Megosztás a következőn keresztül:

Biztonságvezérlés: Naplózás és fenyegetésészlelés

  • Cikk

A naplózás és a fenyegetésészlelés magában foglalja a felhőbeli fenyegetések észlelésére szolgáló vezérlőket, valamint a felhőszolgáltatások auditnaplóinak engedélyezését, gyűjtését és tárolását, beleértve az észlelési, vizsgálati és szervizelési folyamatok engedélyezését vezérlőkkel, amelyek kiváló minőségű riasztásokat hoznak létre natív fenyegetésészleléssel a felhőszolgáltatásokban; Emellett naplókat gyűjt egy felhőmonitorozási szolgáltatással, központosítja a biztonsági elemzést SIEM-sel, időszinkronizálással és naplómegőrzéssel.

LT-1: Fenyegetésészlelési képességek engedélyezése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Biztonsági elv: A fenyegetésészlelési forgatókönyvek támogatásához monitorozza az összes ismert erőforrástípust az ismert és várt fenyegetések és anomáliák alapján. Konfigurálja a riasztásszűrési és elemzési szabályokat, hogy kiváló minőségű riasztásokat nyerjen ki a naplóadatokból, ügynökökből vagy más adatforrásokból a téves pozitív értékek csökkentése érdekében.

Azure-útmutató: Használja a felhőhöz készült Microsoft Defender fenyegetésészlelési képességét a megfelelő Azure-szolgáltatásokhoz.

Ha a fenyegetésészlelés nem szerepel Microsoft Defender szolgáltatásokban, tekintse meg a Microsoft Cloud Security Benchmark szolgáltatás alapkonfigurációit a megfelelő szolgáltatásokhoz a szolgáltatáson belüli fenyegetésészlelési vagy biztonsági riasztási képességek engedélyezéséhez. Riasztások és naplóadatok betöltése a Microsoft Defender felhőhöz, Microsoft 365 Defender és naplóadatok más erőforrásokból az Azure Monitor- vagy Microsoft Sentinel-példányokba elemzési szabályok létrehozásához, amelyek észlelik a fenyegetéseket, és olyan riasztásokat hoznak létre, amelyek megfelelnek a környezet adott feltételeinek.

Az olyan operatív technológiai (OT) környezetek esetében, amelyek az ipari vezérlőrendszer (ICS) vagy a felügyeleti ellenőrzési és adatgyűjtési (SCADA) erőforrásokat vezérlő vagy figyelő számítógépeket tartalmaznak, az IoT-hez készült Microsoft Defender használatával leltározza az eszközöket, és észlelje a fenyegetéseket és a biztonsági réseket.

Az olyan szolgáltatások esetében, amelyek nem rendelkeznek natív fenyegetésészlelési képességgel, érdemes lehet összegyűjteni az adatsík naplóit, és elemezni a fenyegetéseket a Microsoft Sentinelen keresztül.

Azure-implementáció és további környezet:

AWS-útmutató: Az Amazon GuardDuty használata fenyegetésészleléshez, amely a következő adatforrásokat elemzi és dolgozza fel: VPC-forgalomnaplók, AWS CloudTrail-felügyeleti eseménynaplók, CloudTrail S3-adatesemény-naplók, EKS-auditnaplók és DNS-naplók. A GuardDuty képes jelentéskészítésre olyan biztonsági problémákról, mint a jogosultságok eszkalálása, a felfedett hitelesítő adatok használata vagy a rosszindulatú IP-címekkel vagy tartományokkal folytatott kommunikáció.

Konfigurálja az AWS-konfigurációt, hogy ellenőrizze a SecurityHubon a megfelelőségi monitorozásra vonatkozó szabályokat, például a konfigurációs eltérést, és szükség esetén hozzon létre eredményeket.

Ha a GuardDuty és a SecurityHub nem tartalmazza a fenyegetésészlelést, engedélyezze a fenyegetésészlelési vagy biztonsági riasztási képességeket a támogatott AWS-szolgáltatásokban. Kinyerheti a riasztásokat a CloudTrailbe, a CloudWatchba vagy a Microsoft Sentinelbe elemzési szabályok létrehozásához, amelyek a környezet adott feltételeinek megfelelő fenyegetéseket keresnek.

A Microsoft Defender for Cloud használatával is monitorozhat bizonyos szolgáltatásokat az AWS-ben, például az EC2-példányokban.

