安全控制:日志记录和威胁检测
日志记录和威胁检测涵盖用于检测云上的威胁以及为云服务启用、收集和存储审核日志的控制措施,包括允许使用通过云服务中的本机威胁检测生成高质量警报的控制措施来检测、调查和修正过程;它还包括通过云监视服务收集日志,通过 SEM、时间同步和日志保留进行集中安全分析。
LT-1:启用威胁检测功能
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.11 | AU-3、AU-6、AU-12、SI-4 | 10.6、10.8、A3.5 |
安全原则:若要支持威胁检测方案,请监视所有已知资源类型,了解已知和预期的威胁和异常。 配置警报筛选和分析规则以从日志数据、代理或其他数据源中提取高质量警报,从而减少误报。
Azure 指南:将 Microsoft Defender for Cloud 的威胁检测功能用于相应的 Azure 服务。
有关Microsoft Defender服务中未包含的威胁检测,请参阅相应服务的 Microsoft 云安全基准服务基线,以便在服务中启用威胁检测或安全警报功能。 将来自 Microsoft Defender for Cloud 的警报和日志数据、Microsoft 365 Defender以及来自其他资源的日志数据引入 Azure Monitor 或 Microsoft Sentinel 实例,以生成分析规则,以检测威胁并创建符合环境中特定条件的警报。
对于操作技术 (OT) 环境,包括控制或监视工业控制系统 (ICS) 或监督控制和数据采集的计算机 (SCADA) 资源,请使用 ioT Microsoft Defender 来清点资产并检测威胁和漏洞。
对于没有本机威胁检测功能的服务,请考虑通过 Microsoft Sentinel 收集数据平面日志并分析威胁。
Azure 实现和其他上下文:
- Microft Defender for Cloud 简介
- Microsoft Defender for Cloud 安全警报参考指南
- 创建自定义分析规则以检测威胁
- Microsoft Sentinel 中网络威胁情报的威胁指标
AWS 指南:使用 Amazon GuardDuty 进行威胁检测,以分析和处理以下数据源:VPC 流日志、AWS CloudTrail 管理事件日志、CloudTrail S3 数据事件日志、EKS 审核日志和 DNS 日志。 GuardDuty 能够报告安全问题,例如权限提升、公开的凭据使用情况或与恶意 IP 地址或域的通信。
配置 AWS Config 以在 SecurityHub 中检查规则,以便进行配置偏移等合规性监视,并在需要时创建结果。
对于未包含在 GuardDuty 和 SecurityHub 中的威胁检测,请在支持的 AWS 服务中启用威胁检测或安全警报功能。 将警报提取到 CloudTrail、CloudWatch 或 Microsoft Sentinel,以生成分析规则,以搜寻与整个环境中特定条件匹配的威胁。
还可以使用 Microsoft Defender for Cloud 监视 AWS 中的某些服务,例如 EC2 实例。
对于操作技术 (OT) 环境,包括控制或监视工业控制系统 (ICS) 或监督控制和数据采集的计算机 (SCADA) 资源,请使用 ioT Microsoft Defender 来清点资产并检测威胁和漏洞。
AWS 实现和其他上下文:
- Amazon GuardDuty
- Amazon GuardDuty 数据源
- 将 AWS 帐户连接到 Microsoft Defender for Cloud
- Defender for Cloud 应用如何帮助保护你的 Amazon Web Services (AWS) 环境
- AWS 资源的安全性建议 - 参考指南
GCP 指南:使用 Google Cloud 安全命令中心的事件威胁检测使用日志数据(例如管理员活动、GKE 数据访问、VPC 流日志、云 DNS 和防火墙日志)进行威胁检测。
此外,将安全运营套件用于具有 Chronicle SIEM 和 SOAR 的新式 SOC。 Chronicle SIEM 和 SOAR 提供威胁检测、调查和搜寻功能
还可以使用 Microsoft Defender for Cloud 监视 GCP 中的某些服务,例如计算 VM 实例。
对于操作技术 (OT) 环境,包括控制或监视工业控制系统 (ICS) 或监督控制和数据采集的计算机 (SCADA) 资源,请使用 ioT Microsoft Defender 来清点资产并检测威胁和漏洞。
GCP 实现和其他上下文:
