Kontrol Keamanan v3: Pengelogan dan Deteksi Ancaman

  • Artikel

Pengelogan dan Deteksi Ancaman mencakup kontrol untuk mendeteksi ancaman pada Azure dan mengaktifkan, mengumpulkan, dan menyimpan log audit untuk layanan Azure, termasuk memungkinkan proses deteksi, investigasi, serta remediasi dengan kontrol untuk membuat pemberitahuan berkualitas tinggi dengan deteksi ancaman bawaan di layanan Azure; ini juga termasuk mengumpulkan log dengan Azure Monitor, memusatkan analisis keamanan dengan Azure Sentinel, sinkronisasi waktu, dan retensi log.

LT-1: Mengaktifkan kemampuan deteksi ancaman

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Prinsip Keamanan: Untuk mendukung skenario deteksi ancaman, pantau semua jenis sumber daya yang diketahui terkait ancaman dan anomali yang diketahui dan diharapkan. Konfigurasikan aturan analitik dan pemfilteran peringatan Anda untuk mengekstrak peringatan berkualitas tinggi dari data log, agen, atau sumber data lainnya guna mengurangi positif palsu.

Panduan Azure: Gunakan kemampuan deteksi ancaman layanan Azure Defender di Microsoft Defender untuk Cloud untuk masing-masing layanan Azure.

Untuk deteksi ancaman yang tidak termasuk dalam layanan Azure Defender, lihat garis besar layanan Azure Security Benchmark untuk masing-masing layanan guna mengaktifkan kemampuan peringatan keamanan atau deteksi ancaman dalam layanan. Ekstrak peringatan ke Azure Monitor atau Azure Sentinel Anda untuk membangun aturan analitik, yang memburu ancaman yang sesuai dengan kriteria tertentu di seluruh lingkungan Anda.

Untuk lingkungan Teknologi Operasional (OT) yang mencakup komputer yang mengontrol atau memantau sumber daya Industrial Control System (ICS) atau Supervisory Control and Data Acquisition (SCADA), gunakan Defender untuk IoT guna menginventarisasi aset dan mendeteksi ancaman dan kerentanan.

Untuk layanan yang tidak memiliki kemampuan deteksi ancaman asli, pertimbangkan untuk mengumpulkan log data plane dan menganalisis ancaman melalui Azure Sentinel.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

LT-2: Mengaktifkan deteksi ancaman untuk identitas dan manajemen akses

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Prinsip Keamanan: Deteksi ancaman untuk identitas dan manajemen akses dengan memantau pengguna dan upaya masuk aplikasi serta mengakses anomali. Pola perilaku seperti terlalu banyak upaya masuk yang gagal, dan akun yang tidak digunakan lagi dalam langganan, harus diperhatikan.

Panduan Azure: Microsoft Azure AD menyediakan log berikut yang dapat ditampilkan di pelaporan Microsoft Azure AD atau terintegrasi dengan Azure Monitor, Azure Sentinel, atau alat SIEM/pemantauan lainnya untuk kasus penggunaan pemantauan dan analitik yang lebih canggih:

  • Masuk: Laporan masuk memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.
  • Log audit: Menyediakan keterlacakan melalui log untuk semua perubahan yang dilakukan oleh berbagai fitur dalam Microsoft Azure AD. Contoh log audit mencakup perubahan yang dibuat pada sumber daya apa pun dalam Microsoft Azure Active Directory seperti menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.
  • Proses masuk riskan: Proses masuk riskan adalah indikator dari upaya masuk yang mungkin telah dilakukan oleh seseorang yang bukan pemilik akun pengguna yang sah.
  • Pengguna yang ditandai berisiko: Pengguna berisiko adalah indikator untuk akun pengguna yang mungkin telah disusupi.

