Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Logboekregistratie en detectie van bedreigingen omvat controles voor het detecteren van bedreigingen in de cloud en het inschakelen, verzamelen en opslaan van auditlogboeken voor cloudservices, waaronder het inschakelen van detectie-, onderzoeks- en herstelprocessen met controles voor het genereren van waarschuwingen van hoge kwaliteit met systeemeigen detectie van bedreigingen in cloudservices; het omvat ook het verzamelen van logboeken met een cloudbewakingsservice, het centraliseren van beveiligingsanalyse met een SIEM, tijdsynchronisatie en logboekretentie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 id(en) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Beveiligingsprincipe: ter ondersteuning van scenario's voor het detecteren van bedreigingen, moet u alle bekende resourcetypen controleren op bekende en verwachte bedreigingen en afwijkingen. Configureer uw waarschuwingsfilters en analyseregels om waarschuwingen van hoge kwaliteit te extraheren uit logboekgegevens, agents of andere gegevensbronnen om fout-positieven te verminderen.
Azure-richtlijnen: gebruik de mogelijkheid voor bedreigingsdetectie van Microsoft Defender for Cloud voor de respectieve Azure-services.
Voor bedreigingsdetectie die niet is opgenomen in Microsoft Defender-services, raadpleegt u de basislijnen van de Microsoft Cloud Security Benchmark-service voor de respectieve services om de mogelijkheden voor bedreigingsdetectie of beveiligingswaarschuwingen binnen de service in te schakelen. Registreer waarschuwingen en logboekgegevens van Microsoft Defender voor Cloud, Microsoft 365 Defender en logboekgegevens van andere resources in uw Azure Monitor- of Microsoft Sentinel-exemplaren om analyseregels te bouwen, waarmee bedreigingen worden gedetecteerd en waarschuwingen worden gemaakt die overeenkomen met specifieke criteria in uw omgeving.
Voor OT-omgevingen (Operational Technology) met computers die industrial control system (ICS) of SCADA-resources (Supervisory Control and Data Acquisition) beheren of bewaken, gebruikt u Microsoft Defender for IoT om assets te inventariseren en bedreigingen en beveiligingsproblemen te detecteren.
Voor services die geen systeemeigen mogelijkheid voor detectie van bedreigingen hebben, kunt u overwegen de logboeken van het gegevensvlak te verzamelen en de bedreigingen te analyseren via Microsoft Sentinel.
Azure-implementatie en aanvullende context:
- Inleiding tot Microft Defender voor Cloud-
- Referentiehandleiding voor Microsoft Defender voor Cloud-beveiligingswaarschuwingen
- Aangepaste regels maken voor het detecteren van bedreigingen
- Bedreigingsindicatoren voor cyberdreigingsinformatie in Microsoft Sentinel
AWS-richtlijnen: Gebruik Amazon GuardDuty voor bedreigingsdetectie die de volgende gegevensbronnen analyseert en verwerkt: VPC Flow Logs, AWS CloudTrail management event logs, CloudTrail S3 data event logs, EKS audit logs en DNS logs. GuardDuty kan rapporteren over beveiligingsproblemen, zoals escalatie van bevoegdheden, openbaar referentiegebruik of communicatie met schadelijke IP-adressen of domeinen.
Configureer AWS-configuratie om regels in SecurityHub te controleren op nalevingscontrole, zoals configuratiedrift, en maak waar nodig bevindingen.
Voor bedreigingsdetectie die niet is opgenomen in GuardDuty en SecurityHub, schakelt u de mogelijkheden voor bedreigingsdetectie of beveiligingswaarschuwingen in binnen de ondersteunde AWS-services. Extraheer de waarschuwingen voor uw CloudTrail, CloudWatch of Microsoft Sentinel om analyseregels te bouwen, die bedreigingen opsporen die voldoen aan specifieke criteria in uw omgeving.
U kunt Ook Microsoft Defender for Cloud gebruiken om bepaalde services in AWS, zoals EC2-exemplaren, te bewaken.
