Säkerhetskontroll V2: Loggning och hotidentifiering
Anteckning
Det senaste Azure Security Benchmark finns här.
Loggning och hotidentifiering omfattar kontroller för att identifiera hot i Azure och aktivera, samla in och lagra granskningsloggar för Azure-tjänster. Detta omfattar aktivering av identifierings-, undersöknings- och reparationsprocesser med kontroller för att generera aviseringar av hög kvalitet med inbyggd hotidentifiering i Azure-tjänster. Den omfattar även insamling av loggar med Azure Monitor, centralisering av säkerhetsanalys med Azure Sentinel, tidssynkronisering och loggkvarhållning.
LT-1: Aktivera hotidentifiering för Azure-resurser
| Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Se till att du övervakar olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få aviseringar av hög kvalitet för att minska falska positiva identifieringar för analytiker att sortera igenom. Aviseringar kan hämtas från loggdata, agenter eller andra data.
Använd Azure Defender, som baseras på övervakning av Telemetri för Azure-tjänsten och analys av tjänstloggar. Data samlas in med Log Analytics-agenten, som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från systemet och kopierar data till din arbetsyta för analys.
Använd dessutom Azure Sentinel för att skapa analysregler som jagar hot som matchar specifika kriterier i din miljö. Reglerna genererar incidenter när kriterierna matchas, så att du kan undersöka varje incident. Azure Sentinel kan också importera hotinformation från tredje part för att förbättra funktionen för hotidentifiering.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure
| Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| LT-2 | 6.8 | AU-3, AU-6, AU-12, SI-4 |
Azure AD innehåller följande användarloggar som kan visas i Azure AD rapportering eller integreras med Azure Monitor, Azure Sentinel eller andra SIEM/övervakningsverktyg för mer avancerade användningsfall för övervakning och analys:
Inloggningsaktiviteter – Rapporten för inloggningsaktiviteter ger information om användningen av hanterade program och användares inloggningsaktiviteter.
Granskningsloggar – Ger spårbarhet via loggar för alla ändringar som gjorts via olika funktioner i Azure AD. Exempel på granskningsloggar är de resursändringar som görs i Azure AD, som att lägga till eller ta bort användare, appar, grupper, roller och principer.
Riskfyllda inloggningar – En riskfylld inloggning indikerar ett potentiellt inloggningsförsök av någon annan än användarkontots ägare.
Användare som har flaggats för risk – En användare som har flaggats för risk indikerar att ett användarkonto kan ha komprometterats.
Azure Security Center kan också varna om vissa misstänkta aktiviteter, till exempel ett överdrivet antal misslyckade autentiseringsförsök och inaktuella konton i prenumerationen. Förutom den grundläggande övervakningen av säkerhetshygien kan Azure Defender även samla in mer djupgående säkerhetsaviseringar från enskilda Azure-beräkningsresurser (till exempel virtuella datorer, containrar, App Service), dataresurser (till exempel SQL DB och lagring) och Azure-tjänstlager. Med den här funktionen kan du se kontoavvikelser i de enskilda resurserna.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
LT-3: Aktivera loggning av nätverksaktiviteter i Azure
| Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Aktivera och samla in nätverkssäkerhetsgruppsloggar (NSG), NSG-flödesloggar, Azure Firewall loggar och Web Application Firewall-loggar (WAF) för säkerhetsanalys för att stödja incidentundersökningar, hotjakt och generering av säkerhetsaviseringar. Du kan skicka flödesloggarna till en Azure Monitor Log Analytics-arbetsyta och sedan använda Trafikanalys för att ge insikter.
Se till att du samlar in DNS-frågeloggar för att korrelera andra nätverksdata.
Så här aktiverar du flödesloggar för nätverkssäkerhetsgrupper
Samla in insikter om din DNS-infrastruktur med DNS-analyslösningen
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
LT-4: Aktivera loggning för Azure-resurser
| Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Aktivera loggning för Azure-resurser för att uppfylla kraven för efterlevnad, hotidentifiering, jakt och incidentundersökning.
Du kan använda Azure Security Center och Azure Policy för att aktivera resursloggar och loggdata som samlas in på Azure-resurser för åtkomst till gransknings-, säkerhets- och resursloggar. Aktivitetsloggar, som är automatiskt tillgängliga, inkluderar händelsekälla, datum, användare, tidsstämpel, källadresser, måladresser och andra användbara element.
Ansvar: Delad
Intressenter för kundsäkerhet (läs mer):
Infrastruktur- och slutpunktssäkerhet
LT-5: Central hantering och analys av säkerhetsloggar
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Centralisera loggningslagring och analys för att aktivera korrelation. För varje loggkälla kontrollerar du att du har tilldelat en dataägare, åtkomstvägledning, lagringsplats, vilka verktyg som används för att bearbeta och komma åt data samt krav på datakvarhållning.
Se till att du integrerar Azure-aktivitetsloggar i din centrala loggning. Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att fråga och utföra analyser och använda Azure Storage-konton för långsiktig lagring och arkivlagring.
Dessutom aktiverar och registrerar du data till Azure Sentinel eller en SIEM från tredje part.
Många organisationer väljer att använda Azure Sentinel för "frekventa" data som används ofta och Azure Storage för "kalla" data som används mindre ofta.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
LT-6: Konfigurera kvarhållning av loggar
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| LT-6 | 6.4 | AU-3, AU-11 |
Konfigurera loggkvarhållningen enligt dina efterlevnads-, reglerings- och affärskrav.
I Azure Monitor kan du ange kvarhållningsperioden för Log Analytics-arbetsytan enligt organisationens efterlevnadsregler. Använd Azure Storage-, Data Lake- eller Log Analytics-arbetsytekonton för långsiktig lagring och arkivering.
Konfigurera kvarhållningsprincip för Azure Storage-kontologgar
Azure Security Center aviseringar och rekommendationer exporteras
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
LT-7: Använd godkända tidssynkroniseringskällor
| Azure-ID | CIS Controls v7.1 ID:n | NIST SP 800-53 r4 ID:n |
|---|---|---|
| LT-7 | 6.1 | AU-8 |
Microsoft underhåller tidskällor för de flesta Azure PaaS- och SaaS-tjänster. För dina virtuella datorer använder du Microsofts standard-NTP-server för tidssynkronisering om du inte har ett specifikt krav. Om du behöver stå upp för din egen NTP-server (Network Time Protocol) kontrollerar du att du skyddar UDP-tjänstporten 123.
Alla loggar som genereras av resurser i Azure tillhandahåller tidsstämplar med tidszonen som anges som standard.
Så här konfigurerar du tidssynkronisering för Azure Windows-beräkningsresurser
Konfigurera tidssynkronisering för Azure Linux-beräkningsresurser
Ansvar: Delad
Intressenter för kundsäkerhet (läs mer):