Az olyan operatív technológiai (OT) környezetek esetében, amelyek az ipari vezérlőrendszer (ICS) vagy a felügyeleti ellenőrzési és adatgyűjtési (SCADA) erőforrásokat vezérlő vagy figyelő számítógépeket tartalmaznak, az IoT-hez készült Microsoft Defender használatával leltározza az eszközöket, és észlelje a fenyegetéseket és a biztonsági réseket.

AWS-implementáció és további környezet:

GCP-útmutató: Használja a Google Cloud Security Command Center eseményfenyegetés-észlelését a fenyegetésészleléshez olyan naplóadatok használatával, mint a Rendszergazda tevékenység, a GKE-adathozzáférés, a VPC-folyamatnaplók, a felhőBELI DNS és a tűzfalnaplók.

Emellett használja a Security Operations csomagot a modern SOC-hoz a Chronicle SIEM és a SOAR használatával. A Chronicle SIEM és a SOAR fenyegetésészlelési, vizsgálati és vadászati képességeket biztosít

A Microsoft Defender for Cloud használatával is monitorozhat bizonyos szolgáltatásokat a GCP-ben, például számítási virtuálisgép-példányokat.

Az olyan operatív technológiai (OT) környezetek esetében, amelyek az ipari vezérlőrendszer (ICS) vagy a felügyeleti ellenőrzési és adatgyűjtési (SCADA) erőforrásokat vezérlő vagy figyelő számítógépeket tartalmaznak, az IoT-hez készült Microsoft Defender használatával leltározza az eszközöket, és észlelje a fenyegetéseket és a biztonsági réseket.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

LT-2: Fenyegetésészlelés engedélyezése identitás- és hozzáférés-kezeléshez

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Biztonsági alapelv: Észlelheti az identitások és hozzáférés-kezelés fenyegetéseit a felhasználói és alkalmazás-bejelentkezési és hozzáférési anomáliák monitorozásával. Az olyan viselkedési mintákat, mint a sikertelen bejelentkezési kísérletek túlzott száma és az előfizetés elavult fiókjai, riasztást kell adni.

Azure-útmutató: Azure AD a következő naplókat tartalmazza, amelyek megtekinthetők Azure AD jelentésekben, vagy integrálhatók az Azure Monitorral, a Microsoft Sentinellel vagy más SIEM/monitoring eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:

  • Bejelentkezések: A bejelentkezési jelentés információt nyújt a felügyelt alkalmazások használatáról és a felhasználói bejelentkezési tevékenységekről.
  • Auditnaplók: Naplókon keresztüli nyomon követhetőséget biztosít az Azure AD különböző funkciói által végrehajtott összes módosításhoz. A naplók rögzítik például az erőforrások módosításait az Azure AD-n belül, például a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadását vagy eltávolítását.
  • Kockázatos bejelentkezések: A kockázatos bejelentkezés egy olyan bejelentkezési kísérlet jele, amelyet olyan személy végezhetett el, aki nem a felhasználói fiók jogos tulajdonosa.
  • Kockázatosként megjelölt felhasználók: A kockázatos felhasználók olyan felhasználói fiókokra utalnak, amelyeket esetleg feltörtek.

Azure AD egy Identity Protection modult is biztosít a felhasználói fiókokhoz és bejelentkezési viselkedésekhez kapcsolódó kockázatok észleléséhez és elhárításához. A kockázatok közé tartoznak például a kiszivárgott hitelesítő adatok, a névtelen vagy kártevőalapú IP-címekről való bejelentkezés, a jelszófeltörés. Az Azure AD Identity Protection szabályzatai lehetővé teszik a kockázatalapú MFA-hitelesítés kikényszerítését az Azure Feltételes hozzáféréssel együtt a felhasználói fiókokon.

Emellett a felhőhöz készült Microsoft Defender úgy is konfigurálható, hogy riasztást küldjön az előfizetés elavult fiókjairól és a gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról. Az alapvető biztonsági higiénés monitorozáson kívül a Cloud Threat Protection moduljának Microsoft Defender részletesebb biztonsági riasztásokat is gyűjthet az egyes Azure számítási erőforrásokról (például virtuális gépekről, tárolókról, app service-ről), az adaterőforrásokról (például AZ SQL DB-ről és a tárolóról) és az Azure szolgáltatásrétegeiről. Ez a funkció lehetővé teszi a fiókanomáliák megtekintését az egyes erőforrásokon belül.