Voor OT-omgevingen (Operational Technology) met computers die industrial control system (ICS) of SCADA-resources (Supervisory Control and Data Acquisition) beheren of bewaken, gebruikt u Microsoft Defender for IoT om assets te inventariseren en bedreigingen en beveiligingsproblemen te detecteren.
AWS-implementatie en aanvullende context:
- Amazon GuardDuty
- Amazon GuardDuty-gegevensbronnen
- Uw AWS-accounts verbinden met Microsoft Defender voor Cloud
- Hoe Defender voor Cloud Apps uw AWS-omgeving (Amazon Web Services) beschermt
- Beveiligingsaanbevelingen voor AWS-resources - een referentiehandleiding
GCP-richtlijnen: Gebruik de Event Threat Detection in het Google Cloud Security Command Center voor het detecteren van bedreigingen met behulp van logboekgegevens zoals Admin Activity, GKE Data Access, VPC Flow Logs, Cloud DNS en Firewall Logs.
Gebruik daarnaast de Security Operations-suite voor de moderne SOC met Chronicle SIEM en SOAR. Chronicle SIEM en SOAR bieden mogelijkheden voor detectie, onderzoek en opsporing van bedreigingen
U kunt Ook Microsoft Defender voor Cloud gebruiken om bepaalde services in GCP te bewaken, zoals REKEN-VM-exemplaren.
Voor OT-omgevingen (Operational Technology) met computers die industrial control system (ICS) of SCADA-resources (Supervisory Control and Data Acquisition) beheren of bewaken, gebruikt u Microsoft Defender for IoT om assets te inventariseren en bedreigingen en beveiligingsproblemen te detecteren.
GCP-implementatie en aanvullende context:
- Overzicht van van Security Command Center Event Detection
- Kroniek SOAR
- Hoe Defender voor Cloud Apps uw GCP-omgeving (Google Cloud Platform) beschermt
- Beveiligingsaanbeveling voor GCP-resources - een referentiehandleiding
Belanghebbenden voor klantbeveiliging (meer informatie):
- Infrastructuur- en eindpuntbeveiliging
- Beveiligingsbewerkingen
- Postuurbeheer
- Toepassingsbeveiliging en DevOps
- bedreigingsinformatie
LT-2: Detectie van bedreigingen inschakelen voor identiteits- en toegangsbeheer
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 id(en) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Beveiligingsprincipe: Detecteer bedreigingen voor identiteiten en toegangsbeheer door de aanmelding en toegang van gebruikers en toepassingen te bewaken. Gedragspatronen, zoals een overmatig aantal mislukte aanmeldingspogingen en verouderde accounts in het abonnement, moeten worden gemeld.
Azure-richtlijnen: Azure AD biedt de volgende logboeken die kunnen worden weergegeven in Azure AD-rapportage of kunnen worden geïntegreerd met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's voor meer geavanceerde gebruiksscenario's voor bewaking en analyse:
- Aanmeldingen: Het rapport aanmeldingen bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.
- Auditlogboeken: biedt traceerbaarheid via logboeken voor alle wijzigingen die door verschillende functies in Azure AD worden uitgevoerd. Voorbeelden van auditlogboeken zijn wijzigingen die zijn aangebracht in alle resources in Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleid.
- Riskante aanmeldingen: Een riskante aanmelding is een indicator voor een aanmeldingspoging die mogelijk is uitgevoerd door iemand die niet de legitieme eigenaar van een gebruikersaccount is.
- Gebruikers die risico lopen: een riskante gebruiker is een indicator voor een gebruikersaccount dat mogelijk is aangetast.
Azure AD biedt ook een Identity Protection-module voor het detecteren en herstellen van risico's met betrekking tot gebruikersaccounts en aanmeldingsgedrag. Voorbeelden van risico's zijn gelekte inloggegevens, inloggen vanaf anonieme of aan malware gekoppelde IP-adressen, wachtwoordspray. Met het beleid in Azure AD Identity Protection kunt u MFA-verificatie op basis van risico afdwingen in combinatie met voorwaardelijke toegang van Azure voor gebruikersaccounts.