- 安全命令中心事件威胁检测概述
- 编年史 SOAR
- Defender for Cloud Apps 如何帮助保护 Google Cloud Platform (GCP) 环境
- GCP 资源的安全性建议 - 参考指南
客户安全利益干系人 (详细了解) :
LT-2:为标识和访问管理启用威胁检测
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.11 | AU-3、AU-6、AU-12、SI-4 | 10.6、10.8、A3.5 |
安全原则:通过监视用户和应用程序登录和访问异常来检测标识和访问管理的威胁。 应针对失败的登录尝试次数过多和使用了订阅中的已弃用帐户等行为模式发出警报。
Azure 指南:Azure AD 提供可在 Azure AD 报告中查看的以下日志,或与 Azure Monitor、Microsoft Sentinel 或其他 SIEM/监视工具集成,用于更复杂的监视和分析用例:
- 登录:登录报告提供有关托管应用程序的使用情况和用户登录活动的信息。
- 审核日志:通过日志为 Azure AD 中的各种功能所做的所有更改提供可跟踪性。 审核日志的示例包括对 Azure AD 中的任何资源(例如添加或删除用户、应用、组、角色和策略)所做的更改。
- 风险登录:风险登录指示可能由非用户帐户合法所有者进行的登录尝试。
- 已标记为存在风险的用户:风险用户指示可能已泄密的用户帐户。
Azure AD 还提供标识保护模块,用于检测和修正与用户帐户和登录行为相关的风险。 风险示例包括凭据泄露、从匿名或恶意软件链接的 IP 地址登录、密码喷射。 Azure AD 标识保护中的策略允许对用户帐户与 Azure 条件访问一起强制实施基于风险的 MFA 身份验证。
此外,可以将 Microsoft Defender for Cloud 配置为在使用了订阅中的已弃用帐户和出现可疑活动(例如失败的身份验证尝试次数过多)时发出警报。 除了基本的安全卫生监视,Microsoft Defender for Cloud 的威胁防护模块还可从各个 Azure 计算资源(例如虚拟机、容器、应用服务)、数据资源(例如 SQL DB 和存储)和 Azure 服务层收集更深入的安全警报。 通过此功能可查看单个资源中的帐户异常情况。
注意:如果要连接本地 Active Directory 以实现同步,请借助 Microsoft Defender for Identity 解决方案,使用本地 Active Directory 信号来识别、检测和调查针对组织的高级威胁、身份盗用和恶意内部操作。
Azure 实现和其他上下文:
- Azure AD 中的审核活动报告
- 启用 Azure 标识保护
- Microsoft Defender for Cloud 中的威胁防护
- Microsoft Defender for Identity概述
AWS 指南:AWS IAM 通过 IAM 访问顾问和 IAM 凭据报告提供以下报告控制台用户活动的日志和报告:
- 每次成功登录和不成功的登录尝试。
- 多重身份验证 (每个用户的 MFA) 状态。
- 休眠 IAM 用户
对于 API 级别访问监视和威胁检测,请使用 Amazon GuadDuty 确定与 IAM 相关的结果。 这些发现的示例包括:
- API 用于获取对 AWS 环境的访问权限,以异常方式调用,或用于逃避防御措施
- 用于:
- 发现资源以异常方式调用
- 从以异常方式调用的 AWS 环境收集数据。
- 以异常方式调用了 AWS 环境中的数据或进程。
- 以异常方式调用了对 AWS 环境的未经授权的访问。
- 维护以异常方式调用了对 AWS 环境的未经授权的访问。
- 获取对以异常方式调用的 AWS 环境的高级权限。
- 从已知的恶意 IP 地址调用。
- 使用根凭据调用。
- AWS CloudTrail 日志记录已禁用。
- 帐户密码策略被削弱。
- 观察到多个全球成功的控制台登录。
- 通过实例启动角色为 EC2 实例专门创建的凭据正从 AWS 中的另一个帐户使用。
- 正在从外部 IP 地址使用通过实例启动角色为 EC2 实例专门创建的凭据。
- 从已知的恶意 IP 地址调用了 API。
- 从自定义威胁列表上的 IP 地址调用了 API。
- 从 Tor 退出节点 IP 地址调用了 API。
AWS 实现和其他上下文:
GCP 指南:使用 Google Cloud 安全命令中心中的事件威胁检测进行特定类型的 IAM 相关威胁检测,例如检测为休眠用户托管服务帐户授予了一个或多个敏感 IAM 角色的事件。
