Управление безопасностью: ведение журналов и мониторинг

Примечание

Актуальная оценка системы безопасности Azure доступна здесь.

Ведение журналов и мониторинг безопасности связаны с включением, получением и хранением журналов аудита для служб Azure.

2.1. Использование утвержденных источников синхронизации времени

Идентификатор Azure	Идентификаторы CIS	Обязательство
2.1	6.1	Microsoft

Корпорация Майкрософт поддерживает источники времени для ресурсов Azure. Однако вы можете управлять параметрами синхронизации времени для вычислительных ресурсов.

• Как настроить синхронизацию времени для вычислительных ресурсов Windows в Azure

• Как настроить синхронизацию времени для вычислительных ресурсов Linux в Azure

2.2. Настройка централизованного управления журналами безопасности

Идентификатор Azure	Идентификаторы CIS	Обязательство
2.2	6.5, 6.6	Customer

Принимайте журналы с помощью Azure Monitor для объединения данных о безопасности, создаваемых устройствами конечных точек, сетевыми ресурсами и другими системами безопасности. В Azure Monitor используйте рабочие области Log Analytics для запроса и выполнения анализа, а учетные записи хранения Azure — для долгосрочного и архивного хранения.

Кроме того, вы можете включить и подключить данные к Azure Sentinel или сторонним SIEM.

• Подключение к Azure Sentinel

• Сбор журналов и метрик платформы с помощью Azure Monitor

• Сбор внутренних журналов узлов виртуальных машин Azure с помощью Azure Monitor

• Начало работы с Azure Monitor и интеграция SIEM стороннего производителя

2.3. Включение журналов аудита для ресурсов Azure

Идентификатор Azure	Идентификаторы CIS	Обязательство
2.3	6.2, 6.3	Customer

Включите параметры диагностики в ресурсах Azure для доступа к журналам аудита, безопасности и диагностики. Автоматически доступны журналы действий, включающие источник событий, дату, пользователя, метку времени, исходные адреса, адреса назначения и другие полезные элементы.

• Сбор журналов и метрик платформы с помощью Azure Monitor

• Общие сведения о ведении журналов и различных типах журналов в Azure

2.4. Сбор журналов безопасности из операционных систем

Идентификатор Azure	Идентификаторы CIS	Обязательство
2.4	6.2, 6.3	Customer

Если вычислительный ресурс принадлежит корпорации Майкрософт, она отвечает за его мониторинг. Если вычислительный ресурс принадлежит вашей организации, за его мониторинг отвечаете вы. Для мониторинга ОС вы можете использовать Центр безопасности Azure. Данные операционной системы, собираемые Центром безопасности, включают тип и версию ОС, ОС (журналы событий Windows), запущенные процессы, имя компьютера, IP-адреса и сведения о вошедшем в систему пользователе. Агент Log Analytics также собирает файлы аварийного дампа.

• Сбор внутренних журналов узлов виртуальных машин Azure с помощью Azure Monitor

• Общие сведения о сборе данных в Центре безопасности Azure

2.5. Настройка хранения журнала безопасности

Идентификатор Azure	Идентификаторы CIS	Обязательство
2.5	6.4	Customer

В Azure Monitor задайте период хранения для рабочей области Log Analytics согласно нормативным требованиям вашей организации. Используйте учетные записи хранения Azure для долгосрочного и архивного хранения.

• Изменение периода хранения данных в Log Analytics

• Как настроить политику хранения для журналов учетных записей службы хранилища Azure

2.6. Мониторинг и просмотр журналов

Идентификатор Azure	Идентификаторы CIS	Обязательство
2.6	6.7	Customer

Анализируйте и отслеживайте журналы для выявления подозрительных действий и регулярно просматривайте результаты. Используйте рабочую область Log Analytics в Azure Monitor для просмотра журналов и выполнения запросов к данным журнала.

Кроме того, вы можете включить и подключить данные к Azure Sentinel или сторонним SIEM.

• Подключение к Azure Sentinel

• Общие сведения о рабочей области Log Analytics

• Выполнение пользовательских запросов в Azure Monitor

2.7. Включение оповещений об аномальных действиях

Идентификатор Azure	Идентификаторы CIS	Обязательство
2.7	6,8	Customer

Используйте Центр безопасности Azure с рабочей областью Log Analytics для мониторинга и оповещения об аномальных действиях, обнаруженных в журналах и событиях безопасности.

Кроме того, вы можете включить решение Azure Sentinel и подключить источники данных к нему.

• Подключение к Azure Sentinel

• Управление оповещениями в Центре безопасности Azure

• Как получать оповещения по данным журналов в Log Analytics

2.8. Централизованное ведение журнала защиты от вредоносных программ

Идентификатор Azure	Идентификаторы CIS	Обязательство
2.8	8.6	Customer

Включите сбор событий антивредоносного ПО для Виртуальных машин и Облачных служб Azure.

• Общие сведения о Microsoft Antimalware

2.9. Включение ведения журнала запросов DNS

Идентификатор Azure	Идентификаторы CIS	Обязательство
2,9	8,7	Customer

Реализуйте сторонние решения из Azure Marketplace для ведения журнала DNS-сервера в зависимости от потребностей вашей организации.

2.10. Включение ведения журнала аудита для командной строки

Идентификатор Azure	Идентификаторы CIS	Обязательство
2.10	8,8	Customer

Используйте Microsoft Monitoring Agent на всех поддерживаемых виртуальных машинах Windows в Azure для регистрации события создания процесса и поля CommandLine. Для поддерживаемых виртуальных машин Linux в Azure можно вручную настроить ведение журнала консоли для каждого узла и использовать системный журнал для хранения данных. Кроме того, в рабочей области Log Analytics в Azure Monitor можно просматривать журналы и выполнять запросы к данным журнала из виртуальных машин Azure.

• Сбор данных в центре безопасности Azure

• Выполнение пользовательских запросов в Azure Monitor

• Источники данных системного журнала в Azure Monitor

Дальнейшие действия

• См. статью Управление безопасностью: управление доступом и удостоверениями.