Biztonságvezérlés: Naplózás és monitorozás

Megjegyzés

A legfrissebb Azure Security Benchmark itt érhető el.

A biztonsági naplózás és figyelés az Azure-szolgáltatások auditnaplóinak engedélyezésével, beszerzésével és tárolásával kapcsolatos tevékenységekre összpontosít.

2.1: Jóváhagyott időszinkronizálási források használata

Azure-azonosító	CIS-azonosítók	Felelősség
2.1	6.1	Microsoft

A Microsoft fenntartja az Azure-erőforrások időforrásait, ön azonban kezelheti a számítási erőforrások időszinkronizálási beállításait.

• Időszinkronizálás konfigurálása Azure Windows számítási erőforrásokhoz

• Időszinkronizálás konfigurálása Azure Linux számítási erőforrásokhoz

2.2: Központi biztonsági naplókezelés konfigurálása

Azure-azonosító	CIS-azonosítók	Felelősség
2,2	6.5, 6.6	Ügyfél

Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által létrehozott biztonsági adatok összesítéséhez. Az Azure Monitoron belül használja a Log Analytics-munkaterület(ek)et az elemzések lekérdezéséhez és végrehajtásához, valamint az Azure Storage-fiókok hosszú távú/archiválási tárolásához.

Másik lehetőségként engedélyezheti és felügyelheti az adatokat az Azure Sentinel vagy egy külső SIEM számára.

• Az Azure Sentinel előkészítése

• Platformnaplók és metrikák gyűjtése az Azure Monitorral

• Azure-beli virtuális gép belső gazdagépnaplóinak gyűjtése az Azure Monitorral

• Az Azure Monitor és a külső SIEM-integráció használatának első lépései

2.3: Naplózás engedélyezése Az Azure-erőforrások naplózásának engedélyezése

Azure-azonosító	CIS-azonosítók	Felelősség
2.3	6.2, 6.3	Ügyfél

Az Azure-erőforrások diagnosztikai beállításainak engedélyezése a naplózási, biztonsági és diagnosztikai naplókhoz való hozzáféréshez. Az automatikusan elérhető tevékenységnaplók tartalmazzák az eseményforrást, a dátumot, a felhasználót, az időbélyeget, a forráscímeket, a célcímeket és egyéb hasznos elemeket.

• Platformnaplók és metrikák gyűjtése az Azure Monitorral

• A naplózás és a különböző naplótípusok megismerése az Azure-ban

2.4: Biztonsági naplók gyűjtése operációs rendszerekről

Azure-azonosító	CIS-azonosítók	Felelősség
2,4	6.2, 6.3	Ügyfél

Ha a számítási erőforrás a Microsoft tulajdonában van, akkor a Microsoft feladata annak monitorozása. Ha a számítási erőforrás a szervezet tulajdonában van, az Ön felelőssége annak monitorozása. A Azure Security Center használatával monitorozhatja az operációs rendszert. A Security Center által az operációs rendszerről gyűjtött adatok közé tartozik az operációs rendszer típusa és verziója, az operációs rendszer (Windows-eseménynaplók), a futó folyamatok, a gép neve, az IP-címek és a bejelentkezett felhasználó. A Log Analytics-ügynök összeomlási memóriaképfájlokat is gyűjt.

• Azure-beli virtuális gép belső gazdagépnaplóinak gyűjtése az Azure Monitorral

• Az Azure Security Center adatgyűjtés ismertetése

2.5: A biztonsági naplótár megőrzésének konfigurálása

Azure-azonosító	CIS-azonosítók	Felelősség
2.5	6.4	Ügyfél

Az Azure Monitoron belül állítsa be a Log Analytics-munkaterület megőrzési időtartamát a szervezet megfelelőségi előírásainak megfelelően. Használja az Azure Storage-fiókokat a hosszú távú/archivált tároláshoz.

• Az adatmegőrzési időtartam módosítása a Log Analyticsben

• Adatmegőrzési szabályzat konfigurálása az Azure Storage-fióknaplókhoz

2.6: Naplók monitorozása és áttekintése

Azure-azonosító	CIS-azonosítók	Felelősség
2,6	6.7	Ügyfél

Elemezheti és figyelheti a naplókat a rendellenes viselkedés érdekében, és rendszeresen áttekintheti az eredményeket. Az Azure Monitor Log Analytics-munkaterületének használatával áttekintheti a naplókat, és lekérdezéseket hajthat végre a naplóadatokon.

Másik lehetőségként engedélyezheti és felügyelheti az adatokat az Azure Sentinel vagy egy külső SIEM számára.

• Az Azure Sentinel előkészítése

• A Log Analytics-munkaterület ismertetése

• Egyéni lekérdezések végrehajtása az Azure Monitorban

2.7: Rendellenes tevékenységek riasztásainak engedélyezése

Azure-azonosító	CIS-azonosítók	Felelősség
2.7	6.8	Ügyfél

A biztonsági naplókban és eseményekben található rendellenes tevékenységek figyeléséhez és riasztásához használja a Azure Security Center-t a Log Analytics-munkaterülettel.

Másik lehetőségként engedélyezheti és felügyelheti az adatokat az Azure Sentinelben.

• Az Azure Sentinel előkészítése

• Riasztások kezelése Azure Security Center

• Riasztás a Log Analytics naplóadatairól

2.8: Kártevőirtó naplózás központosítása

Azure-azonosító	CIS-azonosítók	Felelősség
2,8	8,6	Ügyfél

Kártevőirtó-eseménygyűjtés engedélyezése az Azure Virtual Machines és Cloud Services számára.

• A Microsoft Antimalware ismertetése

2.9: DNS-lekérdezések naplózásának engedélyezése

Azure ID	CIS-azonosítók	Felelősség
2.9	8.7	Ügyfél

Implementáljon egy külső megoldást a Azure Marketplace dns-naplózási megoldásához, a szervezetek igényeinek megfelelően.

2.10: Parancssori naplózás engedélyezése

Azure ID	CIS-azonosítók	Felelősség
2.10	8.8	Ügyfél

A Microsoft Monitoring Agent használatával minden támogatott Azure Windows rendszerű virtuális gépen naplózhatja a folyamatlétrehozás eseményét és a CommandLine mezőt. Támogatott Azure Linux rendszerű virtuális gépek esetén manuálisan konfigurálhatja a konzolnaplózást csomópontonként, és a Syslog használatával tárolhatja az adatokat. Emellett az Azure Monitor Log Analytics-munkaterületének használatával áttekintheti a naplókat, és lekérdezéseket hajthat végre az Azure-beli virtuális gépekről naplózott adatokon.

• Adatgyűjtés az Azure Security Centerben

• Egyéni lekérdezések végrehajtása az Azure Monitorban

• Rendszernapló-adatforrások az Azure Monitorban

Következő lépések

• Lásd a következő biztonsági vezérlőt: Identitás és Access Control