Kontrol Keamanan: Pengelogan dan Pemantauan

Catatan

Tolok Ukur Keamanan Azure terbaru tersedia di sini.

Pengelogan dan pemantauan keamanan berfokus pada aktivitas yang terkait dengan mengaktifkan, memperoleh, dan menyimpan log audit layanan Azure.

2.1: Gunakan sumber sinkronisasi waktu yang disetujui

Azure ID	ID CIS	Tanggung Jawab
2.1	6.1	Microsoft

Microsoft mempertahankan sumber waktu untuk sumber daya Azure, namun, Anda memiliki opsi untuk mengelola pengaturan sinkronisasi waktu untuk sumber daya komputasi Anda.

• Cara mengonfigurasi sinkronisasi waktu untuk sumber daya komputasi Azure Windows

• Cara mengonfigurasi sinkronisasi waktu untuk sumber daya komputasi Azure Linux

2.2: Mengonfigurasikan pengelolaan log keamanan pusat

Azure ID	ID CIS	Tanggung Jawab
2.2	6.5, 6.6	Pelanggan

Ambil log melalui Azure Monitor untuk menggabungkan data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Dalam Azure Monitor, gunakan Ruang Kerja Analitik Log untuk mengkueri dan melakukan analitik, dan gunakan Akun Azure Storage untuk penyimpanan jangka panjang/arsip.

Sebagai alternatif, Anda dapat mengaktifkan dan mengintegrasikan data ke Azure Sentinel atau SIEM pihak ketiga.

• Cara mengintegrasikan Azure Sentinel

• Cara mengumpulkan log dan metrik platform dengan Azure Monitor

• Cara mengumpulkan log host internal Azure Virtual Machine dengan Azure Monitor

• Cara memulai Azure Monitor dan integrasi SIEM pihak ketiga

2.3: Aktifkan pengelogan audit untuk sumber daya Azure

Azure ID	ID CIS	Tanggung Jawab
2.3	6.2, 6.3	Pelanggan

Aktifkan pengaturan diagnostik pada sumber daya Azure untuk akses ke log audit, keamanan, dan diagnostik. Log aktivitas, yang tersedia secara otomatis, mencakup sumber kejadian, tanggal, pengguna, tanda waktu, alamat sumber, alamat tujuan, dan elemen berguna lainnya.

• Cara mengumpulkan log dan metrik platform dengan Azure Monitor

• Memahami pengelogan dan jenis log yang berbeda di Azure

2.4: Mengumpulkan log keamanan dari sistem operasi

Azure ID	ID CIS	Tanggung Jawab
02/04/2021	6.2, 6.3	Pelanggan

Jika sumber daya komputasi dimiliki oleh Microsoft, Microsoft bertanggung jawab untuk memantaunya. Jika sumber daya komputasi dimiliki oleh organisasi Anda, Anda bertanggung jawab untuk memantaunya. Anda dapat menggunakan Azure Security Center untuk memantau OS. Data yang dikumpulkan oleh Security Center dari sistem operasi mencakup jenis dan versi OS, OS (Log Peristiwa Windows), proses yang berjalan, nama komputer, alamat IP, dan pengguna yang masuk. Agen Analitik Log juga mengumpulkan file crash dump.

• Cara mengumpulkan log host internal Azure Virtual Machine dengan Azure Monitor

• Memahami pengumpulan data Azure Security Center

2.5: Mengonfigurasi retensi penyimpanan log keamanan

Azure ID	ID CIS	Tanggung Jawab
2.5	6.4	Pelanggan

Dalam Azure Monitor, tetapkan periode retensi Ruang Kerja Analitik Log sesuai dengan peraturan kepatuhan organisasi Anda. Gunakan Akun Azure Storage untuk penyimpanan jangka panjang/arsip.

• Mengubah periode retensi data di Analitik Log

• Cara mengonfigurasi kebijakan penyimpanan untuk log akun Azure Storage

2.6: Memantau dan meninjau Log

Azure ID	ID CIS	Tanggung Jawab
2.6	6.7	Pelanggan

Analisis dan pantau log untuk mengetahui perilaku anomali dan tinjau hasilnya secara rutin. Gunakan ruang kerja Analitik Log Azure Monitor untuk meninjau log dan melakukan kueri pada data log.

Sebagai alternatif, Anda dapat mengaktifkan dan mengintegrasikan data ke Azure Sentinel atau SIEM pihak ketiga.

• Cara mengintegrasikan Azure Sentinel

• Pahami Ruang kerja Analitik Log

• Cara melakukan kueri kustom di Azure Monitor

2.7: Mengaktifkan pemberitahuan untuk aktivitas anomali

Azure ID	ID CIS	Tanggung Jawab
2.7	6.8	Pelanggan

Gunakan Azure Security Center dengan Ruang Kerja Analitik Log untuk memantau dan memberi tahu tentang aktivitas anomali yang ditemukan di log keamanan dan peristiwa.

Sebagai alternatif, Anda dapat mengaktifkan dan mengintegrasikan data ke Azure Sentinel.

• Cara mengintegrasikan Azure Sentinel

• Cara mengelola peringatan di Azure Security Center

• Cara memberi tahu tentang data log analitik log

2.8: Memusatkan pengelogan anti-malware

Azure ID	ID CIS	Tanggung Jawab
2.8	8.6	Pelanggan

Aktifkan pengumpulan peristiwa antimalware untuk Azure Virtual Machines dan Cloud Services.

• Memahami Microsoft Antimalware

2.9: Mengaktifkan pengelogan kueri DNS

Azure ID	ID CIS	Tanggung Jawab
2.9	8.7	Pelanggan

Terapkan solusi pihak ketiga dari Azure Marketplace untuk solusi pengelogan DNS sesuai kebutuhan organisasi Anda.

2.10: Mengaktifkan pengelogan audit baris perintah

Azure ID	ID CIS	Tanggung Jawab
2.10	8.8	Pelanggan

Gunakan MMA di semua mesin virtual Azure Windows yang didukung untuk mencatat peristiwa pembuatan proses dan bidang CommandLine. Untuk komputer virtual Azure Linux, Anda dapat mengonfigurasi pengelogan konsol secara manual berdasarkan per simpul dan menggunakan Syslog untuk menyimpan data. Selain itu, gunakan ruang kerja Analitik Log Azure Monitor untuk meninjau log dan melakukan kueri pada data yang dicatat dari mesin Azure Virtual Machines.

• Pengumpulan data di Azure Security Center

• Cara melakukan kueri kustom di Azure Monitor

• Sumber data Syslog di Azure Monitor

Langkah berikutnya

• Melihat Kontrol Keamanan berikutnya: Kontrol Akses dan Identitas