Kontrol Keamanan: Pengelogan dan deteksi ancaman
Pengelogan dan Deteksi Ancaman mencakup kontrol untuk mendeteksi ancaman di cloud, dan mengaktifkan, mengumpulkan, dan menyimpan log audit untuk layanan cloud, termasuk memungkinkan proses deteksi, investigasi, dan remediasi dengan kontrol untuk menghasilkan pemberitahuan berkualitas tinggi dengan deteksi ancaman asli di layanan cloud; ini juga termasuk mengumpulkan log dengan layanan pemantauan cloud, memusatkan analisis keamanan dengan SIEM, sinkronisasi waktu, dan retensi log.
LT-1: Mengaktifkan kemampuan deteksi ancaman
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Prinsip keamanan: Untuk mendukung skenario deteksi ancaman, pantau semua jenis sumber daya yang diketahui untuk ancaman dan anomali yang diketahui dan diharapkan. Konfigurasikan aturan analitik dan pemfilteran peringatan Anda untuk mengekstrak peringatan berkualitas tinggi dari data log, agen, atau sumber data lainnya guna mengurangi positif palsu.
Panduan Azure: Gunakan kemampuan deteksi ancaman Microsoft Defender untuk Cloud untuk layanan Azure masing-masing.
Untuk deteksi ancaman yang tidak disertakan dalam layanan Microsoft Defender, lihat garis besar layanan Microsoft Cloud Security Benchmark untuk layanan masing-masing guna mengaktifkan kemampuan deteksi ancaman atau pemberitahuan keamanan dalam layanan. Serap pemberitahuan dan data log dari Microsoft Defender untuk Cloud, Microsoft 365 Defender, dan data log dari sumber daya lain ke instans Azure Monitor atau Microsoft Sentinel Anda untuk membangun aturan analitik, yang mendeteksi ancaman dan membuat pemberitahuan yang cocok dengan kriteria tertentu di seluruh lingkungan Anda.
Untuk lingkungan Operational Technology (OT) yang mencakup komputer yang mengontrol atau memantau sumber daya Industrial Control System (ICS) atau Supervisory Control and Data Acquisition (SCADA), gunakan Microsoft Defender untuk IoT untuk menginventarkan aset dan mendeteksi ancaman dan kerentanan.
Untuk layanan yang tidak memiliki kemampuan deteksi ancaman asli, pertimbangkan untuk mengumpulkan log sarana data dan menganalisis ancaman melalui Microsoft Azure Sentinel.
Implementasi Azure dan konteks tambahan:
- Pengantar Microft Defender untuk Cloud
- Panduan referensi peringatan keamanan Microsoft Defender untuk Cloud
- Membuat aturan analitik kustom untuk mendeteksi ancaman
- Indikator ancaman untuk intelijen ancaman cyber di Microsoft Sentinel
Panduan AWS: Gunakan Amazon GuardDuty untuk deteksi ancaman yang menganalisis dan memproses sumber data berikut: Log Alur VPC, log peristiwa manajemen AWS CloudTrail, log peristiwa data CloudTrail S3, log audit EKS, dan log DNS. GuardDuty mampu melaporkan masalah keamanan seperti eskalasi hak istimewa, penggunaan kredensial yang terekspos, atau komunikasi dengan alamat IP berbahaya, atau domain.
Konfigurasikan AWS Config untuk memeriksa aturan di SecurityHub untuk pemantauan kepatuhan seperti penyimpangan konfigurasi, dan buat temuan saat diperlukan.
Untuk deteksi ancaman yang tidak disertakan dalam GuardDuty dan SecurityHub, aktifkan kemampuan deteksi ancaman atau pemberitahuan keamanan dalam layanan AWS yang didukung. Ekstrak pemberitahuan ke CloudTrail, CloudWatch, atau Microsoft Sentinel Anda untuk membangun aturan analitik, yang berburu ancaman yang cocok dengan kriteria tertentu di seluruh lingkungan Anda.
Anda juga dapat menggunakan Microsoft Defender untuk Cloud untuk memantau layanan tertentu di AWS seperti instans EC2.
Untuk lingkungan Operational Technology (OT) yang mencakup komputer yang mengontrol atau memantau sumber daya Industrial Control System (ICS) atau Supervisory Control and Data Acquisition (SCADA), gunakan Microsoft Defender untuk IoT untuk menginventarkan aset dan mendeteksi ancaman dan kerentanan.
