Partager via

Contrôle de sécurité : journalisation et détection des menaces

La journalisation et la détection des menaces couvrent les contrôles de détection des menaces sur le cloud et l’activation, la collecte et le stockage des journaux d’audit pour les services cloud, notamment l’activation des processus de détection, d’investigation et de correction avec des contrôles pour générer des alertes de haute qualité avec détection des menaces natives dans les services cloud ; il inclut également la collecte des journaux avec un service de supervision cloud, la centralisation de l’analyse de la sécurité avec un SIEM, une synchronisation de temps et une rétention des journaux.

LT-1 : Activer les fonctionnalités de détection des menaces

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Principe de sécurité : pour prendre en charge les scénarios de détection des menaces, surveillez tous les types de ressources connus pour détecter les menaces et les anomalies connues et attendues. Configurez vos règles de filtrage et d’analytique des alertes pour extraire des alertes de haute qualité à partir de données de journal, d’agents ou d’autres sources de données pour réduire les faux positifs.

Conseils Azure : Utilisez la fonctionnalité de détection des menaces de Microsoft Defender pour le cloud pour les services Azure respectifs.

Pour la détection des menaces non incluse dans les services Microsoft Defender, reportez-vous aux bases de référence du service Microsoft Cloud Security Benchmark pour les services respectifs afin d’activer les fonctionnalités de détection des menaces ou d’alerte de sécurité au sein du service. Ingérer des alertes et des données de journal à partir de Microsoft Defender pour cloud, Microsoft 365 Defender et journaliser des données provenant d’autres ressources dans vos instances Azure Monitor ou Microsoft Sentinel pour générer des règles d’analyse, qui détectent les menaces et créent des alertes qui correspondent à des critères spécifiques dans votre environnement.

Pour les environnements de technologie opérationnelle (OT) qui incluent des ordinateurs qui contrôlent ou surveillent les ressources ICS (Industrial Control System) ou Monitoringy Control and Data Acquisition (SCADA), utilisez Microsoft Defender pour IoT pour inventorier les ressources et détecter les menaces et les vulnérabilités.

Pour les services qui n’ont pas de fonctionnalité de détection des menaces native, envisagez de collecter les journaux du plan de données et d’analyser les menaces via Microsoft Sentinel.

Implémentation Azure et contexte supplémentaire :

Conseils AWS : Utilisez Amazon GuardDuty pour la détection des menaces qui analyse et traite les sources de données suivantes : journaux de flux VPC, journaux d’événements de gestion AWS CloudTrail, journaux d’événements de données CloudTrail S3, journaux d’audit EKS et journaux DNS. GuardDuty est capable de signaler des problèmes de sécurité tels que l’escalade de privilèges, l’utilisation des informations d’identification exposées ou la communication avec des adresses IP malveillantes ou des domaines.

Configurez AWS Config pour vérifier les règles dans SecurityHub pour la surveillance de la conformité, comme la dérive de configuration, et créez des résultats si nécessaire.

Pour la détection des menaces non incluse dans GuardDuty et SecurityHub, activez les fonctionnalités de détection des menaces ou d’alerte de sécurité au sein des services AWS pris en charge. Extrayez les alertes à votre CloudTrail, CloudWatch ou Microsoft Sentinel pour créer des règles d’analyse, qui chassent les menaces qui correspondent à des critères spécifiques dans votre environnement.

Vous pouvez également utiliser Microsoft Defender pour Cloud pour surveiller certains services dans AWS, tels que des instances EC2.

Pour les environnements de technologie opérationnelle (OT) qui incluent des ordinateurs qui contrôlent ou surveillent les ressources ICS (Industrial Control System) ou Monitoringy Control and Data Acquisition (SCADA), utilisez Microsoft Defender pour IoT pour inventorier les ressources et détecter les menaces et les vulnérabilités.

