安全性控制:記錄和威脅偵測

  • 發行項

記錄和威脅偵測涵蓋在雲端上偵測威脅的控制項,以及啟用、收集及儲存雲端服務的稽核記錄,包括啟用偵測、調查和補救程式,以及控制以在雲端服務中產生具有原生威脅偵測的高品質警示;它也包含使用雲端監視服務收集記錄、使用 SIEM 集中處理安全性分析、時間同步處理和記錄保留。

LT-1:啟用威脅偵測功能

CIS 控制項 v8 識別碼 () NIST SP 800-53 r4 識別碼 (s) pci-DSS ID (s) v3.2.1
8.11 AU-3、AU-6、AU-12、SI-4 10.6、10.8、A3.5

安全性準則:若要支援威脅偵測案例,請監視已知和預期的威脅和異常的所有已知資源類型。 設定警示篩選和分析規則,以從記錄資料、代理程式或其他資料來源擷取高品質的警示,以減少誤判。

Azure 指引:針對個別 Azure 服務使用適用于雲端Microsoft Defender的威脅偵測功能。

若為Microsoft Defender服務中未包含的威脅偵測,請參閱個別服務的 Microsoft Cloud Security Benchmark 服務基準,以啟用服務內的威脅偵測或安全性警示功能。 從雲端Microsoft Defender擷取警示和記錄資料、Microsoft 365 Defender,並將其他資源的資料記錄到您的 Azure 監視器或 Microsoft Sentinel 實例,以建置分析規則,以偵測威脅並建立符合您環境特定準則的警示。

針對 Operational Technology (OT) 環境,其中包含控制或監視工業控制系統的電腦, (ICS) 或監督控制與資料擷取 (SCADA) 資源,請使用 ioT Microsoft Defender來清查資產並偵測威脅和弱點。

對於沒有原生威脅偵測功能的服務,請考慮收集資料平面記錄,並透過 Microsoft Sentinel 分析威脅。

Azure 實作和其他內容

AWS 指引:使用 Amazon GuardDuty 進行威脅偵測,以分析及處理下列資料來源:DHCP 流量記錄、AWS CloudTrail 管理事件記錄、CloudTrail S3 資料事件記錄、EKS 稽核記錄和 DNS 記錄。 GuardDuty 能夠報告安全性問題,例如許可權提升、公開的認證使用方式,或與惡意 IP 位址或網域的通訊。

設定 AWS 設定以檢查 SecurityHub 中的規則以進行合規性監視,例如設定漂移,並在需要時建立結果。

針對未包含在 GuardDuty 和 SecurityHub 中的威脅偵測,請在支援的 AWS 服務內啟用威脅偵測或安全性警示功能。 將警示擷取至 CloudTrail、CloudWatch 或 Microsoft Sentinel 以建置分析規則,以搜捕符合您環境特定準則的威脅。

您也可以使用 Microsoft Defender for Cloud 來監視 AWS 中的特定服務,例如 EC2 實例。

針對 Operational Technology (OT) 環境,其中包含控制或監視工業控制系統的電腦, (ICS) 或監督控制與資料擷取 (SCADA) 資源,請使用 ioT Microsoft Defender來清查資產並偵測威脅和弱點。

AWS 實作和其他內容

GCP 指引:使用 Google Cloud Security 命令中心的事件威脅偵測,以使用記錄資料進行威脅偵測,例如管理員活動、GKE 資料存取、VP 流量記錄、雲端 DNS 和防火牆記錄。

此外,搭配 Chronicle SIEM 和 SOAR 使用新式 SOC 的安全性作業套件。 Chronicle SIEM 和 SOAR 提供威脅偵測、調查和搜捕功能

您也可以使用 Microsoft Defender for Cloud 來監視 GCP 中的特定服務,例如計算 VM 實例。

針對 Operational Technology (OT) 環境,其中包含控制或監視工業控制系統的電腦, (ICS) 或監督控制與資料擷取 (SCADA) 資源,請使用 ioT Microsoft Defender來清查資產並偵測威脅和弱點。

GCP 實作和其他內容

客戶安全性專案關係人 (深入瞭解)

LT-2:啟用身分識別和存取管理的威脅偵測

CIS 控制項 v8 識別碼 () NIST SP 800-53 r4 識別碼 (s) pci-DSS ID (s) v3.2.1
8.11 AU-3、AU-6、AU-12、SI-4 10.6、10.8、A3.5

