Security Control V2: Naplózás és fenyegetésészlelés

  • Cikk

Megjegyzés

A legfrissebb Azure Security Benchmark itt érhető el.

A naplózás és a fenyegetésészlelés az Azure-beli fenyegetések észlelésére, valamint az Azure-szolgáltatások auditnaplóinak engedélyezésére, gyűjtésére és tárolására szolgáló vezérlőkre terjed ki. Ez magában foglalja az észlelési, vizsgálati és szervizelési folyamatok engedélyezését vezérlőkkel, amelyek kiváló minőségű riasztásokat hoznak létre natív fenyegetésészleléssel az Azure-szolgáltatásokban; Emellett naplókat gyűjt az Azure Monitorral, központosítja a biztonsági elemzést az Azure Sentinellel, az időszinkronizálást és a naplómegőrzést.

A vonatkozó beépített Azure Policy megtekintéséhez tekintse meg az Azure Security Benchmark jogszabályi megfelelőség beépített kezdeményezésének részleteit: naplózás és fenyegetésészlelés

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Azure ID CIS-vezérlők v7.1 ID(k) NIST SP 800-53 r4 ID(k)
LT-1 6.7 AU-3, AU-6, AU-12, SI-4

Győződjön meg arról, hogy különböző típusú Azure-eszközöket figyel a lehetséges fenyegetések és anomáliák szempontjából. Koncentráljon arra, hogy kiváló minőségű riasztásokat kapjon, hogy csökkentse az elemzők által a rendezéshez szükséges téves riasztásokat. A riasztások naplóadatokból, ügynökökből vagy más adatokból is származhatnak.

Használja az Azure Defendert, amely az Azure-szolgáltatás telemetriájának monitorozásán és a szolgáltatásnaplók elemzésén alapul. Az adatok gyűjtése a Log Analytics-ügynökkel történik, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a rendszerből, és elemzés céljából átmásolja az adatokat a munkaterületre.

Emellett az Azure Sentinel használatával elemzési szabályokat hozhat létre, amelyek a környezet adott feltételeinek megfelelő fenyegetéseket keresnek. A szabályok incidenseket hoznak létre a feltételeknek való megfeleltetéskor, így ön megvizsgálhatja az egyes incidenseket. Az Azure Sentinel külső fenyegetésfelderítést is importálhat a fenyegetésészlelési képesség javítása érdekében.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

LT-2: Fenyegetések észlelésének engedélyezése az Azure-beli identitás- és hozzáférés-kezeléshez

Azure ID CIS-vezérlők v7.1 ID(k) NIST SP 800-53 r4 ID(k)
LT-2 6.8 AU-3, AU-6, AU-12, SI-4

Azure AD a következő felhasználói naplókat biztosítja, amelyek megtekinthetők Azure AD jelentésekben, vagy integrálhatók az Azure Monitorral, az Azure Sentinellel vagy más SIEM/monitoring eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:

  • Bejelentkezések – a bejelentkezési jelentés a felügyelt alkalmazások használatával és a felhasználók bejelentkezési tevékenységeivel kapcsolatos információkat biztosít.

  • Auditnaplók – az Azure AD-n belül különböző szolgáltatások által végrehajtott összes módosításra vonatkozó nyomkövetési naplókat biztosít. A naplók rögzítik például az erőforrások módosításait az Azure AD-n belül, például a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadását vagy eltávolítását.

  • Kockázatos bejelentkezések – A kockázatos bejelentkezés egy olyan bejelentkezési kísérletet jelöl, amelyet elképzelhető, hogy olyan személy hajtott végre, aki nem a felhasználói fiók jogos tulajdonosa.

  • Kockázatosként megjelölt felhasználók – A kockázatos felhasználó egy olyan felhasználói fiókot jelöl, amelynek elképzelhető, hogy sérült a biztonsága.

Azure Security Center riasztást is kaphat bizonyos gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról és az előfizetés elavult fiókjairól. Az alapvető biztonsági higiénia-monitorozás mellett az Azure Defender részletesebb biztonsági riasztásokat is gyűjthet az egyes Azure számítási erőforrásokból (például virtuális gépekről, tárolókról, app service-ről), az adaterőforrásokról (például SQL DB és tároló) és az Azure szolgáltatásrétegeiről. Ez a funkció lehetővé teszi a fiókanomáliák megtekintését az egyes erőforrásokon belül.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

