Controlo de Segurança: Registo e deteção de ameaças

Artigo
01/30/2024

O registo e a Deteção de Ameaças abrangem controlos para detetar ameaças na cloud e ativar, recolher e armazenar registos de auditoria para serviços cloud, incluindo ativar processos de deteção, investigação e remediação com controlos para gerar alertas de alta qualidade com deteção de ameaças nativas em serviços cloud; também inclui a recolha de registos com um serviço de monitorização da cloud, a centralização da análise de segurança com um SIEM, a sincronização de tempo e a retenção de registos.

LT-1: Ativar as capacidades de deteção de ameaças

CIS Controls v8 ID(s)	NIST SP 800-53 r4 ID(s)	PCI-DSS ID(s) v3.2.1
8.11	AU-3, AU-6, AU-12, SI-4	10.6, 10.8, A3.5

Princípio de segurança: para suportar cenários de deteção de ameaças, monitorize todos os tipos de recursos conhecidos para ameaças e anomalias conhecidas e esperadas. Configure as regras de filtragem e análise de alertas para extrair alertas de alta qualidade de dados de registo, agentes ou outras origens de dados para reduzir os falsos positivos.

Orientação do Azure: utilize a capacidade de deteção de ameaças do Microsoft Defender para a Cloud para os respetivos serviços do Azure.

Para a deteção de ameaças não incluída nos serviços Microsoft Defender, consulte linhas de base do serviço Microsoft Cloud Security Benchmark para os respetivos serviços para ativar a deteção de ameaças ou as capacidades de alerta de segurança no serviço. Ingerir alertas e dados de registo do Microsoft Defender para a Cloud, Microsoft 365 Defender e registar dados de outros recursos nas instâncias do Azure Monitor ou do Microsoft Sentinel para criar regras de análise, que detetam ameaças e criam alertas que correspondem a critérios específicos em todo o seu ambiente.

Para ambientes de Tecnologia Operacional (OT) que incluem computadores que controlam ou monitorizam o Sistema de Controlo Industrial (ICS) ou recursos de Controlo de Supervisão e Aquisição de Dados (SCADA), utilize Microsoft Defender para IoT para inventariar recursos e detetar ameaças e vulnerabilidades.

Para serviços que não têm uma capacidade de deteção de ameaças nativa, considere recolher os registos do plano de dados e analisar as ameaças através do Microsoft Sentinel.

Implementação do Azure e contexto adicional:

Orientação do AWS: utilize o Amazon GuardDuty para deteção de ameaças que analisa e processa as seguintes origens de dados: Registos do Fluxo VPC, registos de eventos de gestão do CloudTrail do AWS, registos de eventos de dados do CloudTrail S3, registos de auditoria do EKS e registos DNS. O GuardDuty é capaz de comunicar problemas de segurança, como o escalamento de privilégios, a utilização de credenciais expostas ou a comunicação com endereços IP maliciosos ou domínios.

Configure a Configuração do AWS para verificar as regras no SecurityHub para monitorização de conformidade, como o desfasamento da configuração, e crie conclusões quando necessário.

Para a deteção de ameaças não incluída no GuardDuty e no SecurityHub, ative a deteção de ameaças ou as capacidades de alerta de segurança nos serviços do AWS suportados. Extraia os alertas para o CloudTrail, o CloudWatch ou o Microsoft Sentinel para criar regras de análise, que caçam ameaças que correspondam a critérios específicos em todo o seu ambiente.

Também pode utilizar Microsoft Defender para a Cloud para monitorizar determinados serviços no AWS, como instâncias EC2.

Implementação do AWS e contexto adicional:

Documentação de orientação do GCP: utilize a Deteção de Ameaças de Eventos no Centro de Comandos do Google Cloud Security para deteção de ameaças com dados de registo, como Administração Activity, GKE Data Access, VPC Flow Logs, Cloud DNS e Firewall Logs.

Além disso, utilize o conjunto de Operações de Segurança para o SOC moderno com Chronicle SIEM e SOAR. O Chronicle SIEM e o SOAR fornecem capacidades de deteção, investigação e investigação de ameaças

Também pode utilizar Microsoft Defender para a Cloud para monitorizar determinados serviços no GCP, como instâncias de VM de Computação.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

LT-2: Ativar a deteção de ameaças para gestão de identidades e acessos

CIS Controls v8 ID(s)	NIST SP 800-53 r4 ID(s)	PCI-DSS ID(s) v3.2.1
8.11	AU-3, AU-6, AU-12, SI-4	10.6, 10.8, A3.5

Princípio de segurança: detete ameaças para identidades e gestão de acesso ao monitorizar as anomalias de início de sessão e acesso do utilizador e da aplicação. Os padrões comportamentais, como o número excessivo de tentativas de início de sessão falhadas e contas preteridas na subscrição, devem ser alertados.

