Sicherheitskontrolle v3: Protokollierung und Bedrohungserkennung

  • Artikel

Protokollierung und Bedrohungserkennung umfasst Kontrollen zur Erkennung von Bedrohungen in Azure und zum Aktivieren, Sammeln und Speichern von Überwachungsprotokollen für Azure-Dienste. Dazu gehört die Aktivierung von Erkennungs-, Untersuchungs- und Abhilfeprozessen mit Mechanismen zur Generierung nützlicher Warnungen mithilfe der nativen Bedrohungserkennung in Azure-Diensten. Außerdem gehört dazu das Sammeln von Protokollen mit Azure Monitor, die Zentralisierung der Sicherheitsanalyse mit Azure Sentinel, die Zeitsynchronisierung und die Aufbewahrung von Protokollen.

LT-1: Aktivieren von Funktionen für die Bedrohungserkennung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Sicherheitsprinzip: Um Bedrohungserkennungsszenarien zu unterstützen, überwachen Sie alle bekannten Ressourcentypen auf bekannte und erwartete Bedrohungen und Anomalien. Konfigurieren Sie Ihre Warnungsfilterungs- und Analyseregeln, um hochwertige Warnungen aus Protokolldaten, Agents oder anderen Datenquellen zu extrahieren und so False Positives zu reduzieren.

Azure-Leitfaden: Verwenden Sie die Bedrohungserkennungsfunktion der Azure Defender-Dienste in Microsoft Defender für Cloud für die jeweiligen Azure-Dienste.

Informationen zu Bedrohungserkennungsfunktionen, die nicht in Azure Defender-Diensten enthalten sind, finden Sie in den Dienstbaselines des Azure-Sicherheitsvergleichstests für die jeweiligen Dienste. So können Sie die Bedrohungserkennungs- oder Sicherheitswarnfunktionen innerhalb des Diensts aktivieren. Extrahieren Sie die Warnungen nach Azure Monitor oder Azure Sentinel, um Analyseregeln für die Suche nach Bedrohungen mit bestimmten Kriterien in Ihrer Umgebung zu erstellen.

Für OT-Umgebungen (Operational Technology) mit Computern, die ICS- (Industrial Control System) oder SCADA-Ressourcen (Supervisory Control and Data Acquisition) steuern oder überwachen, verwenden Sie Defender für IoT, um Ressourcen zu inventarisieren und Bedrohungen und Sicherheitsrisiken zu erkennen.

Für Dienste, die über keine native Funktion zur Bedrohungserkennung verfügen, sollten Sie die Datenebenenprotokolle sammeln und die Bedrohungen über Azure Sentinel analysieren.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

LT-2: Aktivieren der Bedrohungserkennung für die Identitäts- und Zugriffsverwaltung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Sicherheitsprinzip: Erkennen Sie Bedrohungen für Identitäten und die Zugriffsverwaltung, indem Sie Anomalien im Hinblick auf Benutzer- und Anwendungsanmeldungen und -zugriffe überwachen. Verhaltensmuster wie eine übermäßige Anzahl fehlgeschlagener Anmeldeversuche und veraltete Konten im Abonnement sollten gemeldet werden.

Azure-Leitfaden: Azure AD stellt die folgenden Protokolle bereit, die Sie in der Azure AD-Berichterstellung anzeigen oder in Azure Monitor, Azure Sentinel oder andere SIEM- und Überwachungstools integrieren können, um komplexere Anwendungsfälle für Überwachung und Analyse abzudecken:

  • Anmeldungen: Der Bericht „Anmeldungen“ enthält Informationen zur Nutzung von verwalteten Anwendungen und Benutzeranmeldeaktivitäten.
  • Überwachungsprotokolle: Ermöglichen die Nachverfolgung sämtlicher Änderungen, die von verschiedenen Features in Azure AD vorgenommen wurden. Hierzu zählen unter anderem Änderungen an Ressourcen in Azure AD, z. B. das Hinzufügen oder Entfernen von Benutzern, Apps, Gruppen, Rollen und Richtlinien.
  • Risikoanmeldungen: Eine Risikoanmeldung ist ein Hinweis auf einen Anmeldeversuch einer Person, die nicht der rechtmäßige Besitzer eines Benutzerkontos ist.
  • Benutzer mit Risikokennzeichnung: Ein Risikobenutzer ist ein Hinweis auf ein möglicherweise gefährdetes Benutzerkonto.