Implémentation AWS et contexte supplémentaire :

Instructions GCP : utilisez la détection des menaces d’événement dans le centre de commande de sécurité Google Cloud pour détecter les menaces à l’aide de données de journal telles que l’activité de l’administrateur, l’accès aux données GKE, les journaux de flux VPC, le DNS cloud et les journaux de pare-feu.

Utilisez également la suite Opérations de sécurité pour le SOC moderne avec Chronicle SIEM et SOAR. Chroniquer SIEM et SOAR fournit des fonctionnalités de détection, d’investigation et de repérage des menaces

Vous pouvez également utiliser Microsoft Defender pour cloud pour surveiller certains services dans GCP, tels que les instances de machine virtuelle de calcul.

Pour les environnements de technologie opérationnelle (OT) qui incluent des ordinateurs qui contrôlent ou surveillent les ressources ICS (Industrial Control System) ou Monitoringy Control and Data Acquisition (SCADA), utilisez Microsoft Defender pour IoT pour inventorier les ressources et détecter les menaces et les vulnérabilités.

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :

LT-2 : activer la détection des menaces pour la gestion des identités et des accès

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Principe de sécurité : détectez les menaces pour la gestion des identités et des accès en surveillant les anomalies de connexion et d’accès des utilisateurs et des applications. Les modèles comportementaux tels que le nombre excessif de tentatives de connexion ayant échoué et les comptes déconseillés dans l’abonnement doivent être alertés.

Conseils Azure : Azure AD fournit les journaux suivants qui peuvent être affichés dans les rapports Azure AD ou intégrés à Azure Monitor, Microsoft Sentinel ou à d’autres outils SIEM/surveillance pour des cas d’utilisation de surveillance et d’analytique plus sophistiqués :

  • Connexions : le rapport des connexions fournit des informations sur l’utilisation des applications managées et des activités de connexion utilisateur.
  • Journaux d’audit : fournit une traçabilité à travers les journaux pour toutes les modifications effectuées par le biais de différentes fonctionnalités au sein d'Azure AD. Par exemple, les journaux d’audit incluent des modifications apportées à toutes les ressources dans Azure AD, telles que l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles et de stratégies.
  • Connexions risquées : une connexion risquée est un indicateur pour une tentative de connexion qui aurait pu être effectuée par une personne qui n’est pas le propriétaire légitime d’un compte d’utilisateur.
  • Utilisateurs marqués pour les risques : un utilisateur à risque est un indicateur pour un compte d’utilisateur qui a pu être compromis.

Azure AD fournit également un module de protection d’identité pour détecter et corriger les risques liés aux comptes d’utilisateur et aux comportements de connexion. Des exemples de risques incluent les informations d’identification divulguées, la connexion à partir d’adresses IP anonymes ou liées à des logiciels malveillants, la pulvérisation de mots de passe. Les stratégies d’Azure AD Identity Protection vous permettent d’appliquer l’authentification MFA basée sur le risque conjointement avec l’accès conditionnel Azure sur les comptes d’utilisateurs.

En outre, Microsoft Defender pour Cloud peut être configuré pour alerter sur les comptes obsolètes dans l’abonnement et les activités suspectes telles qu’un nombre excessif de tentatives d’authentification échouées. Outre la surveillance de l’hygiène de sécurité de base, le module Protection contre les menaces de Microsoft Defender pour cloud peut également collecter des alertes de sécurité plus approfondies à partir de ressources de calcul Azure individuelles (telles que des machines virtuelles, des conteneurs, un service d’application), des ressources de données (telles que SQL DB et stockage) et des couches de service Azure. Cette fonctionnalité vous permet de voir les anomalies de compte à l’intérieur des ressources individuelles.

Remarque : Si vous connectez votre active Directory local pour la synchronisation, utilisez la solution Microsoft Defender pour Identity pour consommer vos signaux Active Directory locaux pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées vers votre organisation.