Microsoft Azure AD juga menyediakan modul Perlindungan Identitas untuk mendeteksi, dan memulihkan risiko yang terkait dengan akun pengguna dan perilaku masuk. Contoh risiko termasuk info masuk yang bocor, upaya masuk dari alamat IP anonim atau terkait malware, penyemprotan kata sandi. Kebijakan dalam Azure AD Identity Protection memungkinkan Anda untuk menerapkan autentikasi MFA berbasis risiko bersama dengan Akses Bersyarat Azure pada akun pengguna.

Selain itu, Microsoft Defender untuk Cloud dapat dikonfigurasi untuk memberikan peringatan terhadap akun yang tidak digunakan lagi dalam langganan dan aktivitas yang mencurigakan seperti terlalu banyak upaya autentikasi yang gagal. Selain pemantauan kebersihan keamanan dasar, modul Perlindungan Ancaman Microsoft Defender untuk Cloud juga dapat mengumpulkan peringatan keamanan yang lebih mendalam dari sumber daya komputasi Azure individual (seperti mesin virtual, kontainer, layanan aplikasi), sumber daya data (seperti SQL DB dan penyimpanan), dan lapisan layanan Azure. Kemampuan ini memungkinkan Anda melihat anomali akun di dalam masing-masing sumber daya.

Catatan: Jika Anda menghubungkan Azure Active Directory lokal untuk sinkronisasi, gunakan solusi Pertahanan Microsoft untuk Identitas guna mengonsumsi sinyal Active Directory lokal Anda untuk mengidentifikasi, mendeteksi, dan menyelidiki ancaman lanjutan, identitas yang disusupi, dan tindakan orang dalam berbahaya yang diarahkan ke organisasi Anda.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

LT-3: Mengaktifkan pengelogan untuk penyelidikan keamanan

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Prinsip Keamanan: Aktifkan pengelogan untuk sumber daya cloud Anda guna memenuhi persyaratan penyelidikan insiden keamanan dan respons keamanan serta tujuan kepatuhan.

Panduan Azure: Aktifkan kemampuan pengelogan untuk sumber daya di berbagai tingkatan, seperti log untuk sumber daya Azure, sistem operasi, dan aplikasi di dalamnya pada mesin virtual, dan jenis log lainnya.

Berhati-hatilah dengan berbagai jenis log untuk keamanan, audit, dan log operasi lainnya di tingkatan data plane dan bidang manajemen/sarana kontrol. Terdapat tiga jenis log yang tersedia di platform Azure:

  • Log sumber daya Azure: Pengelogan operasi yang dilakukan dalam sumber daya Azure (data plane). Misalnya, mendapatkan rahasia dari brankas kunci atau membuat permintaan ke database. Konten log sumber daya bervariasi menurut jenis layanan dan sumber daya Azure.
  • Log aktivitas Azure: Pengelogan operasi pada setiap sumber daya Azure di lapisan langganan, dari luar (bidang manajemen). Anda dapat menggunakan Log Aktivitas, untuk menentukan apa, siapa, dan kapan untuk setiap operasi penulisan (PUT, POST, DELETE) yang dilakukan pada sumber daya dalam langganan Anda. Satu Log aktivitas tersedia untuk setiap langganan Azure.
  • Log Microsoft Azure AD: Log riwayat aktivitas masuk dan jejak audit perubahan yang dibuat di Microsoft Azure AD terkait penyewa tertentu.

Anda juga dapat menggunakan Microsoft Defender untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log pada sumber daya Azure.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

LT-4: Mengaktifkan pengelogan jaringan untuk penyelidikan keamanan

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10.8

Prinsip Keamanan: Aktifkan pengelogan untuk layanan jaringan Anda guna mendukung penyelidikan insiden terkait jaringan, perburuan ancaman, dan pembuatan peringatan keamanan. Log jaringan dapat mencakup log dari layanan jaringan seperti pemfilteran IP, firewall jaringan dan aplikasi, DNS, pemantauan alur dan sebagainya.

