdaten, um verdächtige Aktivitäten oder Bedrohungen zu erkennen, indem Muster untersucht werden. |
Bedrohungsprävention | Sicherheitskontrollen, die in einer Workload in verschiedenen Höhen platziert werden, um ihre Ressourcen zu schützen. |
Wichtige Entwurfsstrategien
Der Standard Zweck der Sicherheitsüberwachung ist die Bedrohungserkennung. Das Hauptziel besteht darin, potenzielle Sicherheitsverletzungen zu verhindern und eine sichere Umgebung zu gewährleisten. Es ist jedoch ebenso wichtig zu erkennen, dass nicht alle Bedrohungen präventiv blockiert werden können. In solchen Fällen dient die Überwachung auch als Mechanismus, um die Ursache eines Sicherheitsvorfalls zu identifizieren, der trotz der Präventionsbemühungen aufgetreten ist.
Die Überwachung kann aus verschiedenen Perspektiven angegangen werden:
Überwachen Sie in verschiedenen Höhen. Die Beobachtung aus verschiedenen Höhen ist der Prozess des Abrufens von Informationen über Benutzerflüsse, Datenzugriff, Identität, Netzwerk und sogar das Betriebssystem. Jeder dieser Bereiche bietet einzigartige Erkenntnisse, mit denen Sie Abweichungen von erwarteten Verhaltensweisen identifizieren können, die mit der Sicherheitsbaseline festgelegt werden. Umgekehrt kann die kontinuierliche Überwachung eines Systems und von Anwendungen im Laufe der Zeit dazu beitragen, diesen Baselinestatus zu ermitteln. Beispielsweise können in Ihrem Identitätssystem in der Regel stündlich etwa 1.000 Anmeldeversuche angezeigt werden. Wenn Ihre Überwachung eine Spitze von 50.000 Anmeldeversuchen in einem kurzen Zeitraum erkennt, versucht ein Angreifer möglicherweise, Zugriff auf Ihr System zu erhalten.
Überwachen sie in verschiedenen Bereichen der Auswirkungen. Es ist wichtig, die Anwendung und die Plattform zu beobachten. Angenommen, ein Anwendungsbenutzer erhält versehentlich eskalierte Berechtigungen oder es tritt eine Sicherheitsverletzung auf. Wenn der Benutzer Aktionen ausführt, die über den angegebenen Bereich hinausgehen, kann die Auswirkung auf Aktionen beschränkt sein, die andere Benutzer ausführen können.
Wenn jedoch eine interne Entität eine Datenbank kompromittiert, ist das Ausmaß des potenziellen Schadens unsicher.
Wenn auf der Azure-Ressourcenseite eine Kompromittierung auftritt, kann dies global sein, was sich auf alle Entitäten auswirkt, die mit der Ressource interagieren.
Je nachdem, welches dieser Szenarien auftritt, kann sich der Strahlradius oder der Einschlagsbereich erheblich unterscheiden.
Verwenden Sie spezialisierte Überwachungstools. Es ist wichtig, in spezialisierte Tools zu investieren, die kontinuierlich auf anomales Verhalten suchen können, das auf einen Angriff hindeutet. Die meisten dieser Tools verfügen über Threat Intelligence-Funktionen , die Vorhersageanalysen basierend auf einer großen Menge an Daten und bekannten Bedrohungen durchführen können. Die meisten Tools sind nicht zustandslos und verfügen über ein tiefes Verständnis von Telemetriedaten in einem Sicherheitskontext.
Die Tools müssen plattformintegriert oder zumindest plattformbewusst sein, um tiefe Signale von der Plattform zu erhalten und Vorhersagen mit hoher Genauigkeit zu treffen. Sie müssen in der Lage sein, Warnungen rechtzeitig mit genügend Informationen zu generieren, um eine ordnungsgemäße Triage durchzuführen. Die Verwendung von zu vielen verschiedenen Tools kann zu Komplexität führen.