Implementasi AWS dan konteks tambahan:
- Amazon GuardDuty
- Sumber data Amazon GuardDuty
- Buat sambungan untuk akun AWS Anda ke Microsoft Defender for Cloud
- Bagaimana Defender untuk Cloud Apps membantu melindungi lingkungan Amazon Web Services (AWS) Anda
- Rekomendasi keamanan untuk sumber daya AWS - panduan referensi
Panduan GCP: Gunakan Deteksi Ancaman Peristiwa di Pusat Perintah Keamanan Google Cloud untuk deteksi ancaman menggunakan data log seperti Aktivitas Admin, Akses Data GKE, Log Alur VPC, DNS Cloud, dan Log Firewall.
Selain itu, gunakan rangkaian Operasi Keamanan untuk SOC modern dengan Chronicle SIEM dan SOAR. Chronicle SIEM dan SOAR menyediakan kemampuan deteksi, investigasi, dan perburuan ancaman
Anda juga dapat menggunakan Microsoft Defender untuk Cloud untuk memantau layanan tertentu di GCP seperti instans VM Komputasi.
Untuk lingkungan Operational Technology (OT) yang mencakup komputer yang mengontrol atau memantau sumber daya Industrial Control System (ICS) atau Supervisory Control and Data Acquisition (SCADA), gunakan Microsoft Defender untuk IoT untuk menginventarkan aset dan mendeteksi ancaman dan kerentanan.
Implementasi GCP dan konteks tambahan:
- Gambaran Umum Deteksi Ancaman Peristiwa Security Command Center
- Chronicle SOAR
- Cara Defender for Cloud Apps membantu melindungi lingkungan Google Cloud Platform (GCP) Anda
- Rekomendasi keamanan untuk sumber daya GCP - panduan referensi
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
- Infrastruktur dan keamanan titik akhir
- Operasi keamanan
- Manajemen postur
- Keamanan Aplikasi dan DevOps
- Inteligensi ancaman
LT-2: Mengaktifkan deteksi ancaman untuk identitas dan manajemen akses
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Prinsip keamanan: Mendeteksi ancaman untuk identitas dan manajemen akses dengan memantau anomali masuk dan akses pengguna dan aplikasi. Pola perilaku seperti terlalu banyak upaya masuk yang gagal, dan akun yang tidak digunakan lagi dalam langganan, harus diperhatikan.
Panduan Azure: Azure AD menyediakan log berikut yang dapat dilihat dalam pelaporan Azure AD atau terintegrasi dengan Azure Monitor, Microsoft Azure Sentinel, atau alat SIEM/pemantauan lainnya untuk kasus penggunaan pemantauan dan analitik yang lebih canggih:
- Masuk: Laporan masuk memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.
- Log audit: Menyediakan keterlacakan melalui log untuk semua perubahan yang dilakukan oleh berbagai fitur dalam Microsoft Azure AD. Contoh log audit mencakup perubahan yang dibuat pada sumber daya apa pun dalam Microsoft Azure Active Directory seperti menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.
- Proses masuk riskan: Proses masuk riskan adalah indikator dari upaya masuk yang mungkin telah dilakukan oleh seseorang yang bukan pemilik akun pengguna yang sah.
- Pengguna yang ditandai berisiko: Pengguna berisiko adalah indikator untuk akun pengguna yang mungkin telah disusupi.
Azure AD juga menyediakan modul Perlindungan Identitas untuk mendeteksi dan memulihkan risiko yang terkait dengan akun pengguna dan perilaku masuk. Contoh risiko termasuk kredensial yang bocor, masuk dari alamat IP terkait anonim atau malware, semprotan kata sandi. Kebijakan dalam Azure AD Identity Protection memungkinkan Anda memberlakukan autentikasi MFA berbasis risiko bersama dengan Akses Bersyar Azure pada akun pengguna.
Selain itu, Microsoft Defender untuk Cloud dapat dikonfigurasi untuk memberikan peringatan terhadap akun yang tidak digunakan lagi dalam langganan dan aktivitas yang mencurigakan seperti terlalu banyak upaya autentikasi yang gagal. Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud juga dapat mengumpulkan peringatan keamanan yang lebih mendalam dari sumber daya komputasi Azure individual (seperti mesin virtual, kontainer, layanan aplikasi), sumber daya data (seperti SQL DB dan penyimpanan), dan lapisan layanan Azure. Kemampuan ini memungkinkan Anda melihat anomali akun di dalam masing-masing sumber daya.