Azure AD bietet auch ein Identity Protection-Modul, um Risiken im Zusammenhang mit Benutzerkonten und Anmeldeverhalten zu erkennen und zu entschärfen. Zu den Risiken zählen z. B. kompromittierte Anmeldeinformationen, Anmeldungen über anonyme oder mit Schadsoftware verknüpfte IP-Adressen oder Kennwortspray. Mit den Richtlinien in Azure AD Identity Protection können Sie die risikobasierte Multi-Faktor-Authentifizierung in Verbindung mit dem bedingten Azure-Zugriff für Benutzerkonten erzwingen.

Auch Microsoft Defender für Cloud kann für das Melden veralteter Konten im Abonnement und verdächtiger Aktivitäten wie z. B. einer übermäßigen Anzahl fehlgeschlagener Authentifizierungsversuche konfiguriert werden. Zusätzlich zur grundlegenden Überwachung der Sicherheitshygiene kann das Bedrohungsschutzmodul von Microsoft Defender für Cloud auch ausführlichere Sicherheitswarnungen von einzelnen Azure-Computeressourcen (VMs, Container, App Service), Datenressourcen (SQL-Datenbanken und -Speicher) und Azure-Dienstebenen sammeln. So erhalten Sie Einblick in Kontoanomalien innerhalb einzelner Ressourcen.

Hinweis: Wenn Sie Ihre lokale Active Directory-Instanz für die Synchronisierung verbinden, verwenden Sie die Microsoft Defender for Identity-Lösung, um Ihre lokalen Active Directory-Signale zur Identifikation, Erkennung und Untersuchung fortgeschrittener Bedrohungen, kompromittierter Identitäten und böswilliger Insideraktionen zu nutzen, die sich gegen Ihre Organisation richten.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

LT-3: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Sicherheitsprinzip: Aktivieren Sie die Protokollierung für Ihre Cloudressourcen, um die Anforderungen für Untersuchungen von Sicherheitsvorfällen sowie für Sicherheitsreaktions- und Compliancezwecke zu erfüllen.

Azure-Leitfaden: Aktivieren Sie die Protokollierungsfunktion für Ressourcen auf den verschiedenen Ebenen, z. B. Protokolle für Azure-Ressourcen, Betriebssysteme und Anwendungen in Ihren VMs sowie andere Protokolltypen.

Beachten Sie die verschiedenen Arten von Protokollen für Sicherheit, Überwachung und andere Vorgänge auf der Verwaltungs-, Steuerungs- und Datenebene. Es gibt drei Arten von Protokollen, die auf der Azure-Plattform verfügbar sind:

  • Azure-Ressourcenprotokoll: Protokollierung von Vorgängen, die innerhalb einer Azure-Ressource (der Datenebene) ausgeführt werden. Beispiele hierfür sind das Abrufen eines Geheimnisses aus einem Schlüsseltresor oder das Senden einer Anforderung an eine Datenbank. Der Inhalt dieser Protokolle variiert je nach Azure-Dienst und -Ressourcentyp.
  • Azure-Aktivitätsprotokoll: Protokollierung von Vorgängen für die einzelnen Azure-Ressourcen auf Abonnementebene von außen (Verwaltungsebene). Über das Aktivitätsprotokoll können Sie für jeden Schreibvorgang (PUT, POST, DELETE), der für die Ressourcen Ihres Abonnements durchgeführt wurde, ermitteln, welcher Benutzer welche Aktion zu welchem Zeitpunkt durchgeführt hat. Es gibt jeweils ein Aktivitätsprotokoll für jedes Azure-Abonnement.
  • Azure Active Directory-Protokolle: Protokolle über den Verlauf der Anmeldeaktivität und Überwachungsprotokoll der Änderungen, die in Azure Active Directory für einen bestimmten Mandanten vorgenommen wurden.

Sie können auch Microsoft Defender für Cloud und Azure Policy verwenden, um Ressourcenprotokolle und die Erfassung von Protokolldaten für Azure-Ressourcen zu aktivieren.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

LT-4: Aktivieren der Netzwerkprotokollierung für die Sicherheitsuntersuchung

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10,8

Sicherheitsprinzip: Aktivieren Sie die Protokollierung für Ihre Netzwerkdienste, um Untersuchungen netzwerkbezogener Vorfälle, die Bedrohungssuche und die Generierung von Sicherheitswarnungen zu unterstützen. Die Netzwerkprotokolle können Protokolle von Netzwerkdiensten wie beispielsweise IP-Filterung, Netzwerk- und Anwendungsfirewall, DNS oder Flussüberwachung umfassen.

