Kontrola zabezpieczeń: rejestrowanie i wykrywanie zagrożeń

  • Artykuł

Rejestrowanie i wykrywanie zagrożeń obejmuje mechanizmy kontroli wykrywania zagrożeń w chmurze oraz włączania, zbierania i przechowywania dzienników inspekcji dla usług w chmurze, w tym włączania procesów wykrywania, badania i korygowania z mechanizmami kontroli w celu generowania alertów wysokiej jakości z natywnym wykrywaniem zagrożeń w usługach w chmurze; Obejmuje ona również zbieranie dzienników za pomocą usługi monitorowania w chmurze, scentralizowanie analizy zabezpieczeń za pomocą rozwiązania SIEM, synchronizacji czasu i przechowywania dzienników.

LT-1: Włączanie możliwości wykrywania zagrożeń

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Zasada zabezpieczeń: Aby obsługiwać scenariusze wykrywania zagrożeń, monitoruj wszystkie znane typy zasobów pod kątem znanych i oczekiwanych zagrożeń i anomalii. Skonfiguruj reguły filtrowania alertów i analizy, aby wyodrębnić alerty wysokiej jakości z danych dzienników, agentów lub innych źródeł danych w celu zmniejszenia liczby wyników fałszywie dodatnich.

Wskazówki dotyczące platformy Azure: skorzystaj z możliwości wykrywania zagrożeń Microsoft Defender for Cloud dla odpowiednich usług platformy Azure.

Aby wykryć zagrożenia nieuwzględnione w usługach Microsoft Defender, zapoznaj się z punktami odniesienia usługi testów porównawczych zabezpieczeń firmy Microsoft dla odpowiednich usług, aby włączyć funkcje wykrywania zagrożeń lub alertów zabezpieczeń w usłudze. Pozyskiwanie alertów i danych dzienników z Microsoft Defender dla chmury, Microsoft 365 Defender i rejestrowanie danych z innych zasobów do wystąpień usługi Azure Monitor lub Microsoft Sentinel w celu tworzenia reguł analizy, które wykrywają zagrożenia i tworzą alerty spełniające określone kryteria w danym środowisku.

W środowiskach technologii operacyjnych (OT), które obejmują komputery, które kontrolują lub monitorują system kontroli przemysłowej (ICS) lub zasoby kontroli nadzorczej i pozyskiwania danych (SCADA), użyj Microsoft Defender dla IoT do spisu zasobów i wykrywania zagrożeń i luk w zabezpieczeniach.

W przypadku usług, które nie mają natywnej możliwości wykrywania zagrożeń, rozważ zebranie dzienników płaszczyzny danych i przeanalizowanie zagrożeń za pośrednictwem usługi Microsoft Sentinel.

Implementacja platformy Azure i dodatkowy kontekst:

AwS guidance: Use Amazon GuardDuty for threat detection which analyzes and processes the following data sources: VPC Flow Logs, AWS CloudTrail management event logs, CloudTrail S3 data event logs, EKS audit logs, AND DNS logs. Funkcja GuardDuty umożliwia raportowanie problemów z zabezpieczeniami, takich jak eskalacja uprawnień, uwidocznienie użycia poświadczeń lub komunikacja ze złośliwymi adresami IP lub domenami.

Skonfiguruj konfigurację platformy AWS, aby sprawdzić reguły w usłudze SecurityHub pod kątem monitorowania zgodności, takiego jak dryf konfiguracji, i w razie potrzeby tworzyć wyniki.

W przypadku wykrywania zagrożeń nieuwzględnianych w usługach GuardDuty i SecurityHub włącz funkcje wykrywania zagrożeń lub alertów zabezpieczeń w ramach obsługiwanych usług AWS. Wyodrębnij alerty do usługi CloudTrail, CloudWatch lub Microsoft Sentinel, aby tworzyć reguły analizy, które umożliwiają wyszukiwanie zagrożeń spełniających określone kryteria w danym środowisku.

Można również użyć Microsoft Defender for Cloud do monitorowania niektórych usług na platformie AWS, takich jak wystąpienia ec2.

