Kontrola zabezpieczeń: rejestrowanie i monitorowanie
Uwaga
Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.
Rejestrowanie i monitorowanie zabezpieczeń koncentruje się na działaniach związanych z włączaniem, uzyskiwaniem i przechowywaniem dzienników inspekcji dla usług platformy Azure.
2.1: Użyj zatwierdzonych źródeł synchronizacji czasu
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
Firma Microsoft utrzymuje źródła czasu dla zasobów platformy Azure, jednak istnieje możliwość zarządzania ustawieniami synchronizacji czasu dla zasobów obliczeniowych.
Jak skonfigurować synchronizację czasu dla zasobów obliczeniowych platformy Azure z systemem Windows
Jak skonfigurować synchronizację czasu dla zasobów obliczeniowych platformy Azure z systemem Linux
2.2: Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 2,2 | 6.5, 6.6 | Klient |
Pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia punktu końcowego, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics do wykonywania zapytań i wykonywania analiz oraz używania kont usługi Azure Storage do przechowywania długoterminowego/archiwalnego.
Alternatywnie możesz włączyć i wprowadzić dane do usługi Azure Sentinel lub rozwiązania SIEM innej firmy.
Jak zbierać dzienniki i metryki platformy za pomocą usługi Azure Monitor
Jak rozpocząć pracę z usługą Azure Monitor i integracją rozwiązania SIEM innej firmy
2.3: Włączanie rejestrowania inspekcji dla zasobów platformy Azure
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 2.3 | 6.2, 6.3 | Klient |
Włącz ustawienia diagnostyczne w zasobach platformy Azure, aby uzyskać dostęp do dzienników inspekcji, zabezpieczeń i diagnostyki. Dzienniki aktywności, które są dostępne automatycznie, obejmują źródło zdarzeń, datę, użytkownika, sygnaturę czasową, adresy źródłowe, adresy docelowe i inne przydatne elementy.
Jak zbierać dzienniki i metryki platformy za pomocą usługi Azure Monitor
Omówienie rejestrowania i różnych typów dzienników na platformie Azure
2.4: Zbieranie dzienników zabezpieczeń z systemów operacyjnych
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 2,4 | 6.2, 6.3 | Klient |
Jeśli zasób obliczeniowy jest własnością firmy Microsoft, firma Microsoft jest odpowiedzialna za jego monitorowanie. Jeśli zasób obliczeniowy jest własnością twojej organizacji, twoim obowiązkiem jest jego monitorowanie. Do monitorowania systemu operacyjnego można użyć Azure Security Center. Dane zebrane przez usługę Security Center z systemu operacyjnego obejmują typ i wersję systemu operacyjnego, system operacyjny (dzienniki zdarzeń systemu Windows), uruchomione procesy, nazwę komputera, adresy IP i zalogowanego użytkownika. Agent usługi Log Analytics zbiera również pliki zrzutu awaryjnego.
2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 2,5 | 6.4 | Klient |
W usłudze Azure Monitor ustaw okres przechowywania obszaru roboczego usługi Log Analytics zgodnie z przepisami dotyczącymi zgodności w organizacji. Użyj kont usługi Azure Storage do przechowywania długoterminowego/archiwalnego.
Zmienianie okresu przechowywania danych w usłudze Log Analytics
Jak skonfigurować zasady przechowywania dla dzienników konta usługi Azure Storage
2.6: Monitorowanie i przeglądanie dzienników
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 2,6 | 6.7 | Klient |
Analizowanie i monitorowanie dzienników pod kątem nietypowego zachowania i regularne przeglądanie wyników. Użyj obszaru roboczego usługi Log Analytics usługi Azure Monitor do przeglądania dzienników i wykonywania zapytań dotyczących danych dziennika.
Alternatywnie możesz włączyć i wprowadzić dane do usługi Azure Sentinel lub rozwiązania SIEM innej firmy.
2.7: Włączanie alertów dotyczących nietypowych działań
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 2.7 | 6.8 | Klient |
Użyj Azure Security Center z obszarem roboczym usługi Log Analytics do monitorowania i zgłaszania alertów dotyczących nietypowych działań znalezionych w dziennikach zabezpieczeń i zdarzeniach.
Alternatywnie możesz włączyć i wprowadzić dane do usługi Azure Sentinel.
2.8: Scentralizowanie rejestrowania chroniącego przed złośliwym oprogramowaniem
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 2,8 | 8.6 | Klient |
Włącz zbieranie zdarzeń ochrony przed złośliwym kodem dla usługi Azure Virtual Machines i Cloud Services.
2.9: Włączanie rejestrowania zapytań DNS
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 2.9 | 8.7 | Klient |
Zaimplementuj rozwiązanie innej firmy z Azure Marketplace na potrzeby rozwiązania do rejestrowania DNS zgodnie z potrzebami organizacji.
2.10: Włączanie rejestrowania inspekcji wiersza polecenia
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 2,10 | 8.8 | Klient |
Użyj programu Microsoft Monitoring Agent na wszystkich obsługiwanych maszynach wirtualnych platformy Azure z systemem Windows, aby zarejestrować zdarzenie tworzenia procesu i pole CommandLine. W przypadku obsługiwanych maszyn wirtualnych z systemem Linux platformy Azure można ręcznie skonfigurować rejestrowanie konsoli dla poszczególnych węzłów i użyć dziennika systemowego do przechowywania danych. Ponadto użyj obszaru roboczego usługi Log Analytics usługi Azure Monitor, aby przejrzeć dzienniki i wykonywać zapytania dotyczące zarejestrowanych danych z maszyn wirtualnych platformy Azure.
Jak wykonywać zapytania niestandardowe w usłudze Azure Monitor
Syslog data sources in Azure Monitor (Źródła danych usługi Syslog w usłudze Azure Monitor)
Następne kroki
- Zobacz następną kontrolę zabezpieczeń: tożsamość i Access Control