Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Anmärkning
Den senaste up-toAzure Security Benchmark är tillgänglig här.
Loggning och hotidentifiering omfattar kontroller för att identifiera hot i Azure och aktivera, samla in och lagra granskningsloggar för Azure-tjänster. Detta inkluderar att möjliggöra identifierings-, undersöknings- och reparationsprocesser med kontroller för att generera aviseringar av hög kvalitet med inbyggd hotidentifiering i Azure-tjänster. Det omfattar även insamling av loggar med Azure Monitor, centralisering av säkerhetsanalys med Azure Sentinel, tidssynkronisering och loggkvarhållning.
Information om det inbyggda Azure Policy finns i Information om det inbyggda initiativet Azure Security Benchmark Regulatory Compliance: Loggning och hotidentifiering
LT-1: Aktivera hotidentifiering för Azure-resurser
| Azure-ID | CIS-kontroller v7.1-ID:er | NIST SP 800-53 r4 ID(er) |
|---|---|---|
| LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Se till att du övervakar olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få aviseringar av hög kvalitet för att minska falska positiva identifieringar för analytiker att sortera igenom. Aviseringar kan hämtas från loggdata, agenter eller andra data.
Använd Azure Defender, som baseras på övervakning av Azure-tjänsttelemetri och analys av tjänstloggar. Data samlas in med hjälp av Log Analytics-agenten, som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från systemet och kopierar data till din arbetsyta för analys.
Dessutom kan du använda Azure Sentinel för att skapa analysregler som jagar hot som matchar specifika kriterier i din miljö. Reglerna genererar incidenter när kriterierna matchas, så att du kan undersöka varje incident. Azure Sentinel kan också importera hotinformation från tredje part för att förbättra sin hotidentifieringsförmåga.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
LT-2: Aktivera hotidentifiering för Azure-identitets- och åtkomsthantering
| Azure-ID | CIS-kontroller v7.1-ID:er | NIST SP 800-53 r4 ID(er) |
|---|---|---|
| LT-2 | 6.8 | AU-3, AU-6, AU-12, SI-4 |
Azure AD tillhandahåller följande användarloggar som kan visas i Azure AD-rapportering eller integreras med Azure Monitor, Azure Sentinel eller andra SIEM/övervakningsverktyg för mer avancerade användningsfall för övervakning och analys:
Inloggningar – Inloggningsrapporten innehåller information om användningen av hanterade program och användarinloggningsaktiviteter.
Granskningsloggar – Ger spårbarhet via loggar för alla ändringar som görs av olika funktioner i Azure AD. Exempel på granskningsloggar är ändringar som gjorts i alla resurser i Azure AD som att lägga till eller ta bort användare, appar, grupper, roller och principer.
Riskfyllda inloggningar – En riskfylld inloggning är en indikator för ett inloggningsförsök som kan ha utförts av någon som inte är legitim ägare till ett användarkonto.
Användare som har flaggats för risk – En riskfylld användare är en indikator för ett användarkonto som kan ha komprometterats.
Azure Security Center kan också avisera om vissa misstänkta aktiviteter, till exempel ett överdrivet antal misslyckade autentiseringsförsök och inaktuella konton i prenumerationen. Förutom den grundläggande övervakningen av säkerhetshygien kan Azure Defender även samla in mer djupgående säkerhetsaviseringar från enskilda Azure-beräkningsresurser (till exempel virtuella datorer, containrar, apptjänst), dataresurser (till exempel SQL DB och lagring) och Azure-tjänstlager. Med den här funktionen kan du se kontoavvikelser i de enskilda resurserna.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
LT-3: Aktivera loggning för Azure-nätverksaktiviteter
| Azure-ID | CIS-kontroller v7.1-ID:er | NIST SP 800-53 r4 ID(er) |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Aktivera och samla in resursloggar för nätverkssäkerhetsgrupper (NSG), NSG-flödesloggar, Azure Firewall-loggar och WAF-loggar (Web Application Firewall) för säkerhetsanalys för att stödja incidentundersökningar, hotjakt och generering av säkerhetsaviseringar. Du kan skicka flödesloggarna till en Azure Monitor Log Analytics-arbetsyta och sedan använda Traffic Analytics för att ge insikter.