W środowiskach technologii operacyjnych (OT), które obejmują komputery, które kontrolują lub monitorują system kontroli przemysłowej (ICS) lub zasoby kontroli nadzorczej i pozyskiwania danych (SCADA), użyj Microsoft Defender dla IoT do spisu zasobów i wykrywania zagrożeń i luk w zabezpieczeniach.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Wykrywanie zagrożeń zdarzeń w Centrum poleceń zabezpieczeń w chmurze Firmy Google do wykrywania zagrożeń przy użyciu danych dziennika, takich jak działanie Administracja, dostęp do danych GKE, dzienniki przepływu VPC, dzienniki chmury DNS i dzienniki zapory.

Ponadto należy używać pakietu Operacje zabezpieczeń dla nowoczesnej soC z rozwiązaniem Chronicle SIEM i SOAR. Rozwiązanie Chronicle SIEM i SOAR udostępnia funkcje wykrywania zagrożeń, badania i wyszukiwania zagrożeń

Można również użyć Microsoft Defender dla chmury do monitorowania niektórych usług w GCP, takich jak wystąpienia maszyn wirtualnych obliczeniowych.

W środowiskach technologii operacyjnych (OT), które obejmują komputery, które kontrolują lub monitorują system kontroli przemysłowej (ICS) lub zasoby kontroli nadzorczej i pozyskiwania danych (SCADA), użyj Microsoft Defender dla IoT do spisu zasobów i wykrywania zagrożeń i luk w zabezpieczeniach.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

LT-2: Włączanie wykrywania zagrożeń na potrzeby zarządzania tożsamościami i dostępem

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Zasada zabezpieczeń: Wykrywanie zagrożeń dla tożsamości i zarządzania dostępem przez monitorowanie anomalii logowania użytkowników i aplikacji oraz uzyskiwania dostępu. Wzorce behawioralne, takie jak nadmierna liczba nieudanych prób logowania i przestarzałe konta w subskrypcji, powinny być powiadamiane.

Wskazówki dotyczące platformy Azure: Azure AD udostępnia następujące dzienniki, które można wyświetlić w Azure AD raportowaniu lub zintegrowaniu z usługami Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM/monitorowania, aby uzyskać bardziej zaawansowane przypadki użycia monitorowania i analizy:

  • Logowania: raport logowania zawiera informacje o użyciu zarządzanych aplikacji i działań logowania użytkowników.
  • Dzienniki inspekcji: zapewnia możliwość śledzenia za pośrednictwem dzienników dla wszystkich zmian wprowadzonych przez różne funkcje w Azure AD. Działania umieszczane w dziennikach inspekcji to na przykład zmiany wprowadzone w dowolnych zasobach usługi Azure AD, takie jak dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.
  • Ryzykowne logowania: ryzykowne logowanie jest wskaźnikiem próby logowania, która mogła zostać wykonana przez osobę, która nie jest uprawnionym właścicielem konta użytkownika.
  • Użytkownicy oflagowani w związku z ryzykiem: ryzykowny użytkownik jest wskaźnikiem konta użytkownika, które mogło zostać naruszone.

Azure AD udostępnia również moduł usługi Identity Protection umożliwiający wykrywanie i korygowanie zagrożeń związanych z kontami użytkowników i zachowaniami logowania. Przykłady zagrożeń obejmują wyciek poświadczeń, logowanie z anonimowych lub połączonych adresów IP złośliwego oprogramowania, spray haseł. Zasady w usłudze Azure AD Identity Protection umożliwiają wymuszanie uwierzytelniania wieloskładnikowego opartego na ryzyku w połączeniu z dostępem warunkowym platformy Azure na kontach użytkowników.

Ponadto Microsoft Defender dla chmury można skonfigurować do powiadamiania o przestarzałych kontach w subskrypcji i podejrzanych działaniach, takich jak nadmierna liczba nieudanych prób uwierzytelnienia. Oprócz podstawowego monitorowania higieny zabezpieczeń moduł Microsoft Defender dla usługi Threat Protection w chmurze może również zbierać bardziej szczegółowe alerty zabezpieczeń z poszczególnych zasobów obliczeniowych platformy Azure (takich jak maszyny wirtualne, kontenery, usługa App Service), zasoby danych (takie jak baza danych SQL i magazyn) i warstwy usług platformy Azure. Ta funkcja umożliwia wyświetlanie anomalii kont wewnątrz poszczególnych zasobów.