Catatan: Jika Anda menghubungkan Azure Active Directory lokal untuk sinkronisasi, gunakan solusi Pertahanan Microsoft untuk Identitas guna mengonsumsi sinyal Active Directory lokal Anda untuk mengidentifikasi, mendeteksi, dan menyelidiki ancaman lanjutan, identitas yang disusupi, dan tindakan orang dalam berbahaya yang diarahkan ke organisasi Anda.
Implementasi Azure dan konteks tambahan:
- Mengaudit laporan aktivitas di Azure Active Directory
- Mengaktifkan Perlindungan Identitas Azure
- Perlindungan ancaman di Microsoft Defender untuk Cloud
- Gambaran umum Microsoft Defender untuk Identitas
Panduan AWS: AWS IAM menyediakan pelaporan log dan laporan berikut untuk aktivitas pengguna konsol melalui IAM Access Advisor dan laporan kredensial IAM:
- Setiap upaya masuk yang berhasil dan tidak berhasil.
- Status autentikasi multifaktor (MFA) untuk setiap pengguna.
- Pengguna IAM tidak aktif
Untuk pemantauan akses tingkat API dan deteksi ancaman, gunakan Amazon GuadDuty untuk mengidentifikasi temuan yang terkait dengan IAM. Contoh temuan ini meliputi:
- API yang digunakan untuk mendapatkan akses ke lingkungan AWS dan dipanggil dengan cara anomali, atau digunakan untuk menghindari langkah-langkah defensif
- API yang digunakan untuk:
- menemukan sumber daya dipanggil dengan cara anomali
- mengumpulkan data dari lingkungan AWS dipanggil dengan cara anomali.
- mengubah data atau proses di lingkungan AWS dipanggil dengan cara yang anomali.
- mendapatkan akses tidak sah ke lingkungan AWS dipanggil dengan cara anomali.
- mempertahankan akses tidak sah ke lingkungan AWS dipanggil dengan cara anomali.
- mendapatkan izin tingkat tinggi ke lingkungan AWS dipanggil dengan cara anomali.
- dipanggil dari alamat IP berbahaya yang diketahui.
- dipanggil menggunakan kredensial akar.
- Pengelogan AWS CloudTrail dinonaktifkan.
- Kebijakan kata sandi akun melemah.
- Beberapa login konsol yang berhasil di seluruh dunia diamati.
- Kredensial yang dibuat secara eksklusif untuk instans EC2 melalui peran peluncuran Instans digunakan dari akun lain dalam AWS.
- Kredensial yang dibuat secara eksklusif untuk instans EC2 melalui peran peluncuran Instans digunakan dari alamat IP eksternal.
- API dipanggil dari alamat IP berbahaya yang diketahui.
- API dipanggil dari alamat IP pada daftar ancaman kustom.
- API dipanggil dari alamat IP node keluar Tor.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Gunakan Deteksi Ancaman Peristiwa di Google Cloud Security Command Center untuk jenis tertentu deteksi ancaman terkait IAM seperti deteksi peristiwa di mana akun layanan yang dikelola pengguna tidak aktif diberikan satu atau beberapa peran IAM yang lebih sensitif.
Ketahuilah bahwa log Google Identity dan log IAM Google Cloud keduanya menghasilkan log aktivitas admin tetapi untuk cakupan yang berbeda. Log Identitas Google hanya untuk operasi yang sesuai dengan Platform Identitas sementara log IAM untuk operasi sesuai dengan IAM untuk Google Cloud. Log IAM berisi entri log panggilan API atau tindakan lain yang memodifikasi konfigurasi atau metadata sumber daya. Misalnya, log ini merekam saat pengguna membuat instans VM atau mengubah izin Manajemen Identitas dan Akses.
