Управление безопасностью v3. Ведение журнала и обнаружение угроз

  • Статья

Ведение журналов и обнаружение угроз охватывает аспекты управления, касающиеся выявления угроз в Azure, а также настройки, сбора и хранения журналов аудита для служб Azure, в том числе настройки процессов обнаружения, исследования и исправления с помощью средств контроля для создания высококачественных оповещений со встроенным обнаружением угроз для служб Azure. Кроме того, поддерживаются сбор журналов в Azure Monitor, централизованный анализ безопасности в Azure Sentinel, синхронизации времени и длительное хранение журнала.

LT-1. Включение возможностей обнаружения угроз

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Принцип безопасности. Для поддержки сценариев обнаружения угроз отслеживайте известные и ожидаемые угрозы и аномалии во всех известных типах ресурсов. Настройте фильтрацию оповещений и правила аналитики для извлечения высококачественных оповещений из данных журналов, агентов или других источников данных, чтобы сократить количество ложноположительных результатов.

Руководство Azure. Используйте функцию обнаружения угроз служб Azure Defender в Microsoft Defender для облака для соответствующих служб Azure.

Чтобы включить возможности обнаружения угроз или оповещений безопасности для служб, не включенных в службы Azure Defender, обратитесь к базовым планам Azure Security Benchmark для соответствующих служб. Извлекайте оповещения в Azure Monitor или Azure Sentinel для создания правил аналитики, позволяющих обнаружить угрозы, соответствующие конкретным критериям для вашей среды.

Для сред операционных технологий (OT), включающих компьютеры, которые контролируют или отслеживают ресурсы промышленной системы управления (ICS) или системы управления и получения данных супервизора (SCADA), используйте Defender для Интернета вещей, чтобы проводить инвентаризацию ресурсов и обнаруживать угрозы и уязвимости.

Для служб, в которых нет собственной возможности обнаружения угроз, рекомендуется собирать журналы плоскости данных и анализировать угрозы с помощью Azure Sentinel.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-2. Включение возможностей обнаружения угроз для управления удостоверениями и доступом

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Принцип безопасности. Выявляйте угрозы для управления идентификацией и доступом, отслеживая вход пользователей и приложений, а также аномалии доступа. Необходимо получать оповещения о таких шаблонах поведения, как чрезмерное число неудачных попыток входа в систему и устаревшие учетные записи в подписке.

Руководство Azure. Azure AD предоставляет следующие журналы, которые можно просмотреть в отчетах Azure AD или интегрировать с Azure Monitor, Azure Sentinel или другими средствами мониторинга или SIEM для использования более сложных функций мониторинга и анализа.

  • Входы. Отчет о входах содержит информацию об использовании управляемых приложений и входах пользователей.
  • Журналы аудита. Предоставляют возможность отслеживания с помощью журналов всех изменений, внесенных при использовании разных функций в Azure AD. Примеры журналов аудита включают изменения, внесенные в такие ресурсы в Azure AD, как добавление или удаление пользователей, приложений, групп, ролей и политик.
  • Рискованные входы. Рискованный вход — это показатель попытки входа в систему пользователя, не являющегося правомерным владельцем учетной записи.
  • Пользователи, находящиеся в группе риска. Означает, что конфиденциальность учетной записи пользователя, возможно, нарушена.

Azure AD также предоставляет модуль "Защита идентификации", позволяющий обнаруживать и устранять риски, связанные с учетными записями пользователей и поведением входа. К примерам рисков относятся утечки учетных данных, вход с анонимных или вредоносных IP-адресов и распыление паролей. Политики в модуле "Защита идентификации Azure AD" позволяют применять к учетным записям пользователей многофакторную проверку подлинности на основе рисков в сочетании с условным доступом Azure.

Кроме того, Microsoft Defender для облака можно настроить для создания оповещений о нерекомендуемых учетных записях в подписке и подозрительных действиях, например о чрезмерном количестве неудачных попыток проверки подлинности. Помимо базового мониторинга санации для обеспечения безопасности, модуль защиты от угроз в Microsoft Defender для облака также можно использовать для сбора более подробных оповещений системы безопасности для отдельных вычислительных ресурсов Azure (таких как, виртуальные машины, контейнеры, служба приложений), ресурсов данных (таких как, база данных SQL и хранилище) и уровней служб Azure. Эта возможность позволяет обнаруживать аномалии учетных записей внутри отдельных ресурсов.

Примечание. Если вы подключаетесь к локальной службе Active Directory для синхронизации, воспользуйтесь решением "Microsoft Defender для удостоверений", чтобы принимать локальные сигналы Active Directory для идентификации, обнаружения и исследования расширенных угроз, скомпрометированных удостоверений и внутренних вредоносных действий, направленных на организацию.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-3. Включение ведения журнала для исследования безопасности

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Принцип безопасности. Включите ведение журнала для облачных ресурсов, чтобы выполнить требования к анализу инцидентов безопасности, реагированию на них и нормативному соответствию.

Руководство Azure. Включите возможность ведения журналов для ресурсов на разных уровнях, например журналов для ресурсов Azure, операционных систем и приложений на виртуальных машинах, а также других типов журналов.