Uwaga: jeśli łączysz lokalna usługa Active Directory na potrzeby synchronizacji, użyj rozwiązania Microsoft Defender for Identity do korzystania z lokalna usługa Active Directory sygnalizuje identyfikowanie, wykrywanie i badanie zaawansowanych zagrożeń, tożsamości z naruszonymi zabezpieczeniami i złośliwych działań wewnętrznych skierowanych do organizacji.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Usługa AWS IAM udostępnia następujące raporty dotyczące dzienników i raportów dotyczących działań użytkownika konsoli za pośrednictwem usługi IAM Access Advisor i raportu poświadczeń zarządzania dostępem i tożsamościami:

  • Każda pomyślna próba logowania i nieudane próby logowania.
  • Stan uwierzytelniania wieloskładnikowego (MFA) dla każdego użytkownika.
  • Uśpiony użytkownik IAM

W przypadku monitorowania dostępu na poziomie interfejsu API i wykrywania zagrożeń użyj rozwiązania Amazon GuadDuty, aby zidentyfikować wyniki związane z zarządzaniem dostępem i tożsamościami. Przykłady tych wyników to:

  • Interfejs API używany do uzyskiwania dostępu do środowiska platformy AWS i został wywołany w nietypowy sposób lub został użyty do uniknięcia środków obronnych
  • Interfejs API używany do:
    • odnajdywanie zasobów zostało wywołane w nietypowy sposób
    • zbieranie danych ze środowiska AWS zostało wywołane w nietypowy sposób.
    • manipulowanie danymi lub procesami w środowisku platformy AWS zostało wywołane w nietypowy sposób.
    • uzyskanie nieautoryzowanego dostępu do środowiska platformy AWS zostało wywołane w nietypowy sposób.
    • nieautoryzowany dostęp do środowiska AWS został wywołany w nietypowy sposób.
    • uzyskiwanie uprawnień wysokiego poziomu do środowiska platformy AWS zostało wywołane w nietypowy sposób.
    • należy wywołać ze znanego złośliwego adresu IP.
    • należy wywołać przy użyciu poświadczeń głównych.
  • Rejestrowanie w usłudze AWS CloudTrail zostało wyłączone.
  • Zasady haseł konta zostały osłabione.
  • Zaobserwowano wiele pomyślnych logowań konsoli na całym świecie.
  • Poświadczenia utworzone wyłącznie dla wystąpienia usługi EC2 za pośrednictwem roli uruchamiania wystąpienia są używane z innego konta na platformie AWS.
  • Poświadczenia utworzone wyłącznie dla wystąpienia usługi EC2 za pośrednictwem roli uruchamiania wystąpienia są używane z zewnętrznego adresu IP.
  • Interfejs API został wywołany ze znanego złośliwego adresu IP.
  • Interfejs API został wywołany z adresu IP na niestandardowej liście zagrożeń.
  • Interfejs API został wywołany z adresu IP węzła zakończenia tor.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Użyj funkcji wykrywania zagrożeń zdarzeń w Centrum poleceń zabezpieczeń w chmurze Google dla określonego typu wykrywania zagrożeń związanych z zarządzaniem dostępem i tożsamościami, takich jak wykrywanie zdarzeń, w których uśpione konto usługi zarządzane przez użytkownika otrzymało co najmniej jedną wrażliwą rolę zarządzania dostępem i tożsamościami.

Należy pamiętać, że dzienniki tożsamości Google i dzienniki IAM usługi Google Cloud generują dzienniki aktywności administratora, ale dla innego zakresu. Dzienniki tożsamości Google są przeznaczone tylko dla operacji odpowiadających platformie tożsamości, podczas gdy dzienniki zarządzania dostępem i tożsamościami odpowiadają operacjom IAM for Google Cloud. Dzienniki zarządzania dostępem i tożsamościami zawierają wpisy dziennika wywołań interfejsu API lub inne akcje, które modyfikują konfigurację lub metadane zasobów. Na przykład te dzienniki rejestrują się, gdy użytkownicy tworzą wystąpienia maszyn wirtualnych lub zmieniają uprawnienia do zarządzania tożsamościami i dostępem.

Użyj raportów tożsamości w chmurze i zarządzania dostępem i tożsamościami, aby otrzymywać alerty dotyczące niektórych podejrzanych wzorców działań. Można również użyć analizy zasad do analizowania działań kont usług w celu zidentyfikowania działań, takich jak konta usług w projekcie, nie zostały użyte w ciągu ostatnich 90 dni.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

LT-3: Włączanie rejestrowania na potrzeby badania zabezpieczeń

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Zasada zabezpieczeń: Włącz rejestrowanie dla zasobów w chmurze, aby spełnić wymagania dotyczące badania zdarzeń zabezpieczeń oraz reagowania na zabezpieczenia i zgodności.