Megjegyzés: Ha a szinkronizáláshoz csatlakoztatja a helyi Active Directory, használja a Microsoft Defender for Identity megoldást a helyi Active Directory a szervezetre irányuló speciális fenyegetések, feltört identitások és rosszindulatú belső műveletek azonosítására, észlelésére és kivizsgálására szolgáló jelek.

Azure-implementáció és további környezet:

AWS-útmutató: Az AWS IAM az alábbi jelentéskészítést biztosítja a konzol felhasználói tevékenységeinek naplóiról és jelentéseiről az IAM Access Advisor és az IAM hitelesítő adatok jelentésén keresztül:

  • Minden sikeres bejelentkezés és sikertelen bejelentkezési kísérlet.
  • A többtényezős hitelesítés (MFA) állapota minden felhasználóhoz.
  • Alvó IAM-felhasználó

Az API-szintű hozzáférés monitorozásához és a fenyegetésészleléshez használja az Amazon GuadDutyt az IAM-hez kapcsolódó megállapítások azonosításához. Ilyen megállapítások például a következők:

  • Az AWS-környezethez való hozzáféréshez használt API-t rendellenes módon hívták meg, vagy védelmi intézkedések megkerülésére használták
  • A következőkhöz használt API:
    • az erőforrások felderítése rendellenes módon lett meghívva
    • az AWS-környezetből származó adatok gyűjtése rendellenes módon lett meghívva.
    • az AWS-környezetben lévő adatok vagy folyamatok illetéktelen módosítása rendellenes módon lett meghívva.
    • jogosulatlan hozzáférést kapott egy AWS-környezethez, amely rendellenes módon lett meghívva.
    • nem megfelelő módon hívták meg az AWS-környezethez való jogosulatlan hozzáférést.
    • magas szintű engedélyek beszerzése egy AWS-környezethez rendellenes módon lett meghívva.
    • egy ismert rosszindulatú IP-címről lehet meghívni.
    • a rendszer gyökérszintű hitelesítő adatokkal hívja meg.
  • Az AWS CloudTrail naplózása le lett tiltva.
  • A fiókjelszó-szabályzat meggyengült.
  • Több, világszerte sikeres konzolbelépést figyeltek meg.
  • A kizárólag egy EC2-példányhoz példányindítási szerepkörrel létrehozott hitelesítő adatokat egy másik fiók használja az AWS-ben.
  • A kizárólag egy EC2-példányhoz példányindítási szerepkörrel létrehozott hitelesítő adatokat egy külső IP-címről használja a rendszer.
  • Egy API egy ismert rosszindulatú IP-címről lett meghívva.
  • Egy API-t egy egyéni fenyegetéslistán szereplő IP-címről hívtak meg.
  • Egy API egy Tor kilépési csomópont IP-címéről lett meghívva.

AWS-implementáció és további környezet:

GCP-útmutató: A Google Cloud Security Command Center eseményfenyegetésének észlelése bizonyos típusú IAM-hez kapcsolódó fenyegetésészleléshez használható, például olyan események észleléséhez, amelyekben egy alvó, felhasználó által felügyelt szolgáltatásfiók egy vagy több bizalmas IAM-szerepkört kapott.

Vegye figyelembe, hogy a Google Identity-naplók és a Google Cloud IAM-naplók egyaránt létrehoznak rendszergazdai tevékenységnaplókat, de a különböző hatókörökben. A Google-identitásnaplók csak az Identity Platformnak megfelelő műveletekhez használhatók, míg az IAM-naplók a Google Cloudhoz készült IAM-nek megfelelő műveletekhez tartoznak. Az IAM-naplók API-hívások naplóbejegyzéseit vagy más olyan műveleteket tartalmaznak, amelyek módosítják az erőforrások konfigurációját vagy metaadatait. Ezek a naplók például akkor rögzítik a naplókat, amikor a felhasználók virtuálisgép-példányokat hoznak létre, vagy módosítják az identitás- és hozzáférés-kezelési engedélyeket.

A Cloud Identity és az IAM-jelentések használatával riasztásokat készíthet bizonyos gyanús tevékenységmintákról. A Szabályzatintelligencia segítségével a szolgáltatásfiókok tevékenységeinek elemzésével azonosíthatja azokat a tevékenységeket, mint például a projektben lévő szolgáltatásfiókok, amelyeket az elmúlt 90 napban nem használtak.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

LT-3: Naplózás engedélyezése biztonsági vizsgálathoz

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Biztonsági alapelv: Engedélyezze a felhőbeli erőforrások naplózását, hogy megfeleljenek a biztonsági incidensek vizsgálatára, valamint a biztonsági reagálásra és a megfelelőségre vonatkozó követelményeknek.