Gunakan laporan Identitas Cloud dan IAM untuk memperingatkan pola aktivitas tertentu yang mencurigakan. Anda juga dapat menggunakan Kecerdasan Kebijakan untuk menganalisis aktivitas akun layanan untuk mengidentifikasi aktivitas seperti akun layanan di proyek Anda belum digunakan dalam 90 hari terakhir.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
- Infrastruktur dan keamanan titik akhir
- Operasi keamanan
- Manajemen postur
- Keamanan Aplikasi dan DevOps
- Inteligensi ancaman
LT-3: Mengaktifkan pengelogan untuk penyelidikan keamanan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Prinsip keamanan: Aktifkan pengelogan untuk sumber daya cloud Anda untuk memenuhi persyaratan penyelidikan insiden keamanan dan respons keamanan dan tujuan kepatuhan.
Panduan Azure: Aktifkan kemampuan pengelogan untuk sumber daya di berbagai tingkatan, seperti log untuk sumber daya Azure, sistem operasi, dan aplikasi di dalam VM Anda dan jenis log lainnya.
Perhatikan berbagai jenis log untuk keamanan, audit, dan log operasional lainnya di tingkat sarana manajemen/kontrol dan sarana data. Terdapat tiga jenis log yang tersedia di platform Azure:
- Log sumber daya Azure: Pengelogan operasi yang dilakukan dalam sumber daya Azure (data plane). Misalnya, mendapatkan rahasia dari brankas kunci atau membuat permintaan ke database. Konten log sumber daya bervariasi menurut jenis layanan dan sumber daya Azure.
- Log aktivitas Azure: Pengelogan operasi pada setiap sumber daya Azure di lapisan langganan, dari luar (bidang manajemen). Anda dapat menggunakan Log Aktivitas untuk menentukan apa, siapa, dan kapan untuk setiap operasi tulis (PUT, POST, DELETE) yang diambil pada sumber daya dalam langganan Anda. Satu Log aktivitas tersedia untuk setiap langganan Azure.
- Log Microsoft Azure AD: Log riwayat aktivitas masuk dan jejak audit perubahan yang dibuat di Microsoft Azure AD terkait penyewa tertentu.
Anda juga dapat menggunakan Microsoft Defender untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log pada sumber daya Azure.
Implementasi Azure dan konteks tambahan:
- Memahami pengelogan dan jenis log yang berbeda di Azure
- Memahami pengumpulan data Microsoft Defender untuk Cloud
- Mengaktifkan dan mengonfigurasi pemantauan antimalware
- Sistem operasi dan log aplikasi di dalamnya pada sumber daya komputasi Anda
Panduan AWS: Gunakan pengelogan AWS CloudTrail untuk peristiwa manajemen (operasi sarana kontrol) dan peristiwa data (operasi data plane) dan pantau jejak ini dengan CloudWatch untuk tindakan otomatis.
Layanan Amazon CloudWatch Logs memungkinkan Anda mengumpulkan dan menyimpan log dari sumber daya, aplikasi, dan layanan Anda dalam waktu dekat secara real time. Ada tiga kategori utama log:
- Log yang dilewati: Log yang diterbitkan secara asli oleh layanan AWS atas nama Anda. Saat ini, Log Alur Amazon VPC dan log Amazon Route 53 adalah dua jenis yang didukung. Kedua log ini diaktifkan secara default.
- Log yang diterbitkan oleh layanan AWS: Log dari lebih dari 30 layanan AWS yang diterbitkan ke CloudWatch. Mereka termasuk Amazon API Gateway, AWS Lambda, AWS CloudTrail, dan banyak lainnya. Log ini dapat diaktifkan langsung di layanan dan CloudWatch.
- Log kustom: Log dari aplikasi Anda sendiri dan sumber daya lokal. Anda mungkin perlu mengumpulkan log ini dengan menginstal CloudWatch Agent di sistem operasi Anda dan meneruskannya ke CloudWatch.
Meskipun banyak layanan menerbitkan log hanya ke CloudWatch Logs, beberapa layanan AWS dapat menerbitkan log langsung ke AmazonS3 atau Amazon Kinesis Data Firehose tempat Anda dapat menggunakan kebijakan penyimpanan dan retensi pengelogan yang berbeda.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Aktifkan kemampuan pengelogan untuk sumber daya di tingkat yang berbeda, seperti log untuk sumber daya Azure, sistem operasi, dan aplikasi di dalam VM Anda dan jenis log lainnya.
Perhatikan berbagai jenis log untuk keamanan, audit, dan log operasional lainnya di tingkat sarana manajemen/kontrol dan sarana data. Layanan Operations Suite Cloud Logging mengumpulkan dan menggabungkan semua jenis peristiwa log dari tingkat sumber daya. Empat kategori log didukung di Cloud Logging:
- Log platform - log yang ditulis oleh layanan Google Cloud Anda.