Wskazówki dotyczące platformy Azure: włączanie funkcji rejestrowania dla zasobów w różnych warstwach, takich jak dzienniki zasobów platformy Azure, systemy operacyjne i aplikacje wewnątrz maszyn wirtualnych i innych typów dzienników.

Należy pamiętać o różnych typach dzienników dotyczących zabezpieczeń, inspekcji i innych dzienników operacyjnych w warstwach płaszczyzny zarządzania/sterowania i płaszczyzny danych. Istnieją trzy typy dzienników dostępnych na platformie Azure:

  • Dziennik zasobów platformy Azure: rejestrowanie operacji wykonywanych w ramach zasobu platformy Azure (płaszczyzny danych). Na przykład pobranie wpisu tajnego z magazynu kluczy lub przesłanie żądania do bazy danych. Zawartość dzienników zasobów różni się w zależności od typu usługi i zasobu platformy Azure.
  • Dziennik aktywności platformy Azure: rejestrowanie operacji na każdym zasobie platformy Azure w warstwie subskrypcji z zewnątrz (płaszczyzna zarządzania). Możesz użyć dziennika aktywności, aby określić, kto i kiedy dla dowolnych operacji zapisu (PUT, POST, DELETE) pobranych na zasoby w subskrypcji. Dla każdej subskrypcji platformy Azure istnieje jeden dziennik aktywności.
  • Dzienniki usługi Azure Active Directory: dzienniki historii aktywności logowania i dziennik inspekcji zmian wprowadzonych w usłudze Azure Active Directory dla określonej dzierżawy.

Można również użyć Microsoft Defender dla chmury i Azure Policy, aby włączyć dzienniki zasobów i zbieranie danych dzienników na zasobach platformy Azure.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Rejestrowanie w usłudze AWS CloudTrail na potrzeby zdarzeń zarządzania (operacji płaszczyzny sterowania) i zdarzeń danych (operacji płaszczyzny danych) oraz monitorowania tych śladów za pomocą usługi CloudWatch w celu wykonywania zautomatyzowanych akcji.

Usługa Dzienniki Amazon CloudWatch umożliwia zbieranie i przechowywanie dzienników z zasobów, aplikacji i usług niemal w czasie rzeczywistym. Istnieją trzy główne kategorie dzienników:

  • Dzienniki sprzedaży: dzienniki publikowane natywnie przez usługi AWS w Twoim imieniu. Obecnie dzienniki przepływów usługi Amazon VPC i dzienniki usługi Amazon Route 53 są dwoma obsługiwanymi typami. Te dwa dzienniki są domyślnie włączone.
  • Dzienniki opublikowane przez usługi AWS: dzienniki z ponad 30 usług AWS są publikowane w usłudze CloudWatch. Obejmują one usługę Amazon API Gateway, AWS Lambda, AWS CloudTrail i wiele innych. Te dzienniki można włączyć bezpośrednio w usługach i usłudze CloudWatch.
  • Dzienniki niestandardowe: dzienniki z własnej aplikacji i zasobów lokalnych. Może być konieczne zebranie tych dzienników przez zainstalowanie agenta CloudWatch w systemach operacyjnych i przekazanie ich do usługi CloudWatch.

Chociaż wiele usług publikuje dzienniki tylko w dziennikach CloudWatch, niektóre usługi AWS mogą publikować dzienniki bezpośrednio w usłudze AmazonS3 lub Amazon Kinesis Data Firehose, gdzie można użyć różnych zasad przechowywania i przechowywania dzienników.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Włączanie możliwości rejestrowania dla zasobów w różnych warstwach, takich jak dzienniki dla zasobów platformy Azure, systemów operacyjnych i aplikacji w maszynach wirtualnych i innych typach dzienników.