LT-3: Naplózás engedélyezése Azure-beli hálózati tevékenységekhez

Azure ID CIS-vezérlők v7.1 ID(k) NIST SP 800-53 r4 ID(k)
LT-3 9.3, 12.2, 12.5, 12.8 AU-3, AU-6, AU-12, SI-4

Hálózati biztonsági csoport (NSG) erőforrásnaplóinak, NSG-folyamatnaplóinak, Azure Firewall naplóinak és Web Application Firewall (WAF) naplóinak engedélyezése és összegyűjtése biztonsági elemzésekhez az incidensvizsgálatok, a fenyegetéskeresés és a biztonsági riasztások generálása támogatására. A folyamatnaplókat elküldheti egy Azure Monitor Log Analytics-munkaterületre, majd a Traffic Analytics használatával elemzéseket biztosíthat.

Győződjön meg arról, hogy DNS-lekérdezési naplókat gyűjt más hálózati adatok korrelálásához.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Azure ID CIS-vezérlők v7.1 ID(k) NIST SP 800-53 r4 ID(k)
LT-4 6.2, 6.3, 8.8 AU-3, AU-12

Engedélyezze az Azure-erőforrások naplózását a megfelelőség, a fenyegetésészlelés, a vadászat és az incidensvizsgálat követelményeinek való megfelelés érdekében.

A Azure Security Center és a Azure Policy használatával engedélyezheti az azure-erőforrások erőforrásnaplóinak és naplóadatainak gyűjtését a naplózási, biztonsági és erőforrásnaplókhoz való hozzáféréshez. Az automatikusan elérhető tevékenységnaplók tartalmazzák az eseményforrást, a dátumot, a felhasználót, az időbélyeget, a forráscímeket, a célcímeket és egyéb hasznos elemeket.

Felelősség: Megosztott

Ügyfélbiztonsági érdekelt felek (további információ):

Infrastruktúra és végpontbiztonság

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

Azure-azonosító CIS-vezérlők 7.1-s verziójú azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
LT-5 6.5, 6.6 AU-3, SI-4

Központosítsa a naplózási tárolást és az elemzést a korreláció érdekében. Minden naplóforrás esetében győződjön meg arról, hogy hozzárendelt egy adattulajdonost, a hozzáférési útmutatót, a tárolási helyet, az adatok feldolgozásához és eléréséhez használt eszközöket, valamint az adatmegőrzési követelményeket.

Győződjön meg arról, hogy az Azure-tevékenységnaplókat a központi naplózásba integrálja. Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által létrehozott biztonsági adatok összesítéséhez. Az Azure Monitorban Log Analytics-munkaterületek használatával kérdezhet le és végezhet elemzéseket, és Azure Storage-fiókokat használhat hosszú távú és archivált tároláshoz.

Emellett engedélyezheti és előkészítheti az adatokat az Azure Sentinelben vagy egy külső SIEM-ben.

Számos szervezet úgy dönt, hogy az Azure Sentinelt használja a gyakran használt "gyakori elérésű" adatokhoz, az Azure Storage-ot pedig a ritkábban használt adatokhoz.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

LT-6: Tárolt naplók megőrzésének konfigurálása

Azure-azonosító CIS-vezérlők 7.1-s verziójú azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
LT-6 6.4 AU-3, AU-11

A naplómegőrzést a megfelelőségi, szabályozási és üzleti követelményeknek megfelelően konfigurálhatja.

Az Azure Monitorban beállíthatja a Log Analytics-munkaterület megőrzési időtartamát a szervezet megfelelőségi előírásainak megfelelően. Azure Storage-, Data Lake- vagy Log Analytics-munkaterületfiókok használata hosszú távú és archivált tároláshoz.

Felelősség: Ügyfél

Ügyfélbiztonsági érdekelt felek (további információ):

LT-7: Jóváhagyott időszinkronizálási források használata

Azure-azonosító CIS-vezérlők 7.1-s verziójú azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k)
LT-7 6.1 AU-8

A Microsoft időforrásokat tart fenn a legtöbb Azure PaaS- és SaaS-szolgáltatáshoz. A virtuális gépekhez használja a Microsoft alapértelmezett NTP-kiszolgálóját az időszinkronizáláshoz, hacsak nincs konkrét követelménye. Ha ki kell állnia a saját hálózatiidő-protokoll (NTP) kiszolgálójához, győződjön meg arról, hogy biztonságossá teszi az UDP 123-es portját.

Az Azure-beli erőforrások által létrehozott összes napló időbélyegeket biztosít az alapértelmezés szerint megadott időzónával.

Felelősség: Megosztott

Ügyfélbiztonsági érdekelt felek (további információ):