Control de seguridad: registro y detección de amenazas
El registro y la detección de amenazas cubre controles que detectan amenazas en la nube y habilitan, recopilan y almacenan registros de auditoría de servicios en la nube, incluida la habilitación de procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con detección de amenazas nativa en los servicios en la nube. También incluye la recopilación de registros con un servicio de supervisión en la nube, la centralización de los análisis de seguridad con un SIEM, la sincronización de la hora y la retención de registros.
LT-1: Habilitación de las funcionalidades de detección de amenazas
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id de PCI-DSS v3.2.1 |
---|---|---|
8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Principio de seguridad: para admitir escenarios de detección de amenazas, supervise todos los tipos de recursos conocidos para amenazas y anomalías conocidas y esperadas. Configure las reglas de filtrado y análisis de alertas para extraer alertas de alta calidad de los datos de registro, los agentes u otros orígenes de datos para reducir los falsos positivos.
Guía de Azure: use la funcionalidad de detección de amenazas de Microsoft Defender for Cloud para los servicios de Azure respectivos.
Para la detección de amenazas no incluida en los servicios de Microsoft Defender, consulte las líneas base del servicio Microsoft Cloud Security Benchmark para los servicios respectivos para habilitar las funcionalidades de alerta de seguridad o detección de amenazas dentro del servicio. Ingiere alertas y datos de registro de Microsoft Defender for Cloud, Microsoft 365 Defender y datos de registro de otros recursos en las instancias de Azure Monitor o Microsoft Sentinel para crear reglas de análisis, que detectan amenazas y crean alertas que coinciden con criterios específicos en todo el entorno.
Para entornos de tecnología operativa (OT) que incluyen equipos que controlan o supervisan recursos del Sistema de control industrial (ICS) o control de supervisión y adquisición de datos (SCADA), use Microsoft Defender para IoT para inventariar recursos y detectar amenazas y vulnerabilidades.
Para los servicios que no tienen una funcionalidad de detección de amenazas nativa, considere la posibilidad de recopilar los registros del plano de datos y analizar las amenazas a través de Microsoft Sentinel.
Implementación de Azure y contexto adicional:
- Introducción a Microft Defender for Cloud
- Guía de referencia de alertas de seguridad de Microsoft Defender for Cloud
- Creación de reglas de análisis personalizadas para detectar amenazas
- Indicadores de amenazas para la inteligencia sobre ciberamenazas en Microsoft Sentinel
Guía de AWS: use Amazon GuardDuty para la detección de amenazas que analiza y procesa los siguientes orígenes de datos: registros de flujo de VPC, registros de eventos de administración de AWS CloudTrail, registros de eventos de datos de CloudTrail S3, registros de auditoría de EKS y registros dns. GuardDuty es capaz de informar sobre problemas de seguridad, como la elevación de privilegios, el uso de credenciales expuesto o la comunicación con direcciones IP malintencionadas o dominios.
Configure AWS Config para comprobar las reglas de SecurityHub para supervisar el cumplimiento, como el desfase de configuración, y crear resultados cuando sea necesario.
Para la detección de amenazas no incluida en GuardDuty y SecurityHub, habilite las funcionalidades de detección de amenazas o alertas de seguridad dentro de los servicios de AWS compatibles. Extraiga las alertas a CloudTrail, CloudWatch o Microsoft Sentinel para crear reglas de análisis que busquen amenazas que coincidan con criterios específicos en su entorno.
También puede usar Microsoft Defender for Cloud para supervisar determinados servicios en AWS, como instancias EC2.
Para entornos de tecnología operativa (OT) que incluyen equipos que controlan o supervisan recursos del Sistema de control industrial (ICS) o control de supervisión y adquisición de datos (SCADA), use Microsoft Defender para IoT para inventariar recursos y detectar amenazas y vulnerabilidades.
Implementación de AWS y contexto adicional:
- Amazon GuardDuty
- Orígenes de datos de Amazon GuardDuty
- Conexión de cuentas de AWS a Microsoft Defender for Cloud
- Ayuda a la protección de un entorno de Amazon Web Services (AWS) con Defender for Cloud Apps
- Recomendaciones de seguridad para recursos de AWS: guía de referencia
Guía de GCP: use la detección de amenazas de eventos en google Cloud Security Command Center para la detección de amenazas mediante datos de registro como Administración actividad, acceso a datos de GKE, registros de flujo de VPC, DNS en la nube y registros de firewall.