Verwenden Sie die Überwachung für die Reaktion auf Vorfälle. Aggregierte Daten, die in handlungsfähige Informationen umgewandelt werden, ermöglichen schnelle und effektive Reaktionen auf Vorfälle. Die Überwachung hilft bei Aktivitäten nach Vorfällen. Das Ziel besteht darin, genügend Daten zu sammeln, um zu analysieren und zu verstehen, was passiert ist. Der Überwachungsprozess erfasst Informationen zu vergangenen Ereignissen, um reaktive Funktionen zu verbessern und zukünftige Vorfälle vorherzusagen.
Die folgenden Abschnitte enthalten empfohlene Methoden, die die vorherigen Überwachungsperspektiven einbeziehen.
Erfassen von Daten, um Aktivitäten nachzuverfolgen
Ziel ist es, einen umfassenden Überwachungspfad für Ereignisse zu erhalten, die aus Sicherheitssicht von Bedeutung sind. Die Protokollierung ist die am häufigsten verwendete Methode zum Erfassen von Zugriffsmustern. Die Protokollierung muss für die Anwendung und die Plattform durchgeführt werden.
Für einen Überwachungspfad müssen Sie festlegen, was, wann und wer aktionen zugeordnet ist. Sie müssen die spezifischen Zeitrahmen identifizieren, in denen Aktionen ausgeführt werden. Führen Sie diese Bewertung in Ihrer Bedrohungsmodellierung durch. Um einer Ablehnungsgefahr entgegenzuwirken, sollten Sie starke Protokollierungs- und Überwachungssysteme einrichten, die zu einer Aufzeichnung von Aktivitäten und Transaktionen führen.
In den folgenden Abschnitten werden Anwendungsfälle für einige gängige Höhen einer Workload beschrieben.
Anwendungsbenutzerflows
Ihre Anwendung sollte so konzipiert sein, dass sie laufzeittransparenz beim Auftreten von Ereignissen bietet. Identifizieren Sie kritische Punkte in Ihrer Anwendung, und richten Sie die Protokollierung für diese Punkte ein. Wenn sich ein Benutzer beispielsweise bei der Anwendung anmeldet, erfassen Sie die Identität, den Quellstandort und andere relevante Informationen des Benutzers. Es ist wichtig, jede Eskalation der Benutzerberechtigungen, die vom Benutzer ausgeführten Aktionen und die Tatsache zu berücksichtigen, ob der Benutzer auf vertrauliche Informationen in einem sicheren Datenspeicher zugegriffen hat. Verfolgen Sie die Aktivitäten für den Benutzer und die Benutzersitzung.
Um diese Nachverfolgung zu erleichtern, sollte Code über eine strukturierte Protokollierung instrumentiert werden. Dies ermöglicht eine einfache und einheitliche Abfrage und Filterung der Protokolle.
Wichtig
Sie müssen die verantwortungsvolle Protokollierung erzwingen, um die Vertraulichkeit und Integrität Ihres Systems zu gewährleisten. Geheimnisse und vertrauliche Daten dürfen nicht in Protokollen angezeigt werden. Beachten Sie, dass personenbezogene Daten und andere Complianceanforderungen verloren gehen, wenn Sie diese Protokolldaten erfassen.
Identitäts- und Zugriffsüberwachung
Führen Sie eine gründliche Aufzeichnung der Zugriffsmuster für die Anwendung und Änderungen an Plattformressourcen durch. Verfügen über robuste Aktivitätsprotokolle und Mechanismen zur Erkennung von Bedrohungen, insbesondere für identitätsbezogene Aktivitäten, da Angreifer häufig versuchen, Identitäten zu manipulieren, um nicht autorisierten Zugriff zu erhalten.