Bovendien kan Microsoft Defender voor Cloud worden geconfigureerd voor waarschuwingen over afgeschafte accounts in het abonnement en verdachte activiteiten, zoals een overmatig aantal mislukte verificatiepogingen. Naast de basisbewaking van beveiligingscontroles kan de module Bedreigingsbeveiliging van Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van afzonderlijke Azure-rekenresources (zoals virtuele machines, containers, app service), gegevensresources (zoals SQL DB en opslag) en Azure-servicelagen. Met deze mogelijkheid kunt u accountafwijkingen in de afzonderlijke resources zien.
Opmerking: als u verbinding maakt met uw on-premises Active Directory voor synchronisatie, gebruikt u de Microsoft Defender for Identity-oplossing om uw on-premises Active Directory-signalen te gebruiken om geavanceerde bedreigingen, verdachte identiteiten en schadelijke insideracties te identificeren, te detecteren en te onderzoeken die zijn gericht op uw organisatie.
Azure-implementatie en aanvullende context:
- Activiteitenrapporten controleren in Azure AD
- Azure Identity Protection inschakelen
- Bedreigingsbeveiliging in Microsoft Defender voor Cloud
- Overzicht van Microsoft Defender for Identity
AWS-richtlijnen: AWS IAM biedt de volgende rapportage van de logboeken en rapporten voor consolegebruikersactiviteiten via IAM Access Advisor en IAM-referentierapport:
- Elke geslaagde aanmelding en mislukte inlogpogingen.
- Multi-factor authenticatie (MFA)-status voor elke gebruiker.
- Slapende IAM-gebruiker
Gebruik Amazon GuadDuty voor toegangsmonitoring op API-niveau en detectie van bedreigingen om de bevindingen met betrekking tot de IAM te identificeren. Voorbeelden van deze bevindingen zijn:
- Een API die werd gebruikt om toegang te krijgen tot een AWS-omgeving en die op een afwijkende manier werd aangeroepen, of werd gebruikt om verdedigingsmaatregelen te omzeilen
- Een API die wordt gebruikt om:
- Discover-bronnen werd op een abnormale manier aangeroepen
- het verzamelen van gegevens uit een AWS-omgeving werd op een afwijkende manier aangeroepen.
- knoeien met gegevens of processen in een AWS-omgeving op een afwijkende manier werd ingeroepen.
- ongeoorloofde toegang krijgen tot een AWS-omgeving werd op een abnormale manier ingeroepen.
- ongeoorloofde toegang tot een AWS-omgeving op een afwijkende manier werd ingeroepen.
- het verkrijgen van machtigingen op hoog niveau voor een AWS-omgeving werd op een abnormale manier aangeroepen.
- worden aangeroepen vanaf een bekend kwaadaardig IP-adres.
- worden aangeroepen met behulp van root-referenties.
- AWS CloudTrail-logboekregistratie is uitgeschakeld.
- Het wachtwoordbeleid voor accounts is verzwakt.
- Er werden meerdere succesvolle console-logins wereldwijd waargenomen.
- Referenties die exclusief voor een EC2-instantie zijn gemaakt via een startrol voor een instantie, worden gebruikt vanuit een ander account binnen AWS.
- Referenties die exclusief voor een EC2-exemplaar zijn gemaakt via een startrol voor een instantie, worden gebruikt vanaf een extern IP-adres.
- Een API is aangeroepen vanaf een bekend kwaadaardig IP-adres.
- Een API is aangeroepen vanaf een IP-adres op een aangepaste bedreigingslijst.
- Er werd een API aangeroepen vanaf een IP-adres van een Tor-exitknooppunt.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Gebruik de Event Threat Detection in het Google Cloud Security Command Center voor bepaalde typen IAM-gerelateerde bedreigingsdetectie, zoals het detecteren van gebeurtenissen waarbij aan een slapend, door de gebruiker beheerd serviceaccount een of meer gevoelige IAM-rollen zijn toegekend.