Orientação do Azure: Azure AD fornece os seguintes registos que podem ser visualizados no Azure AD relatórios ou integrados com o Azure Monitor, o Microsoft Sentinel ou outras ferramentas SIEM/monitorização para casos de utilização de análise e monitorização mais sofisticados:

Inícios de sessão: o relatório de inícios de sessão fornece informações sobre a utilização de aplicações geridas e atividades de início de sessão do utilizador.
Registos de auditoria: fornece rastreabilidade através de registos para todas as alterações efetuadas por várias funcionalidades no Azure AD. Os exemplos de registos de auditoria incluem as alterações feitas a quaisquer recursos no Azure AD, como adicionar ou remover utilizadores, aplicações, grupos, funções e políticas.
Inícios de sessão de risco: um início de sessão de risco é um indicador de uma tentativa de início de sessão que pode ter sido efetuada por alguém que não é o proprietário legítimo de uma conta de utilizador.
Utilizadores sinalizados para risco: um utilizador de risco é um indicador para uma conta de utilizador que pode ter sido comprometida.

Azure AD também fornece um módulo do Identity Protection para detetar e remediar riscos relacionados com contas de utilizador e comportamentos de início de sessão. Exemplos de riscos incluem credenciais com fuga, início de sessão a partir de endereços IP anónimos ou associados a software maligno, spray de palavra-passe. As políticas no Azure AD Identity Protection permitem-lhe impor a autenticação MFA baseada em riscos em conjunto com o Acesso Condicional do Azure em contas de utilizador.

Além disso, Microsoft Defender para a Cloud podem ser configurados para alertar sobre contas preteridas na subscrição e atividades suspeitas, como um número excessivo de tentativas de autenticação falhadas. Além da monitorização básica da higiene de segurança, Microsoft Defender para o módulo Proteção Contra Ameaças da Cloud também podem recolher alertas de segurança mais aprofundados de recursos de computação individuais do Azure (como máquinas virtuais, contentores, serviço de aplicações), recursos de dados (como a BD SQL e o armazenamento) e camadas de serviço do Azure. Esta capacidade permite-lhe ver anomalias de conta dentro dos recursos individuais.

Nota: se estiver a ligar a sua Active Directory no local para sincronização, utilize a solução Microsoft Defender para Identidade para consumir a sua Active Directory no local sinaliza para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações internas maliciosas direcionadas para a sua organização.

Implementação do Azure e contexto adicional:

Orientação do AWS: o IAM do AWS fornece os seguintes relatórios e registos para atividades de utilizador da consola através do Assistente de Acesso IAM e do relatório de credenciais IAM:

Todas as tentativas de início de sessão bem-sucedidas e de início de sessão sem êxito.
Estado da autenticação multifator (MFA) para cada utilizador.
Utilizador IAM inativo

Para monitorização de acesso ao nível da API e deteção de ameaças, utilize o Amazon GuadDuty para identificar os resultados relacionados com a IAM. Exemplos destas conclusões incluem:

Uma API utilizada para obter acesso a um ambiente do AWS e foi invocada de forma anómalo, ou foi utilizada para evitar medidas defensivas
Uma API utilizada para:
- detetar recursos foi invocado de uma forma anómalo
- recolher dados de um ambiente do AWS foi invocado de forma anómalo.
- adulteração de dados ou processos num ambiente do AWS foi invocada de forma anómalo.
- Obter acesso não autorizado a um ambiente do AWS foi invocado de forma anómalo.
- manter o acesso não autorizado a um ambiente do AWS foi invocado de forma anómalo.
- obter permissões de alto nível para um ambiente do AWS foi invocada de forma anómalo.
- ser invocado a partir de um endereço IP malicioso conhecido.
- ser invocado com credenciais de raiz.
O registo do CloudTrail do AWS foi desativado.
A política de palavras-passe da conta foi enfraquecida.
Foram observados vários inícios de sessão de consola com êxito em todo o mundo.
As credenciais criadas exclusivamente para uma instância EC2 através de uma função de início de Instância estão a ser utilizadas a partir de outra conta no AWS.
As credenciais criadas exclusivamente para uma instância EC2 através de uma função de início de Instância estão a ser utilizadas a partir de um endereço IP externo.
Uma API foi invocada a partir de um endereço IP malicioso conhecido.
Uma API foi invocada a partir de um endereço IP numa lista de ameaças personalizada.
Foi invocada uma API a partir de um endereço IP de nó de saída do Tor.