Implémentation Azure et contexte supplémentaire :

Conseils AWS : AWS IAM fournit les rapports suivants, les journaux et les rapports pour les activités des utilisateurs de la console via IAM Access Advisor et le rapport d’informations d’identification IAM :

  • Chaque connexion réussie et chaque tentative de connexion infructueuse.
  • État de l’authentification multifacteur (MFA) pour chaque utilisateur.
  • Utilisateur IAM dormant

Pour la surveillance de l’accès au niveau de l’API et la détection des menaces, utilisez Amazon GuadDuty pour identifier les résultats liés à l’IAM. Voici quelques exemples de ces constatations :

  • Une API utilisée pour accéder à un environnement AWS et qui a été invoquée de manière anormale, ou qui a été utilisée pour contourner les mesures défensives
  • Une API utilisée pour :
    • discover resources a été invoqué de manière anormale
    • collecter des données à partir d’un environnement AWS a été invoqué de manière anormale.
    • falsifier des données ou des processus dans un environnement AWS a été invoqué de manière anormale.
    • obtenir un accès non autorisé à un environnement AWS a été invoqué de manière anormale.
    • maintenir un accès non autorisé à un environnement AWS a été invoqué de manière anormale.
    • l’obtention d’autorisations de haut niveau sur un environnement AWS a été invoquée de manière anormale.
    • être invoqué à partir d’une adresse IP malveillante connue.
    • être invoqué à l’aide des informations d’identification racine.
  • La journalisation AWS CloudTrail a été désactivée.
  • La politique de mot de passe du compte a été affaiblie.
  • De nombreuses connexions réussies à des consoles dans le monde entier ont été observées.
  • Les informations d’identification qui ont été créées exclusivement pour une instance EC2 par le biais d’un rôle de lancement d’instance sont utilisées à partir d’un autre compte au sein d’AWS.
  • Les informations d’identification qui ont été créées exclusivement pour une instance EC2 via un rôle de lancement d’instance sont utilisées à partir d’une adresse IP externe.
  • Une API a été appelée à partir d’une adresse IP malveillante connue.
  • Une API a été appelée à partir d’une adresse IP figurant sur une liste de menaces personnalisée.
  • Une API a été appelée à partir de l’adresse IP d’un nœud de sortie Tor.

Implémentation AWS et contexte supplémentaire :

Conseils GCP : utilisez la détection des menaces d’événement dans le centre de commande de sécurité Google Cloud pour certains types de détection de menaces liées à l’IAM, par exemple la détection d’événements dans le cadre desquels un compte de service géré par l’utilisateur dormant s’est vu attribuer un ou plusieurs rôles IAM sensibles.

N’oubliez pas que les journaux Google Identity et Google Cloud IAM produisent tous deux des journaux d’activité d’administration, mais pour un périmètre différent. Les journaux d’identité Google concernent uniquement les opérations correspondant à Identity Platform, tandis que les journaux IAM concernent les opérations correspondant à IAM pour Google Cloud. Les journaux IAM contiennent les entrées de journal des appels d’API ou d’autres actions qui modifient la configuration ou les métadonnées des ressources. Par exemple, ces journaux enregistrent lorsque les utilisateurs créent des instances de machine virtuelle ou modifient les autorisations de gestion des identités et des accès.

Utilisez les rapports Cloud Identity et IAM pour alerter sur certains modèles d’activité suspecte. Vous pouvez également utiliser Policy Intelligence pour analyser les activités des comptes de service afin d’identifier les activités telles que les comptes de service de votre projet qui n’ont pas été utilisés au cours des 90 derniers jours.

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :

LT-3 : Activer la journalisation pour l’investigation de sécurité

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Principe de sécurité : activez la journalisation de vos ressources cloud pour répondre aux exigences des enquêtes sur les incidents de sécurité et de la réponse de sécurité et à des fins de conformité.