Houd er rekening mee dat Google Identity-logboeken en Google Cloud IAM-logboeken beide logboeken voor beheerdersactiviteiten produceren, maar voor een verschillend bereik. Google Identity-logboeken zijn alleen bedoeld voor bewerkingen die overeenkomen met Identity Platform, terwijl IAM-logboeken alleen betrekking hebben op bewerkingen die overeenkomen met IAM voor Google Cloud. IAM-logboeken bevatten logboekvermeldingen van API-aanroepen of andere acties die de configuratie of metagegevens van resources wijzigen. Deze logboeken registreren bijvoorbeeld wanneer gebruikers VM-exemplaren maken of machtigingen voor identiteits- en toegangsbeheer wijzigen.
Gebruik de Cloud Identity- en IAM-rapporten om te waarschuwen voor bepaalde verdachte activiteitspatronen. U kunt ook Policy Intelligence gebruiken om activiteiten van serviceaccounts te analyseren om activiteiten te identificeren zoals serviceaccounts in uw project die de afgelopen 90 dagen niet zijn gebruikt.
GCP-implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
- Infrastructuur- en eindpuntbeveiliging
- Beveiligingsbewerkingen
- Postuurbeheer
- Toepassingsbeveiliging en DevOps
- bedreigingsinformatie
LT-3: Logboekregistratie inschakelen voor beveiligingsonderzoek
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 id(en) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Beveiligingsprincipe: Schakel logboekregistratie in voor uw cloudresources om te voldoen aan de vereisten voor onderzoeken naar beveiligingsincidenten en beveiligingsrespons en nalevingsdoeleinden.
Azure-richtlijnen: schakel logboekregistratie in voor resources op de verschillende lagen, zoals logboeken voor Azure-resources, besturingssystemen en toepassingen in uw VM's en andere logboektypen.
Houd rekening met verschillende soorten logboeken voor beveiliging, controle en andere operationele logboeken op de beheer-/besturingsvlak- en gegevensvlaklagen. Er zijn drie typen logboeken beschikbaar op het Azure-platform:
- Azure-resourcelogboek: logboekregistratie van bewerkingen die worden uitgevoerd in een Azure-resource (het gegevensvlak). Bijvoorbeeld het ophalen van een geheim uit een sleutelkluis of het indienen van een aanvraag bij een database. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype.
- Azure-activiteitenlogboek: logboekregistratie van bewerkingen op elke Azure-resource op de abonnementslaag, van buitenaf (het beheervlak). U kunt het activiteitenlogboek gebruiken om te bepalen welke, wie en wanneer voor schrijfbewerkingen (PUT, POST, DELETE) de resources in uw abonnement hebben genomen. Er is één activiteitenlogboek voor elk Azure-abonnement.
- Azure Active Directory-logboeken: logboeken van de geschiedenis van aanmeldingsactiviteit en audittrail van wijzigingen die zijn aangebracht in Azure Active Directory voor een bepaalde tenant.
U kunt ook Microsoft Defender voor Cloud en Azure Policy gebruiken om resourcelogboeken in te schakelen en logboekgegevens te verzamelen op Azure-resources.
Azure-implementatie en aanvullende context:
- Informatie over logboekregistratie en verschillende logboektypen in Azure
- Informatie over het verzamelen van gegevens in Microsoft Defender for Cloud
- bewaking van antimalware inschakelen en configureren
- besturingssystemen en toepassingslogboeken in uw rekenresources
AWS-richtlijnen: Gebruik AWS CloudTrail-logging voor managementgebeurtenissen (besturingsvlakbewerkingen) en gegevensgebeurtenissen (gegevensvlakbewerkingen) en bewaak deze paden met CloudWatch voor geautomatiseerde acties.
Met de Amazon CloudWatch Logs-service kunt u logboeken verzamelen en opslaan van uw resources, toepassingen en services in bijna realtime. Er zijn drie hoofdcategorieën van logboeken:
- Vended-logboeken: logboeken die systeemeigen zijn gepubliceerd door AWS-services namens u. Momenteel zijn Amazon VPC-stroomlogboeken en Amazon Route 53-logboeken de twee ondersteunde typen. Deze twee logboeken zijn standaard ingeschakeld.