Azure-útmutató: Engedélyezze a naplózási képességet a különböző szinteken lévő erőforrásokhoz, például az Azure-erőforrások naplóihoz, az operációs rendszerekhez és a virtuális gépeken belüli alkalmazásokhoz és más naplótípusokhoz.

Vegye figyelembe a biztonsági, naplózási és egyéb működési naplók különböző típusait a felügyeleti/vezérlősík- és adatsíkszinteken. Az Azure platformon háromféle napló érhető el:

  • Azure-erőforrásnapló: Az Azure-erőforráson (az adatsíkon) végrehajtott műveletek naplózása. Például lekérhet egy titkos kulcsot egy kulcstartóból, vagy kérést intézhet egy adatbázishoz. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik.
  • Azure-tevékenységnapló: Az egyes Azure-erőforrások műveleteinek naplózása az előfizetési rétegben, kívülről (a felügyeleti síkról). A tevékenységnaplóval meghatározhatja, hogy az előfizetés erőforrásain végrehajtott írási műveletek (PUT, POST, DELETE) milyen, ki és mikor legyenek. Minden Azure-előfizetéshez egyetlen tevékenységnapló tartozik.
  • Azure Active Directory-naplók: Naplók a bejelentkezési tevékenység előzményeiről és az Azure Active Directoryban egy adott bérlőn végrehajtott módosítások naplóiról.

A Microsoft Defender for Cloud és a Azure Policy használatával is engedélyezheti az azure-erőforrásokon gyűjtött erőforrásnaplókat és naplóadatokat.

Azure-implementáció és további környezet:

AWS-útmutató: Az AWS CloudTrail-naplózás használata felügyeleti eseményekhez (vezérlősík műveleteihez) és adateseményekhez (adatsík-műveletekhez), és ezeket a nyomokat a CloudWatch használatával monitorozza automatizált műveletekhez.

Az Amazon CloudWatch Logs szolgáltatással közel valós időben gyűjthet és tárolhat naplókat az erőforrásaiból, alkalmazásaiból és szolgáltatásaiból. A naplóknak három fő kategóriája van:

  • Elajándékozott naplók: Az AWS-szolgáltatások által az Ön nevében natívan közzétett naplók. Jelenleg az Amazon VPC-forgalomnaplók és az Amazon Route 53-naplók a két támogatott típus. Ez a két napló alapértelmezés szerint engedélyezve van.
  • Az AWS-szolgáltatások által közzétett naplók: Több mint 30 AWS-szolgáltatás naplói közzéteendők a CloudWatch-ban. Ezek közé tartozik az Amazon API Gateway, az AWS Lambda, az AWS CloudTrail és még sok más. Ezek a naplók közvetlenül a szolgáltatásokban és a CloudWatch-ban engedélyezhetők.
  • Egyéni naplók: Saját alkalmazásból és helyszíni erőforrásokból származó naplók. Előfordulhat, hogy ezeket a naplókat úgy kell összegyűjtenie, hogy telepíti a CloudWatch Agentet az operációs rendszerekben, és továbbítja őket a CloudWatch-nak.

Bár számos szolgáltatás csak a CloudWatch-naplókban teszi közzé a naplókat, egyes AWS-szolgáltatások közvetlenül az AmazonS3-on vagy az Amazon Kinesis Data Firehose-on tehetik közzé a naplókat, ahol különböző naplózási tárolási és adatmegőrzési szabályzatokat használhat.

AWS-implementáció és további környezet:

GCP-útmutató: Engedélyezze a naplózási képességet a különböző szinteken lévő erőforrásokhoz, például az Azure-erőforrások naplóihoz, a virtuális gépeken belüli operációs rendszerekhez és alkalmazásokhoz és más naplótípusokhoz.

