Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Protokollierung und Bedrohungserkennung umfasst Steuerelemente zum Erkennen von Bedrohungen in der Cloud und das Aktivieren, Sammeln und Speichern von Überwachungsprotokollen für Clouddienste, einschließlich der Aktivierung von Erkennungs-, Untersuchungs- und Wartungsprozessen mit Kontrollen, um qualitativ hochwertige Warnungen mit nativer Bedrohungserkennung in Clouddiensten zu generieren; Sie umfasst auch das Sammeln von Protokollen mit einem Cloudüberwachungsdienst, die Zentrale der Sicherheitsanalyse mit einem SIEM, zeitsynchronisierung und Protokollaufbewahrung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Sicherheitsprinzip: Um Bedrohungserkennungsszenarien zu unterstützen, überwachen Sie alle bekannten Ressourcentypen auf bekannte und erwartete Bedrohungen und Anomalien. Konfigurieren Sie Ihre Warnungsfilter- und Analyseregeln, um qualitativ hochwertige Warnungen aus Protokolldaten, Agents oder anderen Datenquellen zu extrahieren, um falsch positive Ergebnisse zu reduzieren.
Azure-Leitfaden: Verwenden Sie die Bedrohungserkennungsfunktion von Microsoft Defender für Cloud für die jeweiligen Azure-Dienste.
Informationen zur Bedrohungserkennung, die nicht in Microsoft Defender-Diensten enthalten ist, finden Sie in den Microsoft Cloud Security Benchmark-Dienstbaselines für die jeweiligen Dienste, um die Funktionen für die Bedrohungserkennung oder Sicherheitswarnungen innerhalb des Diensts zu aktivieren. Erfassen sie Warnungen und Protokolldaten aus Microsoft Defender für Cloud, Microsoft 365 Defender und protokollieren Sie Daten aus anderen Ressourcen in Ihren Azure Monitor- oder Microsoft Sentinel-Instanzen, um Analyseregeln zu erstellen, die Bedrohungen erkennen und Warnungen erstellen, die bestimmten Kriterien in Ihrer Umgebung entsprechen.
Verwenden Sie für OT-Umgebungen (Operational Technology), die Computer umfassen, die Industriesteuerungssystem (Industrial Control System, ICS) oder ScADA-Ressourcen (Supervisory Control and Data Acquisition) steuern oder überwachen, Microsoft Defender für IoT, um Ressourcen zu inventarisieren und Bedrohungen und Sicherheitsrisiken zu erkennen.
Für Dienste, die nicht über eine systemeigene Bedrohungserkennung verfügen, sollten Sie die Datenebenenprotokolle erfassen und die Bedrohungen über Microsoft Sentinel analysieren.
Azure-Implementierung und zusätzlicher Kontext:
- Einführung in Microft Defender für Cloud
- Referenzhandbuch zu Microsoft Defender für Cloud-Sicherheitswarnungen
- Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen
- Bedrohungsindikatoren für Cyber threat Intelligence in Microsoft Sentinel
AWS-Leitfaden: Verwenden Sie Amazon GuardDuty für die Bedrohungserkennung, die die folgenden Datenquellen analysiert und verarbeitet: AWS CloudTrail Management-Ereignisprotokolle, CloudTrail S3-Datenereignisprotokolle, EKS-Überwachungsprotokolle und DNS-Protokolle. GuardDuty kann Sicherheitsprobleme wie Berechtigungseskalation, die Verwendung von Anmeldeinformationen oder die Kommunikation mit böswilligen IP-Adressen oder Domänen melden.
Konfigurieren Sie AWS Config, um Regeln in SecurityHub für die Complianceüberwachung wie z. B. Konfigurationsabweichungen zu überprüfen und bei Bedarf Ergebnisse zu erstellen.
Aktivieren Sie für die Bedrohungserkennung, die nicht in GuardDuty und SecurityHub enthalten ist, die Funktionen zur Bedrohungserkennung oder Sicherheitswarnung innerhalb der unterstützten AWS-Dienste. Extrahieren Sie die Warnungen an Ihren CloudTrail, CloudWatch oder Microsoft Sentinel, um Analyseregeln zu erstellen, die Bedrohungen suchen, die bestimmten Kriterien in Ihrer Umgebung entsprechen.
Sie können auch Microsoft Defender für Cloud verwenden, um bestimmte Dienste in AWS wie EC2-Instanzen zu überwachen.
Verwenden Sie für OT-Umgebungen (Operational Technology), die Computer umfassen, die Industriesteuerungssystem (Industrial Control System, ICS) oder ScADA-Ressourcen (Supervisory Control and Data Acquisition) steuern oder überwachen, Microsoft Defender für IoT, um Ressourcen zu inventarisieren und Bedrohungen und Sicherheitsrisiken zu erkennen.