- Logboeken die zijn gepubliceerd door AWS-services: Logboeken van meer dan 30 AWS-services publiceren naar CloudWatch. Ze omvatten Amazon API Gateway, AWS Lambda, AWS CloudTrail en vele andere. Deze logboeken kunnen rechtstreeks in de services en CloudWatch worden ingeschakeld.
- Aangepaste logboeken: logboeken van uw eigen toepassing en on-premises resources. Mogelijk moet u deze logboeken verzamelen door CloudWatch Agent in uw besturingssystemen te installeren en door te sturen naar CloudWatch.
Hoewel veel services alleen logboeken publiceren naar CloudWatch Logs, kunnen sommige AWS-services logboeken rechtstreeks publiceren naar AmazonS3 of Amazon Kinesis Data Firehose, waar u verschillende logboekopslag- en bewaarbeleidsregels kunt gebruiken.
AWS-implementatie en aanvullende context:
- logboekregistratie van bepaalde AWS-services inschakelen
- bewaking en logboekregistratie
- Cloudwatch-functies
GCP-richtlijnen: schakel logboekregistratie in voor resources op de verschillende lagen, zoals logboeken voor Azure-resources, besturingssystemen en toepassingen in uw VM's en andere logboektypen.
Houd rekening met verschillende soorten logboeken voor beveiliging, controle en andere operationele logboeken op de beheer-/besturingsvlak- en gegevensvlaklagen. Operations Suite Cloud Logging-service verzamelt en aggregeert alle soorten logboekgebeurtenissen uit resourcelagen. Vier categorieën logboeken worden ondersteund in cloudlogboekregistratie:
- Platformlogboeken- logboeken die zijn geschreven door uw Google Cloud-services.
- Onderdeellogboeken- vergelijkbaar met platformlogboeken, maar ze zijn logboeken die worden gegenereerd door door Google geleverde softwareonderdelen die op uw systemen worden uitgevoerd.
- Beveiligingslogboeken: voornamelijk auditlogboeken die beheeractiviteiten registreren en toegang hebben tot uw resources.
- Door de gebruiker geschreven - logboeken geschreven door aangepaste toepassingen en services
- Multi-cloudlogboeken en hybride cloudlogboeken: logboeken van andere cloudproviders zoals Microsoft Azure en logboeken van on-premises infrastructuur.
GCP-implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
- Infrastructuur- en eindpuntbeveiliging
- Beveiligingsbewerkingen
- Postuurbeheer
- Toepassingsbeveiliging en DevOps
- bedreigingsinformatie
LT-4: Netwerklogboekregistratie inschakelen voor beveiligingsonderzoek
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 id(en) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10.8 |
Beveiligingsprincipe: Schakel logboekregistratie in voor uw netwerkservices ter ondersteuning van netwerkgerelateerd incidentonderzoek, opsporing van bedreigingen en het genereren van beveiligingswaarschuwingen. De netwerklogboeken kunnen logboeken bevatten van netwerkservices, zoals IP-filtering, netwerk- en toepassingsfirewall, DNS, stroombewaking, enzovoort.
Azure-richtlijnen: resourcelogboeken voor netwerkbeveiligingsgroepen (NSG), NSG-stroomlogboeken, Azure Firewall-logboeken en WAF-logboeken (Web Application Firewall) en logboeken van virtuele machines inschakelen en verzamelen via de agent voor het verzamelen van netwerkverkeersgegevens voor beveiligingsanalyse ter ondersteuning van incidentonderzoeken en het genereren van beveiligingswaarschuwingen. U kunt de stroomlogboeken verzenden naar een Azure Monitor Log Analytics-werkruimte en vervolgens Traffic Analytics gebruiken om inzichten te bieden.
Verzamel DNS-querylogboeken om te helpen bij het correleren van andere netwerkgegevens.
