Sicherheitssteuerung: Protokollierung und Bedrohungserkennung

  • Artikel

Protokollierung und Bedrohungserkennung umfasst Kontrollmechanismen zur Erkennung von Bedrohungen in der Cloud sowie das Aktivieren, Erfassen und Speichern von Überwachungsprotokollen für Clouddienste. Dazu gehört das Aktivieren von Erkennungs-, Untersuchungs- und Abhilfeprozessen mit Mechanismen zur Generierung nützlicher Warnungen mithilfe der nativen Bedrohungserkennung in Clouddiensten. Außerdem gehört dazu das Erfassen von Protokollen mit einem Cloudüberwachungsdienst, die Zentralisierung der Sicherheitsanalyse mit einem SIEM-System (Security Information and Event Management), die Zeitsynchronisierung und die Aufbewahrung von Protokollen.

LT-1: Aktivieren von Funktionen für die Bedrohungserkennung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Sicherheitsprinzip: Um Bedrohungserkennungsszenarien zu unterstützen, überwachen Sie alle bekannten Ressourcentypen auf bekannte und erwartete Bedrohungen und Anomalien. Konfigurieren Sie Ihre Warnungsfilterungs- und Analyseregeln, um hochwertige Warnungen aus Protokolldaten, Agents oder anderen Datenquellen zu extrahieren und so False Positives zu reduzieren.

Azure-Leitfaden: Verwenden Sie die Bedrohungserkennungsfunktion von Microsoft Defender für Cloud für die jeweiligen Azure-Dienste.

Informationen zur Bedrohungserkennung, die nicht in Microsoft Defender Diensten enthalten ist, finden Sie unter Microsoft Cloud Security Benchmark-Dienstbaselines für die jeweiligen Dienste, um die Funktionen zur Bedrohungserkennung oder Sicherheitswarnung innerhalb des Diensts zu aktivieren. Erfassen Sie Warnungen und Protokolldaten aus Microsoft Defender für Cloud, Microsoft 365 Defender und Protokolldaten aus anderen Ressourcen in Ihren Azure Monitor- oder Microsoft Sentinel-Instanzen, um Analyseregeln zu erstellen, die Bedrohungen erkennen und Warnungen erstellen, die bestimmten Kriterien in Ihrer Umgebung entsprechen.

Verwenden Sie für OT-Umgebungen (Operational Technology), die Computer umfassen, die ICS-Ressourcen (Industrial Control System) oder SCADA-Ressourcen (Supervisory Control and Data Acquisition) steuern oder überwachen, Microsoft Defender für IoT verwenden, um Ressourcen zu inventarisieren und Bedrohungen und Sicherheitsrisiken zu erkennen.

Für Dienste, die nicht über eine native Bedrohungserkennungsfunktion verfügen, sollten Sie die Protokolle der Datenebene sammeln und die Bedrohungen über Microsoft Sentinel analysieren.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Verwenden Sie Amazon GuardDuty für die Bedrohungserkennung, die die folgenden Datenquellen analysiert und verarbeitet: VPC Flow Logs, AWS CloudTrail Management-Ereignisprotokolle, CloudTrail S3-Datenereignisprotokolle, EKS-Überwachungsprotokolle und DNS-Protokolle. GuardDuty ist in der Lage, Sicherheitsprobleme zu melden, z. B. rechteerweiterung, verwendung von Anmeldeinformationen oder Kommunikation mit böswilligen IP-Adressen oder Domänen.

Konfigurieren Sie AWS Config, um Regeln in SecurityHub für die Complianceüberwachung zu überprüfen, z. B. Konfigurationsabweichungen, und erstellen Sie bei Bedarf Ergebnisse.

Aktivieren Sie für die Bedrohungserkennung, die nicht in GuardDuty und SecurityHub enthalten ist, die Funktionen zur Erkennung von Bedrohungen oder Sicherheitswarnungen innerhalb der unterstützten AWS-Dienste. Extrahieren Sie die Warnungen in CloudTrail, CloudWatch oder Microsoft Sentinel, um Analyseregeln zu erstellen, die Bedrohungen suchen, die bestimmten Kriterien in Ihrer Umgebung entsprechen.