Należy pamiętać o różnych typach dzienników dotyczących zabezpieczeń, inspekcji i innych dzienników operacyjnych w warstwach płaszczyzny zarządzania/sterowania i płaszczyzny danych. Usługa rejestrowania w chmurze pakietu Operations Suite zbiera i agreguje wszelkiego rodzaju zdarzenia dziennika z warstw zasobów. W usłudze Cloud Logging są obsługiwane cztery kategorie dzienników:

  • Dzienniki platformy — dzienniki zapisywane przez usługi Google Cloud.
  • Dzienniki składników — podobne do dzienników platformy, ale są to dzienniki generowane przez dostarczane przez firmę Google składniki oprogramowania, które działają w systemach.
  • Dzienniki zabezpieczeń — głównie dzienniki inspekcji, które rejestrują działania administracyjne i uzyskują dostęp do zasobów.
  • Napisane przez użytkownika — dzienniki zapisywane przez niestandardowe aplikacje i usługi
  • Dzienniki z wieloma chmurami i dzienniki chmury hybrydowej — dzienniki innych dostawców usług w chmurze, takich jak Platforma Microsoft Azure i dzienniki z infrastruktury lokalnej.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

LT-4: Włączanie rejestrowania sieci na potrzeby badania zabezpieczeń

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10,8

Zasada zabezpieczeń: włącz rejestrowanie dla usług sieciowych, aby obsługiwać badania zdarzeń związane z siecią, wyszukiwanie zagrożeń i generowanie alertów zabezpieczeń. Dzienniki sieciowe mogą obejmować dzienniki z usług sieciowych, takich jak filtrowanie adresów IP, zapora sieci i aplikacji, system DNS, monitorowanie przepływu itd.

Wskazówki dotyczące platformy Azure: włączanie i zbieranie dzienników zasobów sieciowej grupy zabezpieczeń, dzienników przepływów sieciowej grupy zabezpieczeń, dzienników Azure Firewall i dzienników Web Application Firewall (WAF) oraz dzienników z maszyn wirtualnych za pośrednictwem agenta zbierania danych ruchu sieciowego na potrzeby analizy zabezpieczeń w celu obsługi dochodzeń dotyczących zdarzeń i generowania alertów zabezpieczeń. Dzienniki przepływu można wysłać do obszaru roboczego usługi Azure Monitor Log Analytics, a następnie użyć analizy ruchu, aby uzyskać szczegółowe informacje.

Zbierz dzienniki zapytań DNS, aby pomóc w korelowaniu innych danych sieciowych.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: Włączanie i zbieranie dzienników sieciowych, takich jak dzienniki przepływu VPC, dzienniki zapory aplikacji internetowej i dzienniki zapytań usługi Route53 rozpoznawania reguł na potrzeby analizy zabezpieczeń w celu obsługi dochodzeń dotyczących zdarzeń i generowania alertów zabezpieczeń. Dzienniki można wyeksportować do usługi CloudWatch na potrzeby monitorowania lub zasobnika magazynu S3 na potrzeby pozyskiwania do rozwiązania Microsoft Sentinel na potrzeby scentralizowanej analizy.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące narzędzia GCP: Większość dzienników działań sieciowych jest dostępna za pośrednictwem dzienników przepływu VPC, które rejestrują próbkę przepływów sieci wysyłanych z zasobów i odbieranych przez nie, w tym wystąpienia używane jako maszyny wirtualne usługi Google Compute, węzły aparatu Kubernetes. Te dzienniki mogą służyć do monitorowania sieci, śledczego, analizy zabezpieczeń w czasie rzeczywistym i optymalizacji wydatków.

Dzienniki przepływu można wyświetlić w usłudze Cloud Logging i wyeksportować dzienniki do miejsca docelowego obsługiwanego przez eksport usługi Cloud Logging. Dzienniki przepływu są agregowane przez połączenie z maszyn wirtualnych aparatu obliczeniowego i eksportowane w czasie rzeczywistym. Zasubskrybując usługę Pub/Sub, można analizować dzienniki przepływów przy użyciu interfejsów API przesyłania strumieniowego w czasie rzeczywistym.

Uwaga: Można również użyć dublowania pakietów klonuje ruch określonych wystąpień w sieci wirtualnej chmury prywatnej (VPC) i przekazuje go do badania. Dublowanie pakietów przechwytuje cały ruch i dane pakietów, w tym ładunki i nagłówki.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 Nie dotyczy

Zasada zabezpieczeń: scentralizowanie magazynu rejestrowania i analizy w celu włączenia korelacji między danymi dzienników. Dla każdego źródła dziennika upewnij się, że przypisano właściciela danych, wskazówki dotyczące dostępu, lokalizację magazynu, narzędzia używane do przetwarzania i uzyskiwania dostępu do danych oraz wymagania dotyczące przechowywania danych.

Użyj natywnego rozwiązania SIEM w chmurze, jeśli nie masz istniejącego rozwiązania SIEM dla dostawców CSP. lub agregowanie dzienników/alertów do istniejącego rozwiązania SIEM.