Conseils Azure : Activez la fonctionnalité de journalisation pour les ressources aux différents niveaux, telles que les journaux pour les ressources Azure, les systèmes d’exploitation et les applications à l’intérieur de vos machines virtuelles et d’autres types de journaux.

Gardez à l’esprit différents types de journaux d’activité pour la sécurité, l’audit et d’autres journaux opérationnels au niveau du plan de gestion/contrôle et du plan de données. Il existe trois types de journaux disponibles sur la plateforme Azure :

  • Journal des ressources Azure : journalisation des opérations effectuées dans une ressource Azure (le plan de données). Par exemple, obtenir un secret à partir d’un coffre de clés ou effectuer une demande à une base de données. Le contenu des journaux de ressources varie selon le service Azure et le type de ressource.
  • Journal d’activité Azure : journalisation des opérations sur chaque ressource Azure au niveau de la couche d’abonnement, depuis l’extérieur (le plan de gestion). Vous pouvez utiliser le journal d’activité pour déterminer qui, et quand pour toutes les opérations d’écriture (PUT, POST, DELETE) prises sur les ressources de votre abonnement. Il existe un journal d’activité unique pour chaque abonnement Azure.
  • Journaux Azure Active Directory : journaux de l’historique de l’activité de connexion et journal d’audit des modifications apportées dans Azure Active Directory pour un tenant particulier.

Vous pouvez également utiliser Microsoft Defender pour cloud et Azure Policy pour activer les journaux de ressources et les données de journalisation collectées sur les ressources Azure.

Implémentation Azure et contexte supplémentaire :

Conseils AWS : Utilisez la journalisation AWS CloudTrail pour les événements de gestion (opérations de plan de contrôle) et les événements de données (opérations de plan de données) et surveillez ces journaux d’activité avec CloudWatch pour les actions automatisées.

Le service Amazon CloudWatch Logs vous permet de collecter et de stocker des journaux à partir de vos ressources, applications et services en quasi-temps réel. Il existe trois catégories principales de journaux :

  • Journaux d’activité vendés : journaux publiés en mode natif par les services AWS en votre nom. Actuellement, les journaux Amazon VPC Flow et les journaux Amazon Route 53 sont les deux types pris en charge. Ces deux journaux sont activés par défaut.
  • Journaux publiés par les services AWS : journaux d’activité de plus de 30 services AWS publiés sur CloudWatch. Ils incluent Amazon API Gateway, AWS Lambda, AWS CloudTrail et bien d’autres. Ces journaux peuvent être activés directement dans les services et CloudWatch.
  • Journaux personnalisés : journaux d’activité de votre propre application et ressources locales. Vous devrez peut-être collecter ces journaux en installant CloudWatch Agent dans vos systèmes d’exploitation et en les transférant à CloudWatch.

Bien que de nombreux services publient des journaux uniquement dans CloudWatch Logs, certains services AWS peuvent publier des journaux directement dans AmazonS3 ou Amazon Insights Data Firehose où vous pouvez utiliser différentes stratégies de stockage et de rétention de journalisation.

Implémentation AWS et contexte supplémentaire :

Conseils GCP : Activez la fonctionnalité de journalisation pour les ressources aux différents niveaux, telles que les journaux pour les ressources Azure, les systèmes d’exploitation et les applications à l’intérieur de vos machines virtuelles et d’autres types de journaux.

Gardez à l’esprit différents types de journaux d’activité pour la sécurité, l’audit et d’autres journaux opérationnels au niveau du plan de gestion/contrôle et du plan de données. Le service de journalisation cloud Operations Suite collecte et agrège tous les types d’événements de journal à partir des niveaux de ressources. Quatre catégories de journaux sont prises en charge dans la journalisation cloud :

  • Journaux de plateforme : journaux écrits par vos services Google Cloud.
  • Journaux de composants similaires aux journaux de plateforme, mais ils sont générés par des composants logiciels fournis par Google qui s’exécutent sur vos systèmes.
  • Journaux de sécurité : principalement les journaux d’audit qui enregistrent les activités d’administration et les accès au sein de vos ressources.
  • Écrit par l’utilisateur - journaux écrits par des applications et des services personnalisés
  • Journaux multicloud et journaux de cloud hybride : journaux d’autres fournisseurs de cloud tels que Microsoft Azure et journaux d’une infrastructure sur site.

