Partilhar via


Controlo de Segurança: Registo e Monitorização

Nota

A Referência de Segurança do Azure mais atualizada está disponível aqui.

O registo de segurança e a monitorização concentram-se em atividades relacionadas com a ativação, aquisição e armazenamento de registos de auditoria para serviços do Azure.

2.1: Utilizar origens de sincronização de hora aprovadas

Azure ID CIS IDs Responsabilidade
2.1 6.1 Microsoft

No entanto, a Microsoft mantém as origens de tempo dos recursos do Azure. No entanto, tem a opção de gerir as definições de sincronização de hora dos seus recursos de computação.

2.2: Configurar a gestão de registos de segurança central

Azure ID CIS IDs Responsabilidade
2,2 6.5, 6.6 Cliente

Ingerir registos através do Azure Monitor para agregar dados de segurança gerados por dispositivos de ponto final, recursos de rede e outros sistemas de segurança. No Azure Monitor, utilize as Áreas de Trabalho do Log Analytics para consultar e efetuar análises e utilizar as Contas de Armazenamento do Azure para armazenamento de longo prazo/arquivo.

Em alternativa, pode ativar e incluir dados no Azure Sentinel ou num SIEM de terceiros.

2.3: Ativar o registo de auditoria para recursos do Azure

Azure ID CIS IDs Responsabilidade
2.3 6.2, 6.3 Cliente

Ative as Definições de Diagnóstico nos recursos do Azure para aceder a registos de auditoria, segurança e diagnóstico. Os registos de atividades, que estão disponíveis automaticamente, incluem origem do evento, data, utilizador, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis.

2.4: Recolher registos de segurança de sistemas operativos

Azure ID CIS IDs Responsabilidade
2,4 6.2, 6.3 Cliente

Se o recurso de computação for propriedade da Microsoft, a Microsoft é responsável por monitorizá-lo. Se o recurso de computação for propriedade da sua organização, é da sua responsabilidade monitorizá-lo. Pode utilizar Centro de Segurança do Azure para monitorizar o SO. Os dados recolhidos pelo Centro de Segurança do sistema operativo incluem o tipo e a versão do SO, SO (Registos de Eventos do Windows), processos em execução, nome do computador, endereços IP e utilizador com sessão iniciada. O Agente do Log Analytics também recolhe ficheiros de informação de falha de sistema.

2.5: Configurar a retenção do armazenamento de registos de segurança

Azure ID CIS IDs Responsabilidade
2.5 6.4 Cliente

No Azure Monitor, defina o período de retenção da Área de Trabalho do Log Analytics de acordo com os regulamentos de conformidade da sua organização. Utilize as Contas de Armazenamento do Azure para armazenamento de longo prazo/arquivo.

2.6: Monitorizar e rever Registos

Azure ID CIS IDs Responsabilidade
2,6 6.7 Cliente

Analise e monitorize os registos para obter um comportamento anómalo e analise regularmente os resultados. Utilize a Área de Trabalho do Log Analytics do Azure Monitor para rever registos e efetuar consultas nos dados de registo.

Em alternativa, pode ativar e incluir dados no Azure Sentinel ou num SIEM de terceiros.

2.7: Ativar alertas para atividades anómalas

Azure ID CIS IDs Responsabilidade
2.7 6.8 Cliente

Utilize Centro de Segurança do Azure com a Área de Trabalho do Log Analytics para monitorizar e alertar sobre atividades anómalos encontradas em eventos e registos de segurança.

Em alternativa, pode ativar e incluir dados no Azure Sentinel.

2.8: Centralizar o registo antimalware

Azure ID CIS IDs Responsabilidade
2,8 8.6 Cliente

Ative a coleção de eventos antimalware para Máquinas Virtuais e Serviços Cloud do Azure.

2.9: Ativar o registo de consultas DNS

Azure ID CIS IDs Responsabilidade
2.9 8.7 Cliente

Implemente uma solução de terceiros a partir de Azure Marketplace para a solução de registo DNS de acordo com as necessidades das suas organizações.

2.10: Ativar o registo de auditoria da linha de comandos

Azure ID CIS IDs Responsabilidade
2,10 8.8 Cliente

Utilize o Microsoft Monitoring Agent em todas as máquinas virtuais do Windows do Azure suportadas para registar o evento de criação do processo e o campo Linha de Comandos. Para máquinas virtuais do Linux do Azure suportadas, pode configurar manualmente o registo da consola por nó e utilizar o Syslog para armazenar os dados. Além disso, utilize a área de trabalho do Log Analytics do Azure Monitor para rever registos e efetuar consultas em dados registados a partir de Máquinas virtuais do Azure.

Passos seguintes