Azure-Leitfaden: Aktivieren und sammeln Sie für die Sicherheitsanalyse NSG-Ressourcenprotokolle (Netzwerksicherheitsgruppe), NSG-Datenflussprotokolle, Azure Firewall-Protokolle sowie WAF-Protokolle (Web Application Firewall), um die Untersuchung von Vorfälle und die Generierung von Sicherheitswarnungen zu unterstützen. Sie können die Datenflussprotokolle an einen Log Analytics-Arbeitsbereich von Azure Monitor senden und dann mithilfe von Traffic Analytics Einblicke ermöglichen.

Sammeln Sie DNS-Abfrageprotokolle, um die Korrelation mit anderen Netzwerkdaten zu unterstützen.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

LT-5: Zentralisieren der Verwaltung und Analyse von Sicherheitsprotokollen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4

Sicherheitsprinzip: Zentralisieren Sie die Speicherung und Analyse von Protokollen, um die Korrelation zwischen Protokolldaten zu ermöglichen. Stellen Sie sicher, dass jeder Protokollquelle ein Datenbesitzer, eine Zugriffsanleitung, ein Speicherort, die für die Verarbeitung und den Zugriff verwendeten Tools sowie Anforderungen zur Datenaufbewahrung zugewiesen werden.

Azure-Leitfaden: Stellen Sie sicher, dass Sie Azure-Aktivitätsprotokolle in einen zentralisierten Log Analytics-Arbeitsbereich integrieren. Verwenden Sie Azure Monitor, um Analysen abzufragen und durchzuführen und Warnungsregeln mithilfe der Protokolle zu erstellen, die von Azure-Diensten, Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen aggregiert werden.

Aktivieren und integrieren Sie Daten außerdem in Azure Sentinel, um die SIEM- (Security Information Event Management) und die SOAR-Funktion (Security Orchestration Automated Response) zu nutzen.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

LT-6: Konfigurieren der Aufbewahrungsdauer von Protokollen im Speicher

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Sicherheitsprinzip: Planen Sie Ihre Strategie für die Protokollaufbewahrung gemäß Ihren Compliance-, Regulierungs- und Geschäftsanforderungen. Konfigurieren Sie die Protokollaufbewahrungsrichtlinie für die einzelnen Protokollierungsdienste, um sicherzustellen, dass die Protokolle ordnungsgemäß archiviert werden.

Azure-Leitfaden: Protokolle wie Azure-Aktivitätsprotokollereignisse werden 90 Tage lang aufbewahrt und dann gelöscht. Sie sollten eine Diagnoseeinstellung erstellen und die Protokolleinträge gemäß Ihren Anforderungen an einen anderen Speicherort (z. B. Azure Monitor Log Analytics-Arbeitsbereich, Event Hubs oder Azure Storage) weiterleiten. Diese Strategie gilt auch für die anderen Ressourcenprotokolle und Ressourcen, die von Ihnen selbst verwaltet werden, z. B. Protokolle in den Betriebssystemen und Anwendungen auf den VMs.

Die Option zur Protokollaufbewahrung steht wie folgt zur Verfügung:

  • Verwenden Sie den Azure Monitor Log Analytics-Arbeitsbereich für einen Protokollaufbewahrungszeitraum von bis zu einem Jahr oder gemäß den Anforderungen Ihres Notfallteams.
  • Verwenden Sie Azure Storage, Data Explorer oder Data Lake für die langfristige Speicherung und Archivierung für mehr als ein Jahr und zur Erfüllung Ihrer Sicherheitskonformitätsanforderungen.
  • Verwenden Sie Azure Event Hubs, um Protokolle außerhalb von Azure weiterzuleiten.

Hinweis: Azure Sentinel verwendet den Log Analytics-Arbeitsbereich als Back-End für die Protokollspeicherung. Sie sollten eine langfristige Speicherstrategie in Betracht ziehen, wenn Sie planen, SIEM-Protokolle für längere Zeit aufzubewahren.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

LT-7: Verwenden von genehmigten Zeitsynchronisierungsquellen

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
8,4 AU-8 10,4

Sicherheitsprinzip: Verwenden Sie für Ihren Protokollierungszeitstempel genehmigte Zeitsynchronisierungsquellen, die Datums-, Uhrzeit- und Zeitzoneninformationen enthalten.

Azure-Leitfaden: Microsoft verwaltet Zeitquellen für die meisten PaaS- und SaaS-Dienste in Azure. Verwenden Sie für die Betriebssysteme Ihrer Computeressourcen einen NTP-Standardserver von Microsoft für die Zeitsynchronisierung, sofern keine spezifischen Anforderungen vorliegen. Sollten Sie einen eigenen NTP-Server einrichten müssen, schützen Sie den UDP-Dienstport 123.

Alle Protokolle, die in Azure von Ressourcen generiert werden, enthalten Zeitstempel der angegebenen Standardzeitzone.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):