Implementação do AWS e contexto adicional:

Orientação do GCP: utilize a Deteção de Ameaças de Eventos no Centro de Comandos do Google Cloud Security para determinado tipo de deteção de ameaças relacionadas com IAM, como a deteção de eventos em que foi concedida uma ou mais funções de IAM confidenciais a uma conta de serviço gerida pelo utilizador inativa.

Tenha em atenção que os registos do Google Identity e os registos IAM do Google Cloud produzem registos de atividades de administrador, mas para o âmbito diferente. Os registos de Identidade do Google destinam-se apenas a operações correspondentes à Plataforma de Identidade, enquanto os registos IAM são para operações que correspondem ao IAM para o Google Cloud. Os registos IAM contêm entradas de registo de chamadas à API ou outras ações que modificam a configuração ou os metadados dos recursos. Por exemplo, estes registos registam quando os utilizadores criam instâncias de VM ou alteram as permissões de Gestão de Identidades e Acessos.

Utilize os relatórios de Identidade da Cloud e IAM para alertas sobre determinados padrões de atividade suspeitas. Também pode utilizar o Policy Intelligence para analisar atividades de contas de serviço para identificar atividades como contas de serviço no seu projeto que não foram utilizadas nos últimos 90 dias.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

LT-3: Ativar o registo para investigação de segurança

CIS Controls v8 ID(s)	NIST SP 800-53 r4 ID(s)	PCI-DSS ID(s) v3.2.1
8.2, 8.5, 8.12	AU-3, AU-6, AU-12, SI-4	10.1, 10.2, 10.3

Princípio de segurança: ative o registo dos recursos da cloud para cumprir os requisitos para as investigações de incidentes de segurança e as finalidades de conformidade e resposta de segurança.

Orientação do Azure: ative a capacidade de registo de recursos nas diferentes camadas, tais como registos para recursos do Azure, sistemas operativos e aplicações dentro das VMs e outros tipos de registo.

Tenha em atenção os diferentes tipos de registos para segurança, auditoria e outros registos operacionais nas camadas do plano de gestão/controlo e do plano de dados. Existem três tipos de registos disponíveis na plataforma do Azure:

Registo de recursos do Azure: registo de operações executadas num recurso do Azure (o plano de dados). Por exemplo, obter um segredo de um cofre de chaves ou fazer um pedido para uma base de dados. O conteúdo dos registos de recursos varia de acordo com o serviço do Azure e o tipo de recurso.
Registo de atividades do Azure: registo de operações em cada recurso do Azure na camada de subscrição, de fora (o plano de gestão). Pode utilizar o Registo de Atividades para determinar o quê, quem e quando para quaisquer operações de escrita (PUT, POST, DELETE) realizadas nos recursos na sua subscrição. Existe um único Registo de atividades para cada subscrição do Azure.
Registos do Azure Active Directory: registos do histórico de atividade de início de sessão e registo de auditoria de alterações efetuadas no Azure Active Directory para um inquilino específico.

Também pode utilizar Microsoft Defender para a Cloud e Azure Policy para ativar os registos de recursos e a recolha de dados de registo nos recursos do Azure.

Implementação do Azure e contexto adicional:

Orientação do AWS: utilize o registo do AWS CloudTrail para eventos de gestão (operações do plano de controlo) e eventos de dados (operações do plano de dados) e monitorize estes registos com o CloudWatch para ações automatizadas.

O serviço Amazon CloudWatch Logs permite-lhe recolher e armazenar registos dos seus recursos, aplicações e serviços quase em tempo real. Existem três categorias principais de registos:

Registos de vingança: registos publicados nativamente pelos serviços do AWS em seu nome. Atualmente, os Registos do Amazon VPC Flow e os registos do Amazon Route 53 são os dois tipos suportados. Estes dois registos estão ativados por predefinição.
Registos publicados pelos serviços do AWS: os registos de mais de 30 serviços do AWS são publicados no CloudWatch. Incluem o Gateway de API da Amazon, o AWS Lambda, o AWS CloudTrail e muitos outros. Estes registos podem ser ativados diretamente nos serviços e no CloudWatch.
Registos personalizados: registos da sua própria aplicação e recursos no local. Poderá ter de recolher estes registos ao instalar o Agente do CloudWatch nos seus sistemas operativos e reencaminhá-los para o CloudWatch.