AWS-Implementierung und zusätzlicher Kontext:
- Amazon GuardDuty
- Amazon GuardDuty-Datenquellen
- Verbinden Ihrer AWS-Konten mit Microsoft Defender for Cloud
- Wie Defender for Cloud Apps Sie beim Schutz Ihrer AWS-Umgebung (Amazon Web Services) unterstützt
- Sicherheitsempfehlungen für AWS-Ressourcen – ein Referenzhandbuch
GCP-Leitfaden: Verwenden Sie die Ereignis-Bedrohungserkennung im Google Cloud Security Command Center für die Bedrohungserkennung mithilfe von Protokolldaten wie Administratoraktivitäten, GKE-Datenzugriff, VERLAUFSprotokollen, Cloud-DNS und Firewallprotokollen.
Verwenden Sie außerdem die Security Operations Suite für den modernen SOC mitChronik SIEM und SOAR. Chronik SIEM und SOAR bieten Bedrohungserkennungs-, Untersuchungs- und Suchfunktionen
Sie können auch Microsoft Defender für Cloud verwenden, um bestimmte Dienste in GCP zu überwachen, z. B. Compute-VM-Instanzen.
Verwenden Sie für OT-Umgebungen (Operational Technology), die Computer umfassen, die Industriesteuerungssystem (Industrial Control System, ICS) oder ScADA-Ressourcen (Supervisory Control and Data Acquisition) steuern oder überwachen, Microsoft Defender für IoT, um Ressourcen zu inventarisieren und Bedrohungen und Sicherheitsrisiken zu erkennen.
GCP-Implementierung und zusätzlicher Kontext:
- Übersicht über die Ereigniserkennung im Security Command Center
- Chronik SOAR
- Wie Defender für Cloud-Apps hilft, Ihre Google Cloud Platform (GCP)-Umgebung
- Sicherheitsempfehlungen für GCP-Ressourcen – ein Referenzhandbuch
Kundensicherheitsbeteiligte (Weitere Informationen):
- Infrastruktur- und Endpunktsicherheit
- Sicherheitsvorgänge
- Haltungsverwaltung
- Anwendungssicherheit und DevOps
- Bedrohungserkennung
LT-2: Aktivieren der Bedrohungserkennung für die Identitäts- und Zugriffsverwaltung
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Sicherheitsprinzip: Erkennen von Bedrohungen für Identitäten und Zugriffsverwaltung durch Überwachung der Benutzer- und Anwendungsanmeldung und Zugriffsanomalien. Verhaltensmuster wie übermäßige Anzahl fehlgeschlagener Anmeldeversuche und veraltete Konten im Abonnement sollten benachrichtigt werden.
Azure-Leitfaden: Azure AD stellt die folgenden Protokolle bereit, die in azure AD-Berichten angezeigt oder in Azure Monitor, Microsoft Sentinel oder andere SIEM/Monitoring-Tools für komplexere Überwachungs- und Analyseanwendungsfälle integriert werden können:
- Anmeldungen: Der Anmeldebericht enthält Informationen zur Verwendung von verwalteten Anwendungen und Benutzeranmeldungsaktivitäten.
- Überwachungsprotokolle: Bietet Rückverfolgbarkeit über Protokolle für alle Änderungen, die von verschiedenen Features in Azure AD vorgenommen werden. Beispiele für Überwachungsprotokolle sind Änderungen, die an allen Ressourcen in Azure AD vorgenommen wurden, z. B. Das Hinzufügen oder Entfernen von Benutzern, Apps, Gruppen, Rollen und Richtlinien.
- Riskante Anmeldungen: Eine riskante Anmeldung ist ein Indikator für einen Anmeldeversuch, der möglicherweise von jemandem durchgeführt wurde, der nicht der legitime Besitzer eines Benutzerkontos ist.
- Benutzer, die für Risiken gekennzeichnet sind: Ein riskanter Benutzer ist ein Indikator für ein Benutzerkonto, das möglicherweise kompromittiert wurde.
Azure AD bietet außerdem ein Identity Protection-Modul zum Erkennen und Beheben von Risiken im Zusammenhang mit Benutzerkonten und Anmeldeverhalten. Beispiele für Risiken sind durchleckige Anmeldeinformationen, Anmeldung von anonymen oder mit Schadsoftware verknüpften IP-Adressen, Kennwortsprühen. Mit den Richtlinien in Azure AD Identity Protection können Sie die risikobasierte MFA-Authentifizierung in Verbindung mit dem bedingten Azure-Zugriff auf Benutzerkonten erzwingen.