Azure-implementatie en aanvullende context:
- Netwerkbeveiligingsgroep-stroomlogboeken inschakelen
- Logboeken en metrische gegevens van Azure Firewall
- Azure-netwerkbewakingsoplossingen in Azure Monitor
- Inzichten verzamelen over uw DNS-infrastructuur met de DNS Analytics-oplossing
AWS-richtlijnen: Schakel netwerklogboeken in en verzamel deze, zoals VPC Flow Logs, WAF-logboeken en Route53 Resolver-querylogboeken voor beveiligingsanalyse ter ondersteuning van incidentonderzoeken en het genereren van beveiligingswaarschuwingen. De logboeken kunnen worden geëxporteerd naar CloudWatch voor bewaking of een S3-opslagbucket voor opname in de Microsoft Sentinel-oplossing voor gecentraliseerde analyses.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: de meeste logboeken met netwerkactiviteiten zijn beschikbaar via de VPC-stroomlogboeken, waarin een voorbeeld wordt vastgelegd van netwerkstromen die worden verzonden van en ontvangen door resources, inclusief exemplaren die worden gebruikt als Google Compute-VM's en Kubernetes Engine-knooppunten. Deze logboeken kunnen worden gebruikt voor netwerkbewaking, forensische, realtime beveiligingsanalyse en onkostenoptimalisatie.
U kunt stroomlogboeken bekijken in Cloud Logging en logboeken exporteren naar de bestemming die door Cloud Logging-export wordt ondersteund. Stroomlogboeken worden samengevoegd door verbinding van vm's van de Compute Engine en in realtime geëxporteerd. Door u te abonneren op Pub/Sub, kunt u stroomlogboeken analyseren met behulp van realtime streaming-API's.
Opmerking: U kunt Packet Mirroring ook gebruiken om het verkeer van gespecificeerde instanties in uw Virtual Private Cloud (VPC)-netwerk te kloonten en door te sturen voor onderzoek. Pakketspiegeling legt alle verkeer- en pakketgegevens vast, inclusief payloads en headers.
GCP-implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):
- Beveiligingsbewerkingen
- Infrastructuur- en eindpuntbeveiliging
- Toepassingsbeveiliging en DevOps
- bedreigingsinformatie
LT-5: Beheer en analyse van beveiligingslogboeken centraliseren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 id(en) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | Niet van toepassing. |
Beveiligingsprincipe: Centraliseer logboekregistratie, opslag en analyse om correlatie tussen loggegevens mogelijk te maken. Zorg ervoor dat u voor elke logboekbron een gegevenseigenaar, toegangsrichtlijnen, opslaglocatie, welke hulpprogramma's worden gebruikt voor het verwerken en openen van de gegevens en vereisten voor gegevensretentie.
Gebruik cloudeigen SIEM als u geen bestaande SIEM-oplossing voor CSP's hebt. of verzamel logboeken/waarschuwingen in uw bestaande SIEM.
Azure-richtlijnen: zorg ervoor dat u Azure-activiteitenlogboeken integreert in een gecentraliseerde Log Analytics-werkruimte. Gebruik Azure Monitor om query's uit te voeren en analyse uit te voeren en waarschuwingsregels te maken met behulp van de logboeken die zijn samengevoegd vanuit Azure-services, eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen.
Daarnaast kunt u gegevens inschakelen en onboarden in Microsoft Sentinel, die mogelijkheden biedt voor security Information Event Management (SIEM) en soar-mogelijkheden (Security Orchestration Automated Response).
Azure-implementatie en aanvullende context:
AWS-richtlijnen: Zorg ervoor dat u uw AWS-logboeken integreert in een gecentraliseerde bron voor opslag en analyse. Gebruik CloudWatch om query's uit te voeren op analyses en om waarschuwingsregels te maken met behulp van de logboeken die zijn samengevoegd vanuit AWS-services, services, eindpuntapparaten, netwerkresources en andere beveiligingssystemen.