Implementieren Sie eine umfassende Protokollierung , indem Sie alle verfügbaren Datenpunkte verwenden. Fügen Sie beispielsweise die Client-IP-Adresse ein, um zwischen regelmäßigen Benutzeraktivitäten und potenziellen Bedrohungen durch unerwartete Standorte zu unterscheiden. Alle Protokollierungsereignisse sollten vom Server zeitstempelt werden.
Zeichnen Sie alle Ressourcenzugriffsaktivitäten auf, und erfassen Sie, wer was tut und wann sie es tun. Instanzen der Rechteerweiterung sind ein wichtiger Datenpunkt, der protokolliert werden sollte. Aktionen im Zusammenhang mit der Kontoerstellung oder -löschung durch die Anwendung müssen ebenfalls aufgezeichnet werden. Diese Empfehlung erstreckt sich auf Anwendungsgeheimnisse. Überwachen Sie, wer auf Geheimnisse zugreift und wann diese rotiert werden.
Obwohl die Protokollierung erfolgreicher Aktionen wichtig ist, ist die Aufzeichnung von Fehlern aus Sicherheitssicht erforderlich. Dokumentieren Sie alle Verstöße, z. B. einen Benutzer, der eine Aktion versucht, aber auf einen Autorisierungsfehler stößt, Zugriffsversuche auf nicht vorhandene Ressourcen und andere aktionen, die verdächtig erscheinen.
Netzwerküberwachung
Durch die Überwachung von Netzwerkpaketen und deren Quellen, Zielen und Strukturen erhalten Sie Einblick in Zugriffsmuster auf Netzwerkebene.
Ihr Segmentierungsentwurf sollte Beobachtungspunkte an den Grenzen ermöglichen , um zu überwachen, was sie überschreitet, und diese Daten zu protokollieren. Überwachen Sie z. B. Subnetze mit Netzwerksicherheitsgruppen, die Flussprotokolle generieren. Überwachen Sie außerdem Firewallprotokolle, die die zulässigen oder verweigerten Flows anzeigen.
Es gibt Zugriffsprotokolle für eingehende Verbindungsanforderungen. Diese Protokolle zeichnen die Quell-IP-Adressen auf, die die Anforderungen initiieren, den Anforderungstyp (GET, POST) und alle anderen Informationen, die Teil der Anforderungen sind.
Die Erfassung von DNS-Flows ist für viele Organisationen eine wichtige Anforderung. Für instance können DNS-Protokolle helfen, zu identifizieren, welcher Benutzer oder Welches Gerät eine bestimmte DNS-Abfrage initiiert hat. Durch Das Korrelieren der DNS-Aktivität mit Benutzer-/Geräteauthentifizierungsprotokollen können Sie Aktivitäten für einzelne Clients nachverfolgen. Diese Verantwortung erstreckt sich häufig auf das Workloadteam, insbesondere wenn sie etwas bereitstellen, das DNS-Anforderungen teil ihres Vorgangs macht. Die ANALYSE des DNS-Datenverkehrs ist ein wichtiger Aspekt der Plattformsicherheitsbeobachtbarkeit.
Es ist wichtig, unerwartete DNS-Anforderungen oder DNS-Anforderungen zu überwachen, die an bekannte Befehls- und Steuerungsendpunkte gerichtet sind.
Kompromiss: Die Protokollierung aller Netzwerkaktivitäten kann zu einer großen Datenmenge führen. Jede Anforderung aus Ebene 3 kann in einem Flussprotokoll aufgezeichnet werden, einschließlich jeder Transaktion, die eine Subnetzgrenze überschreitet. Leider ist es nicht möglich, nur unerwünschte Ereignisse zu erfassen, da sie erst nach dem Auftreten identifiziert werden können. Treffen Sie strategische Entscheidungen über die Art der zu erfassenden Ereignisse und deren Speicherdauer. Wenn Sie nicht vorsichtig sind, kann die Verwaltung der Daten überwältigend sein. Es gibt auch einen Kompromiss bei den Kosten für die Speicherung dieser Daten.
Aufgrund der Kompromisse sollten Sie überlegen, ob der Nutzen der Netzwerküberwachung Ihrer Workload ausreicht, um die Kosten zu rechtfertigen. Wenn Sie über eine Webanwendungslösung mit einem hohen Anforderungsvolumen verfügen und Ihr System verwaltete Azure-Ressourcen umfassend nutzt, können die Kosten die Vorteile überwiegen. Wenn Sie dagegen über eine Lösung verfügen, die für die Verwendung virtueller Computer mit verschiedenen Ports und Anwendungen konzipiert ist, kann es wichtig sein, Netzwerkprotokolle zu erfassen und zu analysieren.
Erfassen von Systemänderungen
Um die Integrität Ihres Systems aufrechtzuerhalten, sollten Sie über einen genauen und aktuellen Systemzustandsdatensatz verfügen. Wenn Änderungen vorgenommen werden, können Sie diesen Datensatz verwenden, um auftretende Probleme umgehend zu beheben.
Buildprozesse sollten auch Telemetriedaten ausgeben. Es ist wichtig, den Sicherheitskontext von Ereignissen zu verstehen. Zu wissen, was den Buildprozess ausgelöst hat, wer ihn ausgelöst hat und wann er ausgelöst wurde, kann wertvolle Erkenntnisse liefern.
Verfolgen Sie , wann Ressourcen erstellt werden und wann sie außer Betrieb genommen werden. Diese Informationen müssen von der Plattform extrahiert werden. Diese Informationen bieten wertvolle Erkenntnisse für die Ressourcenverwaltung und -verantwortlichkeit.
Überwachen sie die Abweichung in der Ressourcenkonfiguration. Dokumentieren Sie alle Änderungen an einer vorhandenen Ressource. Verfolgen Sie auch Änderungen, die nicht im Rahmen eines Rollouts für eine Flotte von Ressourcen abgeschlossen werden. Protokolle müssen die Besonderheiten der Änderung und die genaue Uhrzeit der Änderung erfassen.
Haben Sie einen umfassenden Überblick über die Aktualität und Sicherheit des Systems aus Sicht des Patchens. Überwachen Sie routinemäßige Aktualisierungsprozesse , um zu überprüfen, ob sie wie geplant abgeschlossen werden. Ein Sicherheitspatchprozess, der nicht abgeschlossen ist, sollte als Sicherheitsrisiko angesehen werden. Sie sollten auch ein Inventar verwalten, in dem die Patchebenen und alle anderen erforderlichen Details aufgezeichnet werden.
Die Änderungserkennung gilt auch für das Betriebssystem. Dabei wird nachverfolgt, ob Dienste hinzugefügt oder deaktiviert werden. Es umfasst auch die Überwachung für das Hinzufügen neuer Benutzer zum System. Es gibt Tools, die für ein Betriebssystem konzipiert sind. Sie helfen bei der kontextlosen Überwachung, da sie nicht auf die Funktionalität der Workload abzielen. Beispielsweise ist die Überwachung der Dateiintegrität ein wichtiges Tool, mit dem Sie Änderungen an Systemdateien nachverfolgen können.
Sie sollten Warnungen für diese Änderungen einrichten, insbesondere, wenn Sie nicht erwarten, dass sie häufig auftreten.
Wichtig
Stellen Sie beim Rollout in der Produktion sicher, dass Warnungen so konfiguriert sind, dass anomale Aktivitäten abgefangen werden, die für die Anwendungsressourcen und den Buildprozess erkannt werden.
Schließen Sie in Ihren Testplänen die Überprüfung der Protokollierung und Warnung als priorisierte Testfälle ein.
Speichern, Aggregieren und Analysieren von Daten
Daten, die von diesen Überwachungsaktivitäten gesammelt werden, müssen in Datensenken gespeichert werden, wo sie gründlich untersucht, normalisiert und korreliert werden können. Sicherheitsdaten sollten außerhalb der systemeigenen Datenspeicher beibehalten werden. Überwachungssenken, unabhängig davon, ob sie lokalisiert oder zentral sind, müssen die Datenquellen überdauern. Die Senken können nicht kurzlebig sein , da Senken die Quelle für Systeme zur Erkennung von Eindringversuchen sind.
Netzwerkprotokolle können ausführlich sein und Speicher in Anspruch nehmen. Erkunden sie die verschiedenen Ebenen in Speichersystemen. Protokolle können im Laufe der Zeit natürlich in kälteren Speicher übergehen. Dieser Ansatz ist von Vorteil, da ältere Flowprotokolle in der Regel nicht aktiv verwendet werden und nur bei Bedarf benötigt werden. Diese Methode gewährleistet eine effiziente Speicherverwaltung und stellt gleichzeitig sicher, dass Sie bei Bedarf auf Verlaufsdaten zugreifen können.
Die Flows Ihrer Workload sind in der Regel eine Kombination aus mehreren Protokollierungsquellen. Überwachungsdaten müssen intelligent in allen diesen Quellen analysiert werden. Beispielsweise blockiert Ihre Firewall nur den Datenverkehr, der sie erreicht. Wenn Sie über eine Netzwerksicherheitsgruppe verfügen, die bereits bestimmten Datenverkehr blockiert hat, ist dieser Datenverkehr für die Firewall nicht sichtbar. Um die Abfolge von Ereignissen zu rekonstruieren, müssen Sie Daten aus allen Komponenten aggregieren, die sich im Flow befinden, und dann Daten aus allen Flows aggregieren. Diese Daten sind besonders nützlich in einem Szenario nach der Reaktion auf Vorfälle, wenn Sie versuchen, zu verstehen, was passiert ist. Eine genaue Zeiterfassung ist von entscheidender Bedeutung. Aus Sicherheitsgründen müssen alle Systeme eine Netzwerkzeitquelle verwenden, damit sie immer synchron sind.
Zentrale Bedrohungserkennung mit korrelierten Protokollen
Sie können ein System wie Security Information and Event Management (SIEM) verwenden, um Sicherheitsdaten an einem zentralen Ort zu konsolidieren , an dem sie über verschiedene Dienste hinweg korreliert werden können. Diese Systeme verfügen über integrierte Mechanismen zur Bedrohungserkennung . Sie können eine Verbindung mit externen Feeds herstellen , um Threat Intelligence-Daten abzurufen. Microsoft veröffentlicht beispielsweise Threat Intelligence-Daten, die Sie verwenden können. Sie können Threat Intelligence-Feeds auch von anderen Anbietern wie Anomali und FireEye kaufen. Diese Feeds können wertvolle Erkenntnisse liefern und Ihren Sicherheitsstatus verbessern. Informationen zu Bedrohungen von Microsoft finden Sie unter Security Insider.
Ein SIEM-System kann Warnungen basierend auf korrelierten und normalisierten Daten generieren. Diese Warnungen sind eine wichtige Ressource während eines Prozesses zur Reaktion auf Vorfälle.
Kompromiss: SIEM-Systeme können teuer, komplex sein und spezielle Fähigkeiten erfordern. Wenn Sie jedoch keine besitzen, müssen Sie möglicherweise daten selbst korrelieren. Dies kann ein zeitaufwändiger und komplexer Prozess sein.
SIEM-Systeme werden in der Regel von den zentralen Teams eines organization verwaltet. Wenn Ihr organization keines hat, sollten Sie sich dafür einsetzen. Dies könnte die Last der manuellen Protokollanalyse und -korrelation verringern, um eine effizientere und effektivere Sicherheitsverwaltung zu ermöglichen.
Einige kostengünstige Optionen werden von Microsoft bereitgestellt. Viele Microsoft Defender Produkte bieten die Warnungsfunktionen eines SIEM-Systems, jedoch ohne Datenaggregation.
Durch die Kombination mehrerer kleinerer Tools können Sie einige Funktionen eines SIEM-Systems emulieren. Sie müssen jedoch wissen, dass diese notdürftigen Lösungen möglicherweise keine Korrelationsanalyse durchführen können. Diese Alternativen können nützlich sein, aber sie ersetzen möglicherweise nicht vollständig die Funktionalität eines dedizierten SIEM-Systems.
Erkennen von Missbrauch
Seien Sie proaktiv bei der Bedrohungserkennung , und seien Sie wachsam bei Anzeichen von Missbrauch, z. B. Identitäts-Brute-Force-Angriffe auf eine SSH-Komponente oder einen RDP-Endpunkt. Obwohl externe Bedrohungen viel Lärm erzeugen können, insbesondere wenn die Anwendung dem Internet ausgesetzt ist, sind interne Bedrohungen oft ein größeres Problem. Ein unerwarteter Brute-Force-Angriff von einer vertrauenswürdigen Netzwerkquelle oder eine versehentliche Fehlkonfiguration für instance sollte sofort untersucht werden.
Halten Sie mit Ihren Härtungspraktiken Schritt. Die Überwachung ist kein Ersatz für die proaktive Härtung Ihrer Umgebung. Eine größere Oberfläche ist anfällig für mehr Angriffe. Straffen Sie die Kontrollen so weit wie die Praxis. Erkennen und deaktivieren Sie nicht verwendete Konten, entfernen Sie nicht verwendete Ports, und verwenden Sie beispielsweise eine Web Application Firewall. Weitere Informationen zu Härtungstechniken finden Sie unter Empfehlungen zur Sicherheitshärtung.
Die signaturbasierte Erkennung kann ein System im Detail untersuchen. Es umfasst die Suche nach Zeichen oder Korrelationen zwischen Aktivitäten, die auf einen potenziellen Angriff hinweisen können. Ein Erkennungsmechanismus kann bestimmte Merkmale identifizieren, die auf einen bestimmten Angriffstyp hinweisen. Möglicherweise ist es nicht immer möglich, den Befehls- und Kontrollmechanismus eines Angriffs direkt zu erkennen. Es gibt jedoch häufig Hinweise oder Muster, die einem bestimmten Befehls- und Steuerungsprozess zugeordnet sind. Beispielsweise kann ein Angriff durch eine bestimmte Flussrate aus Anforderungssicht angezeigt werden oder häufig auf Domänen mit bestimmten Enden zugreifen.
Erkennen Sie anomale Benutzerzugriffsmuster , damit Sie Abweichungen von erwarteten Mustern identifizieren und untersuchen können. Dies umfasst den Vergleich des aktuellen Benutzerverhaltens mit dem Verhalten der Vergangenheit, um Anomalien zu erkennen. Obwohl es möglicherweise nicht möglich ist, diese Aufgabe manuell auszuführen, können Sie dazu Threat Intelligence-Tools verwenden. Investieren Sie in UEBA-Tools (User and Entity Behavior Analytics), die das Benutzerverhalten aus Überwachungsdaten sammeln und analysieren. Diese Tools können häufig Vorhersageanalysen durchführen, die verdächtiges Verhalten potenziellen Angriffstypen zuordnet.
Erkennen von Bedrohungen während der Phasen vor und nach der Bereitstellung. Integrieren Sie während der Phase vor der Bereitstellung die Überprüfung auf Sicherheitsrisiken in Pipelines, und führen Sie die erforderlichen Aktionen basierend auf den Ergebnissen aus. Führen Sie nach der Bereitstellung weiterhin sicherheitsrelevante Überprüfungen durch. Sie können Tools wie Microsoft Defender für Container verwenden, die Containerimages überprüfen. Schließen Sie die Ergebnisse in die gesammelten Daten ein. Informationen zu sicheren Entwicklungsmethoden finden Sie unter Empfehlungen für die Verwendung sicherer Bereitstellungsmethoden.
Nutzen Sie plattformseitig bereitgestellte Erkennungsmechanismen und -maßnahmen. Beispielsweise können Azure Firewall Datenverkehr analysieren und Verbindungen zu nicht vertrauenswürdigen Zielen blockieren. Azure bietet auch Möglichkeiten zum Erkennen und Schützen von DDoS-Angriffen (Distributed Denial-of-Service).
Azure-Erleichterung
Azure Monitor ermöglicht die Gewinnung von Einblicken für Ihre gesamte Umgebung. Ohne Konfiguration erhalten Sie automatisch Plattformmetriken, Aktivitätsprotokolle und Diagnose Protokolle aus den meisten Ihrer Azure-Ressourcen. Über die Aktivitätsprotokolle werden detaillierte Diagnose- und Überwachungsinformationen bereitgestellt.
Hinweis
Plattformprotokolle sind nicht unbegrenzt verfügbar. Sie müssen sie behalten, damit Sie sie später für Überwachungszwecke oder Offlineanalysen überprüfen können. Verwenden Sie Azure-Speicherkonten für langfristige/archivierungsbasierte Speicherung. Geben Sie in Azure Monitor einen Aufbewahrungszeitraum an, wenn Sie Diagnoseeinstellungen für Ihre Ressourcen aktivieren.
Richten Sie Warnungen basierend auf vordefinierten oder benutzerdefinierten Metriken und Protokollen ein, um Benachrichtigungen zu erhalten, wenn bestimmte sicherheitsbezogene Ereignisse oder Anomalien erkannt werden.
Weitere Informationen finden Sie in der Dokumentation zu Azure Monitor.
Microsoft Defender für Cloud bietet integrierte Funktionen für die Bedrohungserkennung. Sie arbeitet mit gesammelten Daten und analysiert Protokolle. Da er die Typen der generierten Protokolle kennt, kann er integrierte Regeln verwenden, um fundierte Entscheidungen zu treffen. Sie überprüft z. B. Listen potenziell kompromittierter IP-Adressen und generiert Warnungen.
Aktivieren Sie integrierte Bedrohungsschutzdienste für Azure-Ressourcen. Aktivieren Sie beispielsweise Microsoft Defender für Azure-Ressourcen wie virtuelle Computer, Datenbanken und Container, um bekannte Bedrohungen zu erkennen und vor diesen zu schützen.
Defender für Cloud bietet CWPP-Funktionen (Cloud Workload Protection Platform) für die Bedrohungserkennung aller Workloadressourcen.
Weitere Informationen finden Sie unter Was ist Microsoft Defender for Cloud?.
Von Defender generierte Warnungen können auch in SIEM-Systeme eingefügt werden. Microsoft Sentinel ist das native Angebot. Es verwendet KI und maschinelles Lernen, um Sicherheitsbedrohungen in Echtzeit zu erkennen und darauf zu reagieren. Es bietet eine zentralisierte Ansicht der Sicherheitsdaten und erleichtert die proaktive Bedrohungssuche und -untersuchung.
Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel.
Microsoft Sentinel kann auch Threat Intelligence-Feeds aus verschiedenen Quellen verwenden. Weitere Informationen finden Sie unter Threat Intelligence-Integration in Azure Sentinel.
Microsoft Sentinel kann das Benutzerverhalten anhand von Überwachungsdaten analysieren. Weitere Informationen finden Sie unter Identifizieren erweiterter Bedrohungen mit User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel.
Defender und Microsoft Sentinel arbeiten trotz einiger Überschneidungen in der Funktionalität zusammen. Diese Zusammenarbeit verbessert Ihren allgemeinen Sicherheitsstatus, indem sie dazu beiträgt, eine umfassende Bedrohungserkennung und -reaktion sicherzustellen.
Nutzen Sie Azure Business Continuity Center , um Lücken in Ihrem Geschäftskontinuitätsbestand zu identifizieren und sich vor Bedrohungen wie Ransomware-Angriffen, böswilligen Aktivitäten und Vorfällen von nicht autorisierten Administratoren zu schützen. Weitere Informationen finden Sie unter Was ist Azure Business Continuity Center?.
Netzwerk
Überprüfen Sie alle Protokolle, einschließlich rohem Datenverkehr, von Ihren Netzwerkgeräten.
Sicherheitsgruppenprotokolle. Überprüfen Sie Die Datenflussprotokolle und Diagnoseprotokolle.
Azure Network Watcher. Nutzen Sie die Paketerfassung, um Warnungen festzulegen und Zugriff auf Echtzeit-Leistungsinformationen auf Paketebene zu erhalten.
Die Paketerfassung verfolgt den eingehenden und ausgehenden Datenverkehr virtueller Computer Sie können sie verwenden, um proaktive Erfassungen basierend auf definierten Netzwerkanomalien auszuführen, einschließlich Informationen zu Netzwerkangriffen.
Ein Beispiel finden Sie unter Proaktives Überwachen von Netzwerken mit Warnungen und Azure Functions mithilfe der Paketerfassung.
Identität
Überwachen Sie identitätsbezogene Risikoereignisse auf potenziell gefährdete Identitäten, und beheben Sie diese Risiken. Zeigen Sie die gemeldeten Risikoereignisse über eine der folgenden Möglichkeiten an:
Verwenden Sie Microsoft Entra ID Berichterstellung. Weitere Informationen finden Sie unter Was ist Identity Protection? und Identity Protection.
Verwenden Sie Identity Protection-Mitglieder der Risikoerkennungs-API, um programmgesteuerten Zugriff auf Sicherheitserkennungen über Microsoft Graph zu erhalten. Weitere Informationen finden Sie unter riskDetection und riskyUser.
Microsoft Entra ID verwendet adaptive Machine Learning-Algorithmen, Heuristiken und bekannte kompromittierte Anmeldeinformationen (Benutzernamen- und Kennwortpaare), um verdächtige Aktionen im Zusammenhang mit Ihren Benutzerkonten zu erkennen. Diese Benutzernamen- und Kennwortpaare werden durch die Überwachung des öffentlichen und dunklen Webs und durch die Zusammenarbeit mit Sicherheitsforschern, Strafverfolgungsbehörden, Sicherheitsteams bei Microsoft und anderen angezeigt.
Azure Pipelines
DevOps plädiert für die Änderungsverwaltung von Workloads über Continuous Integration und Continuous Delivery (CI/CD). Stellen Sie sicher, dass Sie die Sicherheitsüberprüfung in den Pipelines hinzufügen. Befolgen Sie die unter Sichern von Azure Pipelines beschriebenen Anleitungen.
Verwandte Links
- Empfehlungen zum Entwerfen und Erstellen eines Beobachtbarkeitsframeworks
- Sicherheits-Insider
- Empfehlungen zum Härten von Ressourcen
- Empfehlungen für die Verwendung sicherer Bereitstellungsmethoden
- Azure Monitor-Dokumentation
- Was ist Microsoft Defender für Cloud?
- Was ist Microsoft Sentinel?
- Integration von Bedrohungsdaten in Microsoft Sentinel
- Erkennen komplexerer Bedrohungen mit User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel
- Tutorial: Protokollieren des Netzwerkdatenverkehrs zu und von einer VM über das Azure-Portal
- Paketerfassung
- Proaktives Überwachen von Netzwerken mit Warnungen und Azure Functions mithilfe der Paketerfassung
- Was ist Identity Protection?
- Schutz der Identität (Identity Protection)
- riskDetection
- riskyUser
- Erfahren Sie, wie Sie Ihrer CI/CD-Pipeline eine fortlaufende Sicherheitsüberprüfung hinzufügen.
Checkliste für die Sicherheit
Sehen Sie sich den vollständigen Satz von Empfehlungen an.