安全性準則:監視使用者和應用程式登入和存取異常,以偵測身分識別和存取管理的威脅。 應發出警示,例如過多失敗登入嘗試和訂用帳戶中已淘汰帳戶的行為模式。

Azure 指引:Azure AD 提供下列記錄,可在 Azure AD 報告中檢視或與 Azure 監視器、Microsoft Sentinel 或其他 SIEM/監視工具整合,以取得更複雜的監視和分析使用案例:

  • 登入:登入報告提供受控應用程式和使用者登入活動使用方式的相關資訊。
  • 稽核記錄:透過記錄提供 Azure AD 內各種功能所完成之所有變更的可追蹤性。 稽核記錄的範例包括對 Azure AD 中任何資源所做的變更,像是新增或移除使用者、應用程式、群組、角色和原則。
  • 有風險的登入:有風險的登入是登入嘗試的指標,可能是由非使用者帳戶合法擁有者所執行。
  • 標示為有風險的使用者:有風險的使用者是可能遭到入侵之使用者帳戶的指標。

Azure AD 也提供 Identity Protection 模組,以偵測和補救與使用者帳戶和登入行為相關的風險。 風險範例包括認證外泄、從匿名或惡意程式碼連結 IP 位址登入、密碼噴灑。 Azure AD Identity Protection 中的原則可讓您搭配使用者帳戶上的 Azure 條件式存取,強制執行風險型 MFA 驗證。

此外,雲端Microsoft Defender可以設定為針對訂用帳戶中已被取代的帳戶發出警示,以及可疑的活動,例如大量失敗的驗證嘗試。 除了基本的安全性防護監視之外,雲端威脅防護模組Microsoft Defender也可以從個別 Azure 計算資源收集更深入的安全性警示, (例如虛擬機器、容器、App Service) 、資料資源 (,例如 SQL DB 和儲存體) ,以及 Azure 服務層級。 這項功能可讓您查看個別資源內的帳戶異常狀況。

注意:如果您要連線內部部署的 Active Directory以進行同步處理,請使用適用於身分識別的 Microsoft Defender解決方案來取用您的內部部署的 Active Directory用來識別、偵測及調查進階威脅、遭入侵的身分識別,以及貴組織導向的惡意內部動作的訊號。

Azure 實作和其他內容

AWS 指引:AWS IAM 透過 IAM Access Advisor 和 IAM 認證報告,提供主控台使用者活動的記錄和報告:

  • 每個成功的登入和失敗的登入嘗試。
  • 多重要素驗證 (每個使用者的 MFA) 狀態。
  • 休眠 IAM 使用者

針對 API 層級存取監視和威脅偵測,請使用 Amazon GuadDuty 來識別與 IAM 相關的結果。 這些結果的範例包括:

  • 用來取得 AWS 環境的存取權且以異常方式叫用的 API,或用來規避防禦措施
  • 用來:
    • 探索資源是以異常方式叫用
    • 從 AWS 環境收集資料是以異常方式叫用。
    • 以異常方式叫用 AWS 環境中的資料或進程竄改。
    • 以異常方式叫用未經授權存取 AWS 環境。
    • 會以異常方式叫用未經授權存取 AWS 環境。
    • 以異常方式叫用 AWS 環境的高階許可權。
    • 從已知的惡意 IP 位址叫用。
    • 使用根認證來叫用。
  • AWS CloudTrail 記錄已停用。
  • 帳戶密碼原則已降低。
  • 觀察到多個全球成功的主控台登入。
  • 透過實例啟動角色為 EC2 實例建立的認證,正從 AWS 內的另一個帳戶使用。
  • 透過實例啟動角色為 EC2 實例建立的認證,正從外部 IP 位址使用。
  • 已從已知的惡意 IP 位址叫用 API。
  • 已從自訂威脅清單上的 IP 位址叫用 API。
  • 已從 Tor 結束節點 IP 位址叫用 API。

AWS 實作和其他內容

GCP 指引:針對特定類型的 IAM 相關威脅偵測使用 Google Cloud Security 命令中心的事件威脅偵測,例如偵測已授與一或多個敏感性 IAM 角色休眠使用者管理服務帳戶的事件。

請注意,Google Identity 記錄和 Google Cloud IAM 記錄都會產生管理活動記錄,但適用于不同的範圍。 Google 身分識別記錄僅適用于對應至身分識別平臺的作業,而 IAM 記錄則用於對應至 Google Cloud 的 IAM。 IAM 記錄包含 API 呼叫的記錄專案,或其他修改資源組態或中繼資料的動作。 例如,當使用者建立 VM 實例或變更身分識別和存取管理許可權時,這些記錄會記錄。

