Управление безопасностью, версия 2. Ведение журнала и обнаружение угроз
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Ведение журнала и обнаружение угроз охватывает аспекты управления, касающиеся выявления угроз в Azure, а также настройки, сбора и хранения журналов аудита для служб Azure. Сюда входит настройка процессов обнаружения, исследования и исправления с помощью средств контроля для создания высококачественных оповещений со встроенным обнаружением угроз для служб Azure. Кроме того, поддерживаются сбор журналов в Azure Monitor, централизованный анализ безопасности в Azure Sentinel, синхронизации времени и длительное хранение журнала.
Соответствующую встроенную Политику Azure см. в разделе Сведения о встроенной инициативе Azure Security Benchmark по соответствию нормативным требованиям — Ведение журнала и обнаружение угроз.
LT-1. Включение обнаружения угроз для ресурсов Azure
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Обязательно следите за потенциальными угрозами и аномалиями, относящимися к различным типам ресурсов Azure. Сосредоточьтесь на высококачественных оповещениях, чтобы сократить число ложноположительных результатов, получаемых аналитиками. Источником предупреждений могут быть данные журналов, агенты или другие данные.
Используйте Azure Defender, который основан на анализе журналов и мониторинге телеметрии служб Azure. Для сбора данных используется агент Log Analytics, который читает различные конфигурации, связанные с безопасностью, и журналы событий компьютера, а также копирует данные в рабочую область для анализа.
Кроме того, используйте Azure Sentinel для создания правил аналитики, позволяющих обнаружить угрозы, соответствующие конкретным критериям, в своей среде. Правила создают инциденты при совпадении критериев, позволяя исследовать каждый инцидент. Чтобы улучшить возможности обнаружения угроз, Azure Sentinel также может импортировать аналитику угроз сторонних производителей.
Справочное руководство по оповещениям безопасности Центра безопасности Azure
Создание настраиваемых правил аналитики для обнаружения угроз
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| LT-2 | 6.8 | AU-3, AU-6, AU-12, SI-4 |
Azure AD предоставляет следующие журналы пользователей, которые можно просмотреть в отчетах Azure AD или интегрировать с Azure Monitor, Azure Sentinel или другими средствами мониторинга или SIEM для использования более расширенных функций мониторинга и анализа.
Входы. Отчет о входах содержит информацию об использовании управляемых приложений и входах пользователей.
Журналы аудита — возможность отслеживания с помощью журналов всех изменений, внесенных при использовании разных функций в Azure AD. Примеры журналов аудита включают изменения, внесенные в такие ресурсы в Azure AD, как добавление или удаление пользователей, приложений, групп, ролей и политик.
Входы, представляющие риск. Вход, представляющий риск, означает, что в систему пытался войти пользователь, который не является законным владельцем учетной записи.
Пользователи, находящиеся в группе риска. Такая пометка означает, что конфиденциальность учетной записи пользователя, возможно, нарушена.
Центр безопасности Azure также может создавать оповещения о некоторых подозрительных действиях, например о чрезмерном количестве неудачных попыток проверки подлинности и нерекомендуемых учетных записях в подписке. Помимо базового мониторинга гигиены безопасности, Azure Defender также может собирать более подробные оповещения системы безопасности из отдельных вычислительных ресурсов Azure (таких как виртуальные машины, контейнеры, служба приложений), ресурсов данных (таких как база данных SQL и хранилище) и уровней служб Azure. Эта возможность позволяет обнаруживать аномалии учетных записей внутри отдельных ресурсов.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
LT-3: включение ведения журнала для сетевых операций Azure
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Включите журналы ресурса NSG, журналы потоков NSG, журналы Брандмауэра Azure и журналы Брандмауэра веб-приложений и выполните сбор данных о них в целях анализа безопасности с поддержкой исследований инцидентов, охоты на угрозы и создания оповещений системы безопасности. Журналы потоков можно отправить в рабочую область Azure Monitor Log Analytics, а затем использовать Аналитику трафика для получения ценных сведений.
Обязательно организуйте сбор журналов запросов DNS для корреляции других сетевых данных.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
LT-4: включение ведения журнала для ресурсов Azure
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Включите ведение журнала для ресурсов Azure, чтобы удовлетворить требования для обеспечения соответствия, обнаружения угроз, охоты и исследования инцидентов.
Вы можете использовать Центр безопасности Azure и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов в ресурсах Azure для доступа к журналам аудита, безопасности и ресурсов. Автоматически доступны журналы действий, включающие источник событий, дату, пользователя, метку времени, исходные адреса, адреса назначения и другие полезные элементы.
Ответственность: Совмещаемая блокировка
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
Безопасность инфраструктуры и конечных точек
LT-5: централизованные управление журналом безопасности и анализ
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Централизуйте хранение и анализ журналов, чтобы данные можно было соотносить между собой. Для каждого источника журнала убедитесь, что назначен владелец данных, разработано руководство по доступу, есть место хранения, определено, какие средства используются для обработки данных и доступа к ним, и установлены требования к хранению данных.
Интегрируйте журналы действий Azure со своей централизованной системой ведения журналов. Принимайте журналы, используя Azure Monitor для объединения данных безопасности, создаваемых устройствами конечных точек, сетевыми ресурсами и другими системами безопасности. В Azure Monitor используйте рабочие области Log Analytics для запросов и выполнения анализа, а также используйте учетные записи хранения Azure для долгосрочного и архивного хранения.
Кроме того, включите Azure Sentinel или стороннюю систему управления SIEM и подключите к ним данные.
Многие организации предпочитают задействовать Azure Sentinel для "горячих", часто используемых данных, а службу хранилища Azure — для "холодных" данных, которые используются реже.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
LT-6: Настройка хранения журналов
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| LT-6 | 6.4 | AU-3, AU-11 |
Настройте хранение журналов в соответствии с требованиями, нормативными актами и потребностями бизнеса.
В Azure Monitor можно задать период хранения для рабочей области Log Analytics согласно нормативным требованиям организации. Используйте службу хранилища Azure, озеро данных или учетные записи рабочей области Log Analytics для долгосрочного и архивного хранения.
Ответственность: Customer
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
LT-7. Использование утвержденных источников синхронизации времени
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| LT-7 | 6.1 | AU-8 |
Корпорация Майкрософт поддерживает источники времени для большинства служб PaaS и SaaS в Azure. На виртуальных машинах можно использовать NTP-сервер по умолчанию для синхронизации времени, если не указаны конкретные требования. Если необходимо установить собственный NTP-сервер, обеспечьте безопасность порта службы UDP 123.
Все журналы, созданные ресурсами в Azure, содержат отметки времени с часового пояса, указанным по умолчанию.
Настройка синхронизации времени для вычислительных ресурсов Windows в Azure
Настройка синхронизации времени для вычислительных ресурсов Linux в Azure
Ответственность: Совмещаемая блокировка
Заинтересованные лица по безопасности клиентов (дополнительные сведения):