Además, use el conjunto de operaciones de seguridad para el SOC moderno con Chronicle SIEM y SOAR. Crónica SIEM y SOAR proporcionan funcionalidades de detección, investigación y búsqueda de amenazas
También puede usar Microsoft Defender for Cloud para supervisar determinados servicios en GCP, como instancias de máquina virtual de proceso.
Para entornos de tecnología operativa (OT) que incluyen equipos que controlan o supervisan recursos del Sistema de control industrial (ICS) o control de supervisión y adquisición de datos (SCADA), use Microsoft Defender para IoT para inventariar recursos y detectar amenazas y vulnerabilidades.
Implementación de GCP y contexto adicional:
- Información general sobre la detección de amenazas de eventos del Centro de comandos de seguridad
- Crónica SOAR
- Cómo Defender for Cloud Apps ayuda a proteger el entorno de Google Cloud Platform (GCP)
- Recomendaciones de seguridad para recursos de GCP: guía de referencia
Partes interesadas de la seguridad del cliente (más información):
- Infraestructura y seguridad de los puntos de conexión
- Operaciones de seguridad
- Administración de la posición
- Seguridad de las aplicaciones y DevOps
- Información sobre amenazas
LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id de PCI-DSS v3.2.1 |
---|---|---|
8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Principio de seguridad: detecte amenazas para las identidades y la administración de acceso mediante la supervisión del inicio de sesión de la aplicación y las anomalías de inicio de sesión y acceso de la aplicación. Se deben alertar patrones de comportamiento tales como el número excesivo de intentos de inicio de sesión con errores y las cuentas en desuso de la suscripción.
Guía de Azure: Azure AD proporciona los siguientes registros que se pueden ver en informes de Azure AD o integrarse con Azure Monitor, Microsoft Sentinel u otras herramientas de SIEM/monitoring para casos de uso de supervisión y análisis más sofisticados:
- Inicios de sesión: el informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y las actividades de inicio de sesión del usuario.
- Registros de auditoría: proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
- Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
- Usuarios marcados de riesgo: un usuario de riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.
Azure AD también proporciona un módulo de Identity Protection para detectar y corregir los riesgos relacionados con las cuentas de usuario y los comportamientos de inicio de sesión. Entre los ejemplos de riesgos se incluyen credenciales filtradas, inicio de sesión desde direcciones IP vinculadas anónimas o malware, difusión de contraseñas. Las directivas de Azure AD Identity Protection permiten aplicar la autenticación MFA basada en riesgos junto con el acceso condicional de Azure en las cuentas de usuario.
Asimismo, Microsoft Defender for Cloud se puede configurar para que alerte sobre cuentas en desuso y actividades sospechosas, como un número excesivo de intentos de autenticación errónea. Además de la supervisión básica de la protección de seguridad, el módulo de Protección contra amenazas de Microsoft Defender for Cloud también puede recopilar alertas de seguridad más detalladas de recursos individuales de proceso de Azure (como máquinas virtuales, contenedores, servicio de aplicaciones), recursos de datos (como base de datos SQL y almacenamiento) y niveles de servicio de Azure. Esta funcionalidad permite ver anomalías de las cuentas dentro de los recursos individuales.
Nota: Si va a conectar la instancia de Active Directory local para realizar la sincronización, use la solución Microsoft Defender for Identity para consumir las señales de la instancia de Active Directory local y así poder identificar, detectar e investigar amenazas avanzadas, identidades en peligro y acciones malintencionadas dirigidas a su organización.
Implementación de Azure y contexto adicional:
- Informes de actividad de auditoría en Azure AD
- Habilitación de Azure Identity Protection
- Protección contra amenazas en Microsoft Defender for Cloud
- Información general sobre Microsoft Defender for Identity
Guía de AWS: AWS IAM proporciona los siguientes informes de los registros e informes para las actividades de usuario de consola a través del Informe de credenciales de IAM Access Advisor e IAM:
- Cada inicio de sesión correcto e intentos de inicio de sesión incorrectos.