Vegye figyelembe a biztonsági, naplózási és egyéb működési naplók különböző típusait a felügyeleti/vezérlősík- és adatsíkszinteken. Az Operations Suite felhőnaplózási szolgáltatás az erőforrásszintekről gyűjti és összesíti az összes naplóeseményt. A felhőnaplózás négy naplókategóriát támogat:

  • Platformnaplók – a Google Cloud-szolgáltatások által írt naplók.
  • Összetevőnaplók – hasonlóak a platformnaplókhoz, de a Google által biztosított szoftverösszetevők által létrehozott naplók, amelyek a rendszereken futnak.
  • Biztonsági naplók – főként azokat az auditnaplókat, amelyek felügyeleti tevékenységeket és hozzáféréseket rögzítenek az erőforrásokon belül.
  • Felhasználó által írt – egyéni alkalmazások és szolgáltatások által írt naplók
  • Többfelhős naplók és hibridfelhő-naplók – más felhőszolgáltatók, például a Microsoft Azure naplói és a helyszíni infrastruktúrából származó naplók.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

LT-4: Hálózati naplózás engedélyezése biztonsági vizsgálathoz

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10,8

Biztonsági elv: Engedélyezze a hálózati szolgáltatások naplózását a hálózattal kapcsolatos incidensvizsgálatok, fenyegetéskeresés és biztonsági riasztások generálásához. A hálózati naplók tartalmazhatnak olyan hálózati szolgáltatások naplóit, mint az IP-szűrés, a hálózati és alkalmazás tűzfala, a DNS, a folyamatfigyelés stb.

Azure-útmutató: Engedélyezze és gyűjtse össze a hálózati biztonsági csoport (NSG) erőforrásnaplóit, az NSG-forgalom naplóit, Azure Firewall naplóit és Web Application Firewall (WAF) naplóit, valamint a virtuális gépek naplóit a hálózati adatgyűjtő ügynökön keresztül az incidensvizsgálatok támogatásához és a biztonsági riasztások generálásához. A folyamatnaplókat elküldheti egy Azure Monitor Log Analytics-munkaterületre, majd a Traffic Analytics használatával elemzéseket biztosíthat.

Gyűjtse össze a DNS-lekérdezési naplókat, hogy segítsen más hálózati adatok korrelációjában.

Azure-implementáció és további környezet:

AWS-útmutató: Engedélyezze és gyűjtse össze a hálózati naplókat, például a VPC-forgalom naplóit, a WAF-naplókat és a Route53 Resolver lekérdezési naplóit biztonsági elemzés céljából az incidensvizsgálatok és a biztonsági riasztások generálásához. A naplók exportálhatók a CloudWatch-ba monitorozás céljából, vagy egy S3-tárológyűjtőbe, a központi elemzéshez a Microsoft Sentinel-megoldásba való betöltéshez.

AWS-implementáció és további környezet:

GCP-útmutató: A hálózati tevékenységnaplók többsége a VPC-folyamatnaplókon keresztül érhető el, amelyek az erőforrásokból küldött és fogadott hálózati folyamatok mintáját rögzítik, beleértve a Google Compute virtuális gépekként használt példányokat és a Kubernetes Engine-csomópontokat. Ezek a naplók hálózati monitorozáshoz, kriminalisztikai elemzésekhez, valós idejű biztonsági elemzésekhez és költségoptimalizáláshoz használhatók.

Megtekintheti a felhőnaplózás folyamatnaplóit, és exportálhatja a naplókat arra a célhelyre, amelyet a Felhőnaplózás exportálása támogat. A folyamatnaplókat a rendszer a számítási motor virtuális gépeinek kapcsolatai alapján összesíti, és valós időben exportálja. A Pub/Sub szolgáltatásra való feliratkozással valós idejű streamelési API-k használatával elemezheti a folyamatnaplókat.

Megjegyzés: A Csomagtükrözés a virtuális magánfelhő (VPC) hálózatában lévő meghatározott példányok forgalmát is klónozza, és továbbítja vizsgálatra. A csomagtükrözés minden forgalmat és csomagadatot rögzít, beleértve a hasznos adatokat és a fejléceket is.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 N/A

Biztonsági elv: A naplózási tárolás és az elemzés központosítása a naplóadatok közötti korreláció engedélyezéséhez. Minden naplóforrás esetében győződjön meg arról, hogy hozzárendelt egy adattulajdonost, a hozzáférési útmutatót, a tárolási helyet, az adatok feldolgozásához és eléréséhez használt eszközöket, valamint az adatmegőrzési követelményeket.

Ha nem rendelkezik meglévő SIEM-megoldás a CSP-khez, használja a natív felhőbeli SIEM-et. vagy naplókat/riasztásokat összesíthet a meglévő SIEM-be.

Azure-útmutató: Győződjön meg arról, hogy az Azure-tevékenységnaplókat egy központosított Log Analytics-munkaterületbe integrálja. Az Azure Monitor használatával lekérdezheti és végrehajthatja az elemzéseket, és riasztási szabályokat hozhat létre az Azure-szolgáltatásokból, végponteszközökről, hálózati erőforrásokból és más biztonsági rendszerekből összesített naplók használatával.

Emellett engedélyezze és előkészítse az adatokat a Microsoft Sentinelbe, amely biztonságiadat-kezelési (SIEM) és biztonsági vezénylési automatikus válasz (SOAR) képességeket biztosít.

Azure-implementáció és további környezet:

AWS-útmutató: Győződjön meg arról, hogy az AWS-naplókat egy központosított erőforrásba integrálja tárolás és elemzés céljából. A CloudWatch használatával lekérdezheti és elvégezheti az elemzéseket, valamint riasztási szabályokat hozhat létre az AWS-szolgáltatásokból, szolgáltatásokból, végponteszközökből, hálózati erőforrásokból és más biztonsági rendszerekből összesített naplók használatával.

Emellett összesítheti a naplókat egy S3-tároló gyűjtőben, és előkészítheti a naplóadatokat a Microsoft Sentinelbe, amely biztonsági információ-eseménykezelést (SIEM) és biztonsági vezénylési automatikus reagálási (SOAR) képességeket biztosít.

AWS-implementáció és további környezet:

GCP-útmutató: Győződjön meg arról, hogy a GCP-naplókat egy központosított erőforrásba (például az Operations Suite felhőnaplózási gyűjtőbe) integrálja tárolás és elemzés céljából. A felhőnaplózás támogatja a Google Cloud natív szolgáltatásnaplózásának nagy részét, valamint a külső alkalmazásokat és a helyszíni alkalmazásokat. A felhőnaplózást használhatja lekérdezésekhez és elemzésekhez, valamint riasztási szabályok létrehozásához a GCP-szolgáltatásokból, szolgáltatásokból, végponteszközökből, hálózati erőforrásokból és egyéb biztonsági rendszerekből összesített naplók használatával.

Ha nem rendelkezik meglévő SIEM-megoldással a CSP-hez, vagy a meglévő SIEM-be összesíti a naplókat/riasztásokat, használja a natív felhőbeli SIEM-et.

Megjegyzés: A Google két napló lekérdezési előtérrendszert, a Logs Explorert és a Log Analyticset biztosítja a naplók lekérdezéséhez, megtekintéséhez és elemzéséhez. A naplóadatok hibaelhárításához és feltárásához ajánlott a Logs Explorert használni. Elemzések és trendek létrehozásához ajánlott a Log Analytics használata.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

LT-6: Tárolt naplók megőrzésének konfigurálása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Biztonsági elv: Tervezze meg a naplómegőrzési stratégiát a megfelelőség, a szabályozás és az üzleti követelményeknek megfelelően. Konfigurálja a naplómegőrzési szabályzatot az egyes naplózási szolgáltatásoknál, hogy a naplók archiválása megfelelő legyen.

Azure-útmutató: A naplók, például az Azure-tevékenységnaplók 90 napig megmaradnak, majd törlődnek. Létre kell hoznia egy diagnosztikai beállítást, és az igényeinek megfelelően másik helyre (például Azure Monitor Log Analytics-munkaterületre, Event Hubsra vagy Azure Storage-ra) kell irányítania a naplókat. Ez a stratégia a saját maga által kezelt egyéb erőforrásnaplókra és erőforrásokra is vonatkozik, például az operációs rendszerek naplóira és a virtuális gépeken belüli alkalmazásokra.

A naplómegőrzési lehetőség az alábbi módon választható:

  • Az Azure Monitor Log Analytics-munkaterületet a naplómegőrzési időtartam legfeljebb 1 évig vagy a válaszcsapat követelményei szerint használhatja.
  • Az Azure Storage, a Data Explorer vagy a Data Lake használatával 1 évnél hosszabb ideig használható hosszú távú és archivált tároláshoz, valamint a biztonsági megfelelőségi követelményeknek való megfeleléshez.
  • A Azure Event Hubs használatával a naplókat az Azure-on kívüli külső erőforrásra továbbíthatja.

Megjegyzés: A Microsoft Sentinel a Log Analytics-munkaterületet használja háttérrendszerként a naplótároláshoz. Érdemes megfontolnia egy hosszú távú tárolási stratégiát, ha hosszabb ideig szeretné megőrizni a SIEM-naplókat.

Azure-implementáció és további környezet:

AWS-útmutató: Alapértelmezés szerint a naplók határozatlan ideig maradnak, és soha nem járnak le a CloudWatch-ban. Módosíthatja az egyes naplócsoportok adatmegőrzési szabályzatát, megtarthatja a határozatlan megőrzést, vagy 10 év és egy nap közötti megőrzési időtartamot választhat.

Használja az Amazon S3-at a CloudWatch naplóarchiválásához, és alkalmazza az objektuméletciklus-kezelési és -archiválási szabályzatot a gyűjtőre. Az Azure Storage-ot a központi naplóarchiváláshoz használhatja, ha a fájlokat az Amazon S3-ból az Azure Storage-ba adhatja át.

AWS-implementáció és további környezet:

GCP-útmutató: Alapértelmezés szerint az Operations Suite felhőnaplózása 30 napig őrzi meg a naplókat, kivéve, ha egyéni megőrzést konfigurál a felhőnaplózási gyűjtőhöz. Rendszergazda tevékenységnaplók, a rendszeresemény-naplók és az Access átlátszósági naplói alapértelmezés szerint 400 napot őriznek meg. A felhőnaplózás konfigurálható úgy, hogy 1 nap és 3650 nap között őrizze meg a naplókat.

A Cloud Storage használatával naplóarchiválást naplózhat a felhőnaplózásból, és objektuméletciklus-kezelést és archiválási szabályzatot alkalmazhat a gyűjtőre. Az Azure Storage-ot a központi naplóarchiváláshoz használhatja a fájlok a Google Cloud Storage-ból az Azure Storage-ba való átvitelével.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

LT-7: Jóváhagyott időszinkronizálási források használata

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
8.4 AU-8 10.4

Biztonsági elv: Jóváhagyott időszinkronizálási forrásokat használjon a naplózási időbélyeghez, amelyek dátum-, idő- és időzónaadatokat tartalmaznak.

Azure-útmutató: A Microsoft időforrásokat tart fenn a legtöbb Azure PaaS- és SaaS-szolgáltatáshoz. A számítási erőforrások operációs rendszereihez használjon alapértelmezett Microsoft NTP-kiszolgálót az időszinkronizáláshoz, hacsak nem rendelkezik egy adott követelménysel. Ha ki kell állnia a saját hálózati idő protokoll (NTP) kiszolgálójához, győződjön meg arról, hogy biztonságossá teszi az 123-es UDP-szolgáltatásportot.

Az Azure-beli erőforrások által létrehozott összes napló időbélyegeket biztosít az alapértelmezés szerint megadott időzónával.

Azure-implementáció és további környezet:

AWS-útmutató: Az AWS időforrásokat tart fenn a legtöbb AWS-szolgáltatáshoz. Az olyan erőforrások vagy szolgáltatások esetében, amelyeknél az operációs rendszer időbeállítása konfigurálva van, használja az AWS alapértelmezett Amazon Time Sync Service-t az időszinkronizáláshoz, hacsak nincs konkrét követelménye. Ha ki kell állnia a saját hálózati idő protokoll (NTP) kiszolgálójához, győződjön meg arról, hogy biztonságossá teszi az 123-es UDP-szolgáltatásportot.

Az AWS-ben az erőforrások által létrehozott összes napló időbélyegeket biztosít az alapértelmezés szerint megadott időzónával.

AWS-implementáció és további környezet:

GCP-útmutató: A Google Cloud időforrásokat tart fenn a legtöbb Google Cloud PaaS- és SaaS-szolgáltatáshoz. A számítási erőforrások operációs rendszereihez használjon alapértelmezett Google Cloud NTP-kiszolgálót az időszinkronizáláshoz, hacsak nem rendelkezik egy adott követelményvel. Ha ki kell állnia a saját hálózati időprotokoll-kiszolgálójának (NTP), győződjön meg arról, hogy biztonságossá teszi az 123-es UDP-szolgáltatásportot.

Megjegyzés: Javasoljuk, hogy ne használjon külső NTP-forrásokat a számítási motor virtuális gépeivel, hanem használja a Google által biztosított belső NTP-kiszolgálót.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):