Naplózási és figyelési alapkonfiguráció létrehozása

  • 5 perc

A naplózás és a figyelés kritikus követelmények a biztonsági fenyegetések azonosítása, észlelése és elhárítása során. A megfelelő naplózási szabályzatok biztosítják, hogy megállapíthassa, mikor történt biztonsági szabálysértés. A szabályzat potenciálisan azonosíthatja a felelőst is. Az Azure-tevékenységnaplók adatokat szolgáltatnak egy erőforrás külső hozzáféréséről, és diagnosztikai naplókat is biztosítanak, így ön egy adott erőforrás működésével kapcsolatos információkkal rendelkezik.

Megjegyzés:

Az Azure-tevékenységnaplók olyan előfizetési naplók, amelyek betekintést nyújtanak az Azure-ban történt előfizetési szintű eseményekbe. A tevékenységnapló használatával meghatározhatja, hogy mi, ki és mikor történt az előfizetés erőforrásain végrehajtott írási műveletekhez.

A naplózási szabályzatra vonatkozó ajánlások

A következő szakaszok a CIS Microsoft Azure Foundations biztonsági benchmark 1.3.0-s verziójának biztonsági ajánlásait ismertetik, amelyek naplózási és monitorozási szabályzatokat állíthatnak be az Azure-előfizetéseken. Az egyes javaslatok az Azure Portalon elvégezhető alapvető lépések. Ezeket a lépéseket saját előfizetéséhez és saját erőforrásaival kell elvégeznie az egyes biztonsági javaslatok érvényesítéséhez. Tartsa szem előtt, hogy a 2. szintű beállítások bizonyos funkciókat vagy tevékenységeket korlátozhatnak, ezért gondosan kell mérlegelnie, hogy melyik biztonsági beállításokat követeli meg.

Győződjön meg arról, hogy létezik diagnosztikai beállítás – 1. szint

Az Azure-tevékenységnapló betekintést nyújt az Azure-ban történt előfizetési szintű eseményekbe. Ez a napló számos adatot tartalmaz az Azure Resource Manager működési adataitól az Azure Service Health-események frissítéseiig. A tevékenységnaplót korábban auditnaplónak vagy működési naplónaknevezték. A Rendszergazda istrative kategória az előfizetések vezérlősíkos eseményeit jelenti.

Minden Azure-előfizetés egyetlen tevékenységnaplóval rendelkezik. A napló adatokat szolgáltat az Azure-ból származó erőforrás-műveletekről.

A diagnosztikai naplókat egy erőforrás bocsátja ki. A diagnosztikai naplók információt nyújtanak az erőforrás működéséről. A diagnosztikai beállításokat mindegyik erőforráshoz engedélyezni kell.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza a Figyelés lehetőséget.

  2. A bal oldali menüben válassza a Tevékenységnapló lehetőséget.

  3. A Tevékenységnapló menüsávon válassza a Tevékenységnaplók exportálása lehetőséget.

  4. Ha nem jelennek meg beállítások, válassza ki az előfizetését, majd válassza a Diagnosztikai beállítás hozzáadása lehetőséget.

    Screenshot that shows the Diagnostic settings pane and Add diagnostic setting selected.

  5. Adja meg a diagnosztikai beállítás nevét, majd válassza ki a naplókategóriákat és a céladatokat.

  6. A menüsávon válassza a Mentés lehetőséget.

Íme egy példa egy diagnosztikai beállítás létrehozására:

Screenshot that shows the Diagnostic settings creation pane and options selected.

Tevékenységnapló-riasztás létrehozása szabályzat-hozzárendelés létrehozásához – 1. szint

Ha figyeli a létrehozott szabályzatokat, láthatja, hogy mely felhasználók hozhatnak létre házirendeket. Az információk segíthetnek észlelni az Azure-erőforrások vagy -előfizetések megsértését vagy helytelen konfigurációját.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza a Figyelés lehetőséget.

  2. A bal oldali menüben válassza a Riasztások lehetőséget.

  3. A Riasztások menüsávon válassza a Létrehozás legördülő menüt, majd válassza a Riasztási szabály lehetőséget.

  4. A Riasztási szabály létrehozása panelen válassza a Hatókör kiválasztása lehetőséget.

  5. Az Erőforrás kiválasztása panel Szűrő erőforrástípus szerint legördülő listájában válassza a Szabályzat-hozzárendelés (policyAssignments) lehetőséget.

  6. Válasszon ki egy monitorozni kívánt erőforrást.

  7. Válassza a Kész lehetőséget.

    Screenshot that shows adding a monitoring alert for an Azure resource.

  8. A riasztás létrehozásának befejezéséhez hajtsa végre a Riasztási szabály létrehozása című szakaszban leírt lépéseket az Azure Monitor Riasztások paneljén.

Tevékenységnapló-riasztás létrehozása hálózati biztonsági csoport létrehozásához, frissítéséhez vagy törléséhez – 1. szint

Alapértelmezés szerint nem jönnek létre monitorozási riasztások az NSG-k létrehozása, frissítése vagy törlésekor. A biztonsági csoportok módosítása vagy törlése lehetővé teszi a belső erőforrások nem megfelelő forrásokból vagy váratlan kimenő hálózati forgalomból való elérését.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza a Figyelés lehetőséget.

  2. A bal oldali menüben válassza a Riasztások lehetőséget.

  3. A Riasztások menüsávon válassza a Létrehozás legördülő menüt, majd válassza a Riasztási szabály lehetőséget.

  4. A Riasztási szabály létrehozása panelen válassza a Hatókör kiválasztása lehetőséget.

  5. Az Erőforrás kiválasztása panel Szűrő erőforrástípus szerint legördülő listájában válassza ki a Hálózati biztonsági csoportokat.

  6. Válassza a Kész lehetőséget.

  7. A riasztás létrehozásának befejezéséhez hajtsa végre a Riasztási szabály létrehozása című szakaszban leírt lépéseket az Azure Monitor Riasztások paneljén.

Tevékenységnapló-riasztás létrehozása SQL Server tűzfalszabály létrehozásához vagy frissítéséhez – 1. szint

Az SQL Server tűzfalszabályt létrehozó vagy frissítő események monitorozása betekintést nyújt a hálózati hozzáférés változásaiba, és csökkentheti a gyanús tevékenységek észleléséhez szükséges időt.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza a Figyelés lehetőséget.

  2. A bal oldali menüben válassza a Riasztások lehetőséget.

  3. A Riasztások menüsávon válassza a Létrehozás legördülő menüt, majd válassza a Riasztási szabály lehetőséget.

  4. A Riasztási szabály létrehozása panelen válassza a Hatókör kiválasztása lehetőséget.

  5. Az Erőforrás kiválasztása panel Szűrő erőforrástípus szerint legördülő listájában válassza ki az SQL-kiszolgálókat.

  6. Válassza a Kész lehetőséget.

  7. A riasztás létrehozásának befejezéséhez hajtsa végre a Riasztási szabály létrehozása című szakaszban leírt lépéseket az Azure Monitor Riasztások paneljén.