- Estado de autenticación multifactor (MFA) para cada usuario.
- Usuario de IAM inactivo
Para la supervisión del acceso a nivel de API y la detección de amenazas, use Amazon GuadDuty para identificar los resultados relacionados con el IAM. Algunos ejemplos de estas conclusiones son:
- Una API usada para obtener acceso a un entorno de AWS y se invocó de forma anómala o se usó para eludir las medidas defensivas.
- Una API que se usa para:
- detección de recursos se invocó de forma anómala
- Recopilar datos de un entorno de AWS se invocó de forma anómala.
- La manipulación de datos o procesos en un entorno de AWS se invocó de forma anómala.
- Obtener acceso no autorizado a un entorno de AWS se invocó de forma anómala.
- mantener el acceso no autorizado a un entorno de AWS se invocó de forma anómala.
- obtener permisos de alto nivel para un entorno de AWS se invocó de forma anómala.
- se invoca desde una dirección IP malintencionada conocida.
- se invoca mediante credenciales raíz.
- El registro de AWS CloudTrail se deshabilitó.
- La directiva de contraseñas de cuenta se debilitó.
- Se observaron varios inicios de sesión de consola mundiales correctos.
- Las credenciales creadas exclusivamente para una instancia ec2 a través de un rol de inicio de instancia se usan desde otra cuenta dentro de AWS.
- Las credenciales que se crearon exclusivamente para una instancia ec2 a través de un rol de inicio de instancia se usan desde una dirección IP externa.
- Se invocó una API desde una dirección IP malintencionada conocida.
- Se invocó una API desde una dirección IP en una lista de amenazas personalizada.
- Se invocó una API desde una dirección IP del nodo de salida de Tor.
Implementación de AWS y contexto adicional:
Guía de GCP: use la detección de amenazas de eventos en google Cloud Security Command Center para determinados tipos de detección de amenazas relacionadas con IAM, como la detección de eventos en los que se concedió una cuenta de servicio administrada por el usuario inactiva a uno o varios roles de IAM confidenciales.
Tenga en cuenta que los registros de Google Identity y los registros de IAM de Google Cloud generan registros de actividad de administrador, pero para el ámbito diferente. Los registros de Identidad de Google solo son para las operaciones correspondientes a Identity Platform, mientras que los registros de IAM son para las operaciones correspondientes a IAM para Google Cloud. Los registros de IAM contienen entradas de registro de llamadas API u otras acciones que modifican la configuración o los metadatos de los recursos. Por ejemplo, estos registros registran cuando los usuarios crean instancias de máquina virtual o cambian los permisos de administración de identidades y acceso.
Use los informes de Identidad de nube e IAM para alertas sobre determinados patrones de actividad sospechosa. También puede usar La inteligencia de directivas para analizar las actividades de las cuentas de servicio para identificar actividades como las cuentas de servicio del proyecto no se han usado en los últimos 90 días.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
- Infraestructura y seguridad de los puntos de conexión
- Operaciones de seguridad
- Administración de la posición
- Seguridad de las aplicaciones y DevOps
- Información sobre amenazas
LT-3: Habilitación del registro para la investigación de seguridad
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id de PCI-DSS v3.2.1 |
---|---|---|
8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Principio de seguridad: habilite el registro de los recursos en la nube para cumplir los requisitos de investigaciones de incidentes de seguridad y respuesta y cumplimiento de seguridad.
Guía de Azure: habilite la funcionalidad de registro para los recursos en los distintos niveles, como los registros de los recursos de Azure, los sistemas operativos y las aplicaciones dentro de las máquinas virtuales y otros tipos de registro.
Tenga en cuenta los distintos tipos de registros de seguridad, auditoría y otros registros operativos en los niveles de plano de administración o control y plano de datos. Hay tres tipos de registros disponibles en la plataforma de Azure:
- Registro de recursos de Azure: registro de las operaciones que se realizan en un recurso de Azure (plano de datos). Por ejemplo, obtener un secreto de un almacén de claves o realizar una solicitud a una base de datos. El contenido de estos registros de recurso varía según el servicio de Azure y el tipo de recurso.