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :

LT-4 : Activer la journalisation réseau pour l’investigation de sécurité

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10.8

Principe de sécurité : activez la journalisation de vos services réseau pour prendre en charge les enquêtes sur les incidents liés au réseau, la chasse aux menaces et la génération d’alertes de sécurité. Les journaux réseau peuvent inclure des journaux provenant de services réseau tels que le filtrage IP, le pare-feu réseau et d’application, le DNS, le monitoring des flux, etc.

Aide Azure : Activez et collectez les journaux de ressources de groupe de sécurité réseau (NSG), les journaux de flux NSG, les journaux du pare-feu Azure et du pare-feu d’applications web (WAF), ainsi que les journaux des machines virtuelles via l’agent de collecte de données de trafic réseau pour l’analyse de sécurité afin de prendre en charge les investigations d’incident et la génération d’alertes de sécurité. Vous pouvez envoyer les journaux de flux à un espace de travail Log Analytics d'Azure Monitor, puis utiliser Traffic Analytics pour obtenir des analyses.

Collectez les journaux de requête DNS pour faciliter la corrélation d’autres données réseau.

Implémentation Azure et contexte supplémentaire :

Conseils AWS : Activez et collectez les journaux réseau tels que les journaux de flux VPC, les journaux WAF et les journaux de requêtes du résolveur Route53 pour l’analyse de la sécurité afin de prendre en charge les enquêtes d’incident et la génération d’alertes de sécurité. Les journaux d’activité peuvent être exportés vers CloudWatch pour la surveillance, ou vers un compartiment de stockage S3 pour l’ingestion dans la solution Microsoft Sentinel pour analyse centralisée.

Implémentation AWS et contexte supplémentaire :

Instructions GCP : la plupart des journaux d’activités réseau sont disponibles via les journaux de flux VPC, qui enregistrent un échantillon de flux réseau envoyés et reçus par des ressources, y compris des instances utilisées comme machines virtuelles Google Compute et nœuds Kubernetes Engine. Ces journaux d’activité peuvent être utilisés pour la surveillance du réseau, l’analyse de la sécurité en temps réel et l’optimisation des dépenses.

Vous pouvez afficher les journaux de flux dans la journalisation cloud et exporter les journaux vers la destination prise en charge par l’exportation de journalisation cloud. Les journaux de flux sont agrégés par connexion à partir des machines virtuelles du moteur de calcul et exportés en temps réel. En vous abonnant à Pub/Sub, vous pouvez analyser les logs de flux à l’aide des API de streaming en temps réel.

Remarque : Vous pouvez également utiliser la mise en miroir de paquets pour cloner le trafic des instances spécifiées dans votre réseau VPC (Virtual Private Cloud) et le transmettre pour examen. La mise en miroir de paquets capture toutes les données de trafic et de paquet, y compris les charges utiles et les en-têtes.

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :

LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 N/A

Principe de sécurité : centralisez le stockage et l’analyse des journaux pour permettre la corrélation entre les données de journal. Pour chaque source de journal, assurez-vous que vous avez affecté un propriétaire de données, des conseils d’accès, un emplacement de stockage, les outils utilisés pour traiter et accéder aux données et aux exigences de rétention des données.

Utilisez SIEM native cloud si vous n’avez pas de solution SIEM existante pour les fournisseurs de services cloud. ou agréger des journaux/alertes dans votre SIEM existant.