Wskazówki dotyczące platformy Azure: upewnij się, że integrujesz dzienniki aktywności platformy Azure ze scentralizowanym obszarem roboczym usługi Log Analytics. Usługa Azure Monitor umożliwia wykonywanie zapytań i wykonywanie analiz oraz tworzenie reguł alertów przy użyciu dzienników zagregowanych z usług platformy Azure, urządzeń punktów końcowych, zasobów sieciowych i innych systemów zabezpieczeń.

Ponadto włącz i dołącz dane do usługi Microsoft Sentinel, która zapewnia funkcje automatycznego reagowania na zdarzenia zabezpieczeń (SOAR, security information event management) i orkiestracji zabezpieczeń.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: upewnij się, że integrujesz dzienniki platformy AWS ze scentralizowanym zasobem magazynu i analizy. Usługa CloudWatch umożliwia wykonywanie zapytań i wykonywanie analiz oraz tworzenie reguł alertów przy użyciu dzienników zagregowanych z usług AWS, usług, urządzeń punktów końcowych, zasobów sieciowych i innych systemów zabezpieczeń.

Ponadto można agregować dzienniki w zasobniku magazynu S3 i dołączać dane dziennika do usługi Microsoft Sentinel, która zapewnia funkcje automatycznego reagowania na zdarzenia zabezpieczeń (SIEM) i orkiestracji zabezpieczeń (SOAR).

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące narzędzia GCP: Upewnij się, że integrujesz dzienniki GCP ze scentralizowanym zasobem (takim jak zasobnik rejestrowania chmury pakietu Operations Suite) na potrzeby magazynowania i analizy. Rejestrowanie w chmurze obsługuje większość rejestrowania natywnych usług Google Cloud, a także aplikacji innych firm i aplikacji lokalnych. Rejestrowanie w chmurze umożliwia wykonywanie zapytań i wykonywanie analiz oraz tworzenie reguł alertów przy użyciu dzienników zagregowanych z usług GCP, usług, urządzeń punktów końcowych, zasobów sieciowych i innych systemów zabezpieczeń.

Użyj natywnego rozwiązania SIEM w chmurze, jeśli nie masz istniejącego rozwiązania SIEM dla dostawcy usług kryptograficznych lub zagreguj dzienniki/alerty w istniejącym rozwiązaniu SIEM.

Uwaga: firma Google udostępnia dwa fronton zapytań dzienników, Eksplorator dzienników i usługę Log Analytics na potrzeby zapytań, wyświetlania i analizowania dzienników. Aby rozwiązać problemy i eksplorować dane dziennika, zaleca się korzystanie z Eksploratora dzienników. Aby wygenerować szczegółowe informacje i trendy, zaleca się korzystanie z usługi Log Analytics.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

LT-6: Konfigurowanie przechowywania magazynu dzienników

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Zasada zabezpieczeń: Zaplanuj strategię przechowywania dzienników zgodnie z wymaganiami dotyczącymi zgodności, regulacji i działalności biznesowej. Skonfiguruj zasady przechowywania dzienników w poszczególnych usługach rejestrowania, aby upewnić się, że dzienniki są odpowiednio zarchiwizowane.

Wskazówki dotyczące platformy Azure: dzienniki aktywności platformy Azure są przechowywane przez 90 dni, a następnie usuwane. Należy utworzyć ustawienie diagnostyczne i kierować dzienniki do innej lokalizacji (na przykład obszaru roboczego usługi Log Analytics usługi Azure Monitor, usługi Event Hubs lub usługi Azure Storage) na podstawie Twoich potrzeb. Ta strategia dotyczy również innych dzienników zasobów i zasobów zarządzanych samodzielnie, takich jak dzienniki w systemach operacyjnych i aplikacjach wewnątrz maszyn wirtualnych.

Masz opcję przechowywania dzienników, jak pokazano poniżej:

  • Użyj obszaru roboczego usługi Log Analytics usługi Azure Monitor, aby uzyskać okres przechowywania dzienników do 1 roku lub zgodnie z wymaganiami zespołu reagowania.
  • Użyj usługi Azure Storage, Data Explorer lub Data Lake w celu przechowywania długoterminowego i archiwizacji przez ponad 1 rok i spełnić wymagania dotyczące zgodności z zabezpieczeniami.
  • Użyj Azure Event Hubs, aby przekazać dzienniki do zasobu zewnętrznego spoza platformy Azure.

