Contrôle de sécurité v3 : Journalisation et détection des menaces
La journalisation et la détection des menaces recouvrent les contrôles destinés à détecter les menaces dans Azure et à activer, collecter et stocker les journaux d’audit pour les services Azure, ce qui inclut l’activation des processus de détection, d’investigation et de correction avec des contrôles visant à générer des alertes de haute qualité avec la détection native des menaces dans les services Azure. Cela inclut également la collecte des journaux avec Azure Monitor, la centralisation de l’analyse de la sécurité avec Azure Sentinel, la synchronisation de l’heure et la conservation des journaux.
LT-1 : activer les fonctionnalités de détection des menaces
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Principe de sécurité : pour prendre en charge les scénarios de détection des menaces, surveillez tous les types de ressources connus à la recherche de menaces et d’anomalies connues et attendues. Configurez vos règles de filtrage et d’analyse d’alertes pour extraire des alertes de haute qualité à partir de données de journal, d’agents ou d’autres sources de données afin de réduire les faux positifs.
Conseils Azure : utilisez la fonctionnalité de détection des menaces des services Azure Defender dans Microsoft Defender pour le cloud pour les services Azure correspondants.
Pour la détection des menaces non incluses dans les services Azure Defender, reportez-vous aux lignes de base du service de test de sécurité Azure pour les services correspondants afin d’activer les fonctionnalités de détection des menaces ou d’alerte de sécurité au sein du service. Extrayez les alertes adressées à votre Azure Monitor ou Azure Sentinel pour créer des règles d’analyse, qui repèrent des menaces correspondant à des critères spécifiques dans votre environnement.
Pour les environnements OT (Operational Technology) qui incluent des ordinateurs qui contrôlent ou surveillent les ressources du Système de contrôle industriel (ICS) ou du Système de contrôle et d’acquisition de données en temps réel (SCADA), utilisez Defender pour IoT pour inventorier les ressources et détecter les menaces et les vulnérabilités.
Pour les services qui ne disposent pas d’une fonctionnalité de détection des menaces natives, envisagez de collecter les journaux des plans de données et d’analyser les menaces par le biais d’Azure Sentinel.
Implémentation et contexte supplémentaire :
- Présentation d’Azure Defender
- Guide de référence sur les alertes de sécurité de Microsoft Defender pour le cloud
- Créer des règles d’analytique personnalisées pour détecter des menaces
- Renseignement sur les menaces informatiques dans Azure Sentinel
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité d’infrastructure et de point de terminaison
- Opérations de sécurité
- Gestion de la posture
- Sécurité des applications et DevOps
- Renseignement sur les menaces
LT-2 : activer la détection des menaces pour la gestion des identités et des accès
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Principe de sécurité : détectez les menaces liées à la gestion des identités et des accès en surveillant la connexion des utilisateurs et des applications et en accédant aux anomalies. Les modèles comportementaux tels que le nombre excessif de tentatives de connexion ayant échoué et les comptes déconseillés dans l’abonnement doivent être alertés.
Conseils Azure : Azure AD fournit les journaux suivants qui sont accessibles dans la génération de rapports Azure AD ou peuvent être intégrés dans Azure Monitor, Azure Sentinel ou d’autres outils SIEM/de surveillance pour des cas d’usage de surveillance et d’analyse plus sophistiqués :
- Connexions : le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.
- Journaux d’audit : traçabilité proposée via des journaux d’activité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Par exemple, les journaux d’audit peuvent inclure les modifications apportées à des ressources dans Azure AD comme l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles, de stratégies, etc.
- Connexions risquées : une connexion risquée indique une tentative de connexion susceptible de provenir d’un utilisateur autre que le propriétaire légitime d’un compte d’utilisateur.
- Utilisateurs marqués d’un indicateur de risque : un utilisateur à risque indique un compte d’utilisateur susceptible d’être compromis.
Azure AD fournit également un module de Protection d’identité pour détecter et corriger les risques liés aux comptes d’utilisateur et aux comportements de connexion. Parmi les risques figurent les fuites d’informations d’identification, la connexion à partir d’adresses IP anonymes ou liées à des programmes malveillants, la pulvérisation de mots de passe. Les stratégies d’Azure AD Identity Protection vous permettent d’appliquer l’authentification MFA basée sur les risques avec l’accès conditionnel Azure sur les comptes d’utilisateur.
En outre, Microsoft Defender pour le cloud peut également être configuré pour informer sur les comptes déconseillés dans l’abonnement et les activités suspectes, comme un nombre excessif de tentatives d’authentification ayant échoué. En plus de la surveillance de base de l’hygiène de sécurité, le module Protection contre les menaces de Microsoft Defender pour le cloud peut également collecter des alertes de sécurité plus approfondies à partir de ressources de calcul Azure individuelles (machines virtuelles, conteneurs ou service d’application, par exemple), de ressources de données (base de données SQL et stockage, par exemple) et de couches de service Azure. Cette capacité vous permet de voir les anomalies de compte à l’intérieur des ressources individuelles.