Daarnaast kunt u de logboeken in een S3-opslagbucket aggregeren en de logboekgegevens onboarden naar Microsoft Sentinel, dat siem-mogelijkheden (Security Information Event Management) en SOAR-mogelijkheden (Security Orchestration Automated Response) biedt.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Zorg ervoor dat u uw GCP-logboeken integreert in een gecentraliseerde resource (zoals de bucket Operations Suite Cloud Waring) voor opslag en analyse. Cloud Logging biedt ondersteuning voor de meeste systeemeigen logboekregistratie van Google Cloud-services, evenals toepassingen van derden en on-premises toepassingen. U kunt cloudlogboekregistratie gebruiken voor query's en analyses uitvoeren en waarschuwingsregels maken met behulp van de logboeken die zijn geaggregeerd van GCP-services, services, eindpuntapparaten, netwerkresources en andere beveiligingssystemen.
Gebruik cloudeigen SIEM als u geen bestaande SIEM-oplossing voor CSP's hebt of logboeken/waarschuwingen aggregeren in uw bestaande SIEM.
Opmerking: Google biedt twee front-ends voor logboekquery's, Logs Explorer en Log Analytics, voor het opvragen, bekijken en analyseren van logboeken. Voor het oplossen van problemen met logboekgegevens en het verkennen van logboekgegevens wordt u aangeraden Logboekverkenner te gebruiken. Als u inzichten en trends wilt genereren, wordt u aangeraden Log Analytics te gebruiken.
GCP-implementatie en aanvullende context:
- logboeken van uw organisatie samenvoegen en opslaan
- overzicht van logboeken opvragen en weergeven
- Siem- chronicle
Belanghebbenden voor klantbeveiliging (meer informatie):
LT-6: Retentie van logboekopslag configureren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 id(en) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
Beveiligingsprincipe: Plan uw strategie voor het bewaren van logboeken op basis van uw nalevings-, regelgevings- en zakelijke vereisten. Configureer het bewaarbeleid voor logboeken bij de afzonderlijke logboekregistratieservices om ervoor te zorgen dat de logboeken correct worden gearchiveerd.
Azure-richtlijnen: logboeken zoals Azure-activiteitenlogboeken worden 90 dagen bewaard en vervolgens verwijderd. U moet een diagnostische instelling maken en de logboeken routeren naar een andere locatie (zoals Azure Monitor Log Analytics-werkruimte, Event Hubs of Azure Storage) op basis van uw behoeften. Deze strategie is ook van toepassing op andere resourcelogboeken en resources die door uzelf worden beheerd, zoals logboeken in de besturingssystemen en toepassingen in VM's.
U hebt de optie voor het bewaren van logboeken, zoals hieronder:
- Gebruik de Azure Monitor Log Analytics-werkruimte voor een bewaarperiode voor logboeken van maximaal 1 jaar of volgens de vereisten van uw reactieteam.
- Gebruik Azure Storage, Data Explorer of Data Lake voor langetermijn- en archiveringsopslag voor meer dan 1 jaar en om te voldoen aan uw beveiligingsnalevingsvereisten.
- Gebruik Azure Event Hubs om logboeken door te sturen naar een externe resource buiten Azure.
Opmerking: Microsoft Sentinel gebruikt de Log Analytics-werkruimte als back-end voor logboekopslag. Overweeg een langetermijnopslagstrategie als u SIEM-logboeken langere tijd wilt bewaren.
Azure-implementatie en aanvullende context:
- De bewaarperiode voor gegevens wijzigen in Log Analytics-
- Bewaarbeleid configureren voor Logboeken van Azure Storage-accounts
- waarschuwingen en aanbevelingen van Microsoft Defender for Cloud exporteren
AWS-richtlijnen: Standaard worden logboeken voor onbepaalde tijd bewaard en verlopen ze nooit in CloudWatch. U kunt het bewaarbeleid voor elke logboekgroep aanpassen, de onbeperkte retentie behouden of een bewaarperiode kiezen tussen 10 jaar en één dag.