- Log komponen - mirip dengan log platform, tetapi log tersebut adalah log yang dihasilkan oleh komponen perangkat lunak yang disediakan Google yang berjalan di sistem Anda.
- Log keamanan - terutama log audit yang merekam aktivitas administratif dan akses dalam sumber daya Anda.
- Ditulis pengguna - log yang ditulis oleh aplikasi dan layanan kustom
- Log multi-cloud dan log Hybrid-cloud - log dari penyedia cloud lain seperti Microsoft Azure dan log dari infrastruktur lokal.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
- Infrastruktur dan keamanan titik akhir
- Operasi keamanan
- Manajemen postur
- Keamanan Aplikasi dan DevOps
- Inteligensi ancaman
LT-4: Mengaktifkan pengelogan jaringan untuk penyelidikan keamanan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10.8 |
Prinsip keamanan: Aktifkan pengelogan untuk layanan jaringan Anda untuk mendukung penyelidikan insiden terkait jaringan, perburuan ancaman, dan pembuatan pemberitahuan keamanan. Log jaringan dapat mencakup log dari layanan jaringan seperti pemfilteran IP, firewall jaringan dan aplikasi, DNS, pemantauan alur dan sebagainya.
Panduan Azure: Aktifkan dan kumpulkan log sumber daya kelompok keamanan jaringan (NSG), log alur NSG, log Azure Firewall, dan log Web Application Firewall (WAF), dan log dari komputer virtual melalui agen pengumpulan data lalu lintas jaringan untuk analisis keamanan guna mendukung penyelidikan insiden, dan pembuatan pemberitahuan keamanan. Anda dapat mengirim log alur ke ruang kerja Log Analitik Azure Monitor dan kemudian menggunakan Analitik Lalu Lintas untuk memberikan wawasan.
Kumpulkan log kueri DNS untuk membantu mengorelasikan data jaringan lainnya.
Implementasi Azure dan konteks tambahan:
- Cara mengaktifkan log alur kelompok keamanan jaringan
- Log dan metrik Azure Firewall
- Solusi pemantauan jaringan Azure di Azure Monitor
- Mengumpulkan wawasan tentang infrastruktur DNS Anda dengan solusi Analitik DNS
Panduan AWS: Mengaktifkan dan mengumpulkan log jaringan seperti Log Alur VPC, Log WAF, dan log kueri Resolver Route53 untuk analisis keamanan guna mendukung penyelidikan insiden, dan pembuatan pemberitahuan keamanan. Log dapat diekspor ke CloudWatch untuk pemantauan atau wadah penyimpanan S3 untuk diserap ke dalam solusi Microsoft Sentinel untuk analitik terpusat.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Sebagian besar log aktivitas jaringan tersedia melalui Log Alur VPC yang merekam sampel aliran jaringan yang dikirim dari dan diterima oleh sumber daya, termasuk instans yang digunakan sebagai VM Google Compute, node Kubernetes Engine. Log ini dapat digunakan untuk pemantauan jaringan, forensik, analisis keamanan real time, dan pengoptimalan pengeluaran.
Anda dapat melihat log alur di Cloud Logging, dan mengekspor log ke tujuan yang didukung ekspor Cloud Logging. Log alur diagregasi oleh koneksi dari VM Mesin Komputasi dan diekspor secara real time. Dengan berlangganan Pub/Sub, Anda dapat menganalisis log alur menggunakan API streaming real time.
Catatan: Anda juga dapat menggunakan Pencerminan Paket mengkloning lalu lintas instans tertentu di jaringan Virtual Private Cloud (VPC) Anda dan meneruskannya untuk pemeriksaan. Pencerminan Paket menangkap semua lalu lintas dan data paket, termasuk payload dan header.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
- Operasi keamanan
- Infrastruktur dan keamanan titik akhir
- Keamanan aplikasi dan DevOps
- Inteligensi ancaman
LT-5: Memusatkan manajemen dan analisis log keamanan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | T/A |
Prinsip keamanan: Mempusatkan penyimpanan dan analisis pengelogan untuk mengaktifkan korelasi di seluruh data log. Untuk setiap sumber log, pastikan Anda telah menetapkan pemilik data, panduan akses, lokasi penyimpanan, alat apa yang digunakan untuk memproses dan mengakses data, dan persyaratan retensi data.