使用雲端身分識別和 IAM 報告來警示特定可疑的活動模式。 您也可以使用原則智慧來分析服務帳戶活動,以識別專案中的服務帳戶等活動在過去 90 天內未使用。

GCP 實作和其他內容

客戶安全性專案關係人 (深入瞭解)

LT-3:啟用安全性調查的記錄

CIS 控制項 v8 識別碼 () NIST SP 800-53 r4 識別碼 (s) pci-DSS ID (s) v3.2.1
8.2, 8.5, 8.12 AU-3、AU-6、AU-12、SI-4 10.1, 10.2, 10.3

安全性準則:為您的雲端資源啟用記錄,以符合安全性事件調查和安全性回應和安全性回應與合規性的需求。

Azure 指引:為不同層級的資源啟用記錄功能,例如 VM 和其他記錄類型中 Azure 資源的記錄、作業系統和應用程式。

請留意管理/控制平面和資料平面層上安全性、稽核和其他作業記錄的不同類型記錄。 Azure 平臺提供三種類型的記錄:

  • Azure 資源記錄:記錄在 Azure 資源內執行的作業, (資料平面) 。 範例如,從金鑰保存庫取得祕密,或是向資料庫提出要求。 資源記錄的內容會依 Azure 服務和資源類型而有所不同。
  • Azure 活動記錄:從外部 (管理平面) ,記錄訂用帳戶層上每個 Azure 資源上的作業。 您可以使用活動記錄來判斷在訂用帳戶中的資源上 (PUT、POST、DELETE) 任何寫入作業的時機、物件和時間。 每個 Azure 訂閱都有單一活動記錄。
  • Azure Active Directory 記錄:登入活動的記錄,以及針對特定租使用者在 Azure Active Directory 中所做的變更稽核記錄。

您也可以使用雲端和Azure 原則Microsoft Defender來啟用 Azure 資源上的資源記錄和記錄資料收集。

Azure 實作和其他內容

AWS 指引:使用 AWS CloudTrail 記錄來管理事件 (控制平面作業) 和資料事件 (資料平面作業) ,並使用 CloudWatch 監視這些線索以進行自動化動作。

Amazon CloudWatch Logs 服務可讓您近乎即時地從資源、應用程式和服務收集及儲存記錄。 記錄有三個主要類別:

  • 自動銷售記錄:代表您由 AWS 服務原生髮布的記錄。 目前,Amazon AWS Flow Logs 和 Amazon Route 53 記錄是兩種支援的類型。 預設會啟用這兩個記錄。
  • AWS 服務發佈的記錄:來自超過 30 個 AWS 服務的記錄會發佈至 CloudWatch。 它們包括 Amazon API Gateway、AWS Lambda、AWS CloudTrail,以及其他許多專案。 這些記錄可以直接在服務和 CloudWatch 中啟用。
  • 自訂記錄:來自您自己的應用程式和內部部署資源的記錄。 您可能需要在作業系統中安裝 CloudWatch 代理程式,並將其轉送至 CloudWatch,以收集這些記錄。

雖然許多服務只會將記錄發佈至 CloudWatch 記錄,但某些 AWS 服務可以直接將記錄發佈至 AmazonS3 或 Amazon Kinesis Data Firehose,您可以在其中使用不同的記錄儲存體和保留原則。

AWS 實作和其他內容

GCP 指引:為不同層級的資源啟用記錄功能,例如 Azure 資源的記錄、VM 內的作業系統和應用程式,以及其他記錄類型。

請留意管理/控制平面和資料平面層上安全性、稽核和其他作業記錄的不同類型記錄。 Operations Suite 雲端記錄服務會從資源層收集並匯總所有類型的記錄事件。 雲端記錄支援四種記錄類別:

  • 平臺記錄 - Google Cloud 服務所寫入的記錄。
  • 元件記錄 - 類似于平臺記錄,但它們是由 Google 提供的軟體元件所產生的記錄,這些記錄會在您的系統上執行。
  • 安全性記錄 - 主要稽核記錄檔,記錄您的資源內的系統管理活動和存取權。
  • 使用者寫入 - 自訂應用程式和服務所寫入的記錄
  • 多雲端記錄和混合式雲端記錄 - 來自其他雲端提供者的記錄,例如 Microsoft Azure 和來自內部部署基礎結構的記錄。

GCP 實作和其他內容

客戶安全性專案關係人 (深入瞭解)

LT-4:啟用網路記錄以進行安全性調查

CIS 控制項 v8 識別碼 () NIST SP 800-53 r4 識別碼 (s) pci-DSS ID (s) v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3、AU-6、AU-12、SI-4 10.8