Embora muitos serviços publiquem registos apenas nos Registos do CloudWatch, alguns serviços do AWS podem publicar registos diretamente no AmazonS3 ou amazon Kinesis Data Firehose, onde pode utilizar diferentes políticas de armazenamento e retenção de registos.

Implementação do AWS e contexto adicional:

Orientação do GCP: ative a capacidade de registo de recursos nos diferentes escalões, como registos de recursos do Azure, sistemas operativos e aplicações dentro das VMs e outros tipos de registo.

Tenha em atenção os diferentes tipos de registos para segurança, auditoria e outros registos operacionais nas camadas do plano de gestão/controlo e do plano de dados. O serviço Operations Suite Cloud Logging recolhe e agrega todo o tipo de eventos de registo das camadas de recursos. São suportadas quatro categorias de registos no Registo de Cloud:

Registos da plataforma – registos escritos pelos seus serviços Google Cloud.
Registos de componentes – semelhantes aos registos da plataforma, mas são registos gerados por componentes de software fornecidos pela Google que são executados nos seus sistemas.
Registos de segurança – principalmente registos de auditoria que registam atividades administrativas e acedem aos seus recursos.
Escrita pelo utilizador – registos escritos por aplicações e serviços personalizados
Registos multi cloud e registos de cloud híbrida – registos de outros fornecedores de cloud, como o Microsoft Azure, e registos da infraestrutura no local.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

LT-4: Ativar o registo de rede para investigação de segurança

CIS Controls v8 ID(s)	NIST SP 800-53 r4 ID(s)	PCI-DSS ID(s) v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6	AU-3, AU-6, AU-12, SI-4	10.8

Princípio de segurança: ative o registo dos seus serviços de rede para suportar investigações de incidentes relacionadas com a rede, investigação de ameaças e geração de alertas de segurança. Os registos de rede podem incluir registos de serviços de rede, como filtragem de IP, firewall de rede e aplicações, DNS, monitorização de fluxos, etc.

Orientação do Azure: ativar e recolher registos de recursos do grupo de segurança de rede (NSG), registos de fluxos do NSG, registos de Azure Firewall e registos de Firewall de Aplicações Web (WAF) e registos de máquinas virtuais através do agente de recolha de dados de tráfego de rede para análise de segurança para suportar investigações de incidentes e geração de alertas de segurança. Pode enviar os registos de fluxo para uma área de trabalho do Log Analytics do Azure Monitor e, em seguida, utilizar a Análise de Tráfego para fornecer informações.

Recolher registos de consultas DNS para ajudar a correlacionar outros dados de rede.

Implementação do Azure e contexto adicional:

Documentação de orientação do AWS: ative e recolha registos de rede, tais como Registos do Fluxo de VPC, Registos WAF e registos de consultas resolver do Route53 para análise de segurança para suportar investigações de incidentes e geração de alertas de segurança. Os registos podem ser exportados para o CloudWatch para monitorização ou um registo de armazenamento S3 para ingerir na solução do Microsoft Sentinel para análise centralizada.

Implementação do AWS e contexto adicional:

Ativar o registo a partir de determinados serviços do AWS

Documentação de orientação do GCP: a maioria dos registos de atividades de rede estão disponíveis através dos Registos de Fluxo do VPC que registam uma amostra de fluxos de rede enviados e recebidos por recursos, incluindo instâncias utilizadas como VMs do Google Compute, nós do Kubernetes Engine. Estes registos podem ser utilizados para monitorização de rede, análise forense, análise de segurança em tempo real e otimização de despesas.

Pode ver os registos de fluxos no Registo de Nuvem e exportar registos para o destino suportado pela exportação do Registo de Cloud. Os registos de fluxo são agregados por ligação a partir de VMs do Motor de Computação e exportados em tempo real. Ao subscrever o Pub/Sub, pode analisar os registos de fluxo através de APIs de transmissão em fluxo em tempo real.