Remarque : si vous connectez votre Active Directory sur site pour la synchronisation, utilisez la solution Microsoft Defender pour Identity pour utiliser vos signaux Active Directory locaux afin d’identifier, de détecter et d’investiguer les menaces avancées, les identités compromises et les actions des utilisateurs internes malveillants dirigées contre votre entreprise.
Implémentation et contexte supplémentaire :
- Rapports d’activité d’audit dans Azure AD
- Activer Azure AD Identity Protection
- Protection contre les menaces dans Microsoft Defender pour le cloud
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité d’infrastructure et de point de terminaison
- Opérations de sécurité
- Gestion de la posture
- Sécurité des applications et DevOps
- Renseignement sur les menaces
LT-3 : activer la journalisation pour l’examen de sécurité
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Principe de sécurité : activez la journalisation de vos ressources cloud pour répondre aux besoins en matière d’enquêtes sur l’incident de sécurité, ainsi que de réponse et de conformité en matière de sécurité.
Conseils Azure : activez la fonctionnalité de journalisation des ressources aux différents niveaux, par exemple les journaux des ressources Azure, des systèmes d’exploitation et des applications dans vos machines virtuelles et d’autres types de journaux.
Gardez à l’esprit les différents types de journaux pour la sécurité, l’audit et d’autres journaux des opérations au niveau de la gestion, du plan de contrôle et du plan de données. Il existe trois types de journaux disponibles sur la plateforme Azure :
- Journal des ressources Azure : journalisation des opérations effectuées au sein d’une ressource Azure (le plan de données). Par exemple, l’obtention d’un secret à partir d’un coffre de clés ou l’exécution d’une requête sur une base de données. Le contenu des journaux de ressources varie en fonction du service Azure et du type de ressource.
- Journal d’activité Azure : journalisation des opérations sur chaque ressource Azure au niveau de la couche d’abonnement à partir de l’extérieur (le plan de gestion). Vous pouvez utiliser le journal d’activité pour déterminer le quoi, le qui et le quand de toute opération d’écriture (PUT, POST, DELETE) effectuée sur les ressources dans votre abonnement. Il n’y qu’un seul journal d’activité par abonnement Azure.
- Journaux Azure Active Directory : les journaux contiennent l’historique de l’activité de connexion et la piste d’audit des modifications apportées dans Azure Active Directory pour un locataire particulier.
Vous pouvez également utiliser Microsoft Defender pour le cloud et Azure Policy pour activer la collecte des journaux de ressources et des données de journaux sur des ressources Azure.
Implémentation et contexte supplémentaire :
- Présentation de la journalisation et des différents types de journaux dans Azure
- Comprendre Microsoft Defender pour la collecte de données cloud
- Activer et configurer la surveillance Antimalware
- Systèmes d’exploitation et journaux des applications à l’intérieur de vos ressources de calcul
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité d’infrastructure et de point de terminaison
- Opérations de sécurité
- Gestion de la posture
- Sécurité des applications et DevOps
- Renseignement sur les menaces
LT-4 : activer la journalisation réseau pour l’examen de sécurité
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10.8 |
Principe de sécurité : activez la journalisation de vos services réseau pour prendre en charge les investigations d’incidents liées au réseau, la chasse aux menaces et la génération d’alertes de sécurité. Les journaux réseau peuvent inclure des journaux provenant de services réseau tels que le filtrage IP, le pare-feu réseau et des applications, le DNS, la supervision du flux de données, etc.
Azure Guidance : activez et collectez les journaux de ressources des groupes de sécurité réseau (NSG), les journaux de flux du NSG, les journaux de Pare-feu Azure et ceux de Web Application Firewall (WAF) afin d’analyser la sécurité et de prendre en charge les enquêtes sur les incidents et la génération d’alertes de sécurité. Vous pouvez envoyer les journaux de flux à un espace de travail Log Analytics sur Azure Monitor, puis utiliser Traffic Analytics pour obtenir des insights.
Collectez les journaux de requêtes DNS pour faciliter la corrélation d’autres données réseau.
Implémentation et contexte supplémentaire :
- Tutoriel : journaliser le trafic réseau à destination et en provenance d’une machine virtuelle à l’aide du portail Azure
- Journaux et métriques du pare-feu Azure
- Solutions de supervision réseau Azure dans Azure Monitor
- Rassemblement d’informations sur votre infrastructure DNS avec la solution DNS Analytics
Parties prenantes de la sécurité des clients (En savoir plus) :
- Opérations de sécurité
- Sécurité d’infrastructure et de point de terminaison
- Sécurité des applications et DevOps
- Renseignement sur les menaces
LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | N/A |
Principe de sécurité : centralisez le stockage et l’analyse de la journalisation pour activer la corrélation entre les données de journal. Pour chaque source de journal, assurez-vous d’avoir attribué un propriétaire de données, des conseils d’accès, un emplacement de stockage, les outils utilisés pour traiter les données et y accéder, ainsi que les exigences en matière de conservation des données.