安全性準則:為您的網路服務啟用記錄,以支援網路相關的事件調查、威脅搜捕和安全性警示產生。 網路記錄可能包含來自網路服務的記錄,例如 IP 篩選、網路和應用程式防火牆、DNS、流量監視等等。

Azure 指引:透過網路流量資料收集代理程式啟用和收集網路安全性群組 (NSG) 資源記錄、NSG 流量記錄、Azure 防火牆記錄,以及透過網路流量資料收集代理程式從虛擬機器Web 應用程式防火牆 (WAF) 記錄,以支援事件調查和安全性警示產生。 您可以將流量記錄傳送至 Azure 監視器 Log Analytics 工作區,然後使用流量分析來提供見解。

收集 DNS 查詢記錄,以協助相互關聯其他網路資料。

Azure 實作和其他內容

AWS 指引:啟用和收集網路記錄,例如「SQL 流量記錄」、「WAF 記錄」和「Route53 解析程式」查詢記錄,以支援事件調查和安全性警示產生。 記錄可以匯出至 CloudWatch 以進行監視或 S3 儲存體貯體,以擷取至 Microsoft Sentinel 解決方案以進行集中式分析。

AWS 實作和其他內容

GCP 指引:大部分的網路活動記錄都可透過「TCP 流量記錄」取得,其會記錄從資源傳送和接收的網路流程範例,包括用來作為 Google Compute VM、Kubernetes Engine 節點的實例。 這些記錄可用於網路監視、鑒識、即時安全性分析和費用優化。

您可以在雲端記錄中檢視流量記錄,並將記錄匯出至雲端記錄匯出支援的目的地。 流量記錄會透過計算引擎 VM 的連線進行匯總,並即時匯出。 藉由訂閱 Pub/Sub,您可以使用即時串流 API 來分析流量記錄。

注意:您也可以使用封包鏡像來複製虛擬私人雲端中指定實例的流量, () 網路,並轉送它以進行檢查。 封包鏡像會擷取所有流量和封包資料,包括承載和標頭。

GCP 實作和其他內容

客戶安全性專案關係人 (深入瞭解)

LT-5:將安全性記錄的管理與分析集中

CIS 控制項 v8 識別碼 () NIST SP 800-53 r4 識別碼 (s) pci-DSS ID (s) v3.2.1
8.9, 8.11, 13.1 AU-3、AU-6、AU-12、SI-4 N/A

安全性準則:集中記錄儲存和分析,以啟用跨記錄資料的相互關聯。 針對每個記錄來源,請確定您已指派資料擁有者、存取指引、儲存位置、用來處理和存取資料的工具,以及資料保留需求。

如果您沒有適用于 CSP 的現有 SIEM 解決方案,請使用雲端原生 SIEM。 或將記錄/警示匯總至您現有的 SIEM。

Azure 指引:確定您將 Azure 活動記錄整合到集中式 Log Analytics 工作區中。 使用 Azure 監視器來查詢和執行分析,並使用從 Azure 服務、端點裝置、網路資源和其他安全性系統匯總的記錄來建立警示規則。

此外,啟用資料並將資料上線至 Microsoft Sentinel,以提供安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 功能。

Azure 實作和其他內容

AWS 指引:確定您將 AWS 記錄整合到集中式資源中,以進行儲存體和分析。 使用 CloudWatch 查詢和執行分析,以及使用從 AWS 服務、服務、端點裝置、網路資源和其他安全性系統匯總的記錄來建立警示規則。

此外,您可以匯總 S3 儲存體貯體中的記錄,並將記錄資料上線至 Microsoft Sentinel,以提供安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 功能。

AWS 實作和其他內容

GCP 指引:確定您將 GCP 記錄整合到集中式資源 (,例如 Operations Suite 雲端記錄貯體) 以進行儲存體和分析。 雲端記錄支援大部分的 Google Cloud 原生服務記錄,以及協力廠商應用程式和內部部署應用程式。 您可以使用雲端記錄來查詢和執行分析,以及使用從 GCP 服務、服務、端點裝置、網路資源和其他安全性系統匯總的記錄來建立警示規則。

如果您沒有適用于 CSP 的現有 SIEM 解決方案,或將記錄/警示匯總至您現有的 SIEM,請使用雲端原生 SIEM。

注意:Google 提供兩個記錄查詢前端:記錄總管和 Log Analytics,用於查詢、檢視和分析記錄。 若要針對記錄資料進行疑難排解和探索,建議使用記錄總管。 若要產生見解和趨勢,建議使用 Log Analytics。