请注意,Google Identity 日志和 Google Cloud IAM 日志都会生成管理员活动日志,但针对不同的范围。 Google Identity 日志仅适用于与 Identity Platform 对应的操作,而 IAM 日志适用于对应于 IAM for Google Cloud 的操作。 IAM 日志包含 API 调用的日志条目,或者用于修改资源配置或元数据的其他操作。 例如,当用户创建 VM 实例或更改标识和访问管理权限时,这些日志记录。
使用云标识和 IAM 报告针对某些可疑活动模式发出警报。 还可以使用策略智能来分析服务帐户活动,以确定项目中的服务帐户等活动在过去 90 天内未使用过。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
LT-3:启用日志记录以进行安全调查
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.2、8.5、8.12 | AU-3、AU-6、AU-12、SI-4 | 10.1、10.2、10.3 |
安全原则:为云资源启用日志记录,以满足安全事件调查和安全响应与合规性的要求。
Azure 指南:为不同层的资源启用日志记录功能,例如 VM 和其他日志类型中 Azure 资源、操作系统和应用程序的日志。
请注意管理/控制平面和数据平面层中不同类型的安全日志、审核日志和其他操作日志。 Azure 平台提供三种类型的日志:
- Azure 资源日志:记录在 Azure 资源(数据平面)内执行的操作。 例如,从密钥保管库获取密钥或向数据库发出请求。 资源日志的内容因 Azure 服务和资源类型而异。
- Azure 活动日志:记录外部(管理平面)中订阅层每个 Azure 资源的操作。 可以使用活动日志来确定对订阅中的资源 (PUT、POST、DELETE) 执行的任何写入操作的内容、人员以及时间。 每个 Azure 订阅都有一个活动日志。
- Azure Active Directory 日志:记录特定租户登录活动的历史记录和 Azure Active Directory 中所做更改的审核线索。
还可以使用 Microsoft Defender for Cloud 和 Azure Policy 在 Azure 资源上启用资源日志和日志数据收集。
Azure 实现和其他上下文:
AWS 指南:将 AWS CloudTrail 日志记录用于管理事件 (控制平面操作) 和数据事件 (数据平面操作) ,并使用 CloudWatch 监视这些跟踪以执行自动化操作。
借助 Amazon CloudWatch 日志服务,可以近乎实时地收集和存储来自资源、应用程序和服务的日志。 日志有三个main类别:
- 已发送的日志:AWS 服务代表你本机发布的日志。 目前,Amazon VPC 流日志和 Amazon Route 53 日志是支持的两种类型。 默认情况下,这两个日志处于启用状态。
- AWS 服务发布的日志:来自 30 多个 AWS 服务的日志发布到 CloudWatch。 它们包括 Amazon API 网关、AWS Lambda、AWS CloudTrail 等。 可以直接在服务和 CloudWatch 中启用这些日志。
- 自定义日志:来自你自己的应用程序和本地资源的日志。 可能需要通过在操作系统中安装 CloudWatch 代理并将其转发到 CloudWatch 来收集这些日志。
虽然许多服务仅将日志发布到 CloudWatch 日志,但某些 AWS 服务可以将日志直接发布到 AmazonS3 或 Amazon Kinesis Data Firehose,你可以在其中使用不同的日志记录存储和保留策略。
AWS 实现和其他上下文:
GCP 指南:为不同层的资源启用日志记录功能,例如 VM 和其他日志类型中 Azure 资源、操作系统和应用程序的日志。
请注意管理/控制平面和数据平面层中不同类型的安全日志、审核日志和其他操作日志。 Operations Suite 云日志记录服务从资源层收集和聚合所有类型的日志事件。 云日志记录支持四类日志:
- 平台日志 - 由 Google 云服务编写的日志。
- 组件日志 - 类似于平台日志,但它们是由 Google 提供的在系统上运行的软件组件生成的日志。
- 安全日志 - 主要审核记录资源中的管理活动和访问的日志。
- 用户写入 - 由自定义应用程序和服务编写的日志
- 多云日志和混合云日志 - 来自其他云提供商(如 Microsoft Azure)的日志和来自本地基础结构的日志。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