Gunakan SIEM asli Cloud jika Anda tidak memiliki solusi SIEM yang ada untuk CSP. atau agregat log/pemberitahuan ke dalam SIEM Anda yang ada.
Panduan Azure: Pastikan Anda mengintegrasikan log aktivitas Azure ke ruang kerja Log Analytics terpusat. Gunakan Azure Monitor untuk membuat kueri dan melakukan analitik serta membuat aturan peringatan menggunakan log yang diagregasikan dari layanan Azure, perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya.
Selain itu, aktifkan dan orientasi data ke Microsoft Sentinel yang menyediakan kemampuan manajemen peristiwa informasi keamanan (SIEM) dan respons otomatis orkestrasi keamanan (SOAR).
Implementasi Azure dan konteks tambahan:
Panduan AWS: Pastikan Anda mengintegrasikan log AWS anda ke dalam sumber daya terpusat untuk penyimpanan dan analisis. Gunakan CloudWatch untuk mengkueri dan melakukan analitik, dan untuk membuat aturan pemberitahuan menggunakan log yang dikumpulkan dari layanan AWS, layanan, perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya.
Selain itu, Anda dapat mengagregasi log dalam wadah penyimpanan S3 dan onboard data log ke Microsoft Azure Sentinel yang menyediakan manajemen peristiwa informasi keamanan (SIEM) dan kemampuan respons otomatis orkestrasi keamanan (SOAR).
Implementasi AWS dan konteks tambahan:
Panduan GCP: Pastikan Anda mengintegrasikan log GCP ke dalam sumber daya terpusat (seperti wadah Operations Suite Cloud Logging) untuk penyimpanan dan analisis. Cloud Logging mendukung sebagian besar pengelogan layanan asli Google Cloud serta aplikasi pihak ketiga dan aplikasi lokal. Anda dapat menggunakan Pengelogan Cloud untuk kueri dan melakukan analitik, dan untuk membuat aturan pemberitahuan menggunakan log yang dikumpulkan dari layanan GCP, layanan, perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya.
Gunakan SIEM asli Cloud jika Anda tidak memiliki solusi SIEM yang ada untuk CSP, atau mengagregasi log/pemberitahuan ke DALAM SIEM Anda yang ada.
Catatan: Google menyediakan dua frontend kueri log, Logs Explorer dan Log Analytics untuk kueri, tampilan, dan analisis log. Untuk pemecahan masalah dan eksplorasi data log, disarankan untuk menggunakan Logs Explorer. Untuk menghasilkan wawasan dan tren, disarankan untuk menggunakan Analitik Log.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
LT-6: Mengonfigurasi retensi penyimpanan log
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
Prinsip keamanan: Rencanakan strategi retensi log Anda sesuai dengan kepatuhan, peraturan, dan persyaratan bisnis Anda. Konfigurasikan kebijakan penyimpanan log di masing-masing layanan pengelogan untuk memastikan log diarsipkan dengan tepat.
Panduan Azure: Log seperti Log Aktivitas Azure disimpan selama 90 hari lalu dihapus. Anda harus membuat pengaturan diagnostik dan merutekan log ke lokasi lain (seperti ruang kerja Analitik Log Azure Monitor, Azure Event Hubs, atau Azure Storage) berdasarkan kebutuhan Anda. Strategi ini juga berlaku untuk log sumber daya lain dan sumber daya yang dikelola sendiri seperti log dalam sistem operasi dan aplikasi di dalam VM.
Anda memiliki opsi retensi log seperti di bawah ini:
- Gunakan ruang kerja Analitik Log Azure Monitor untuk periode retensi log hingga 1 tahun atau sesuai persyaratan tim respons Anda.
- Gunakan Azure Storage, Data Explorer, atau Data Lake untuk penyimpanan jangka panjang dan arsip selama lebih dari 1 tahun dan untuk memenuhi persyaratan kepatuhan keamanan Anda.
- Gunakan Azure Event Hubs untuk meneruskan log ke sumber daya eksternal di luar Azure.
Catatan: Microsoft Azure Sentinel menggunakan ruang kerja Analitik Log sebagai backend untuk penyimpanan log. Anda harus mempertimbangkan strategi penyimpanan jangka panjang jika berencana untuk mempertahankan log SIEM untuk waktu yang lebih lama.