GCP 實作和其他內容

客戶安全性專案關係人 (深入瞭解)

LT-6:設定記錄儲存保留期

CIS 控制項 v8 識別碼 () NIST SP 800-53 r4 識別碼 (s) pci-DSS ID (s) v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

安全性準則:根據您的合規性、法規和商務需求規劃記錄保留原則。 在個別記錄服務設定記錄保留原則,以確保記錄已適當地封存。

Azure 指引:Azure 活動記錄之類的記錄會保留 90 天,然後刪除。 您應該建立診斷設定,並根據需求將記錄路由傳送至另一個位置 (,例如 Azure 監視器 Log Analytics 工作區、事件中樞或 Azure 儲存體) 。 此策略也適用于自己管理的其他資源記錄和資源,例如 VM 內的作業系統和應用程式中的記錄。

您有記錄保留選項,如下所示:

  • 針對最多 1 年的記錄保留期間,或根據您的回應小組需求,使用 Azure 監視器 Log Analytics 工作區。
  • 使用 Azure 儲存體、Data Explorer或 Data Lake 長期和封存儲存體超過 1 年,並符合您的安全性合規性需求。
  • 使用Azure 事件中樞將記錄轉送至 Azure 外部的外部資源。

注意:Microsoft Sentinel 使用 Log Analytics 工作區作為記錄儲存體的後端。 如果您打算保留 SIEM 記錄較長的時間,您應該考慮長期儲存策略。

Azure 實作和其他內容

AWS 指引:根據預設,記錄會無限期保留,且永遠不會在 CloudWatch 中過期。 您可以調整每個記錄群組的保留原則、保留無限期保留,或選擇介於 10 年到一天的保留期間。

使用 Amazon S3 從 CloudWatch 進行記錄封存,並將物件生命週期管理和封存原則套用至貯體。 您可以將檔案從 Amazon S3 傳輸至 Azure 儲存體,以使用 Azure 儲存體進行集中記錄封存。

AWS 實作和其他內容

GCP 指引:根據預設,Operations Suite 雲端記錄會保留記錄 30 天,除非您為雲端記錄貯體設定自訂保留。 管理員活動稽核記錄、系統事件稽核記錄和存取透明度記錄預設會保留 400 天。 您可以設定雲端記錄來保留 1 天到 3650 天的記錄。

使用雲端儲存體從雲端記錄記錄進行記錄封存,並將物件生命週期管理和封存原則套用至貯體。 您可以將檔案從 Google Cloud Storage 傳輸至 Azure 儲存體,以使用 Azure 儲存體進行集中記錄封存。

GCP 實作和其他內容

客戶安全性專案關係人 (深入瞭解)

LT-7:使用核准的時間同步處理來源

CIS 控制項 v8 識別碼 () NIST SP 800-53 r4 識別碼 (s) PCI-DSS 識別碼 (s) v3.2.1
8.4 AU-8 10.4

安全性準則:針對記錄時間戳記使用核准的時間同步處理來源,包括日期、時間和時區資訊。

Azure 指引:Microsoft 會維護大部分 Azure PaaS 和 SaaS 服務的時間來源。 針對計算資源作業系統,除非您有特定需求,否則請使用 Microsoft 預設 NTP 伺服器進行時間同步處理。 如果您需要將自己的網路時間通訊協定 (NTP) 伺服器,請確定您保護 UDP 服務埠 123。

Azure 內資源所產生的所有記錄,預設會提供時間戳記與指定的時區。

Azure 實作和其他內容

AWS 指引:AWS會維護大部分 AWS 服務的時間來源。 針對設定作業系統時間設定的資源或服務,除非您有特定需求,否則請使用 AWS 預設的 Amazon Time Sync Service 進行時間同步處理。 如果您需要將自己的網路時間通訊協定 (NTP) 伺服器,請確定您保護 UDP 服務埠 123。

AWS 內資源所產生的所有記錄,預設會提供時間戳記與指定的時區。

AWS 實作和其他內容

GCP 指引:Google Cloud 會維護大部分 Google Cloud PaaS 和 SaaS 服務的時間來源。 針對計算資源作業系統,除非您有特定需求,否則請使用 Google Cloud 預設 NTP 伺服器進行時間同步處理。 如果您需要將自己的網路時間通訊協定 (NTP) 伺服器,請務必保護 UDP 服務埠 123。

注意:建議您不要搭配計算引擎虛擬機器使用外部 NTP 來源,而是使用 Google 所提供的內部 NTP 伺服器。

GCP 實作和其他內容

客戶安全性專案關係人 (深入瞭解)