Conseils Azure : assurez-vous d’intégrer les journaux d’activité Azure dans un espace de travail Log Analytics centralisé. Utilisez Azure Monitor pour interroger et exécuter des analyses et créer des règles d’alerte à l’aide des journaux agrégés à partir des services Azure, des appareils de point de terminaison, des ressources réseau et d’autres systèmes de sécurité.

En outre, activez et intégrez des données à Microsoft Sentinel qui fournit des fonctionnalités de gestion des événements siem (Security Information Event Management) et d’orchestration de la sécurité (SOAR).

Implémentation Azure et contexte supplémentaire :

Conseils AWS : assurez-vous d’intégrer vos journaux AWS dans une ressource centralisée pour le stockage et l’analyse. Utilisez CloudWatch pour interroger et effectuer des analyses et créer des règles d’alerte à l’aide des journaux agrégés à partir des services AWS, des services, des appareils de point de terminaison, des ressources réseau et d’autres systèmes de sécurité.

En outre, vous pouvez agréger les journaux d’activité dans un compartiment de stockage S3 et intégrer les données de journal à Microsoft Sentinel, qui fournit des fonctionnalités SIEM (Security Information Event Management) et de réponse automatisée de l’orchestration de la sécurité (SOAR).

Implémentation AWS et contexte supplémentaire :

Conseils GCP : assurez-vous d’intégrer vos journaux GCP dans une ressource centralisée (telle qu’un compartiment de journalisation cloud Operations Suite) pour le stockage et l’analyse. Cloud Logging prend en charge la majeure partie de la journalisation du service natif Google Cloud, ainsi que les applications tierces et les applications locales. Vous pouvez utiliser la journalisation cloud pour interroger et effectuer des analyses, et créer des règles d’alerte à l’aide des journaux agrégés à partir des services GCP, des services, des appareils de point de terminaison, des ressources réseau et d’autres systèmes de sécurité.

Utilisez SIEM native cloud si vous n’avez pas de solution SIEM existante pour les csp, ou agréger les journaux/alertes dans votre SIEM existant.

Remarque : Google propose deux interfaces de requêtes de journal, Logs Explorer et Log Analytics, pour interroger et afficher les journaux. Pour la résolution des problèmes et l’exploration des données de journal, il est recommandé d’utiliser l’Explorateur journaux. Pour générer des insights et des tendances, il est recommandé d’utiliser Log Analytics.

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :

LT-6 : Configurer la rétention du stockage des journaux

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Principe de sécurité : planifiez votre stratégie de conservation des journaux en fonction de votre conformité, de la réglementation et des exigences de l’entreprise. Configurez la stratégie de rétention des journaux sur les services de journalisation individuels pour vous assurer que les journaux sont archivés de manière appropriée.

Conseils Azure : Les journaux tels que les journaux d’activité Azure sont conservés pendant 90 jours, puis supprimés. Vous devez créer un paramètre de diagnostic et router les journaux vers un autre emplacement (par exemple, espace de travail Log Analytics Azure Monitor, Event Hubs ou Stockage Azure) en fonction de vos besoins. Cette stratégie s’applique également à d’autres journaux de ressources et ressources gérés par vous-même, tels que les journaux d’activité dans les systèmes d’exploitation et les applications à l’intérieur des machines virtuelles.

Vous disposez de l’option de rétention des journaux comme suit :

  • Utilisez l’espace de travail Log Analytics Azure Monitor pour une période de rétention des journaux allant jusqu’à 1 an ou conformément aux exigences de votre équipe de réponse.
  • Utilisez Stockage Azure, Data Explorer ou Data Lake pour un stockage à long terme et d’archivage pendant plus de 1 an et pour répondre à vos exigences de conformité de la sécurité.
  • Utilisez Azure Event Hubs pour transférer des journaux vers une ressource externe en dehors d’Azure.

Remarque : Microsoft Sentinel utilise l’espace de travail Log Analytics comme backend pour le stockage des journaux. Vous devez envisager une stratégie de stockage à long terme si vous envisagez de conserver les journaux SIEM pendant plus longtemps.