Ознакомьтесь с различными типами журналов безопасности и аудита, а также другими журналами операций на уровне управления и в плоскости данных. На платформе Azure доступны три типа журналов.

  • Журнал ресурсов Azure — регистрация операций, выполняемых в рамках ресурса Azure (плоскость данных). Например, это может быть получение секрета из хранилища ключей или совершение запроса к базе данных. Содержимое журналов ресурсов зависит от типа ресурса и конкретной службы Azure.
  • Журнал действий Azure — регистрация операций в каждом ресурсе Azure на уровне подписки извне (уровень управления). Журнал действий позволяет ответить на вопросы "что?", "кто?" и "когда?", касающиеся любой операции записи (PUT, POST, DELETE) для ресурсов в вашей подписке. Для каждой подписки Azure существует один журнал действий.
  • Журналы Azure Active Directory — содержат историю действий входа и журнал аудита изменений, внесенных в Azure Active Directory для конкретного арендатора.

С помощью Microsoft Defender для облака и Политики Azure можно также включить сбор журналов ресурсов и данных для ресурсов Azure.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-4. Включение ведения сетевого журнала для исследования безопасности

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10,8

Принцип безопасности. Включите ведение журнала для сетевых служб, чтобы обеспечить исследование инцидентов, поиск угроз и создание оповещений о безопасности сети. Сетевые журналы могут включать в себя журналы сетевых служб, таких как фильтрация IP-адресов, брандмауэр сети и приложений, DNS, мониторинг потоков и т. д.

Руководство Azure. Включите и выполните сбор данных для журналов ресурсов группы безопасности сети (NSG), журналов потоков NSG, журналов Брандмауэра Azure и журналов Брандмауэра веб-приложений (WAF) в целях анализа безопасности с поддержкой исследования инцидентов, поиска угроз и создания оповещений о безопасности. Журналы потоков можно отправить в рабочую область Azure Monitor Log Analytics, а затем использовать Аналитику трафика для получения ценных сведений.

Собирайте журналы запросов DNS для корреляции с другими сетевыми данными.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-5: централизованные управление журналом безопасности и анализ

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 Н/Д

Принцип безопасности. Централизуйте хранение и анализ журналов, чтобы обеспечить корреляцию их данных. Для каждого источника журнала убедитесь, что назначен владелец данных, разработано руководство по доступу, есть место хранения, определено, какие средства используются для обработки данных и доступа к ним, и установлены требования к хранению данных.

Руководство Azure. Интегрируйте журналы действий Azure с централизованной рабочей областью Log Analytics. Используйте Azure Monitor для запроса и выполнения анализа и создания правил генерации оповещений на основе журналов, собранных из служб Azure, с конечных устройств, из сетевых ресурсов и других систем безопасности.

Кроме того, активируйте и подключите данные к решению Azure Sentinel, которое предоставляет возможности управления информационной безопасностью и событиями безопасности (SIEM) и автоматического ответа с помощью оркестрации операций защиты (SOAR).

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-6: Настройка хранения журналов

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Принцип безопасности. Спланируйте стратегию хранения журналов согласно нормативным требованиям и потребностям бизнеса. Настройте политику хранения журналов для отдельных служб ведения журналов, чтобы обеспечить надлежащее архивирование журналов.

Руководство Azure. Такие журналы, как журналы действий Azure, хранятся 90 дней, а затем удаляются. Следует создать параметр диагностики и направлять записи журналов в другое расположение (например, рабочую область Log Analytics в Azure Monitor, Центры событий или службу хранилища Azure) в зависимости от ваших потребностей. Эта стратегия также применяется к другим журналам ресурсов и ресурсам, управляемым вами, таким как журналы операционных систем и приложений на виртуальных машинах.

Доступны указанные ниже варианты хранения журналов.

  • Используйте рабочую область Log Analytics в Azure Monitor для хранения журналов в течение периода до одного года или в соответствии с требованиями группы реагирования.
  • Используйте службу хранилища Azure, Data Explorer или Data Lake для долгосрочного и архивного хранения в течение более чем одного года в соответствии с требованиями безопасности.
  • Используйте Центры событий Azure для пересылки журналов за пределы Azure.

Примечание. В качестве сервера для хранения журналов в Azure Sentinel используется рабочая область Log Analytics. Если вы планируете хранить журналы SIEM дольше, следует рассмотреть стратегию долгосрочного хранения.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-7. Использование утвержденных источников синхронизации времени

Идентификаторы CIS Controls v8 Идентификатор (-ы) NIST SP 800-53 r4 Идентификаторы PCI-DSS v3.2.1
8.4 AU-8 10.4

Принцип безопасности. Используйте утвержденные источники синхронизации времени для добавления меток времени ведения журнала, включая дату, время и сведения о часовом поясе.

Руководство Azure. Корпорация Майкрософт поддерживает источники времени для большинства служб PaaS и SaaS в Azure. Для операционных систем вычислительных ресурсов используйте NTP-сервер по умолчанию (Microsoft) для синхронизации времени, если нет других требований. Если необходимо установить собственный NTP-сервер, обеспечьте безопасность порта службы UDP 123.

Все журналы, создаваемые ресурсами в Azure, содержат метки времени с часовым поясом, указанным по умолчанию.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):