- Registro de actividades de Azure: registro de operaciones en cada recurso de Azure en la capa de suscripción, desde fuera (plano de administración). Puede usar el registro de actividad para determinar qué, quién y cuándo para las operaciones de escritura (PUT, POST, DELETE) tomadas en los recursos de la suscripción. Hay un único registro de actividad para cada suscripción de Azure.
- Registros de Azure Active Directory: contienen el historial de la actividad de inicio de sesión y la traza de auditoría de los cambios realizados en Azure Active Directory para un inquilino determinado.
También puede usar Microsoft Defender for Cloud y Azure Policy para habilitar los registros de recursos y la recopilación de datos de registro en los recursos de Azure.
Implementación de Azure y contexto adicional:
- Descripción del registro y de los distintos tipos de registro de Azure
- Descripción de la recopilación de datos de Microsoft Defender for Cloud
- Habilitación y configuración de la supervisión antimalware
- Sistemas operativos y registros de aplicaciones en los recursos de proceso
Guía de AWS: use el registro de AWS CloudTrail para eventos de administración (operaciones del plano de control) y eventos de datos (operaciones del plano de datos) y supervise estos seguimientos con CloudWatch para acciones automatizadas.
El servicio Amazon CloudWatch Logs permite recopilar y almacenar registros de sus recursos, aplicaciones y servicios casi en tiempo real. Hay tres categorías principales de registros:
- Registros vended: registros publicados de forma nativa por los servicios de AWS en su nombre. Actualmente, los registros de Amazon VPC Flow y los registros de Amazon Route 53 son los dos tipos admitidos. Estos dos registros están habilitados de forma predeterminada.
- Registros publicados por los servicios de AWS: los registros de más de 30 servicios de AWS publican en CloudWatch. Incluyen Amazon API Gateway, AWS Lambda, AWS CloudTrail y muchos otros. Estos registros se pueden habilitar directamente en los servicios y CloudWatch.
- Registros personalizados: registros de su propia aplicación y recursos locales. Es posible que tenga que recopilar estos registros instalando CloudWatch Agent en los sistemas operativos y reenviarlos a CloudWatch.
Aunque muchos servicios publican registros solo en CloudWatch Logs, algunos servicios de AWS pueden publicar registros directamente en AmazonS3 o Amazon Kinesis Data Firehose, donde puede usar diferentes directivas de almacenamiento de registro y retención.
Implementación de AWS y contexto adicional:
- Habilitación del registro desde determinados servicios de AWS
- Supervisión y registro
- Características de Cloudwatch
Guía de GCP: habilite la funcionalidad de registro para los recursos en los distintos niveles, como los registros de recursos de Azure, sistemas operativos y aplicaciones dentro de las máquinas virtuales y otros tipos de registro.
Tenga en cuenta los distintos tipos de registros de seguridad, auditoría y otros registros operativos en los niveles de plano de administración o control y plano de datos. El servicio de registro en la nube de Operations Suite recopila y agrega todo tipo de eventos de registro de los niveles de recursos. Se admiten cuatro categorías de registros en el registro en la nube:
- Registros de plataforma: registros escritos por los servicios de Google Cloud.
- Registros de componentes: similares a los registros de plataforma, pero son registros generados por componentes de software proporcionados por Google que se ejecutan en los sistemas.
- Registros de seguridad: principalmente registros de auditoría que registran actividades administrativas y accesos dentro de los recursos.
- Escrito por el usuario: registros escritos por aplicaciones y servicios personalizados
- Registros de varias nubes y registros de nube híbrida: registros de otros proveedores de nube, como Microsoft Azure y registros de la infraestructura local.
