Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Der am meisten up-to- Datum azure Security Benchmark ist hier verfügbar.
Die Sicherheitsprotokollierung und -überwachung konzentriert sich auf Aktivitäten im Zusammenhang mit der Aktivierung, Beschaffung und Speicherung von Überwachungsprotokollen für Azure-Dienste.
2.1: Verwenden von genehmigten Zeitsynchronisierungsquellen
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
Microsoft verwaltet jedoch Zeitquellen für Azure-Ressourcen, Sie haben jedoch die Möglichkeit, die Zeitsynchronisierungseinstellungen für Ihre Computeressourcen zu verwalten.
Konfigurieren der Zeitsynchronisierung für Azure Windows-Computeressourcen
Konfigurieren der Zeitsynchronisierung für Azure Linux-Computeressourcen
2.2: Konfigurieren der zentralen Sicherheitsprotokollverwaltung
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 2.2 | 6.5, 6.6 | Kunde |
Sie können Protokolle über Azure Monitor erfassen, um Sicherheitsdaten zu aggregieren, die von Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen generiert werden. Verwenden Sie in Azure Monitor Log Analytics-Arbeitsbereiche, um Analysen abzufragen und durchzuführen, und verwenden Sie Azure Storage-Konten für langfristigen/archivalen Speicher.
Alternativ können Sie Daten in Azure Sentinel oder einem SIEM eines Drittanbieters aktivieren und an Bord verwenden.
Sammeln von Plattformprotokollen und Metriken mit Azure Monitor
So sammeln Sie interne Azure Virtual Machine-Hostprotokolle mit Azure Monitor
Erste Schritte mit der SIEM-Integration von Azure Monitor und Drittanbietern
2.3: Aktivieren der Überwachungsprotokollierung für Azure-Ressourcen
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 2.3 | 6.2, 6.3 | Kunde |
Aktivieren Sie Die Diagnoseeinstellungen für Azure-Ressourcen für den Zugriff auf Überwachungs-, Sicherheits- und Diagnoseprotokolle. Aktivitätsprotokolle, die automatisch verfügbar sind, enthalten Ereignisquelle, Datum, Benutzer, Zeitstempel, Quelladressen, Zieladressen und andere nützliche Elemente.
Sammeln von Plattformprotokollen und Metriken mit Azure Monitor
Grundlegendes zur Protokollierung und verschiedenen Protokolltypen in Azure
2.4: Erfassen von Sicherheitsprotokollen von Betriebssystemen
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 2.4 | 6.2, 6.3 | Kunde |
Wenn die Rechenressource von Microsoft ist, ist Microsoft für die Überwachung verantwortlich. Wenn die Computeressource im Besitz Ihrer Organisation ist, liegt es in Ihrer Verantwortung, sie zu überwachen. Sie können Das Azure Security Center verwenden, um das Betriebssystem zu überwachen. Vom Security Center gesammelte Daten umfassen Betriebssystemtyp und -version, Betriebssystem (Windows-Ereignisprotokolle), ausgeführte Prozesse, Computername, IP-Adressen und angemeldete Benutzer. Der Log Analytics-Agent sammelt auch Absturzabbilddateien.
2.5: Konfigurieren der Sicherheitsprotokoll-Aufbewahrungsdauer im Speicher
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 2,5 | 6.4 | Kunde |
Legen Sie in Azure Monitor ihren Aufbewahrungszeitraum für Log Analytics Workspace gemäß den Compliancebestimmungen Ihrer Organisation fest. Verwenden Sie Azure Storage-Konten für den langfristigen/archivierungsbasierten Speicher.
2.6: Überwachen und Überprüfen von Protokollen
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 2.6 | 6.7 | Kunde |
Analysieren und überwachen Sie Protokolle auf anomales Verhalten und überprüfen Sie regelmäßig Ergebnisse. Verwenden Sie den Log Analytics-Arbeitsbereich von Azure Monitor, um Protokolle zu überprüfen und Abfragen für Protokolldaten auszuführen.
Alternativ können Sie Daten in Azure Sentinel oder einem SIEM eines Drittanbieters aktivieren und an Bord verwenden.
2.7: Aktivieren von Warnungen für anomaliele Aktivitäten
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 2.7 | 6.8 | Kunde |
Verwenden Sie Das Azure Security Center mit Log Analytics Workspace für die Überwachung und Warnung bei anomalien Aktivitäten in Sicherheitsprotokollen und Ereignissen.
Alternativ können Sie Daten in Azure Sentinel aktivieren und integrieren.
2.8: Zentralisieren der Anti-Malware-Protokollierung
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 2.8 | 8.6 | Kunde |
Aktivieren Sie die Antischadsoftware-Ereignissammlung für virtuelle Azure-Computer und Clouddienste.
2.9: Aktivieren der DNS-Abfrageprotokollierung
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 2,9 | 8.7 | Kunde |
Implementieren Sie eine Drittanbieterlösung aus Azure Marketplace für DNS-Protokollierungslösung gemäß Ihren Anforderungen.
2.10: Aktivieren der Befehlszeilenüberwachungsprotokollierung
| Azure-ID | CIS-IDs | Verantwortung |
|---|---|---|
| 2.10 | 8,8 | Kunde |
Verwenden Sie den Microsoft Monitoring Agent auf allen unterstützten virtuellen Azure Windows-Computern, um das Prozesserstellungsereignis und das CommandLine-Feld zu protokollieren. Für unterstützte virtuelle Azure Linux-Computer können Sie die Konsolenprotokollierung auf Knotenbasis manuell konfigurieren und Syslog zum Speichern der Daten verwenden. Verwenden Sie außerdem den Log Analytics-Arbeitsbereich von Azure Monitor, um Protokolle zu überprüfen und Abfragen auf protokollierten Daten von virtuellen Azure-Computern auszuführen.
Nächste Schritte
- Sehen Sie die nächste Sicherheitssteuerung: Identitäts- und Zugriffssteuerung