Se till att du samlar in DNS-frågeloggar för att hjälpa till att korrelera andra nätverksdata.
Så här aktiverar du flödesloggar för nätverkssäkerhetsgrupper
Samla in insikter om DIN DNS-infrastruktur med DNS Analytics-lösningen
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
LT-4: Aktivera loggning för Azure-resurser
| Azure-ID | CIS-kontroller v7.1-ID:er | NIST SP 800-53 r4 ID(er) |
|---|---|---|
| LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Aktivera loggning för Azure-resurser för att uppfylla kraven för efterlevnad, hotidentifiering, jakt och incidentundersökning.
Du kan använda Azure Security Center och Azure Policy för att aktivera resursloggar och loggdata som samlar in data på Azure-resurser för åtkomst till gransknings-, säkerhets- och resursloggar. Aktivitetsloggar, som är automatiskt tillgängliga, inkluderar händelsekälla, datum, användare, tidsstämpel, källadresser, måladresser och andra användbara element.
Ansvar: Delat
Intressenter för kundsäkerhet (läs mer):
Infrastruktur och slutpunktssäkerhet
LT-5: Centralisera hantering och analys av säkerhetsloggar
| Azure-ID | CIS-kontroller v7.1-ID:er | NIST SP 800-53 r4 ID(er) |
|---|---|---|
| LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Centralisera loggning, lagring och analys för att möjliggöra korrelation. För varje loggkälla kontrollerar du att du har tilldelat en dataägare, åtkomstvägledning, lagringsplats, vilka verktyg som används för att bearbeta och komma åt data samt krav på datakvarhållning.
Se till att du integrerar Azure-aktivitetsloggar i din centrala loggning. Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att fråga och utföra analyser och använda Azure Storage-konton för långsiktig lagring och arkivering.
Dessutom kan du aktivera och registrera data för att Azure Sentinel eller en SIEM från tredje part.
Många organisationer väljer att använda Azure Sentinel för "frekventa" data som används ofta och Azure Storage för "kalla" data som används mindre ofta.
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
LT-6: Konfigurera kvarhållning av logglagring
| Azure-ID | CIS-kontroller v7.1-ID:er | NIST SP 800-53 r4 ID(er) |
|---|---|---|
| LT-6 | 6.4 | AU-3, AU-11 |
Konfigurera loggkvarhållningen enligt dina efterlevnads-, regel- och affärskrav.
I Azure Monitor kan du ange kvarhållningsperioden för Log Analytics-arbetsytan enligt organisationens efterlevnadsregler. Använd Azure Storage-, Data Lake- eller Log Analytics-arbetsytekonton för långsiktig lagring och arkivering.
Konfigurera kvarhållningsprincip för Azure Storage-kontologgar
Export av Azure Security Center-aviseringar och rekommendationer
Ansvar: Kund
Intressenter för kundsäkerhet (läs mer):
LT-7: Använd godkända tidssynkroniseringskällor
| Azure-ID | CIS-kontroller v7.1-ID:er | NIST SP 800-53 r4 ID(er) |
|---|---|---|
| LT-7 | 6.1 | AU-8 |
Microsoft underhåller tidskällor för de flesta Azure PaaS- och SaaS-tjänster. För dina virtuella datorer använder du Microsofts standard-NTP-server för tidssynkronisering om du inte har ett specifikt krav. Om du behöver sätta upp en egen NTP-server, säkerställer du att du skyddar UDP-tjänstporten 123.
Alla loggar som genereras av resurser i Azure ger tidsstämplar med den tidszon som anges som standard.
Konfigurera tidssynkronisering för Azure Windows-beräkningsresurser
Konfigurera tidssynkronisering för Azure Linux-beräkningsresurser
Ansvar: Delat
Intressenter för kundsäkerhet (läs mer):