Nota: também pode utilizar o Espelhamento de Pacotes para clonar o tráfego de instâncias especificadas na sua rede de Cloud Privada Virtual (VPC) e reencaminha-o para análise. O Espelhamento de Pacotes captura todos os dados de tráfego e pacotes, incluindo payloads e cabeçalhos.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

LT-5: Centralizar a análise e gestão do registo de segurança

CIS Controls v8 ID(s)	NIST SP 800-53 r4 ID(s)	PCI-DSS ID(s) v3.2.1
8.9, 8.11, 13.1	AU-3, AU-6, AU-12, SI-4	N/D

Princípio de segurança: centralize o armazenamento e a análise de registos para permitir a correlação entre os dados de registo. Para cada origem de registo, certifique-se de que atribuiu um proprietário de dados, orientações de acesso, localização de armazenamento, que ferramentas são utilizadas para processar e aceder aos dados e requisitos de retenção de dados.

Utilize o SIEM nativo da cloud se não tiver uma solução SIEM existente para CSPs. ou agregar registos/alertas no SIEM existente.

Orientação do Azure: certifique-se de que está a integrar registos de atividades do Azure numa área de trabalho centralizada do Log Analytics. Utilize o Azure Monitor para consultar e efetuar análises e criar regras de alerta com os registos agregados dos serviços do Azure, dispositivos de ponto final, recursos de rede e outros sistemas de segurança.

Além disso, ative e integre dados no Microsoft Sentinel, que fornece funcionalidades de gestão de eventos de informações de segurança (SIEM) e resposta automatizada de orquestração de segurança (SOAR).

Implementação do Azure e contexto adicional:

Orientação do AWS: certifique-se de que está a integrar os registos do AWS num recurso centralizado para armazenamento e análise. Utilize o CloudWatch para consultar e efetuar análises e criar regras de alerta com os registos agregados de serviços, serviços, dispositivos de ponto final, recursos de rede e outros sistemas de segurança do AWS.

Além disso, pode agregar os registos num registo de armazenamento S3 e integrar os dados de registo no Microsoft Sentinel, que fornece capacidades de gestão de eventos de informações de segurança (SIEM) e de resposta automatizada de orquestração de segurança (SOAR).

Implementação do AWS e contexto adicional:

Ligar o Microsoft Sentinel ao Amazon Web Services para ingerir dados de registo do serviço AWS

Documentação de orientação do GCP: certifique-se de que está a integrar os registos do GCP num recurso centralizado (como o registo do Registo de Cloud do Operations Suite) para armazenamento e análise. O Registo na Cloud suporta a maioria dos registos de serviços nativos do Google Cloud, bem como aplicações de terceiros e aplicações no local. Pode utilizar o Registo na Cloud para consultar e efetuar análises e criar regras de alerta com os registos agregados de serviços, serviços, dispositivos de ponto final, recursos de rede e outros sistemas de segurança do GCP.

Utilize o SIEM nativo da cloud se não tiver uma solução SIEM existente para CSP ou agregar registos/alertas no SIEM existente.

Nota: o Google fornece dois front-end de consulta de registo, o Explorador de Registos e o Log Analytics para consultar, ver e analisar registos. Para resolver problemas e explorar dados de registo, é recomendado utilizar o Explorador de Registos. Para gerar informações e tendências, é recomendado utilizar o Log Analytics.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

LT-6: Configurar a retenção de armazenamento dos registos

CIS Controls v8 ID(s)	NIST SP 800-53 r4 ID(s)	PCI-DSS ID(s) v3.2.1
8.3, 8.10	AU-11	10.5, 10.7

Princípio de segurança: planeie a estratégia de retenção de registos de acordo com os seus requisitos de conformidade, regulação e negócios. Configure a política de retenção de registos nos serviços de registo individuais para garantir que os registos são arquivados adequadamente.

Orientação do Azure: os registos, como os Registos de Atividades do Azure, são mantidos durante 90 dias e, em seguida, eliminados. Deve criar uma definição de diagnóstico e encaminhar os registos para outra localização (como a área de trabalho do Log Analytics do Azure Monitor, os Hubs de Eventos ou o Armazenamento do Azure) com base nas suas necessidades. Esta estratégia também se aplica a outros registos de recursos e recursos geridos por si próprio, como registos nos sistemas operativos e aplicações dentro de VMs.

Tem a opção de retenção de registos como abaixo:

Utilize a área de trabalho do Log Analytics do Azure Monitor para um período de retenção de registo até 1 ano ou de acordo com os requisitos da equipa de resposta.
Utilize o Armazenamento do Azure, o Data Explorer ou o Data Lake para armazenamento de longo prazo e arquivo durante mais de 1 ano e para cumprir os seus requisitos de conformidade de segurança.
Utilize Hubs de Eventos do Azure para reencaminhar registos para um recurso externo fora do Azure.

Nota: o Microsoft Sentinel utiliza a área de trabalho do Log Analytics como back-end para o armazenamento de registos. Deve considerar uma estratégia de armazenamento a longo prazo se planear manter os registos SIEM por mais tempo.

Implementação do Azure e contexto adicional:

Orientação do AWS: por predefinição, os registos são mantidos indefinidamente e nunca expiram no CloudWatch. Pode ajustar a política de retenção para cada grupo de registos, manter a retenção indefinida ou escolher um período de retenção entre 10 anos e um dia.

Utilize o Amazon S3 para arquivar registos do CloudWatch e aplique a gestão do ciclo de vida de objetos e a política de arquivo ao registo. Pode utilizar o Armazenamento do Azure para arquivo de registos central ao transferir os ficheiros do Amazon S3 para o Armazenamento do Azure.

Implementação do AWS e contexto adicional:

Orientação do GCP: por predefinição, o Registo de Nuvem do Operations Suite retém os registos durante 30 dias, a menos que configure a retenção personalizada para o registo de Registo na Cloud. Administração registos de auditoria de Atividades, registos de auditoria de Eventos do Sistema e registos de Transparência do Acesso são retidos 400 dias por predefinição. Pode configurar o Registo na Cloud para manter os registos entre 1 dia e 3650 dias.

Utilize o Armazenamento na Cloud para arquivar registos a partir do Registo de Cloud e aplique a gestão do ciclo de vida do objeto e a política de arquivo ao registo. Pode utilizar o Armazenamento do Azure para arquivo de registos central ao transferir os ficheiros do Google Cloud Storage para o Armazenamento do Azure.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

LT-7: Utilizar origens de sincronização de hora aprovadas

CIS Controls v8 ID(s)	NIST SP 800-53 r4 ID(s)	PCI-DSS ID(s) v3.2.1
8,4	AU-8	10.4

Princípio de segurança: utilize origens de sincronização de hora aprovadas para o carimbo de data/hora de registo que incluam informações de data, hora e fuso horário.

Orientação do Azure: a Microsoft mantém as origens de tempo para a maioria dos serviços PaaS e SaaS do Azure. Para os seus sistemas operativos de recursos de computação, utilize um servidor NTP predefinido da Microsoft para sincronização de tempo, a menos que tenha um requisito específico. Se precisar de manter o seu próprio servidor de protocolo de tempo de rede (NTP), certifique-se de que protege a porta de serviço UDP 123.

Todos os registos gerados por recursos no Azure fornecem carimbos de data/hora com o fuso horário especificado por predefinição.

Implementação do Azure e contexto adicional:

Orientação do AWS: o AWS mantém as origens de tempo para a maioria dos serviços do AWS. Para recursos ou serviços onde a definição de tempo do sistema operativo está configurada, utilize o Serviço de Sincronização de Tempo do Amazon predefinido do AWS para sincronização de tempo, a menos que tenha um requisito específico. Se precisar de manter o seu próprio servidor de protocolo de tempo de rede (NTP), certifique-se de que protege a porta de serviço UDP 123.

Todos os registos gerados por recursos no AWS fornecem carimbos de data/hora com o fuso horário especificado por predefinição.

Implementação do AWS e contexto adicional:

Orientação do GCP: o Google Cloud mantém as origens de tempo para a maioria dos serviços PaaS e SaaS do Google Cloud. Para os seus sistemas operativos de recursos de computação, utilize um servidor NTP predefinido do Google Cloud para a sincronização de tempo, a menos que tenha um requisito específico. Se precisar de manter o seu próprio servidor de protocolo de tempo de rede (NTP), certifique-se de que protege a porta de serviço UDP 123.

Nota: recomenda-se que não utilize origens NTP externas com máquinas virtuais do Motor de Computação, mas utilize o servidor NTP interno fornecido pela Google.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

Partilhar via

Controlo de Segurança: Registo e deteção de ameaças

LT-1: Ativar as capacidades de deteção de ameaças

LT-2: Ativar a deteção de ameaças para gestão de identidades e acessos

LT-3: Ativar o registo para investigação de segurança

LT-4: Ativar o registo de rede para investigação de segurança

LT-5: Centralizar a análise e gestão do registo de segurança

LT-6: Configurar a retenção de armazenamento dos registos

LT-7: Utilizar origens de sincronização de hora aprovadas

Recursos adicionais