LT-4:启用网络日志记录以进行安全调查
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.2、8.5、8.6、8.7、13.6 | AU-3、AU-6、AU-12、SI-4 | 10.8 |
安全原则:为网络服务启用日志记录,以支持与网络相关的事件调查、威胁搜寻和安全警报生成。 网络日志可能包括来自网络服务的日志,例如 IP 筛选、网络和应用程序防火墙、DNS、流量监视等。
Azure 指南:通过网络流量数据收集代理启用和收集网络安全组 (NSG) 资源日志、NSG 流日志、Azure 防火墙日志,以及通过网络流量数据收集代理从虚拟机Web 应用程序防火墙 (WAF) 日志进行安全分析,以支持事件调查和安全警报生成。 可将流日志发送到 Azure Monitor Log Analytics 工作区,然后使用流量分析提供见解。
收集 DNS 查询日志以帮助关联其他网络数据。
Azure 实现和其他上下文:
AWS 指南:启用和收集网络日志(如 VPC 流日志、WAF 日志和 Route53 解析程序查询日志)进行安全分析,以支持事件调查和安全警报生成。 日志可以导出到 CloudWatch 进行监视,也可以导出到 S3 存储存储桶,以便引入 Microsoft Sentinel 解决方案进行集中分析。
AWS 实现和其他上下文:
GCP 指导:大多数网络活动日志通过 VPC 流日志提供,该日志记录了从资源发送和接收的网络流示例,包括用作 Google Compute VM 的实例、Kubernetes 引擎节点。 这些日志可用于网络监视、取证、实时安全分析和费用优化。
可以在云日志记录中查看流日志,并将日志导出到云日志记录导出支持的目标。 流日志通过来自计算引擎 VM 的连接进行聚合,并实时导出。 通过订阅发布/订阅,可以使用实时流式处理 API 分析流日志。
注意:还可以使用数据包镜像克隆虚拟私有云 (VPC) 网络中指定实例的流量,并将其转发以供检查。 数据包镜像捕获所有流量和数据包数据,包括有效负载和标头。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
LT-5:集中管理和分析安全日志
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.9、8.11、13.1 | AU-3、AU-6、AU-12、SI-4 | 空值 |
安全原则:集中日志记录存储和分析,以实现跨日志数据的关联。 对于每个日志源,请确保已分配数据所有者、访问指南、存储位置、用于处理和访问数据的工具以及数据保留要求。
如果没有适用于 CSP 的现有 SIEM 解决方案,请使用云原生 SIEM。 或将日志/警报聚合到现有 SIEM 中。
Azure 指南:确保将 Azure 活动日志集成到集中式 Log Analytics 工作区中。 使用 Azure Monitor 查询和执行分析,并使用从 Azure 服务、终结点设备、网络资源和其他安全系统聚合的日志创建预警规则。
此外,启用数据并将其载入 Microsoft Sentinel,它提供安全信息事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 功能。
Azure 实现和其他上下文:
AWS 指南:确保将 AWS 日志集成到集中式资源中,以便进行存储和分析。 使用 CloudWatch 查询和执行分析,并使用从 AWS 服务、服务、终结点设备、网络资源和其他安全系统聚合的日志创建警报规则。
此外,还可以聚合 S3 存储桶中的日志,并将日志数据载入 Microsoft Sentinel,后者提供安全信息事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 功能。
AWS 实现和其他上下文:
GCP 指南:确保将 GCP 日志集成到集中式资源 (,例如 Operations Suite Cloud Logging bucket) ,用于存储和分析。 云日志记录支持大多数 Google Cloud 本机服务日志记录以及第三方应用程序和本地应用程序。 可以使用云日志记录进行查询和执行分析,并使用从 GCP 服务、终结点设备、网络资源和其他安全系统聚合的日志创建警报规则。
如果没有适用于 CSP 的现有 SIEM 解决方案,或者将日志/警报聚合到现有 SIEM 中,请使用云原生 SIEM。