Sie können auch Microsoft Defender für Cloud verwenden, um bestimmte Dienste in AWS zu überwachen, z. B. EC2-Instanzen.

Verwenden Sie für OT-Umgebungen (Operational Technology), die Computer umfassen, die ICS-Ressourcen (Industrial Control System) oder SCADA-Ressourcen (Supervisory Control and Data Acquisition) steuern oder überwachen, Microsoft Defender für IoT verwenden, um Ressourcen zu inventarisieren und Bedrohungen und Sicherheitsrisiken zu erkennen.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Verwenden Sie die Ereignis-Bedrohungserkennung im Google Cloud Security Command Center für die Bedrohungserkennung mithilfe von Protokolldaten wie Admin-Aktivität, GKE-Datenzugriff, VPC-Flussprotokollen, Cloud-DNS und Firewallprotokollen.

Verwenden Sie zusätzlich die Security Operations Suite für den modernen SOC mit Chronicle SIEM und SOAR. Chronicle SIEM und SOAR bieten Funktionen zur Erkennung, Untersuchung und Suche von Bedrohungen

Sie können auch Microsoft Defender für Cloud verwenden, um bestimmte Dienste in GCP zu überwachen, z. B. Compute-VM-Instanzen.

Verwenden Sie für OT-Umgebungen (Operational Technology), die Computer umfassen, die ICS-Ressourcen (Industrial Control System) oder SCADA-Ressourcen (Supervisory Control and Data Acquisition) steuern oder überwachen, Microsoft Defender für IoT verwenden, um Ressourcen zu inventarisieren und Bedrohungen und Sicherheitsrisiken zu erkennen.

GCP-Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (weitere Informationen):

LT-2: Aktivieren der Bedrohungserkennung für die Identitäts- und Zugriffsverwaltung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Sicherheitsprinzip: Erkennen Sie Bedrohungen für Identitäten und die Zugriffsverwaltung, indem Sie die Anmelde- und Zugriffsanomalien von Benutzern und Anwendungen überwachen. Verhaltensmuster wie eine übermäßige Anzahl fehlgeschlagener Anmeldeversuche und veraltete Konten im Abonnement sollten gemeldet werden.

Azure-Leitfaden: Azure AD stellt die folgenden Protokolle bereit, die in der Azure AD-Berichterstellung angezeigt oder in Azure Monitor, Microsoft Sentinel oder andere SIEM-/Überwachungstools für komplexere Überwachungs- und Analyseanwendungsfälle integriert werden können:

  • Anmeldungen: Der Bericht „Anmeldungen“ enthält Informationen zur Nutzung von verwalteten Anwendungen und Benutzeranmeldeaktivitäten.
  • Überwachungsprotokolle: Ermöglichen die Nachverfolgung sämtlicher Änderungen, die von verschiedenen Features in Azure AD vorgenommen wurden. Hierzu zählen unter anderem Änderungen an Ressourcen in Azure AD, z. B. das Hinzufügen oder Entfernen von Benutzern, Apps, Gruppen, Rollen und Richtlinien.
  • Risikoanmeldungen: Eine Risikoanmeldung ist ein Hinweis auf einen Anmeldeversuch einer Person, die nicht der rechtmäßige Besitzer eines Benutzerkontos ist.
  • Benutzer mit Risikokennzeichnung: Ein Risikobenutzer ist ein Hinweis auf ein möglicherweise gefährdetes Benutzerkonto.

Azure AD bietet auch ein Identity Protection-Modul, um Risiken im Zusammenhang mit Benutzerkonten und Anmeldeverhalten zu erkennen und zu beheben. Beispiele für Risiken sind geleakte Anmeldeinformationen, Anmeldungen von anonymen oder mit Schadsoftware verknüpften IP-Adressen, Kennwortspray. Mit den Richtlinien in Azure AD Identity Protection können Sie die risikobasierte MFA-Authentifizierung in Verbindung mit dem bedingten Azure-Zugriff für Benutzerkonten erzwingen.

Auch Microsoft Defender für Cloud kann für das Melden veralteter Konten im Abonnement und verdächtiger Aktivitäten wie z. B. einer übermäßigen Anzahl fehlgeschlagener Authentifizierungsversuche konfiguriert werden. Zusätzlich zur grundlegenden Überwachung der Sicherheitshygiene kann das Bedrohungsschutzmodul von Microsoft Defender für Cloud auch ausführlichere Sicherheitswarnungen von einzelnen Azure-Computeressourcen (VMs, Container, App Service), Datenressourcen (SQL-Datenbanken und -Speicher) und Azure-Dienstebenen sammeln. So erhalten Sie Einblick in Kontoanomalien innerhalb einzelner Ressourcen.

Hinweis: Wenn Sie Ihre lokale Active Directory-Instanz für die Synchronisierung verbinden, verwenden Sie die Microsoft Defender for Identity-Lösung, um Ihre lokalen Active Directory-Signale zur Identifikation, Erkennung und Untersuchung fortgeschrittener Bedrohungen, kompromittierter Identitäten und böswilliger Insideraktionen zu nutzen, die sich gegen Ihre Organisation richten.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: AWS IAM stellt die folgenden Protokolle und Berichte für Konsolenbenutzeraktivitäten über IAM Access Advisor und IAM-Anmeldeinformationsberichte bereit:

  • Jede erfolgreiche Anmeldung und fehlgeschlagene Anmeldeversuche.
  • Multi-Factor Authentication (MFA) status für jeden Benutzer.
  • Ruhender IAM-Benutzer

Verwenden Sie Für die Zugriffsüberwachung auf API-Ebene und die Bedrohungserkennung Amazon GuadDuty, um die Ergebnisse im Zusammenhang mit dem IAM zu identifizieren. Beispiele für diese Ergebnisse sind:

  • Eine API, die verwendet wurde, um Zugriff auf eine AWS-Umgebung zu erhalten, wurde auf anomale Weise aufgerufen oder wurde verwendet, um Abwehrmaßnahmen zu umgehen.
  • Eine API, die für Folgendes verwendet wird:
    • Discover-Ressourcen wurden auf anomale Weise aufgerufen
    • Das Sammeln von Daten aus einer AWS-Umgebung wurde auf anomale Weise aufgerufen.
    • Die Manipulation von Daten oder Prozessen in einer AWS-Umgebung wurde auf ungewöhnliche Weise aufgerufen.
    • Nicht autorisierter Zugriff auf eine AWS-Umgebung wurde auf anomale Weise aufgerufen.
    • Nicht autorisierter Zugriff auf eine AWS-Umgebung wurde auf anomale Weise aufgerufen.
    • Allgemeine Berechtigungen für eine AWS-Umgebung zu erhalten, die auf anomale Weise aufgerufen wurde.
    • von einer bekannten schädlichen IP-Adresse aufgerufen werden.
    • mit Stammanmeldeinformationen aufgerufen werden.
  • DIE AWS CloudTrail-Protokollierung wurde deaktiviert.
  • Die Kontokennwortrichtlinie wurde geschwächt.
  • Mehrere weltweit erfolgreiche Konsolenanmeldungen wurden beobachtet.
  • Anmeldeinformationen, die ausschließlich für eine EC2-instance über eine Instance-Startrolle erstellt wurden, werden von einem anderen Konto in AWS verwendet.
  • Anmeldeinformationen, die ausschließlich für eine EC2-instance über eine Instanzstartrolle erstellt wurden, werden von einer externen IP-Adresse verwendet.
  • Eine API wurde von einer bekannten schädlichen IP-Adresse aufgerufen.
  • Eine API wurde von einer IP-Adresse in einer benutzerdefinierten Bedrohungsliste aufgerufen.
  • Eine API wurde von einer IP-Adresse des Tor-Exitknotens aufgerufen.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Verwenden Sie die Ereignisbedrohungserkennung in Google Cloud Security Command Center für bestimmte Arten von IAM-bezogenen Bedrohungserkennungen, z. B. die Erkennung von Ereignissen, bei denen einem ruhenden benutzerseitig verwalteten Dienstkonto eine oder mehrere vertrauliche IAM-Rollen gewährt wurden.

Beachten Sie, dass Google Identity-Protokolle und Google Cloud IAM-Protokolle sowohl Administratoraktivitätsprotokolle erzeugen, jedoch für den unterschiedlichen Bereich. Google Identity-Protokolle gelten nur für Vorgänge, die Identity Platform entsprechen, während IAM-Protokolle für Vorgänge gelten, die IAM für Google Cloud entsprechen. IAM-Protokolle enthalten Protokolleinträge von API-Aufrufen oder anderen Aktionen, die die Konfiguration oder Metadaten von Ressourcen ändern. In diesen Protokollen wird beispielsweise aufgezeichnet, wann Benutzer VM-Instanzen erstellen oder Berechtigungen für die Identitäts- und Zugriffsverwaltung ändern.

Verwenden Sie die Cloudidentitäts- und IAM-Berichte, um Warnungen zu bestimmten verdächtigen Aktivitätsmustern zu erhalten. Sie können auch Policy Intelligence verwenden, um Aktivitäten von Dienstkonten zu analysieren, um Aktivitäten wie Dienstkonten in Ihrem Projekt zu identifizieren, die in den letzten 90 Tagen nicht verwendet wurden.

GCP-Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (Weitere Informationen):

LT-3: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Sicherheitsprinzip: Aktivieren Sie die Protokollierung für Ihre Cloudressourcen, um die Anforderungen für Sicherheitsvorfälle und Sicherheitsreaktions- und Compliancezwecke zu erfüllen.

Azure-Leitfaden: Aktivieren Sie die Protokollierungsfunktion für Ressourcen auf den verschiedenen Ebenen, z. B. Protokolle für Azure-Ressourcen, Betriebssysteme und Anwendungen in Ihren virtuellen Computern und anderen Protokolltypen.

Achten Sie auf verschiedene Arten von Protokollen für Sicherheit, Überwachung und andere Betriebsprotokolle auf der Verwaltungs-/Steuerungsebene und den Datenebenen. Es gibt drei Arten von Protokollen, die auf der Azure-Plattform verfügbar sind:

  • Azure-Ressourcenprotokoll: Protokollierung von Vorgängen, die innerhalb einer Azure-Ressource (der Datenebene) ausgeführt werden. Beispiele hierfür sind das Abrufen eines Geheimnisses aus einem Schlüsseltresor oder das Senden einer Anforderung an eine Datenbank. Der Inhalt dieser Protokolle variiert je nach Azure-Dienst und -Ressourcentyp.
  • Azure-Aktivitätsprotokoll: Protokollierung von Vorgängen für die einzelnen Azure-Ressourcen auf Abonnementebene von außen (Verwaltungsebene). Sie können das Aktivitätsprotokoll verwenden, um zu bestimmen, was, wer und wann für alle Schreibvorgänge (PUT, POST, DELETE) für die Ressourcen in Ihrem Abonnement ausgeführt werden. Es gibt jeweils ein Aktivitätsprotokoll für jedes Azure-Abonnement.
  • Azure Active Directory-Protokolle: Protokolle über den Verlauf der Anmeldeaktivität und Überwachungsprotokoll der Änderungen, die in Azure Active Directory für einen bestimmten Mandanten vorgenommen wurden.

Sie können auch Microsoft Defender für Cloud und Azure Policy verwenden, um Ressourcenprotokolle und die Erfassung von Protokolldaten für Azure-Ressourcen zu aktivieren.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Verwenden Sie die AWS CloudTrail-Protokollierung für Verwaltungsereignisse (Vorgänge auf Steuerungsebene) und Datenereignisse (Vorgänge auf Datenebene), und überwachen Sie diese Pfade mit CloudWatch für automatisierte Aktionen.

Mit dem Amazon CloudWatch Logs-Dienst können Sie Protokolle aus Ihren Ressourcen, Anwendungen und Diensten nahezu in Echtzeit sammeln und speichern. Es gibt drei Standard Kategorien von Protokollen:

  • Geautomatte Protokolle: Protokolle, die von AWS-Diensten nativ in Ihrem Namen veröffentlicht werden. Derzeit sind Amazon VPC Flow Logs und Amazon Route 53-Protokolle die beiden unterstützten Typen. Diese beiden Protokolle sind standardmäßig aktiviert.
  • Von AWS-Diensten veröffentlichte Protokolle: Protokolle von mehr als 30 AWS-Diensten werden in CloudWatch veröffentlicht. Dazu gehören Amazon API Gateway, AWS Lambda, AWS CloudTrail und viele andere. Diese Protokolle können direkt in den Diensten und CloudWatch aktiviert werden.
  • Benutzerdefinierte Protokolle: Protokolle aus Ihrer eigenen Anwendung und lokalen Ressourcen. Möglicherweise müssen Sie diese Protokolle sammeln, indem Sie den CloudWatch-Agent in Ihren Betriebssystemen installieren und an CloudWatch weiterleiten.

Während viele Dienste Protokolle nur in CloudWatch-Protokollen veröffentlichen, können einige AWS-Dienste Protokolle direkt in AmazonS3 oder Amazon Kinesis Data Firehose veröffentlichen, wo Sie verschiedene Protokollierungsspeicher- und Aufbewahrungsrichtlinien verwenden können.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Aktivieren Sie die Protokollierungsfunktion für Ressourcen auf den verschiedenen Ebenen, z. B. Protokolle für Azure-Ressourcen, Betriebssysteme und Anwendungen in Ihren virtuellen Computern und anderen Protokolltypen.

Achten Sie auf verschiedene Arten von Protokollen für Sicherheit, Überwachung und andere Betriebsprotokolle auf der Verwaltungs-/Steuerungsebene und den Datenebenen. Der Operations Suite-Cloudprotokollierungsdienst sammelt und aggregiert alle Arten von Protokollereignissen von Ressourcenebenen. Vier Kategorien von Protokollen werden in der Cloudprotokollierung unterstützt:

  • Plattformprotokolle: Protokolle, die von Ihren Google Cloud-Diensten geschrieben werden.
  • Komponentenprotokolle – ähnlich wie Plattformprotokolle, aber es handelt sich um Protokolle, die von Google bereitgestellten Softwarekomponenten generiert werden, die auf Ihren Systemen ausgeführt werden.
  • Sicherheitsprotokolle: In erster Linie Überwachungsprotokolle, die administrative Aktivitäten und Zugriffe innerhalb Ihrer Ressourcen aufzeichnen.
  • Vom Benutzer geschrieben: Protokolle, die von benutzerdefinierten Anwendungen und Diensten geschrieben wurden
  • Multi-Cloud-Protokolle und Hybrid-Cloud-Protokolle: Protokolle von anderen Cloudanbietern wie Microsoft Azure und Protokolle aus der lokalen Infrastruktur.

GCP-Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (Weitere Informationen):

LT-4: Aktivieren der Netzwerkprotokollierung für die Sicherheitsuntersuchung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10,8

Sicherheitsprinzip: Aktivieren Sie die Protokollierung für Ihre Netzwerkdienste, um netzwerkbezogene Incidentuntersuchungen, Bedrohungssuche und Generierung von Sicherheitswarnungen zu unterstützen. Die Netzwerkprotokolle können Protokolle von Netzwerkdiensten wie beispielsweise IP-Filterung, Netzwerk- und Anwendungsfirewall, DNS oder Flussüberwachung umfassen.

Azure-Leitfaden: Aktivieren und sammeln Sie Ressourcenprotokolle für Netzwerksicherheitsgruppen (NSG), NSG-Flussprotokolle, Azure Firewall Protokolle und WAF-Protokolle (Web Application Firewall) sowie Protokolle von virtuellen Computern über den Netzwerkdatensammlungs-Agent für Die Sicherheitsanalyse zur Unterstützung von Incidentuntersuchungen und Generierung von Sicherheitswarnungen. Sie können die Datenflussprotokolle an einen Log Analytics-Arbeitsbereich von Azure Monitor senden und dann mithilfe von Traffic Analytics Einblicke ermöglichen.

Sammeln Sie DNS-Abfrageprotokolle, um die Korrelation mit anderen Netzwerkdaten zu unterstützen.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Aktivieren und sammeln Sie Netzwerkprotokolle wie VPC-Flussprotokolle, WAF-Protokolle und Route53 Resolver-Abfrageprotokolle für die Sicherheitsanalyse, um Incidentuntersuchungen und die Generierung von Sicherheitswarnungen zu unterstützen. Die Protokolle können zur Überwachung in CloudWatch oder in einen S3-Speicherbucket für die Erfassung in die Microsoft Sentinel-Lösung für zentralisierte Analysen exportiert werden.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Die meisten Protokolle der Netzwerkaktivitäten sind über die VPC-Flussprotokolle verfügbar, die eine Stichprobe von Netzwerkflüssen aufzeichnet, die von Ressourcen gesendet und empfangen werden, einschließlich Instanzen, die als Google Compute-VMs und Kubernetes-Engine-Knoten verwendet werden. Diese Protokolle können für die Netzwerküberwachung, Forensik, Echtzeitsicherheitsanalyse und Kostenoptimierung verwendet werden.

Sie können Flussprotokolle in der Cloudprotokollierung anzeigen und Protokolle an das Ziel exportieren, das der Cloudprotokollierungsexport unterstützt. Flussprotokolle werden durch Die Verbindung von Compute Engine-VMs aggregiert und in Echtzeit exportiert. Wenn Sie Pub/Sub abonnieren, können Sie Flussprotokolle mithilfe von Echtzeitstreaming-APIs analysieren.

Hinweis: Sie können auch Paketspiegelung verwenden, um den Datenverkehr der angegebenen Instanzen in Ihrem VPC-Netzwerk (Virtual Private Cloud) zu klonen und zur Prüfung weiterzuleiten. Die Paketspiegelung erfasst alle Datenverkehrs- und Paketdaten, einschließlich Nutzlasten und Headern.

GCP-Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (weitere Informationen):

LT-5: Zentralisieren der Verwaltung und Analyse von Sicherheitsprotokollen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4

Sicherheitsprinzip: Zentralisieren Sie den Protokollierungsspeicher und die Analyse, um die Korrelation zwischen Protokolldaten zu ermöglichen. Stellen Sie sicher, dass jeder Protokollquelle ein Datenbesitzer, eine Zugriffsanleitung, ein Speicherort, die für die Verarbeitung und den Zugriff verwendeten Tools sowie Anforderungen zur Datenaufbewahrung zugewiesen werden.

Verwenden Sie cloudnatives SIEM, wenn Sie nicht über eine vorhandene SIEM-Lösung für CSPs verfügen. Aggregieren Sie alternativ Protokolle/Warnungen in Ihrem vorhandenen SIEM.

Azure-Leitfaden: Stellen Sie sicher, dass Sie Azure-Aktivitätsprotokolle in einen zentralisierten Log Analytics-Arbeitsbereich integrieren. Verwenden Sie Azure Monitor, um Analysen abzufragen und durchzuführen und Warnungsregeln mithilfe der Protokolle zu erstellen, die von Azure-Diensten, Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen aggregiert werden.

Darüber hinaus können Sie Daten in Microsoft Sentinel aktivieren und integrieren, das Funktionen zur Verwaltung von Sicherheitsinformationen (Security Information Event Management, SIEM) und SoAR (Security Orchestration Automated Response) bietet.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Stellen Sie sicher, dass Sie Ihre AWS-Protokolle in eine zentralisierte Ressource für Speicher und Analyse integrieren. Verwenden Sie CloudWatch zum Abfragen und Durchführen von Analysen und zum Erstellen von Warnungsregeln mithilfe der Protokolle, die von AWS-Diensten, Diensten, Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen aggregiert wurden.

Darüber hinaus können Sie die Protokolle in einem S3-Speicher-Bucket aggregieren und die Protokolldaten in Microsoft Sentinel integrieren. Dies bietet Funktionen zur Verwaltung von Sicherheitsinformationen (Security Information Event Management, SIEM) und soAR (Security Orchestration Automated Response).

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Stellen Sie sicher, dass Sie Ihre GCP-Protokolle für die Speicherung und Analyse in eine zentrale Ressource (z. B. Operations Suite Cloud Logging Bucket) integrieren. Die Cloudprotokollierung unterstützt die meisten nativen Google Cloud-Dienstprotokollierung sowie Drittanbieteranwendungen und lokale Anwendungen. Sie können die Cloudprotokollierung verwenden, um Abfragen und Analysen durchzuführen und Warnungsregeln mithilfe der Protokolle zu erstellen, die von GCP-Diensten, Diensten, Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen aggregiert wurden.

Verwenden Sie cloudnatives SIEM, wenn Sie nicht über eine vorhandene SIEM-Lösung für CSP verfügen oder Protokolle/Warnungen in Ihrem vorhandenen SIEM aggregieren.

Hinweis: Google bietet zwei Protokollabfragen-Front-End, Protokolle Explorer und Log Analytics für Abfragen, Anzeigen und Analysieren von Protokollen. Für die Problembehandlung und Untersuchung von Protokolldaten wird empfohlen, Protokolle Explorer zu verwenden. Um Erkenntnisse und Trends zu generieren, empfiehlt es sich, Log Analytics zu verwenden.

GCP-Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (weitere Informationen):

LT-6: Konfigurieren der Aufbewahrungsdauer von Protokollen im Speicher

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Sicherheitsprinzip: Planen Sie Ihre Protokollaufbewahrungsstrategie gemäß Ihren Compliance-, Regulierungs- und Geschäftsanforderungen. Konfigurieren Sie die Protokollaufbewahrungsrichtlinie für die einzelnen Protokollierungsdienste, um sicherzustellen, dass die Protokolle ordnungsgemäß archiviert werden.

Azure-Leitfaden: Protokolle wie Azure-Aktivitätsprotokolle werden 90 Tage lang aufbewahrt und dann gelöscht. Sie sollten eine Diagnoseeinstellung erstellen und die Protokolle basierend auf Ihren Anforderungen an einen anderen Speicherort (z. B. Azure Monitor Log Analytics-Arbeitsbereich, Event Hubs oder Azure Storage) weiterleiten. Diese Strategie gilt auch für andere Ressourcenprotokolle und Ressourcen, die sie selbst verwalten, z. B. Protokolle in den Betriebssystemen und Anwendungen auf virtuellen Computern.

Die Option zur Protokollaufbewahrung steht wie folgt zur Verfügung:

  • Verwenden Sie den Azure Monitor Log Analytics-Arbeitsbereich für einen Protokollaufbewahrungszeitraum von bis zu einem Jahr oder gemäß den Anforderungen Ihres Notfallteams.
  • Verwenden Sie Azure Storage, Data Explorer oder Data Lake für die langfristige Speicherung und Archivierung für mehr als ein Jahr und zur Erfüllung Ihrer Sicherheitskonformitätsanforderungen.
  • Verwenden Sie Azure Event Hubs, um Protokolle an eine externe Ressource außerhalb von Azure weiterzuleiten.

Hinweis: Microsoft Sentinel verwendet den Log Analytics-Arbeitsbereich als Back-End für die Protokollspeicherung. Sie sollten eine langfristige Speicherstrategie in Betracht ziehen, wenn Sie planen, SIEM-Protokolle für längere Zeit aufzubewahren.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: Protokolle werden standardmäßig unbegrenzt aufbewahrt und laufen in CloudWatch nie ab. Sie können die Aufbewahrungsrichtlinie für jede Protokollgruppe anpassen, die unbegrenzte Aufbewahrung beibehalten oder einen Aufbewahrungszeitraum zwischen 10 Jahren und einem Tag auswählen.

Verwenden Sie Amazon S3 für die Protokollarchivierung aus CloudWatch, und wenden Sie die Objektlebenszyklusverwaltung und Archivierungsrichtlinie auf den Bucket an. Sie können Azure Storage für die zentrale Protokollarchivierung verwenden, indem Sie die Dateien von Amazon S3 in Azure Storage übertragen.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Standardmäßig behält die Operations Suite-Cloudprotokollierung die Protokolle 30 Tage lang bei, es sei denn, Sie konfigurieren eine benutzerdefinierte Aufbewahrung für den Cloudprotokollierungs-Bucket. Admin Aktivitätsüberwachungsprotokolle, Systemereignisüberwachungsprotokolle und Zugriffstransparenzprotokolle werden standardmäßig 400 Tage beibehalten. Sie können die Cloudprotokollierung so konfigurieren, dass Protokolle zwischen einem Tag und 3650 Tagen aufbewahrt werden.

Verwenden Sie Cloud Storage für die Protokollarchivierung aus der Cloudprotokollierung, und wenden Sie die Objektlebenszyklusverwaltung und Archivierungsrichtlinie auf den Bucket an. Sie können Azure Storage für die zentrale Protokollarchivierung verwenden, indem Sie die Dateien aus Google Cloud Storage in Azure Storage übertragen.

GCP-Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (weitere Informationen):

LT-7: Verwenden von genehmigten Zeitsynchronisierungsquellen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8,4 AU-8 10,4

Sicherheitsprinzip: Verwenden Sie genehmigte Zeitsynchronisierungsquellen für Ihren Protokollierungszeitstempel, die Datums-, Uhrzeit- und Zeitzoneninformationen enthalten.

Azure-Leitfaden: Microsoft verwaltet Zeitquellen für die meisten Azure PaaS- und SaaS-Dienste. Verwenden Sie für die Betriebssysteme Ihrer Computeressourcen einen NTP-Standardserver von Microsoft für die Zeitsynchronisierung, sofern keine spezifischen Anforderungen vorliegen. Sollten Sie einen eigenen NTP-Server einrichten müssen, schützen Sie den UDP-Dienstport 123.

Alle Protokolle, die in Azure von Ressourcen generiert werden, enthalten Zeitstempel der angegebenen Standardzeitzone.

Azure-Implementierung und zusätzlicher Kontext:

AWS-Leitfaden: AWS verwaltet Zeitquellen für die meisten AWS-Dienste. Verwenden Sie für Ressourcen oder Dienste, für die die Zeiteinstellung des Betriebssystems konfiguriert ist, den AWS-Standard amazon Time Sync Service für die Zeitsynchronisierung, es sei denn, Sie haben eine bestimmte Anforderung. Sollten Sie einen eigenen NTP-Server einrichten müssen, schützen Sie den UDP-Dienstport 123.

Alle von Ressourcen in AWS generierten Protokolle enthalten Zeitstempel mit der standardmäßig angegebenen Zeitzone.

AWS-Implementierung und zusätzlicher Kontext:

GCP-Leitfaden: Google Cloud verwaltet Zeitquellen für die meisten Google Cloud PaaS- und SaaS-Dienste. Verwenden Sie für Ihre Computeressourcen-Betriebssysteme einen Standardmäßig-NTP-Server von Google Cloud für die Zeitsynchronisierung, es sei denn, Sie haben eine bestimmte Anforderung. Wenn Sie Ihren eigenen NTP-Server (Network Time Protocol) einrichten müssen, stellen Sie sicher, dass sie den UDP-Dienstport 123 schützen.

Hinweis: Es wird empfohlen, keine externen NTP-Quellen mit virtuellen Compute Engine-Computern zu verwenden, sondern den internen NTP-Server von Google zu verwenden.

GCP-Implementierung und zusätzlicher Kontext:

Kundensicherheitsbeteiligte (weitere Informationen):