Implémentation Azure et contexte supplémentaire :

Conseils AWS : Par défaut, les journaux sont conservés indéfiniment et n’expirent jamais dans CloudWatch. Vous pouvez ajuster la stratégie de rétention pour chaque groupe de journaux, conserver la rétention indéfinie ou choisir une période de rétention comprise entre 10 ans et un jour.

Utilisez Amazon S3 pour l’archivage des journaux à partir de CloudWatch et appliquez la gestion du cycle de vie des objets et la stratégie d’archivage au compartiment. Vous pouvez utiliser Stockage Azure pour l’archivage des journaux centralisés en transférant les fichiers d’Amazon S3 vers Stockage Azure.

Implémentation AWS et contexte supplémentaire :

Instructions GCP : Par défaut, Operations Suite Cloud Logging conserve les journaux pendant 30 jours, sauf si vous configurez une rétention personnalisée pour le compartiment Cloud Logging. Les journaux d’audit de l’activité d’administrateur, les journaux d’audit des événements système et les journaux d’activité d’accès sont conservés 400 jours par défaut. Vous pouvez configurer la journalisation cloud pour conserver les journaux entre 1 jour et 3650 jours.

Utilisez Le stockage cloud pour l’archivage des journaux à partir de la journalisation cloud et appliquez la gestion du cycle de vie des objets et la stratégie d’archivage au compartiment. Vous pouvez utiliser Stockage Azure pour l’archivage des journaux central en transférant les fichiers de Google Cloud Storage vers Stockage Azure.

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :

LT-7 : Utiliser les sources de synchronisation de temps approuvées

ID des contrôles CIS v8 ID NIST SP 800-53 r4 ID du PCI-DSS v3.2.1
8,4 AU-8 10,4

Principe de sécurité : utilisez des sources de synchronisation de l’heure approuvées pour votre horodatage de journalisation, qui incluent des informations sur la date, l’heure et le fuseau horaire.

Conseils Azure : Microsoft gère des sources de temps pour la plupart des services PaaS et SaaS Azure. Pour vos systèmes d’exploitation de ressources de calcul, utilisez un serveur NTP Microsoft par défaut pour la synchronisation de temps, sauf si vous avez une exigence spécifique. Si vous devez maintenir votre propre serveur NTP (Network Time Protocol), assurez-vous de sécuriser le port de service UDP 123.

Tous les journaux générés par les ressources dans Azure fournissent des horodatages avec le fuseau horaire spécifié par défaut.

Implémentation Azure et contexte supplémentaire :

Conseils AWS : AWS gère des sources de temps pour la plupart des services AWS. Pour les ressources ou les services où le paramètre de temps du système d’exploitation est configuré, utilisez le service de synchronisation de l’heure Amazon par défaut d’AWS pour la synchronisation de l’heure, sauf si vous avez une exigence spécifique. Si vous devez maintenir votre propre serveur NTP (Network Time Protocol), assurez-vous de sécuriser le port de service UDP 123.

Tous les journaux générés par les ressources au sein d’AWS fournissent des horodatages avec le fuseau horaire spécifié par défaut.

Implémentation AWS et contexte supplémentaire :

Conseils GCP : Google Cloud gère des sources de temps pour la plupart des services PaaS et SaaS de Google Cloud. Pour vos systèmes d’exploitation de ressources de calcul, utilisez un serveur NTP par défaut Google Cloud pour la synchronisation de l’heure, sauf si vous avez une exigence spécifique. Si vous devez mettre en place votre propre serveur NTP (Network Time Protocol), assurez-vous de sécuriser le port de service UDP 123.

Remarque : Il est recommandé de ne pas utiliser de sources NTP externes avec les machines virtuelles Compute Engine, mais plutôt d’utiliser le serveur NTP interne fourni par Google.

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (en savoir plus) :