Gebruik Amazon S3 voor logboekarchivering vanuit CloudWatch en pas objectlevenscyclusbeheer en archiveringsbeleid toe op de bucket. U kunt Azure Storage gebruiken voor centrale logboekarchivering door de bestanden van Amazon S3 over te dragen naar Azure Storage.
AWS-implementatie en aanvullende context:
- Het bewaren van CloudWatch-logboeken wijzigen
- Gegevens kopiëren van Amazon S3 naar Azure Storage met behulp van AzCopy
GCP-richtlijnen: Standaard worden de logboeken in Cloud Logging van Operations Suite 30 dagen bewaard, tenzij u aangepaste retentie configureert voor de bucket Cloud Warsing. Auditlogboeken voor beheerdersactiviteiten, auditlogboeken voor systeemgebeurtenissen en toegangstransparantielogboeken worden standaard 400 dagen bewaard. U kunt cloudlogboekregistratie configureren om logboeken tussen 1 dag en 3650 dagen te bewaren.
Gebruik Cloud Storage voor logboekarchivering vanuit Cloud Logging en pas objectlevenscyclusbeheer en archiveringsbeleid toe op de bucket. U kunt Azure Storage gebruiken voor centrale logboekarchivering door de bestanden van Google Cloud Storage over te zetten naar Azure Storage.
GCP-implementatie en aanvullende context:
- aangepaste logboek
- bewaarbeleid voor opslag
- Overzicht van logboekroutering en -opslag
Belanghebbenden voor klantbeveiliging (meer informatie):
- Beveiligingsarchitectuur
- Toepassingsbeveiliging en DevOps
- Beveiligingsbewerkingen
- beveiligingsnalevingsbeheer
LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 id(en) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.4 | AU-8 | 10.4 |
Beveiligingsprincipe: Gebruik goedgekeurde tijdsynchronisatiebronnen voor uw tijdstempel voor logboekregistratie, die datum-, tijd- en tijdzone-informatie bevatten.
Azure-richtlijnen: Microsoft onderhoudt tijdbronnen voor de meeste Azure PaaS- en SaaS-services. Gebruik voor uw besturingssysteem voor rekenresources een standaard-NTP-server van Microsoft voor tijdsynchronisatie, tenzij u een specifieke vereiste hebt. Als u uw eigen NTP (Network Time Protocol)-server moet opzetten, zorg er dan voor dat u de UDP-service-poort 123 beveiligt.
Alle logboeken die door resources in Azure worden gegenereerd, bieden tijdstempels met de standaard opgegeven tijdzone.
Azure-implementatie en aanvullende context:
- Tijdsynchronisatie configureren voor Azure Windows-rekenresources
- Tijdsynchronisatie configureren voor Azure Linux-rekenresources
- Binnenkomende UDP uitschakelen voor Azure-services
AWS-richtlijnen: AWS onderhoudt tijdbronnen voor de meeste AWS-services. Voor resources of services waarvoor de tijdinstelling van het besturingssysteem is geconfigureerd, gebruikt u de AWS-standaard Amazon Time Sync-service voor tijdsynchronisatie, tenzij u een specifieke vereiste hebt. Als u uw eigen NTP (Network Time Protocol)-server moet opzetten, zorg er dan voor dat u de UDP-service-poort 123 beveiligt.
Alle logboeken die door resources binnen AWS worden gegenereerd, bevatten tijdstempels met de standaard opgegeven tijdzone.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Google Cloud onderhoudt tijdbronnen voor de meeste Google Cloud PaaS- en SaaS-services. Gebruik voor uw besturingssystemen voor rekenresources een standaard NTP-server van Google Cloud voor de tijdsynchronisatie, tenzij u een specifieke vereiste heeft. Als u uw eigen NTP-server (Network Time Protocol) moet opzetten, zorg er dan voor dat de UDP-servicepoort 123 is beveiligd.
Opmerking: het wordt aanbevolen geen externe NTP-bronnen te gebruiken met virtuele Compute Engine-machines, maar de interne NTP-server van Google.
GCP-implementatie en aanvullende context:
Belanghebbenden voor klantbeveiliging (meer informatie):