Implementación de GCP y contexto adicional:
- Introducción a los registros de auditoría en la nube
- Google Cloud Services con registros de auditoría
Partes interesadas de la seguridad del cliente (más información):
- Infraestructura y seguridad de los puntos de conexión
- Operaciones de seguridad
- Administración de la posición
- Seguridad de las aplicaciones y DevOps
- Información sobre amenazas
LT-4: Habilitación del registro de red para la investigación de seguridad
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id de PCI-DSS v3.2.1 |
---|---|---|
8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10,8 |
Principio de seguridad: habilite el registro de los servicios de red para admitir investigaciones de incidentes relacionadas con la red, la búsqueda de amenazas y la generación de alertas de seguridad. Los registros de red pueden incluir registros de servicios de red, como el filtrado de IP, el firewall de aplicaciones y redes, DNS y la supervisión de flujos, entre otros.
Guía de Azure: habilite y recopile registros de recursos del grupo de seguridad de red (NSG), registros de flujo de NSG, registros de Azure Firewall y registros de Web Application Firewall (WAF) y registros de máquinas virtuales a través del agente de recopilación de datos de tráfico de red para que el análisis de seguridad admita investigaciones de incidentes y generación de alertas de seguridad. Puede enviar los registros de flujo a un área de trabajo de Azure Monitor Log Analytics y, a continuación, usar Análisis de tráfico para conseguir información detallada.
Recopile registros de consultas de DNS para que pueda correlacionar otros datos de red.
Implementación de Azure y contexto adicional:
- Habilitación de los registros de flujo de grupos de seguridad de red
- Métricas y registros de Azure Firewall
- Soluciones de supervisión de redes de Azure en Azure Monitor
- Recopilación de información sobre la infraestructura de DNS con la solución DNS Analytics
Guía de AWS: habilite y recopile registros de red, como los registros de flujo de VPC, los registros de WAF y los registros de consulta de la resolución Route53 para el análisis de seguridad para admitir investigaciones de incidentes y generación de alertas de seguridad. Los registros se pueden exportar a CloudWatch para la supervisión o un cubo de almacenamiento S3 para ingerirlos en la solución de Microsoft Sentinel para el análisis centralizado.
Implementación de AWS y contexto adicional:
Guía de GCP: la mayoría de los registros de actividades de red están disponibles a través de los registros de flujo de VPC, que registran una muestra de flujos de red enviados y recibidos por recursos, incluidas las instancias que se usan como máquinas virtuales de Google Compute, nodos del motor de Kubernetes. Estos registros se pueden usar para la supervisión de red, los análisis forenses, el análisis de seguridad en tiempo real y la optimización de gastos.
Puede ver los registros de flujo en Registro en la nube y exportar los registros al destino que admite la exportación de registro en la nube. Los registros de flujo se agregan mediante la conexión de la máquina virtual del motor de proceso y se exportan en tiempo real. Al suscribirse a Pub/Sub, puede analizar los registros de flujo mediante las API de streaming en tiempo real.
Nota: También puede usar la creación de reflejo de paquetes clona el tráfico de las instancias especificadas en la red de la nube privada virtual (VPC) y lo reenvía para su examen. La creación de reflejo de paquetes captura todo el tráfico y los datos de paquetes, incluidas las cargas y encabezados.
Implementación de GCP y contexto adicional:
- Uso de registros de flujo de VPC
- Información de registro de auditoría de VPC
- Creación de reflejo de paquetes
Partes interesadas de la seguridad del cliente (más información):
- Operaciones de seguridad
- Infraestructura y seguridad de los puntos de conexión
- Seguridad de las aplicaciones y DevOps
- Información sobre amenazas
LT-5: Centralizar la administración y el análisis de los registros de seguridad
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id de PCI-DSS v3.2.1 |
---|---|---|
8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | N/D |
Principio de seguridad: centralice el almacenamiento de registro y el análisis para habilitar la correlación entre los datos de registro. Asegúrese de que asigna en cada origen de registro un propietario de datos, una guía de acceso, una ubicación de almacenamiento, qué herramientas se van a usar para procesar y acceder a los datos y los requisitos de retención de datos.
Use SIEM nativo de nube si no tiene una solución SIEM existente para CSP. o agregue registros o alertas en su SIEM existente.
Guía de Azure: asegúrese de que va a integrar los registros de actividad de Azure en un área de trabajo centralizada de Log Analytics. Use Azure Monitor para consultar y realizar análisis y crear reglas de alerta mediante los registros agregados desde servicios de Azure, dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad.