Implementasi Azure dan konteks tambahan:
- Mengubah periode retensi data di Analitik Log
- Cara mengonfigurasi kebijakan retensi untuk log akun Azure Storage
- Ekspor peringatan dan rekomendasi Microsoft Defender untuk Cloud
Panduan AWS: Secara default, log disimpan tanpa batas waktu dan tidak pernah kedaluwarsa di CloudWatch. Anda dapat menyesuaikan kebijakan penyimpanan untuk setiap grup log, menjaga retensi yang tidak terbatas, atau memilih periode retensi antara 10 tahun dan satu hari.
Gunakan Amazon S3 untuk pengarsipan log dari CloudWatch dan terapkan manajemen siklus hidup objek dan kebijakan pengarsipan ke wadah. Anda dapat menggunakan Azure Storage untuk pengarsipan log pusat dengan mentransfer file dari Amazon S3 ke Azure Storage.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Secara default, Operations Suite Cloud Logging mempertahankan log selama 30 hari, kecuali Anda mengonfigurasi retensi kustom untuk wadah Cloud Logging. Admin Log audit aktivitas, log audit Peristiwa Sistem, dan log Transparansi Akses dipertahankan 400 hari secara default. Anda dapat mengonfigurasi Cloud Logging untuk menyimpan log antara 1 hari dan 3650 hari.
Gunakan Cloud Storage untuk pengarsipan log dari Cloud Logging dan terapkan manajemen siklus hidup objek dan kebijakan arsip ke wadah. Anda dapat menggunakan Azure Storage untuk pengarsipan log pusat dengan mentransfer file dari Google Cloud Storage ke Azure Storage.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):
LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.4 | AU-8 | 10,4 |
Prinsip keamanan: Gunakan sumber sinkronisasi waktu yang disetujui untuk tanda waktu pengelogan Anda yang mencakup informasi tanggal, waktu, dan zona waktu.
Panduan Azure: Microsoft mempertahankan sumber waktu untuk sebagian besar layanan Azure PaaS dan SaaS. Untuk sistem operasi sumber daya komputasi Anda, gunakan server NTP default Microsoft untuk sinkronisasi waktu kecuali Anda memiliki persyaratan khusus. Jika perlu mendirikan server protokol waktu jaringan (NTP) Anda sendiri, pastikan Anda mengamankan port layanan UDP 123.
Semua log yang dihasilkan oleh sumber daya dalam Azure menyediakan stempel waktu dengan zona waktu yang ditentukan secara default.
Implementasi Azure dan konteks tambahan:
- Cara mengonfigurasi sinkronisasi waktu untuk sumber daya komputasi Azure Windows
- Cara mengonfigurasi sinkronisasi waktu untuk sumber daya komputasi Azure Linux
- Cara menonaktifkan UDP masuk untuk layanan Azure
Panduan AWS: AWS mempertahankan sumber waktu untuk sebagian besar layanan AWS. Untuk sumber daya atau layanan tempat pengaturan waktu sistem operasi dikonfigurasi, gunakan Amazon Time Sync Service default AWS untuk sinkronisasi waktu kecuali Anda memiliki persyaratan tertentu. Jika perlu mendirikan server protokol waktu jaringan (NTP) Anda sendiri, pastikan Anda mengamankan port layanan UDP 123.
Semua log yang dihasilkan oleh sumber daya dalam AWS menyediakan stempel waktu dengan zona waktu yang ditentukan secara default.
Implementasi AWS dan konteks tambahan:
Panduan GCP: Google Cloud mempertahankan sumber waktu untuk sebagian besar layanan Google Cloud PaaS dan SaaS. Untuk sistem operasi sumber daya komputasi Anda, gunakan server NTP default Google Cloud untuk sinkronisasi waktu kecuali Anda memiliki persyaratan tertentu. Jika Anda perlu membuat server protokol waktu jaringan (NTP) Anda sendiri, pastikan untuk mengamankan port layanan UDP 123.
Catatan: disarankan agar Anda tidak menggunakan sumber NTP eksternal dengan komputer virtual Compute Engine tetapi menggunakan server NTP internal yang disediakan oleh Google.
Implementasi GCP dan konteks tambahan:
Pemangku kepentingan keamanan pelanggan (Pelajari selengkapnya):