Contrôle de sécurité V2 : Journalisation et détection des menaces
Notes
La version la plus à jour d’Azure Security Benchmark est disponible ici.
La fonctionnalité Journalisation et détection des menaces recouvre les contrôles destinés à détecter les menaces dans Azure et à activer, collecter et stocker les journaux d’audit pour les services Azure. Cela comprend l’activation des processus de détection, d’investigation et de correction avec des contrôles visant à générer des alertes de haute qualité avec la détection native des menaces dans les services Azure. Cela inclut également la collecte des journaux avec Azure Monitor, la centralisation de l’analyse de la sécurité avec Azure Sentinel, la synchronisation de l’heure et la rétention des journaux.
Pour afficher l’instance Azure Policy intégrée applicable, consultez Informations sur l’initiative intégrée Conformité réglementaire Azure Security Benchmark : Journalisation et détection des menaces
LT-1 : Activer la détection des menaces pour les ressources Azure
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Veillez à surveiller les différents types de ressources Azure pour identifier les menaces et anomalies potentielles. Concentrez-vous sur l’obtention d’alertes de haute qualité afin de réduire les faux positifs que doivent trier les analystes. Les alertes peuvent provenir de données de journal, d’agents ou d’autres données.
Utilisez Azure Defender, qui est basé sur la surveillance de la télémétrie des services Azure et l’analyse des journaux des services. Les données sont collectées à l’aide de l’agent Log Analytics, qui lit divers journaux d’événements et configurations liées à la sécurité du système et copie les données dans votre espace de travail à des fins d’analyse.
En outre, utilisez Azure Sentinel pour créer des règles d’analyse, qui repèrent des menaces correspondant à des critères spécifiques dans votre environnement. Les règles génèrent des incidents lorsque les critères sont respectés, de sorte que vous pouvez enquêter sur chaque incident. Azure Sentinel peut également importer le renseignement sur les menaces provenant de tiers pour améliorer la capacité de détection des menaces.
Guide de référence des alertes de sécurité Azure Security Center
Créer des règles d’analytique personnalisées pour détecter des menaces
Renseignement sur les menaces informatiques dans Azure Sentinel
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-2 | 6.8 | AU-3, AU-6, AU-12, SI-4 |
Azure AD fournit les journaux d’utilisateur suivants qui peuvent être consultés dans les rapports Azure AD ou intégrés à Azure Monitor, Azure Sentinel ou d’autres outils de surveillance/SIEM pour des cas d’usage plus sophistiqués de surveillance et d’analytique :
Connexions – le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.
Journaux d’audit : traçabilité proposée via des journaux d’activité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Par exemple, les journaux d’audit peuvent inclure les modifications apportées à des ressources dans Azure AD comme l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles, de stratégies, etc.
Connexions risquées : une connexion risquée est une tentative de connexion susceptible de provenir d’un utilisateur autre que le propriétaire légitime d’un compte d’utilisateur.
Utilisateurs avec indicateur de risque : un utilisateur à risque correspond à un indicateur de compte d’utilisateur susceptible d’être compromis.
Azure Security Center pouvez également alerter en cas de certaines activités suspectes, comme un nombre excessif de tentatives d’authentification ayant échoué et la présence de comptes dépréciés dans l’abonnement. En plus de la surveillance de base de l’hygiène de sécurité, Azure Defender peut également collecter des alertes de sécurité plus approfondies à partir de ressources de calcul Azure individuelles (machines virtuelles, conteneurs ou service d’application, par exemple), de ressources de données (base de données SQL et stockage, par exemple) et de couches de services Azure. Cette capacité vous permet de voir les anomalies de compte à l’intérieur des ressources individuelles.
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
LT-3 : Activer la journalisation pour les activités réseau Azure
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Activez et collectez les journaux de ressources des groupes de sécurité réseau (NSG), les journaux de flux du NSG, les journaux de Pare-feu Azure et ceux de Web Application Firewall (WAF) afin d’analyser la sécurité et de prendre en charge les enquêtes sur les incidents, la chasse aux menaces et la génération d’alertes de sécurité. Vous pouvez envoyer les journaux de flux à un espace de travail Log Analytics sur Azure Monitor, puis utiliser Traffic Analytics pour obtenir des insights.
Veillez à collecter les journaux de requêtes DNS pour faciliter la corrélation d’autres données réseau.
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
LT-4 : Activer la journalisation pour les ressources Azure
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Activez la journalisation des ressources Azure pour répondre aux exigences de conformité, de détection des menaces, de chasse aux menaces et d’investigation des incidents.
Vous pouvez utiliser Azure Security Center et Azure Policy pour activer les journaux de ressources et la collecte des données de journal sur les ressources Azure pour accéder aux journaux d’audit, de sécurité et de ressources. Les journaux d’activité, automatiquement disponibles, incluent la source de l’événement, la date, l’utilisateur, l’horodatage, les adresses sources, les adresses de destination et d’autres éléments utiles.
Présentation de la journalisation et des différents types de journaux dans Azure
Présentation de la collecte de données Azure Security Center
Responsabilité : Partagé
Parties prenantes de la sécurité des clients (En savoir plus) :
Sécurité d’infrastructure et de point de terminaison
LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Centralisez le stockage et l’analyse de la journalisation pour activer la corrélation. Pour chaque source de journal, assurez-vous d’avoir attribué un propriétaire de données, des conseils d’accès, un emplacement de stockage, les outils utilisés pour traiter les données et y accéder, ainsi que les exigences en matière de conservation des données.
Veillez à intégrer les journaux d’activité Azure dans votre journalisation centralisée. Ingérez des journaux par le biais d’Azure Monitor pour agréger les données de sécurité générées par les appareils de point de terminaison, les ressources réseau et d’autres systèmes de sécurité. Dans Azure Monitor, utilisez des espaces de travail Log Analytics pour interroger et effectuer l’analytique, et utilisez des comptes Stockage Azure pour le stockage à long terme et l’archivage.
En outre, activez et intégrez les données dans Azure Sentinel ou une solution SIEM tierce.
De nombreuses organisations choisissent d’utiliser Azure Sentinel pour les données « chaudes » qui sont utilisées fréquemment et Stockage Azure pour les données « froides » qui sont utilisées moins fréquemment.
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
LT-6 : Configurer la rétention du stockage des journaux
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-6 | 6.4 | AU-3, AU-11 |
Configurez la rétention des journaux en fonction de vos besoins en matière de conformité, de réglementation et d’exigences métier.
Dans Azure Monitor, vous pouvez définir la période de rétention de votre espace de travail Log Analytics en fonction des règles de conformité de votre organisation. Utilisez des comptes Stockage Azure, Data Lake ou d’espace de travail Log Analytics pour le stockage à long terme et l’archivage.
Modification de la période de conservation des données dans Log Analytics
Guide pratique pour configurer la stratégie de conservation des journaux de compte de Stockage Azure
Exportation des alertes et recommandations Azure Security Center
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
LT-7 : Utiliser des sources de synchronisation date/heure approuvées
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-7 | 6.1 | AU-8 |
Microsoft gère les sources temporelles pour la plupart des services PaaS et SaaS d’Azure. Pour vos machines virtuelles, utilisez le serveur NTP par défaut de Microsoft pour la synchronisation de l’heure, sauf si vous avez une exigence spécifique. Si vous devez mettre en place votre propre serveur NTP (Network Time Protocol), veillez à sécuriser le port 123 du service UDP.
Tous les journaux générés par des ressources dans Azure fournissent des horodatages avec le fuseau horaire spécifié par défaut.
Responsabilité : Partagé
Parties prenantes de la sécurité des clients (En savoir plus) :