Además, habilite e incorpore datos a Microsoft Sentinel, que proporciona funcionalidades de administración de eventos de información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR).
Implementación de Azure y contexto adicional:
- Recopilación de registros y métricas de plataforma con Azure Monitor
- Incorporación de Azure Sentinel
Guía de AWS: asegúrese de que va a integrar los registros de AWS en un recurso centralizado para el almacenamiento y el análisis. Use CloudWatch para consultar y realizar análisis, y para crear reglas de alerta mediante los registros agregados desde servicios de AWS, servicios, dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad.
Además, puede agregar los registros en un cubo de almacenamiento de S3 e incorporar los datos de registro a Microsoft Sentinel, que proporciona funcionalidades de administración de eventos de información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR).
Implementación de AWS y contexto adicional:
- Conexión de Microsoft Sentinel a Amazon Web Services para ingerir datos de registro del servicio AWS
Guía de GCP: asegúrese de que va a integrar los registros de GCP en un recurso centralizado (como el cubo de registro en la nube de Operations Suite) para el almacenamiento y el análisis. El registro en la nube admite la mayoría del registro de servicios nativos de Google Cloud, así como las aplicaciones de terceros y las aplicaciones locales. Puede usar el registro en la nube para realizar consultas y realizar análisis, y para crear reglas de alerta mediante los registros agregados a partir de servicios de GCP, servicios, dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad.
Use SIEM nativo en la nube si no tiene una solución SIEM existente para CSP o registros o alertas agregados en su SIEM existente.
Nota: Google proporciona dos front-end de consultas de registro, el Explorador de registros y Log Analytics para consultar, ver y analizar registros. Para solucionar problemas y explorar los datos de registro, se recomienda usar el Explorador de registros. Para generar información y tendencias, se recomienda usar Log Analytics.
Implementación de GCP y contexto adicional:
- Agregar y almacenar los registros de la organización
- Introducción a la consulta y visualización de registros
- Crónica DE SIEM
Partes interesadas de la seguridad del cliente (más información):
- Arquitectura de seguridad
- Seguridad de las aplicaciones y DevOps
- Infraestructura y seguridad de los puntos de conexión
LT-6: Configuración de la retención del almacenamiento de registros
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id de PCI-DSS v3.2.1 |
---|---|---|
8.3, 8.10 | AU-11 | 10.5, 10.7 |
Principio de seguridad: planee la estrategia de retención de registros según el cumplimiento, la regulación y los requisitos empresariales. Configure la directiva de retención de registros en los servicios de registro individuales para asegurarse de que los registros se archivan correctamente.
Guía de Azure: los registros como los registros de actividad de Azure se conservan durante 90 días y, a continuación, se eliminan. Debe crear una configuración de diagnóstico y enrutar los registros a otra ubicación (como el área de trabajo de Log Analytics de Azure Monitor, Event Hubs o Azure Storage) en función de sus necesidades. Esta estrategia también se aplica a otros registros de recursos y recursos administrados por usted mismo, como los registros de los sistemas operativos y las aplicaciones dentro de las máquinas virtuales.
Tiene la opción de realizar la retención de registros, tal como se indica a continuación:
- Use el área de trabajo de Log Analytics de Azure Monitor para obtener un período de retención de registros de hasta 1 año o según los requisitos del equipo de respuesta.
- Use Azure Storage, el Explorador de datos o Data Lake para el almacenamiento de archivos a largo plazo durante más de un año y para cumplir los requisitos de cumplimiento de seguridad.
- Use Azure Event Hubs para reenviar registros a un recurso externo fuera de Azure.
Nota: Microsoft Sentinel usa el área de trabajo de Log Analytics como back-end para el almacenamiento de registros. Debe establecer una estrategia de almacenamiento a largo plazo si planea conservar los registros SIEM durante más tiempo.
