Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Annotazioni
Il benchmark di sicurezza di Azure più up-todata è disponibile qui.
La registrazione e il monitoraggio della sicurezza sono incentrati sulle attività correlate all'abilitazione, all'acquisizione e all'archiviazione dei log di controllo per i servizi di Azure.
2.1: Utilizzare origini di sincronizzazione dell'ora approvate
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
Microsoft gestisce le origini temporali per le risorse di Azure, tuttavia, è possibile gestire le impostazioni di sincronizzazione dell'ora per le risorse di calcolo.
Come configurare la sincronizzazione dell'ora per le risorse di calcolo Windows di Azure
Come configurare la sincronizzazione dell'ora per le risorse di calcolo Linux di Azure
2.2: Configurare la gestione centralizzata dei log di sicurezza
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 2.2 | 6.5, 6.6 | Cliente |
Inserire i log tramite Monitoraggio di Azure per aggregare i dati di sicurezza generati da dispositivi endpoint, risorse di rete e altri sistemi di sicurezza. In Azure Monitor, usare le aree di lavoro Log Analytics per effettuare query ed eseguire analisi e utilizzare gli account di archiviazione di Azure per archiviazione a lungo termine/archivio.
In alternativa, è possibile abilitare e caricare i dati in Azure Sentinel o in un sistema SIEM di terze parti.
Come raccogliere log e metriche della piattaforma con Monitoraggio di Azure
Come raccogliere i log host interni della macchina virtuale di Azure con Monitoraggio di Azure
Come iniziare a usare Monitoraggio di Azure e l'integrazione SIEM di terze parti
2.3: Abilitare la registrazione di controllo per le risorse di Azure
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 2.3 | 6.2, 6.3 | Cliente |
Abilitare le impostazioni di diagnostica nelle risorse di Azure per l'accesso ai log di controllo, sicurezza e diagnostica. I log attività, che sono automaticamente disponibili, includono origine evento, data, utente, timestamp, indirizzi di origine, indirizzi di destinazione e altri elementi utili.
Come raccogliere log e metriche della piattaforma con Monitoraggio di Azure
Informazioni sulla registrazione e sui diversi tipi di log in Azure
2.4: Raccogliere i log di sicurezza dai sistemi operativi
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 2.4 | 6.2, 6.3 | Cliente |
Se la risorsa di calcolo è di proprietà di Microsoft, Microsoft è responsabile del monitoraggio. Se la risorsa di calcolo è di proprietà dell'organizzazione, è responsabilità dell'utente monitorarla. È possibile usare il Centro sicurezza di Azure per monitorare il sistema operativo. I dati raccolti dal Centro sicurezza dal sistema operativo includono il tipo di sistema operativo e la versione, il sistema operativo (registri eventi di Windows), i processi in esecuzione, il nome del computer, gli indirizzi IP e l'utente connesso. L'agente di Log Analytics raccoglie anche i file di dump.
Come raccogliere i log host interni della macchina virtuale di Azure con Monitoraggio di Azure
Informazioni sulla raccolta dati del Centro sicurezza di Azure
2.5: Configurare la conservazione dell'archiviazione dei log di sicurezza
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 2,5 | 6.4 | Cliente |
Nella Monitoraggio di Azure, imposta la conservazione dell'area di lavoro Log Analytics in base alle normative di conformità dell'organizzazione. Usare gli account di archiviazione di Azure per l'archiviazione a lungo termine o archivio.
Modificare il periodo di conservazione dei dati in Log Analytics
Come configurare i criteri di conservazione per i log dell'account di archiviazione di Azure
2.6: Monitorare ed esaminare i log
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 2.6 | 6.7 | Cliente |
Analizzare e monitorare i log per il comportamento anomalo ed esaminare regolarmente i risultati. Utilizzare l'area di lavoro Log Analytics di Azure Monitor per analizzare i log ed eseguire query sui dati di log.
In alternativa, è possibile abilitare e caricare i dati in Azure Sentinel o in una soluzione SIEM di terze parti.
2.7: Abilitare gli avvisi per le attività anomale
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 2.7 | 6,8 | Cliente |
Usare il Centro sicurezza di Azure con l'area di lavoro Log Analytics per il monitoraggio e gli avvisi relativi alle attività anomale rilevate nei log di sicurezza e negli eventi.
In alternativa, è possibile abilitare e caricare i dati in Azure Sentinel.
2.8: Centralizzare la registrazione antimalware
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 2.8 | 8.6 | Cliente |
Abilitare la raccolta di eventi antimalware per macchine virtuali di Azure e servizi cloud.
2.9: Abilitare la registrazione delle query DNS
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 2,9 | 8.7 | Cliente |
Implementare una soluzione di terze parti di Azure Marketplace per la registrazione DNS in base alle esigenze dell'organizzazione.
2.10: Abilitare la registrazione di controllo della riga di comando
| Azure ID | ID CIS | Responsabilità |
|---|---|---|
| 2.10 | 8.8 | Cliente |
Usare Microsoft Monitoring Agent in tutte le macchine virtuali Windows di Azure supportate per registrare l'evento di creazione del processo e il campo CommandLine. Per le macchine virtuali Linux di Azure supportate, è possibile configurare manualmente la registrazione della console in base al nodo e usare Syslog per archiviare i dati. Usa anche l'area di lavoro di Log Analytics di Azure Monitor per esaminare i log ed eseguire query sui dati registrati dalle macchine virtuali Azure.
Passaggi successivi
- Vedere il controllo di sicurezza successivo: Controllo di identità e accesso