注释
此处提供了最 up-to日期的 Azure 安全基准。
日志记录和威胁检测包括用于检测 Azure 上的威胁以及为 Azure 服务启用、收集和存储审核日志的控制。 这包括通过控制措施启用检测、调查和修正过程,以在 Azure 服务中使用本机威胁检测生成高质量的警报;它还包括使用 Azure Monitor 收集日志、使用 Azure Sentinel 集中安全分析、时间同步和日志保留。
若要查看适用的内置 Azure Policy,请参阅 Azure 安全基准法规合规性内置措施的详细信息:日志记录和威胁检测
LT-1:为 Azure 资源启用威胁检测
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-1 | 6.7 | AU-3、AU-6、AU-12、SI-4 |
确保正在监视不同类型的 Azure 资产,以发现潜在的威胁和异常情况。 专注于获取高质量的警报,以减少分析人员需要处理的误报。 警报可能源自日志数据、代理或其他数据。
使用 Azure Defender,它基于监控 Azure 服务的遥测数据并分析服务日志。 使用 Log Analytics 代理收集数据,该代理从系统读取各种与安全相关的配置和事件日志,并将数据复制到工作区进行分析。
此外,使用 Azure Sentinel 生成分析规则,这些规则可搜寻与环境中特定条件匹配的威胁。 规则在条件匹配时生成事件,以便可以调查每个事件。 Azure Sentinel 还可以导入第三方威胁情报,以增强其威胁检测功能。
责任:客户
客户安全利益干系人 (了解详细信息):
LT-2:启用 Azure 标识和访问管理的威胁检测
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-2 | 6.8 | AU-3、AU-6、AU-12、SI-4 |
Azure AD 提供以下用户日志,可在 Azure AD 报告中查看或与 Azure Monitor、Azure Sentinel 或其他 SIEM/监视工具集成,以便进行更复杂的监视和分析用例:
登录 - 登录报告提供有关托管应用程序和用户登录活动使用情况的信息。
审核日志 - 通过日志为 Azure AD 中的各种功能所做的所有更改提供可跟踪性。 审核日志的示例包括对 Azure AD 中的任何资源(例如添加或删除用户、应用、组、角色和策略)所做的更改。
有风险的登录 - 有风险的登录是登录尝试的指示器,该尝试可能由不是用户帐户合法所有者的人员执行。
已标记为存在风险的用户 - 风险用户是指可能已泄露的用户帐户。
Azure 安全中心还可以针对某些可疑活动发出警报,例如过多的失败身份验证尝试和订阅中已弃用的帐户。 除了基本的安全卫生监视之外,Azure Defender 还可以从单个 Azure 计算资源(例如虚拟机、容器、应用服务)、数据资源(如 SQL DB 和存储)和 Azure 服务层收集更深入的安全警报。 此功能允许查看各个资源内的帐户异常。
责任:客户
客户安全利益干系人 (了解详细信息):
LT-3:为 Azure 网络活动启用日志记录
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3、AU-6、AU-12、SI-4 |
启用和收集网络安全组(NSG)资源日志、NSG 流日志、Azure 防火墙日志和 Web 应用程序防火墙(WAF)日志,以便进行安全分析,以支持事件调查、威胁搜寻和安全警报生成。 可将流日志发送到 Azure Monitor Log Analytics 工作区,然后使用流量分析提供见解。
确保收集 DNS 查询日志以帮助关联其他网络数据。
责任:客户
客户安全利益干系人 (了解详细信息):
LT-4:为 Azure 资源启用日志记录
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-4 系列 | 6.2, 6.3, 8.8 | AU-3、AU-12 |
启用 Azure 资源的日志记录,以满足合规性、威胁检测、搜寻和事件调查的要求。
可以使用 Azure 安全中心和 Azure Policy 在 Azure 资源上启用资源日志和日志数据收集,以便访问审核、安全和资源日志。 活动日志(自动可用)包括事件源、日期、用户、时间戳、源地址、目标地址和其他有用的元素。
责任:共享
客户安全利益干系人 (了解详细信息):
基础结构和终结点安全性
LT-5:集中管理和分析安全日志
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-5型 | 6.5, 6.6 | AU-3、SI-4 |
集中日志记录存储和分析以启用关联。 对于每个日志源,请确保已分配数据所有者、访问指南、存储位置、用于处理和访问数据的工具以及数据保留要求。
确保将 Azure 活动日志集成到中央日志记录中。 通过 Azure Monitor 引入日志,以聚合终结点设备、网络资源和其他安全系统生成的安全数据。 在 Azure Monitor 中,使用 Log Analytics 工作区来查询和执行分析,并使用 Azure 存储帐户进行长期存档存储。
此外,启用数据并将其载入 Azure Sentinel 或第三方 SIEM。
许多组织选择将 Azure Sentinel 用于“热”数据(使用频繁的数据),将 Azure 存储用于“冷”数据(使用不太频繁的数据)。
责任:客户
客户安全利益干系人 (了解详细信息):
LT-6:配置日志存储保留期
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-6 | 6.4 | AU-3、AU-11 |
根据您的合规要求、法规以及业务需求来配置日志保留时间。
在 Azure Monitor 中,可以根据组织的合规性法规设置 Log Analytics 工作区保留期。 使用 Azure 存储、Data Lake 或 Log Analytics 工作区帐户进行长期和存档存储。
责任:客户
客户安全利益干系人 (了解详细信息):
LT-7:使用批准的时间同步源
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-7 型 | 6.1 | AU-8 |
Microsoft维护大多数 Azure PaaS 和 SaaS 服务的时间源。 对于虚拟机,除非有特定的要求,否则请使用Microsoft默认 NTP 服务器进行时间同步。 如果需要建立自己的网络时间协议 (NTP) 服务器,请确保保护 UDP 服务端口 123。
Azure 中资源生成的所有日志都使用默认指定的时区提供时间戳。
责任:共享
客户安全利益干系人 (了解详细信息):