Darüber hinaus kann Microsoft Defender für Cloud so konfiguriert werden, dass sie auf veraltete Konten im Abonnement und verdächtige Aktivitäten wie eine übermäßige Anzahl fehlgeschlagener Authentifizierungsversuche aufmerksam machen. Zusätzlich zur grundlegenden Sicherheitshygieneüberwachung kann das Threat Protection-Modul von Microsoft Defender für Cloud auch detailliertere Sicherheitswarnungen aus einzelnen Azure-Computeressourcen (z. B. virtuelle Computer, Container, App-Dienst), Datenressourcen (z. B. SQL DB und Speicher) und Azure-Dienstebenen sammeln. Mit dieser Funktion können Sie Kontoanomalien innerhalb der einzelnen Ressourcen anzeigen.
Hinweis: Wenn Sie Ihr lokales Active Directory für die Synchronisierung verbinden, verwenden Sie die Microsoft Defender for Identity-Lösung, um Ihre lokalen Active Directory-Signale zu nutzen, um erweiterte Bedrohungen, kompromittierte Identitäten und bösartige Insideraktionen zu identifizieren, zu erkennen und zu untersuchen, die an Ihre Organisation gerichtet sind.
Azure-Implementierung und zusätzlicher Kontext:
- Überwachungsaktivitätsberichte in Azure AD
- Aktivieren von Azure Identity Protection
- Bedrohungsschutz in Microsoft Defender für Cloud
- Übersicht über Microsoft Defender for Identity
AWS-Leitfaden: AWS IAM bietet die folgenden Berichte zu Konsolenbenutzeraktivitäten über den IAM Access Advisor und den IAM-Anmeldeinformationsbericht.
- Jede erfolgreiche Anmeldung und erfolglose Anmeldeversuche.
- Mehrstufiger Authentifizierungsstatus (Multi-Factor Authentication, MFA) für jeden Benutzer.
- Ruhender IAM-Benutzer
Verwenden Sie Amazon GuadDuty für die Überwachung und Bedrohungserkennung auf API-Ebene, um die Ergebnisse im Zusammenhang mit dem IAM zu identifizieren. Beispiele für diese Ergebnisse sind:
- Eine API, die verwendet wurde, um Zugriff auf eine AWS-Umgebung zu erhalten und auf eine ungewöhnliche Weise aufgerufen wurde, oder wurde verwendet, um Abwehrmaßnahmen zu umgehen.
- Eine API, die für Folgendes verwendet wird:
- Der Aufruf zur Erkundung von Ressourcen erfolgte auf anomale Weise.
- Das Sammeln von Daten aus einer AWS-Umgebung wurde auf aomale Weise aufgerufen.
- Manipulation von Daten oder Prozessen in einer AWS-Umgebung wurde auf eine ungewöhnliche Weise aufgerufen.
- Unbefugter Zugriff auf eine AWS-Umgebung wurde auf anomale Weise ermöglicht.
- der nicht autorisierte Zugriff auf eine AWS-Umgebung wurde auf eine anomalieale Weise aufgerufen.
- Das Erhalten von hochstufigen Berechtigungen für eine AWS-Umgebung wurde auf anomale Weise aufgerufen.
- von einer bekannten bösartigen IP-Adresse aufgerufen werden.
- Kann mit Root-Anmeldeinformationen aufgerufen werden.
- Die AWS CloudTrail-Logging wurde deaktiviert.
- Die Kontokennwortrichtlinie wurde geschwächt.
- Mehrere weltweit erfolgreiche Konsolenanmeldungen wurden beobachtet.
- Anmeldeinformationen, die ausschließlich für eine EC2-Instanz über eine Instanzstartrolle erstellt wurden, werden von einem anderen Konto in AWS verwendet.
- Anmeldeinformationen, die ausschließlich für eine EC2-Instanz über eine Instanzstartrolle erstellt wurden, werden von einer externen IP-Adresse verwendet.
- Eine API wurde von einer bekannten bösartigen IP-Adresse aufgerufen.
- Eine API wurde aus einer IP-Adresse in einer benutzerdefinierten Bedrohungsliste aufgerufen.
- Eine API wurde von einer IP-Adresse des Tor-Exit-Knotens aufgerufen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Verwenden Sie die Ereignisbedrohungserkennung im Google Cloud Security Command Center für bestimmte Arten von IAM-bezogenen Bedrohungserkennungen, z. B. die Erkennung von Ereignissen, bei denen einem ruhenden, vom Benutzer verwalteten Dienstkonto eine oder mehrere sensible IAM-Rollen gewährt wurde.
Beachten Sie, dass Google Identity-Protokolle und Google Cloud IAM-Protokolle beide Administratoraktivitätsprotokolle erzeugen, aber für den unterschiedlichen Bereich. Google Identity-Protokolle sind nur für Vorgänge, die mit der Identity Platform korrespondieren, während IAM-Protokolle für Vorgänge gelten, die dem IAM für Google Cloud entsprechen. IAM-Protokolle enthalten Protokolleinträge von API-Aufrufen oder anderen Aktionen, die die Konfiguration oder Metadaten von Ressourcen ändern. Diese Protokolle zeichnen beispielsweise auf, wenn Benutzer VM-Instanzen erstellen oder Identitäts- und Zugriffsverwaltungsberechtigungen ändern.
Verwenden Sie die Cloud Identity- und IAM-Berichte, um Benachrichtigungen zu bestimmten verdächtigen Aktivitätsmustern zu erhalten. Sie können auch Richtlinienintelligenz verwenden, um Dienstkontenaktivitäten zu analysieren, um Aktivitäten wie Dienstkonten in Ihrem Projekt zu identifizieren, die in den letzten 90 Tagen nicht verwendet wurden.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
- Infrastruktur- und Endpunktsicherheit
- Sicherheitsvorgänge
- Haltungsverwaltung
- Anwendungssicherheit und DevOps
- Bedrohungserkennung
LT-3: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Sicherheitsprinzip: Aktivieren Sie die Protokollierung für Ihre Cloudressourcen, um die Anforderungen für Sicherheitsvorfalluntersuchungen und Sicherheitsreaktions- und Compliance-Zwecke zu erfüllen.
Azure-Leitfaden: Aktivieren der Protokollierungsfunktion für Ressourcen auf den verschiedenen Ebenen, z. B. Protokolle für Azure-Ressourcen, Betriebssysteme und Anwendungen in Ihren virtuellen Computern und anderen Protokolltypen.
Achten Sie auf verschiedene Arten von Protokollen für Sicherheit, Überwachung und andere Betriebsprotokolle auf verwaltungs-/kontrollebenen und Datenebenen. Es gibt drei Arten der Protokolle, die auf der Azure-Plattform verfügbar sind:
- Azure-Ressourcenprotokoll: Protokollierung von Vorgängen, die in einer Azure-Ressource (der Datenebene) ausgeführt werden. Rufen Sie beispielsweise ein Geheimnis aus einem Schlüsseltresor ab oder stellen Sie eine Anforderung an eine Datenbank. Der Inhalt der Ressourcenprotokolle variiert je nach Azure-Dienst und Ressourcentyp.
- Azure-Aktivitätsprotokoll: Protokollierung von Vorgängen auf jeder Azure-Ressource auf der Abonnementebene von außen (verwaltungsebene). Sie können das Aktivitätsprotokoll verwenden, um zu bestimmen, was, wer und wann für alle Schreibvorgänge (PUT, POST, DELETE) für die Ressourcen in Ihrem Abonnement übernommen wurde. Es gibt ein einzelnes Aktivitätsprotokoll für jedes Azure-Abonnement.
- Azure Active Directory-Protokolle: Protokolle des Verlaufs der Anmeldeaktivität und des Überwachungspfads von Änderungen, die in Azure Active Directory für einen bestimmten Mandanten vorgenommen wurden.
Sie können auch Microsoft Defender für Cloud und Azure-Richtlinie verwenden, um Ressourcenprotokolle zu aktivieren und die Erfassung von Daten in Azure-Ressourcen zu protokollieren.
Azure-Implementierung und zusätzlicher Kontext:
- Grundlegendes zur Protokollierung und verschiedenen Protokolltypen in Azure
- Grundlegendes zu Microsoft Defender für Cloud-Datensammlungen
- Aktivieren und Konfigurieren der Antischadsoftwareüberwachung
- Betriebssysteme und Anwendungsprotokolle in Ihren Computeressourcen
AWS-Leitfaden: Verwenden Sie die AWS CloudTrail-Protokollierung für Verwaltungsereignisse (Steuerungsebenenvorgänge) und Datenereignisse (Datenebenenvorgänge) und überwachen Sie diese Trails mit CloudWatch für automatisierte Aktionen.
Mit dem Amazon CloudWatch Logs-Dienst können Sie Protokolle aus Ihren Ressourcen, Anwendungen und Diensten in nahezu Echtzeit sammeln und speichern. Es gibt drei Hauptkategorien von Protokollen:
- Verkaufsprotokolle: Protokolle, die von AWS-Diensten in Ihrem Auftrag nativ veröffentlicht wurden. Derzeit sind Amazon FLOW Logs und Amazon Route 53 Protokolle die beiden unterstützten Typen. Diese beiden Protokolle sind standardmäßig aktiviert.
- Protokolle, die von AWS-Diensten veröffentlicht werden: Protokolle von mehr als 30 AWS-Diensten, die in CloudWatch veröffentlicht werden. Dazu gehören Amazon API Gateway, AWS Lambda, AWS CloudTrail und viele andere. Diese Protokolle können direkt in den Diensten und CloudWatch aktiviert werden.
- Benutzerdefinierte Protokolle: Protokolle aus Ihrer eigenen Anwendung und lokalen Ressourcen. Möglicherweise müssen Sie diese Protokolle sammeln, indem Sie CloudWatch Agent in Ihren Betriebssystemen installieren und an CloudWatch weiterleiten.
Während viele Dienste Protokolle nur in CloudWatch Logs veröffentlichen, können einige AWS-Dienste Protokolle direkt in AmazonS3 oder Amazon Kinesis Data Firehose veröffentlichen, wo Sie unterschiedliche Protokollierungsspeicher- und Aufbewahrungsrichtlinien verwenden können.
AWS-Implementierung und zusätzlicher Kontext:
- Aktivieren der Protokollierung für bestimmte AWS-Dienste
- Überwachung und Protokollierung
- Cloudwatch-Features
GCP-Leitfaden: Aktivieren der Protokollierungsfunktion für Ressourcen auf den verschiedenen Ebenen, z. B. Protokolle für Azure-Ressourcen, Betriebssysteme und Anwendungen innerhalb Ihrer virtuellen Computer und andere Protokolltypen.
Achten Sie auf verschiedene Arten von Protokollen für Sicherheit, Überwachung und andere Betriebsprotokolle auf verwaltungs-/kontrollebenen und Datenebenen. Operations Suite Cloud Logging Service sammelt und aggregiert alle Arten von Protokollereignissen aus Ressourcenebenen. Vier Kategorien von Protokollen werden in der Cloudprotokollierung unterstützt:
- Plattformprotokolle – Protokolle, die von Ihren Google Cloud-Diensten geschrieben wurden.
- Komponentenprotokolle – ähnlich wie Plattformprotokolle, aber sie werden von Google bereitgestellten Softwarekomponenten generiert, die auf Ihren Systemen ausgeführt werden.
- Sicherheitsprotokolle – hauptsächlich Überwachungsprotokolle, die administrative Aktivitäten aufzeichnen und innerhalb Ihrer Ressourcen darauf zugreifen.
- Vom Benutzer geschriebene Protokolle, die von benutzerdefinierten Anwendungen und Diensten geschrieben wurden
- Protokolle mit mehreren Clouds und Hybrid-Cloud-Protokollen – Protokolle anderer Cloudanbieter wie Microsoft Azure und Protokolle aus der lokalen Infrastruktur.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
- Infrastruktur- und Endpunktsicherheit
- Sicherheitsvorgänge
- Haltungsverwaltung
- Anwendungssicherheit und DevOps
- Bedrohungserkennung
LT-4: Aktivieren der Netzwerkprotokollierung für sicherheitsrelevante Untersuchungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10.8 |
Sicherheitsprinzip: Aktivieren Sie die Protokollierung für Ihre Netzwerkdienste, um netzwerkbezogene Vorfalluntersuchungen, Bedrohungssuche und Sicherheitswarnungsgenerierung zu unterstützen. Die Netzwerkprotokolle können Protokolle von Netzwerkdiensten wie IP-Filterung, Netzwerk- und Anwendungsfirewall, DNS, Ablaufüberwachung usw. enthalten.
Azure-Leitfaden: Aktivieren und Sammeln von Netzwerksicherheitsgruppen (NSG) Ressourcenprotokollen, NSG-Flussprotokollen, Azure Firewall-Protokollen und WAF-Protokollen (Web Application Firewall) sowie Protokollen von virtuellen Maschinen über den Netzwerkdaten-Sammlungsagent zur Sicherheitsanalyse, um Vorfalluntersuchungen zu unterstützen und Sicherheitswarnungen zu generieren. Sie können die Ablaufprotokolle an einen Azure Monitor Log Analytics-Arbeitsbereich senden und dann Traffic Analytics verwenden, um Einblicke zu liefern.
Sammeln Sie DNS-Abfrageprotokolle, um das Korrelieren anderer Netzwerkdaten zu unterstützen.
Azure-Implementierung und zusätzlicher Kontext:
- Aktivieren von Datenflussprotokollen für Netzwerksicherheitsgruppen
- Azure Firewall-Protokolle und Metriken
- Azure-Netzwerküberwachungslösungen in Azure Monitor
- Sammeln von Erkenntnissen über Ihre DNS-Infrastruktur mit der DNS Analytics-Lösung
AWS-Leitfaden: Aktivierung und Sammlung von Netzwerkprotokollen wie VPC-Flussprotokollen, WAF-Protokollen und Route53 Resolver-Abfrageprotokollen zur Sicherheitsanalyse, Unterstützung von Vorfalluntersuchungen und Generierung von Sicherheitswarnungen. Die Protokolle können entweder zur Überwachung an CloudWatch oder zur Einspeisung in die Microsoft Sentinel-Lösung für zentralisierte Analysen in einen S3-Speicher-Bucket exportiert werden.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Die meisten Protokolle von Netzwerkaktivitäten sind über die VPC Flow Logs verfügbar, die eine Stichprobe von Netzwerkflüssen erfassen, die von Ressourcen gesendet und empfangen werden, einschließlich Instanzen, die als Google Compute-VMs oder Kubernetes Engine-Knoten verwendet werden. Diese Protokolle können für die Netzwerküberwachung, forensische Analyse, Echtzeitsicherheitsanalyse und Spesenoptimierung verwendet werden.
Sie können Ablaufprotokolle in der Cloudprotokollierung anzeigen und Protokolle an das Ziel exportieren, das der Export von Cloudprotokollierung unterstützt. Ablaufprotokolle werden nach Verbindung von Compute Engine VMs aggregiert und in Echtzeit exportiert. Durch Abonnieren von Pub/Sub können Sie Ablaufprotokolle mithilfe von Echtzeitstreaming-APIs analysieren.
Hinweis: Sie können auch Paketspiegeln verwenden, um den Datenverkehr der angegebenen Instanzen in Ihrem Virtual Private Cloud (VPC)-Netzwerk zu klonen und zur Untersuchung weiterzuleiten. Die Paketspiegelung erfasst den gesamten Traffic und alle Paketdaten, einschließlich Nutzlasten und Kopfdaten.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):
- Sicherheitsvorgänge
- Infrastruktur- und Endpunktsicherheit
- Anwendungssicherheit und DevOps
- Bedrohungserkennung
LT-5: Zentralisieren der Verwaltung und Analyse von Sicherheitsprotokollen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | Nicht verfügbar |
Sicherheitsprinzip: Zentrale Protokollierungsspeicher und -analyse, um die Korrelation über Protokolldaten hinweg zu ermöglichen. Stellen Sie für jede Protokollquelle sicher, dass Sie einen Datenbesitzer, Zugriffsleitfaden, Speicherort, welche Tools für die Verarbeitung und den Zugriff auf die Daten sowie die Datenaufbewahrungsanforderungen zugewiesen haben.
Verwenden Sie cloudeigeneS SIEM, wenn Sie keine SIEM-Lösung für CSPs haben. oder aggregierte Protokolle/Warnungen in Ihrem vorhandenen SIEM.
Azure-Leitfaden: Stellen Sie sicher, dass Sie Azure-Aktivitätsprotokolle in einen zentralen Log Analytics-Arbeitsbereich integrieren. Verwenden Sie Azure Monitor, um Analysen abzufragen und durchzuführen und Warnungsregeln mithilfe der Protokolle zu erstellen, die von Azure-Diensten, Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen aggregiert wurden.
Aktivieren und integrieren Sie darüber hinaus Daten in Microsoft Sentinel, die Sicherheitsinformationsereignisverwaltung (SECURITY Information Event Management, SIEM) und funktionen für automatisierte Reaktion (SOAR) zur Verfügung stellen.
Azure-Implementierung und zusätzlicher Kontext:
AWS-Leitfaden: Stellen Sie sicher, dass Sie Ihre AWS-Protokolle in eine zentrale Ressource für Speicher und Analyse integrieren. Verwenden Sie CloudWatch, um Analysen abzufragen und durchzuführen und Warnungsregeln mithilfe der Protokolle zu erstellen, die von AWS-Diensten, Diensten, Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen aggregiert wurden.
Darüber hinaus können Sie die Protokolle in einem S3-Speicher-Bucket aggregieren und die Protokolldaten in Microsoft Sentinel integrieren, die sicherheitsbezogene Informationsereignisverwaltung (SECURITY Information Event Management, SIEM) und funktionen für automatisierte Reaktionsfunktionen (SOAR) zur Verfügung stellen.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Stellen Sie sicher, dass Sie Ihre GCP-Protokolle in eine zentrale Ressource (z. B. Operations Suite Cloud Logging Bucket) für Die Speicherung und Analyse integrieren. Cloud logging supports most of the Google Cloud native service logging sowie the third-party applications and on-premise applications. Sie können die Cloudprotokollierung für Abfragen und Analysen verwenden und Warnungsregeln mithilfe der Protokolle erstellen, die von GCP-Diensten, Diensten, Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen aggregiert wurden.
Verwenden Sie Cloud nativeS SIEM, wenn Sie keine SIEM-Lösung für CSP besitzen oder Protokolle/Warnungen in Ihrem vorhandenen SIEM aggregieren.
Hinweis: Google stellt zwei Protokollabfragen-Frontend bereit, Protokoll-Explorer und Log Analytics für Abfragen, Anzeigen und Analysieren von Protokollen. Zur Problembehandlung und Untersuchung von Protokolldaten empfiehlt es sich, den Protokoll-Explorer zu verwenden. Um Erkenntnisse und Trends zu generieren, empfiehlt es sich, Log Analytics zu verwenden.
GCP-Implementierung und zusätzlicher Kontext:
- Aggregieren und Speichern der Protokolle Ihrer Organisation
- Übersicht über Abfrage- und Ansichtsprotokolle
- Chronik SIEM
Kundensicherheitsbeteiligte (Weitere Informationen):
LT-6: Konfigurieren der Aufbewahrungsdauer von Protokollen im Speicher
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
Sicherheitsprinzip: Planen Sie Ihre Protokollaufbewahrungsstrategie gemäß Ihren Compliance-, Regulierungs- und Geschäftsanforderungen. Konfigurieren Sie die Protokollaufbewahrungsrichtlinie bei den einzelnen Protokollierungsdiensten, um sicherzustellen, dass die Protokolle entsprechend archiviert werden.
Azure-Leitfaden: Protokolle wie Azure-Aktivitätsprotokolle werden 90 Tage lang aufbewahrt und dann gelöscht. Sie sollten eine Diagnoseeinstellung erstellen und die Protokolle basierend auf Ihren Anforderungen an einen anderen Speicherort (z. B. Azure Monitor Log Analytics-Arbeitsbereich, Event Hubs oder Azure Storage) weiterleiten. Diese Strategie gilt auch für andere Ressourcenprotokolle und Ressourcen, die von sich selbst verwaltet werden, z. B. Protokolle in den Betriebssystemen und Anwendungen innerhalb von VMs.
Sie haben die Protokollaufbewahrungsoption wie folgt:
- Verwenden Sie den Azure Monitor Log Analytics-Arbeitsbereich für einen Protokollaufbewahrungszeitraum von bis zu 1 Jahr oder pro Anforderungen ihres Reaktionsteams.
- Verwenden Sie Azure Storage, Data Explorer oder Data Lake für einen langfristigen und archivierungsbasierten Speicher für mehr als 1 Jahr und um Ihre Sicherheitscomplianceanforderungen zu erfüllen.
- Verwenden Sie Azure Event Hubs, um Protokolle an eine externe Ressource außerhalb von Azure weiterzuleiten.
Hinweis: Microsoft Sentinel verwendet log Analytics-Arbeitsbereich als Back-End für die Protokollspeicherung. Sie sollten eine langfristige Speicherstrategie in Betracht ziehen, wenn Sie beabsichtigen, SIEM-Protokolle länger aufzubewahren.
Azure-Implementierung und zusätzlicher Kontext:
- Ändern des Datenaufbewahrungszeitraums in Log Analytics
- Konfigurieren der Aufbewahrungsrichtlinie für Azure Storage-Kontoprotokolle
- Microsoft Defender für Cloud-Warnungen und Empfehlungen exportieren
AWS-Leitfaden: Standardmäßig werden Protokolle unbegrenzt aufbewahrt und laufen nie in CloudWatch ab. Sie können die Aufbewahrungsrichtlinie für jede Protokollgruppe anpassen, die unbefristete Aufbewahrung beibehalten oder einen Aufbewahrungszeitraum zwischen 10 Jahren und einem Tag auswählen.
Verwenden Sie Amazon S3 für die Protokollarchivierung aus CloudWatch, und wenden Sie die Objektlebenszyklus-Verwaltung und Archivierungsrichtlinie auf den Bucket an. Sie können Azure Storage für die zentrale Protokollarchivierung verwenden, indem Sie die Dateien von Amazon S3 auf Azure Storage übertragen.
AWS-Implementierung und zusätzlicher Kontext:
- Ändern der Aufbewahrung von CloudWatch-Protokollen
- Kopieren von Daten von Amazon S3 in Azure Storage mithilfe von AzCopy
GCP-Leitfaden: Standardmäßig behält Operations Suite Cloud Logging die Protokolle 30 Tage lang bei, es sei denn, Sie konfigurieren eine benutzerdefinierte Aufbewahrung für den Cloudprotokollierungs-Bucket. Administratoraktivitätsüberwachungsprotokolle, Systemereignisüberwachungsprotokolle und Zugriffstransparenzprotokolle werden standardmäßig 400 Tage lang aufbewahrt. Sie können die Cloudprotokollierung so konfigurieren, dass Protokolle zwischen 1 Tag und 3650 Tagen aufbewahrt werden.
Verwenden Sie CloudSpeicher für die Protokollarchivierung aus der Cloudprotokollierung, und wenden Sie die Objektlebenszyklusverwaltung und Archivierungsrichtlinie auf den Bucket an. Sie können Azure Storage für die zentrale Protokollarchivierung verwenden, indem Sie die Dateien von Google Cloud Storage auf Azure Storage übertragen.
GCP-Implementierung und zusätzlicher Kontext:
- benutzerdefinierte Aufbewahrungs- protokollieren
- Aufbewahrungsrichtlinien für Speicher
- Protokollrouting und Speicherübersicht
Kundensicherheitsbeteiligte (Weitere Informationen):
- Sicherheitsarchitektur
- Anwendungssicherheit und DevOps
- Sicherheitsvorgänge
- Security Compliance Management
LT-7: Verwenden genehmigter Zeitsynchronisierungsquellen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8,4 | AU-8 | 10,4 |
Sicherheitsprinzip: Verwenden Sie genehmigte Zeitsynchronisierungsquellen für Ihren Protokollierungszeitstempel, einschließlich Datums-, Uhrzeit- und Zeitzoneninformationen.
Azure-Leitfaden: Microsoft verwaltet Zeitquellen für die meisten Azure PaaS- und SaaS-Dienste. Verwenden Sie für Ihre Computerressourcen-Betriebssysteme einen Microsoft-Standard-NTP-Server für die Zeitsynchronisierung, es sei denn, Sie haben eine bestimmte Anforderung. Wenn Sie Ihren eigenen NTP-Server (Network Time Protocol) einrichten müssen, stellen Sie sicher, dass Sie den UDP-Dienstport 123 sichern.
Alle protokolle, die von Ressourcen in Azure generiert werden, stellen Zeitstempel mit der standardmäßig angegebenen Zeitzone bereit.
Azure-Implementierung und zusätzlicher Kontext:
- Konfigurieren der Zeitsynchronisierung für Azure Windows-Computeressourcen
- Konfigurieren der Zeitsynchronisierung für Azure Linux-Computeressourcen
- So deaktivieren Sie eingehende UDP für Azure-Dienste
AWS-Leitfaden: AWS verwaltet Zeitquellen für die meisten AWS-Dienste. Verwenden Sie für Ressourcen oder Dienste, für die die Einstellung der Betriebssystemzeit konfiguriert ist, AWS-Standard-Amazon Time Sync Service für die Zeitsynchronisierung, es sei denn, Sie haben eine bestimmte Anforderung. Wenn Sie Ihren eigenen NTP-Server (Network Time Protocol) einrichten müssen, stellen Sie sicher, dass Sie den UDP-Dienstport 123 sichern.
Alle protokolle, die von Ressourcen innerhalb von AWS generiert werden, stellen Zeitstempel mit der standardmäßig angegebenen Zeitzone bereit.
AWS-Implementierung und zusätzlicher Kontext:
GCP-Leitfaden: Google Cloud verwaltet Zeitquellen für die meisten Google Cloud PaaS- und SaaS-Dienste. Verwenden Sie für Ihre Computerressourcenbetriebssysteme einen Standardmäßigen NTP-Server für google Cloud für die Zeitsynchronisierung, es sei denn, Sie haben eine bestimmte Anforderung. Wenn Sie Ihren eigenen NTP-Server (Network Time Protocol) einrichten müssen, stellen Sie sicher, dass der UDP-Dienstport 123 gesichert wird.
Hinweis: Es wird empfohlen, keine externen NTP-Quellen mit virtuellen Compute Engine-Computern zu verwenden, sondern den internen NTP-Server von Google zu verwenden.
GCP-Implementierung und zusätzlicher Kontext:
Kundensicherheitsbeteiligte (Weitere Informationen):