Conseils Azure : Veillez à intégrer les journaux d’activité Azure dans un espace de travail Log Analytics centralisé. Utilisez Azure Monitor pour interroger et effectuer des analyses et créer des règles d’alerte à l’aide des journaux agrégés à partir des services Azure, des appareils de point de terminaison, des ressources réseau et d’autres systèmes de sécurité.
En outre, activez et intégrez les données à Azure Sentinel qui fournit la fonctionnalité SIEM (gestion des événements des informations de sécurité) et SOAR (réponse automatisée de l’orchestration de sécurité).
Implémentation et contexte supplémentaire :
- Guide pratique pour collecter des journaux et des métriques de plateforme avec Azure Monitor
- Guide pratique pour intégrer Azure Sentinel
Parties prenantes de la sécurité des clients (En savoir plus) :
- Architecture de la sécurité
- Sécurité des applications et DevOps
- Sécurité d’infrastructure et de point de terminaison
LT-6 : Configurer la rétention du stockage des journaux
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
Principe de sécurité : planifiez votre stratégie de rétention de journal en fonction de vos besoins en matière de conformité et de réglementation, ainsi que de vos exigences professionnelles. Configurez la stratégie de rétention des journaux au niveau des services de journalisation individuels pour vous assurer que les journaux sont correctement archivés.
Conseils Azure : les journaux, tels que les événements des Journaux d’activité Azure, sont conservés pendant 90 jours, puis supprimés. Vous devez créer un paramètre de diagnostic et acheminer les entrées de journal vers un autre emplacement (par exemple, l’espace de travail Azure Monitor Log Analytics, Event Hubs ou Stockage Azure) en fonction de vos besoins. Cette stratégie s’applique également aux autres journaux de ressources et aux ressources gérées par vous-même, tels que les journaux dans les systèmes d’exploitation et les applications à l’intérieur des machines virtuelles.
L’option de rétention de journal est la suivante :
- Utilisez l’espace de travail Azure Monitor Log Analytics pour une période de rétention de journal allant jusqu’à 1 an ou selon les besoins de votre équipe chargée des réponses.
- Utilisez Stockage Azure, Data Explorer ou Data Lake pour le stockage à long terme et l’archivage pendant une période supérieure à 1 an et pour répondre aux exigences de conformité en matière de sécurité.
- Utilisez Azure Event Hubs pour les transferts en dehors d’Azure.
Remarque : Azure Sentinel utilise l’espace de travail Log Analytics en tant que serveur principal pour le stockage des journaux. Vous devez envisager une stratégie de stockage à long terme si vous envisagez de conserver les journaux SIEM plus longtemps.
Implémentation et contexte supplémentaire :
- Modification de la période de conservation des données dans Log Analytics
- Guide pratique pour configurer la stratégie de conservation des journaux de compte de Stockage Azure
- Exportation des alertes et des recommandations Microsoft Defender pour le cloud
Parties prenantes de la sécurité des clients (En savoir plus) :
- Architecture de la sécurité
- Sécurité des applications et DevOps
- Opérations de sécurité
- Gestion de la conformité de la sécurité
LT-7 : Utiliser des sources de synchronisation date/heure approuvées
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8,4 | AU-8 | 10,4 |
Principe de sécurité : utilisez les sources de synchronisation de l’heure approuvée pour votre horodatage de journalisation qui incluent les informations de date, d’heure et de fuseau horaire.
Conseils Azure : Microsoft gère les sources temporelles pour la plupart des services PaaS et SaaS d’Azure. Pour les systèmes d’exploitation de vos ressources de calcul, utilisez un serveur NTP par défaut Microsoft pour la synchronisation de l’heure, sauf si vous avez une exigence spécifique. Si vous devez mettre en place votre propre serveur NTP (Network Time Protocol), veillez à sécuriser le port 123 du service UDP.
Tous les journaux générés par des ressources dans Azure fournissent des horodatages avec le fuseau horaire spécifié par défaut.
Implémentation et contexte supplémentaire :
- Guide pratique pour configurer la synchronisation date/heure pour les ressources de calcul Windows Azure
- Guide pratique pour configurer la synchronisation date/heure pour les ressources de calcul Linux Azure
- Comment désactiver le protocole UDP entrant pour les services Azure
Parties prenantes de la sécurité des clients (En savoir plus) :