Beveiligingsbeheer: logboekregistratie en bewaking

Notitie

De meest recente Azure Security Benchmark is hier beschikbaar.

Beveiligingslogboeken en -bewaking zijn gericht op activiteiten met betrekking tot het inschakelen, verkrijgen en opslaan van auditlogboeken voor Azure-services.

2.1: Goedgekeurde tijdsynchronisatiebronnen gebruiken

Azure-id	CIS-id's	Verantwoordelijkheid
2.1	6.1	Microsoft

Microsoft onderhoudt tijdbronnen voor Azure-resources, maar u hebt de mogelijkheid om de tijdsynchronisatie-instellingen voor uw rekenresources te beheren.

• Tijdsynchronisatie configureren voor Azure Windows-rekenresources

• Tijdsynchronisatie configureren voor Azure Linux-rekenresources

2.2: Centraal beheer van beveiligingslogboeken configureren

Azure-id	CIS-id's	Verantwoordelijkheid
2.2	6.5, 6.6	Klant

Logboeken opnemen via Azure Monitor om beveiligingsgegevens te aggregeren die zijn gegenereerd door eindpuntapparaten, netwerkresources en andere beveiligingssystemen. Gebruik in Azure Monitor Log Analytics-werkruimte(s) om query's uit te voeren en analyses uit te voeren, en gebruik Azure Storage-accounts voor langetermijnopslag/archivering.

U kunt ook gegevens inschakelen en toevoegen aan Azure Sentinel of een SIEM van derden.

• Onboarden van Azure Sentinel

• Platformlogboeken en metrische gegevens verzamelen met Azure Monitor

• Interne hostlogboeken van Azure Virtual Machine verzamelen met Azure Monitor

• Aan de slag met Azure Monitor en SIEM-integratie van derden

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Azure-id	CIS-id's	Verantwoordelijkheid
2.3	6.2, 6.3	Klant

Schakel diagnostische instellingen in op Azure-resources voor toegang tot audit-, beveiligings- en diagnostische logboeken. Activiteitenlogboeken, die automatisch beschikbaar zijn, bevatten gebeurtenisbron, datum, gebruiker, tijdstempel, bronadressen, doeladressen en andere nuttige elementen.

• Platformlogboeken en metrische gegevens verzamelen met Azure Monitor

• Meer informatie over logboekregistratie en verschillende logboektypen in Azure

2.4: Beveiligingslogboeken van besturingssystemen verzamelen

Azure-id	CIS-id's	Verantwoordelijkheid
2,4	6.2, 6.3	Klant

Als de rekenresource eigendom is van Microsoft, is Microsoft verantwoordelijk voor het bewaken ervan. Als de rekenresource eigendom is van uw organisatie, is het uw verantwoordelijkheid om deze te bewaken. U kunt Azure Security Center gebruiken om het besturingssysteem te bewaken. Gegevens die door Security Center van het besturingssysteem worden verzameld, omvatten besturingssysteemtype en -versie, besturingssysteem (Windows-gebeurtenislogboeken), actieve processen, computernaam, IP-adressen en aangemelde gebruiker. De Log Analytics-agent verzamelt ook crashdumpbestanden.

• Interne hostlogboeken van Azure Virtual Machine verzamelen met Azure Monitor

• Inzicht in Azure Security Center gegevensverzameling

2.5: Opslagretentie voor beveiligingslogboeken configureren

Azure-id	CIS-id's	Verantwoordelijkheid
2,5	6.4	Klant

Stel in Azure Monitor de retentieperiode voor uw Log Analytics-werkruimte in volgens de nalevingsvoorschriften van uw organisatie. Gebruik Azure Storage-accounts voor langetermijnopslag/archivering.

• De bewaarperiode voor gegevens wijzigen in Log Analytics

• Bewaarbeleid configureren voor Azure Storage-accountlogboeken

2.6: Logboeken bewaken en controleren

Azure-id	CIS-id's	Verantwoordelijkheid
2,6	6.7	Klant

Analyseer en bewaak logboeken op afwijkend gedrag en bekijk regelmatig de resultaten. Gebruik de Log Analytics-werkruimte van Azure Monitor om logboeken te controleren en query's uit te voeren op logboekgegevens.

U kunt ook gegevens inschakelen en toevoegen aan Azure Sentinel of een SIEM van derden.

• Onboarden van Azure Sentinel

• Inzicht in Log Analytics-werkruimte

• Aangepaste query's uitvoeren in Azure Monitor

2.7: Waarschuwingen voor afwijkende activiteiten inschakelen

Azure-id	CIS-id's	Verantwoordelijkheid
2.7	6.8	Klant

Gebruik Azure Security Center met Log Analytics-werkruimte voor het bewaken en waarschuwen van afwijkende activiteiten in beveiligingslogboeken en -gebeurtenissen.

U kunt ook gegevens in Azure Sentinel inschakelen en aan boord laten gaan.

• Onboarden van Azure Sentinel

• Waarschuwingen beheren in Azure Security Center

• Waarschuwingen voor log analytics-logboekgegevens

2.8: Antimalwarelogboekregistratie centraliseren

Azure-id	CIS-id's	Verantwoordelijkheid
2.8	8,6	Klant

Het verzamelen van antimalwaregebeurtenissen inschakelen voor Azure Virtual Machines en Cloud Services.

• Inzicht in Microsoft Antimalware

2.9: Logboekregistratie van DNS-query's inschakelen

Azure-id	CIS-id's	Verantwoordelijkheid
2.9	8.7	Klant

Implementeer een oplossing van derden van Azure Marketplace voor DNS-logboekregistratie op basis van de behoeften van uw organisatie.

2.10: Auditlogboekregistratie via opdrachtregel inschakelen

Azure-id	CIS-id's	Verantwoordelijkheid
2.10	8.8	Klant

Gebruik Microsoft Monitoring Agent op alle ondersteunde virtuele Azure Windows-machines om de gebeurtenis voor het maken van het proces en het veld CommandLine te registreren. Voor ondersteunde virtuele Azure Linux-machines kunt u handmatig consolelogboekregistratie per knooppunt configureren en Syslog gebruiken om de gegevens op te slaan. Gebruik ook de Log Analytics-werkruimte van Azure Monitor om logboeken te controleren en query's uit te voeren op geregistreerde gegevens van virtuele Azure-machines.

• Gegevensverzameling in Azure Security Center

• Aangepaste query's uitvoeren in Azure Monitor

• Syslog-gegevensbronnen in Azure Monitor

Volgende stappen

• Zie het volgende beveiligingsbeheer: Identiteit en Access Control