Uwaga: usługa Microsoft Sentinel używa obszaru roboczego usługi Log Analytics jako zaplecza magazynu dzienników. Należy rozważyć długoterminową strategię magazynowania, jeśli planujesz przechowywać dzienniki SIEM przez dłuższy czas.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: domyślnie dzienniki są przechowywane na czas nieokreślony i nigdy nie wygasają w usłudze CloudWatch. Zasady przechowywania dla każdej grupy dzienników można dostosować, zachować czas przechowywania bezterminowego lub wybrać okres przechowywania z zakresu od 10 lat do jednego dnia.

Użyj usługi Amazon S3 do archiwizacji dzienników z usługi CloudWatch i zastosuj zarządzanie cyklem życia obiektów i zasady archiwizacji do zasobnika. Za pomocą usługi Azure Storage można przeprowadzić centralne archiwizowanie dzienników, przesyłając pliki z usługi Amazon S3 do usługi Azure Storage.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące narzędzia GCP: Domyślnie rejestrowanie w chmurze pakietu Operations Suite zachowuje dzienniki przez 30 dni, chyba że skonfigurowano przechowywanie niestandardowe dla zasobnika rejestrowania w chmurze. Administracja dzienniki inspekcji aktywności, dzienniki inspekcji zdarzeń systemu i dzienniki przezroczystości dostępu są domyślnie zachowywane przez 400 dni. Rejestrowanie w chmurze można skonfigurować tak, aby zachowywały dzienniki z zakresu od 1 do 3650 dni.

Użyj usługi Cloud Storage do archiwizacji dzienników z rejestrowania w chmurze i zastosuj zarządzanie cyklem życia obiektów i zasady archiwizacji do zasobnika. Za pomocą usługi Azure Storage można przeprowadzić centralne archiwizowanie dzienników, przesyłając pliki z usługi Google Cloud Storage do usługi Azure Storage.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
8.4 AU-8 10.4

Zasada zabezpieczeń: użyj zatwierdzonych źródeł synchronizacji czasu dla sygnatury czasowej rejestrowania, która zawiera informacje o dacie, godzinie i strefie czasowej.

Wskazówki dotyczące platformy Azure: firma Microsoft utrzymuje źródła czasu dla większości usług PaaS i SaaS platformy Azure. W przypadku systemów operacyjnych zasobów obliczeniowych użyj domyślnego serwera NTP firmy Microsoft do synchronizacji czasu, chyba że masz określone wymaganie. Jeśli musisz utworzyć własny serwer protokołu czasu sieciowego (NTP), upewnij się, że port usługi UDP jest zabezpieczony 123.

Wszystkie dzienniki generowane przez zasoby na platformie Azure zapewniają sygnatury czasowe ze strefą czasową określoną domyślnie.

Implementacja platformy Azure i dodatkowy kontekst:

Wskazówki dotyczące platformy AWS: platforma AWS utrzymuje źródła czasu dla większości usług AWS. W przypadku zasobów lub usług, w których skonfigurowano ustawienie czasu systemu operacyjnego, użyj domyślnej usługi Amazon Time Sync Service na potrzeby synchronizacji czasu, chyba że masz określone wymaganie. Jeśli musisz utworzyć własny serwer protokołu czasu sieciowego (NTP), upewnij się, że port usługi UDP jest zabezpieczony 123.

Wszystkie dzienniki generowane przez zasoby na platformie AWS zapewniają sygnatury czasowe ze strefą czasową określoną domyślnie.

Implementacja platformy AWS i dodatkowy kontekst:

Wskazówki dotyczące platformy GCP: Usługa Google Cloud utrzymuje źródła czasu dla większości usług Google Cloud PaaS i SaaS. W przypadku systemów operacyjnych zasobów obliczeniowych użyj domyślnego serwera NTP usługi Google Cloud na potrzeby synchronizacji czasu, chyba że masz określone wymaganie. Jeśli musisz wstać własny serwer protokołu czasu sieciowego (NTP), upewnij się, że port usługi UDP 123.

Uwaga: zaleca się, aby nie używać zewnętrznych źródeł NTP z maszynami wirtualnymi aparatu obliczeniowego, ale używać wewnętrznego serwera NTP dostarczonego przez firmę Google.

Implementacja GCP i dodatkowy kontekst:

Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):