Panduan Azure: Aktifkan dan kumpulkan log sumber daya grup keamanan jaringan (NSG), log alur NSG, log Azure Firewall, dan log Web Application Firewall (WAF) untuk analisis keamanan guna mendukung penyelidikan insiden, perburuan ancaman, dan pembuatan peringatan keamanan. Anda dapat mengirim log alur ke ruang kerja Log Analitik Azure Monitor dan kemudian menggunakan Analitik Lalu Lintas untuk memberikan wawasan.

Kumpulkan log kueri DNS untuk membantu mengorelasikan data jaringan lainnya.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

LT-5: Memusatkan manajemen dan analisis log keamanan

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 T/A

Prinsip Keamanan: Pusatkan analisis dan penyimpanan pengelogan untuk memungkinkan korelasi di seluruh data log. Untuk setiap sumber log, pastikan Anda telah menetapkan pemilik data, panduan akses, lokasi penyimpanan, alat apa yang digunakan untuk memproses dan mengakses data, dan persyaratan retensi data.

Panduan Azure: Pastikan Anda mengintegrasikan log aktivitas Azure ke ruang kerja Analitik Log terpusat. Gunakan Azure Monitor untuk membuat kueri dan melakukan analitik serta membuat aturan peringatan menggunakan log yang diagregasikan dari layanan Azure, perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya.

Selain itu, aktifkan dan onboard data ke Azure Sentinel yang menyediakan kemampuan manajemen aktivitas informasi keamanan (SIEM) dan respons otomatis orkestrasi keamanan (SOAR).

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

LT-6: Mengonfigurasi retensi penyimpanan log

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Prinsip Keamanan: Rencanakan strategi retensi log Anda sesuai dengan kepatuhan, peraturan, dan persyaratan bisnis Anda. Konfigurasikan kebijakan penyimpanan log di masing-masing layanan pengelogan untuk memastikan log diarsipkan dengan tepat.

Panduan Azure: Log seperti peristiwa Log Aktivitas Azure dipertahankan selama 90 hari lalu dihapus. Anda harus membuat pengaturan diagnostik dan merutekan entri log ke lokasi lain (seperti ruang kerja Analitik Log Azure Monitor, Azure Event Hubs, atau Azure Storage) berdasarkan kebutuhan Anda. Strategi ini juga berlaku untuk log sumber daya lain dan sumber daya yang dikelola sendiri seperti log dalam sistem operasi dan aplikasi di dalam mesin virtual.

Anda memiliki opsi retensi log seperti di bawah ini:

  • Gunakan ruang kerja Analitik Log Azure Monitor untuk periode retensi log hingga 1 tahun atau sesuai persyaratan tim respons Anda.
  • Gunakan Azure Storage, Data Explorer, atau Data Lake untuk penyimpanan jangka panjang dan arsip selama lebih dari 1 tahun dan untuk memenuhi persyaratan kepatuhan keamanan Anda.
  • Gunakan Azure Event Hubs untuk meneruskan log ke luar Azure.

Catatan: Azure Sentinel menggunakan ruang kerja Analitik Log sebagai backend untuk penyimpanan log. Anda harus mempertimbangkan strategi penyimpanan jangka panjang jika berencana untuk mempertahankan log SIEM untuk waktu yang lebih lama.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

ID CIS Controls v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS v3.2.1
8.4 AU-8 10,4

Prinsip Keamanan: Gunakan sumber sinkronisasi waktu yang disetujui untuk stempel waktu pengelogan Anda yang mencakup informasi tanggal, waktu, dan zona waktu.

Panduan Azure: Microsoft mempertahankan sumber waktu untuk sebagian besar layanan Azure PaaS dan SaaS. Untuk sistem operasi sumber daya komputasi Anda, gunakan server NTP default Microsoft untuk sinkronisasi waktu kecuali Anda memiliki persyaratan khusus. Jika perlu mendirikan server protokol waktu jaringan (NTP) Anda sendiri, pastikan Anda mengamankan port layanan UDP 123.

Semua log yang dihasilkan oleh sumber daya dalam Azure menyediakan stempel waktu dengan zona waktu yang ditentukan secara default.

Implementasi dan konteks tambahan:

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):