注意:Google 提供两个日志查询前端:日志资源管理器和 Log Analytics,用于查询、查看和分析日志。 若要对日志数据进行故障排除和浏览,建议使用日志资源管理器。 若要生成见解和趋势,建议使用 Log Analytics。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
LT-6:配置日志存储保留期
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.3、8.10 | AU-11 | 10.5、10.7 |
安全原则:根据合规性、法规和业务要求规划日志保留策略。 在各个日志记录服务中配置日志保留策略,以确保对日志进行正确存档。
Azure 指南:Azure 活动日志等日志将保留 90 天,然后删除。 应根据需要创建诊断设置并将日志路由到其他位置 (,例如 Azure Monitor Log Analytics 工作区、事件中心或 Azure 存储) 。 此策略也适用于由自己管理的其他资源日志和资源,例如操作系统中的日志和 VM 中的应用程序。
日志保留选项如下所示:
- 使用 Azure Monitor Log Analytics 工作区的日志保留期最长为 1 年或基于响应团队的要求。
- 使用 Azure 存储、数据资源管理器或 Data Lake 进行超过 1 年的长期和存档存储,并满足安全合规性要求。
- 使用 Azure 事件中心 将日志转发到 Azure 外部的外部资源。
注意:Microsoft Sentinel 使用 Log Analytics 工作区作为其日志存储的后端。 如果打算将 SIEM 日志保留更长时间,则应考虑长期存储策略。
Azure 实现和其他上下文:
AWS 指南:默认情况下,日志在 CloudWatch 中无限期保留且永不过期。 可以调整每个日志组的保留策略,保留无限期保留,或选择 10 年到一天的保留期。
使用 Amazon S3 从 CloudWatch 进行日志存档,并将对象生命周期管理和存档策略应用于存储桶。 通过将文件从 Amazon S3 传输到 Azure 存储,可以使用 Azure 存储进行中央日志存档。
AWS 实现和其他上下文:
GCP 指南:默认情况下,Operations Suite 云日志记录会将日志保留 30 天,除非为云日志记录存储桶配置自定义保留期。 管理员活动审核日志、系统事件审核日志和访问透明度日志默认保留 400 天。 可以将云日志记录配置为将日志保留 1 天到 3650 天。
使用云存储从云日志记录进行日志存档,并将对象生命周期管理和存档策略应用于存储桶。 通过将文件从 Google Cloud Storage 传输到 Azure 存储,可以使用 Azure 存储进行集中日志存档。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
LT-7:使用批准的时间同步源
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.4 | AU-8 | 10.4 |
安全原则:将批准的时间同步源用于日志记录时间戳,其中包括日期、时间和时区信息。
Azure 指南:Microsoft 为大多数 Azure PaaS 和 SaaS 服务维护时间源。 对于计算资源操作系统,除非有特定要求,否则请使用 Microsoft 默认的 NTP 服务器进行时间同步。 如果需要建立自己的网络时间协议 (NTP) 服务器,请务必保护 UDP 服务端口 123 的安全。
Azure 中资源生成的所有日志都提供了时间戳,且默认指定时区。
Azure 实现和其他上下文:
AWS 指南:AWS 为大多数 AWS 服务维护时间源。 对于配置了操作系统时间设置的资源或服务,除非有特定要求,否则请使用 AWS 默认 Amazon Time Sync Service 进行时间同步。 如果需要建立自己的网络时间协议 (NTP) 服务器,请务必保护 UDP 服务端口 123 的安全。
AWS 中资源生成的所有日志都提供默认指定的时区时间戳。
AWS 实现和其他上下文:
GCP 指南:Google Cloud 为大多数 Google Cloud PaaS 和 SaaS 服务维护时间源。 对于计算资源操作系统,除非有特定要求,否则请使用 Google Cloud 默认 NTP 服务器进行时间同步。 如果需要 (NTP) 服务器建立自己的网络时间协议,请确保保护 UDP 服务端口 123。
注意:建议不要将外部 NTP 源与计算引擎虚拟机配合使用,而是使用 Google 提供的内部 NTP 服务器。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :