Naplózási és figyelési alapkonfiguráció létrehozása
A naplózás és a figyelés kritikus követelmények a biztonsági fenyegetések azonosítása, észlelése és elhárítása során. A megfelelő naplózási szabályzatok biztosítják, hogy megállapíthassa, mikor történt biztonsági szabálysértés. A szabályzat potenciálisan azonosíthatja a felelőst is. Az Azure-tevékenységnaplók adatokat szolgáltatnak egy erőforrás külső hozzáféréséről, és diagnosztikai naplókat is biztosítanak, így ön egy adott erőforrás működésével kapcsolatos információkkal rendelkezik.
Megjegyzés:
Az Azure-tevékenységnaplók olyan előfizetési naplók, amelyek betekintést nyújtanak az Azure-ban történt előfizetési szintű eseményekbe. A tevékenységnapló használatával meghatározhatja, hogy mi, ki és mikor történt az előfizetés erőforrásain végrehajtott írási műveletekhez.
A naplózási szabályzatra vonatkozó ajánlások
A következő szakaszok a CIS Microsoft Azure Foundations biztonsági benchmark 1.3.0-s verziójának biztonsági ajánlásait ismertetik, amelyek naplózási és monitorozási szabályzatokat állíthatnak be az Azure-előfizetéseken. Az egyes javaslatok az Azure Portalon elvégezhető alapvető lépések. Ezeket a lépéseket saját előfizetéséhez és saját erőforrásaival kell elvégeznie az egyes biztonsági javaslatok érvényesítéséhez. Tartsa szem előtt, hogy a 2. szintű beállítások bizonyos funkciókat vagy tevékenységeket korlátozhatnak, ezért gondosan kell mérlegelnie, hogy melyik biztonsági beállításokat követeli meg.
Győződjön meg arról, hogy létezik diagnosztikai beállítás – 1. szint
Az Azure-tevékenységnapló betekintést nyújt az Azure-ban történt előfizetési szintű eseményekbe. Ez a napló számos adatot tartalmaz az Azure Resource Manager működési adataitól az Azure Service Health-események frissítéseiig. A tevékenységnaplót korábban auditnaplónak vagy működési naplónaknevezték. A Rendszergazda istrative kategória az előfizetések vezérlősíkos eseményeit jelenti.
Minden Azure-előfizetés egyetlen tevékenységnaplóval rendelkezik. A napló adatokat szolgáltat az Azure-ból származó erőforrás-műveletekről.
A diagnosztikai naplókat egy erőforrás bocsátja ki. A diagnosztikai naplók információt nyújtanak az erőforrás működéséről. A diagnosztikai beállításokat mindegyik erőforráshoz engedélyezni kell.
Jelentkezzen be az Azure Portalra. Keresse meg és válassza a Figyelés lehetőséget.
A bal oldali menüben válassza a Tevékenységnapló lehetőséget.
A Tevékenységnapló menüsávon válassza a Tevékenységnaplók exportálása lehetőséget.
Ha nem jelennek meg beállítások, válassza ki az előfizetését, majd válassza a Diagnosztikai beállítás hozzáadása lehetőséget.
Adja meg a diagnosztikai beállítás nevét, majd válassza ki a naplókategóriákat és a céladatokat.
A menüsávon válassza a Mentés lehetőséget.
Íme egy példa egy diagnosztikai beállítás létrehozására:
Tevékenységnapló-riasztás létrehozása szabályzat-hozzárendelés létrehozásához – 1. szint
Ha figyeli a létrehozott szabályzatokat, láthatja, hogy mely felhasználók hozhatnak létre házirendeket. Az információk segíthetnek észlelni az Azure-erőforrások vagy -előfizetések megsértését vagy helytelen konfigurációját.
Jelentkezzen be az Azure Portalra. Keresse meg és válassza a Figyelés lehetőséget.
A bal oldali menüben válassza a Riasztások lehetőséget.
A Riasztások menüsávon válassza a Létrehozás legördülő menüt, majd válassza a Riasztási szabály lehetőséget.
A Riasztási szabály létrehozása panelen válassza a Hatókör kiválasztása lehetőséget.
Az Erőforrás kiválasztása panel Szűrő erőforrástípus szerint legördülő listájában válassza a Szabályzat-hozzárendelés (policyAssignments) lehetőséget.
Válasszon ki egy monitorozni kívánt erőforrást.
Válassza a Kész lehetőséget.
A riasztás létrehozásának befejezéséhez hajtsa végre a Riasztási szabály létrehozása című szakaszban leírt lépéseket az Azure Monitor Riasztások paneljén.
Tevékenységnapló-riasztás létrehozása hálózati biztonsági csoport létrehozásához, frissítéséhez vagy törléséhez – 1. szint
Alapértelmezés szerint nem jönnek létre monitorozási riasztások az NSG-k létrehozása, frissítése vagy törlésekor. A biztonsági csoportok módosítása vagy törlése lehetővé teszi a belső erőforrások nem megfelelő forrásokból vagy váratlan kimenő hálózati forgalomból való elérését.
Jelentkezzen be az Azure Portalra. Keresse meg és válassza a Figyelés lehetőséget.
A bal oldali menüben válassza a Riasztások lehetőséget.
A Riasztások menüsávon válassza a Létrehozás legördülő menüt, majd válassza a Riasztási szabály lehetőséget.
A Riasztási szabály létrehozása panelen válassza a Hatókör kiválasztása lehetőséget.
Az Erőforrás kiválasztása panel Szűrő erőforrástípus szerint legördülő listájában válassza ki a Hálózati biztonsági csoportokat.
Válassza a Kész lehetőséget.
A riasztás létrehozásának befejezéséhez hajtsa végre a Riasztási szabály létrehozása című szakaszban leírt lépéseket az Azure Monitor Riasztások paneljén.
Tevékenységnapló-riasztás létrehozása SQL Server tűzfalszabály létrehozásához vagy frissítéséhez – 1. szint
Az SQL Server tűzfalszabályt létrehozó vagy frissítő események monitorozása betekintést nyújt a hálózati hozzáférés változásaiba, és csökkentheti a gyanús tevékenységek észleléséhez szükséges időt.
Jelentkezzen be az Azure Portalra. Keresse meg és válassza a Figyelés lehetőséget.
A bal oldali menüben válassza a Riasztások lehetőséget.
A Riasztások menüsávon válassza a Létrehozás legördülő menüt, majd válassza a Riasztási szabály lehetőséget.
A Riasztási szabály létrehozása panelen válassza a Hatókör kiválasztása lehetőséget.
Az Erőforrás kiválasztása panel Szűrő erőforrástípus szerint legördülő listájában válassza ki az SQL-kiszolgálókat.
Válassza a Kész lehetőséget.
A riasztás létrehozásának befejezéséhez hajtsa végre a Riasztási szabály létrehozása című szakaszban leírt lépéseket az Azure Monitor Riasztások paneljén.