Implementación de Azure y contexto adicional:
- Cambio del período de retención de datos en Log Analytics
- Configuración de la directiva de retención para los registros de la cuenta de Azure Storage
- Exportación de recomendaciones y alertas de Microsoft Defender for Cloud
Guía de AWS: De forma predeterminada, los registros se mantienen indefinidamente y nunca expiran en CloudWatch. Puede ajustar la directiva de retención para cada grupo de registros, mantener la retención indefinida o elegir un período de retención entre 10 años y un día.
Use Amazon S3 para el archivado de registros de CloudWatch y aplique la directiva de archivado y administración del ciclo de vida de los objetos al cubo. Puede usar Azure Storage para el archivado de registros central mediante la transferencia de los archivos de Amazon S3 a Azure Storage.
Implementación de AWS y contexto adicional:
- Modificación de la retención de registros de CloudWatch
- Copia de datos desde Amazon S3 a Azure Storage con AzCopy
Guía de GCP: De forma predeterminada, el registro en la nube de Operations Suite conserva los registros durante 30 días, a menos que configure la retención personalizada para el cubo Registro en la nube. Administración los registros de auditoría de actividad, los registros de auditoría de eventos del sistema y los registros de transparencia de acceso se conservan de forma predeterminada 400 días. Puede configurar el registro en la nube para conservar los registros entre 1 día y 3650 días.
Use Almacenamiento en la nube para archivar registros del registro en la nube y aplicar la administración del ciclo de vida de los objetos y la directiva de archivado al cubo. Puede usar Azure Storage para el archivado de registros central mediante la transferencia de los archivos de Google Cloud Storage a Azure Storage.
Implementación de GCP y contexto adicional:
- Retención personalizada del registro
- Directivas de retención de almacenamiento
- Introducción al enrutamiento y almacenamiento de registros
Partes interesadas de la seguridad del cliente (más información):
- Arquitectura de seguridad
- Seguridad de las aplicaciones y DevOps
- Operaciones de seguridad
- Administración del cumplimiento de la seguridad
LT-7: Uso de orígenes de sincronización de hora aprobados
Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id de PCI-DSS v3.2.1 |
---|---|---|
8,4 | AU-8 | 10,4 |
Principio de seguridad: use orígenes de sincronización de hora aprobados para la marca de tiempo de registro, que incluyen información de fecha, hora y zona horaria.
Guía de Azure: Microsoft mantiene orígenes de tiempo para la mayoría de los servicios PaaS y SaaS de Azure. Para los sistemas operativos de recursos de proceso, use un servidor NTP predeterminado de Microsoft para la sincronización de hora a menos que tenga un requisito específico. Si necesita instalar su propio servidor NTP (protocolo de hora de la red), asegúrese de proteger el puerto 123 del servicio UDP.
Todos los registros generados por los recursos de Azure proporcionan marcas de tiempo con la zona horaria especificada de forma predeterminada.
Implementación de Azure y contexto adicional:
- Configuración de la sincronización de hora de los recursos de proceso de Windows de Azure
- Configuración de la sincronización de hora de los recursos de proceso de Linux de Azure
- Procedimiento para deshabilitar UDP entrante para los servicios de Azure
Guía de AWS: AWS mantiene orígenes de tiempo para la mayoría de los servicios de AWS. En el caso de los recursos o servicios en los que se configura la configuración de hora del sistema operativo, use Amazon Time Sync Service predeterminado de AWS para la sincronización de hora a menos que tenga un requisito específico. Si necesita instalar su propio servidor NTP (protocolo de hora de la red), asegúrese de proteger el puerto 123 del servicio UDP.
Todos los registros generados por los recursos de AWS proporcionan marcas de tiempo con la zona horaria especificada de forma predeterminada.
Implementación de AWS y contexto adicional:
Guía de GCP: Google Cloud mantiene orígenes de tiempo para la mayoría de los servicios PaaS y SaaS de Google Cloud. Para los sistemas operativos de recursos de proceso, use un servidor NTP predeterminado de Google Cloud para la sincronización de hora a menos que tenga un requisito específico. Si necesita levantar su propio servidor de protocolo de tiempo de red (NTP), asegúrese de proteger el puerto de servicio UDP 123.
Nota: Se recomienda no usar orígenes NTP externos con máquinas virtuales del motor de proceso, sino usar el servidor NTP interno proporcionado por Google.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):