備註
您可以 在這裡取得最 up-to日期的 Azure 安全性效能評定。
安全性記錄和監視著重於啟用、取得和儲存 Azure 服務稽核記錄的相關活動。
2.1:使用核准的時間同步來源
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.1 | 6.1 | 微軟 |
Microsoft維護 Azure 資源的時間來源,不過,您可以選擇管理計算資源的時間同步處理設定。
2.2:設定中央安全性記錄管理
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.2 | 6.5, 6.6 | 客戶 |
透過 Azure 監視器擷取記錄,以匯總端點裝置、網路資源和其他安全性系統所產生的安全性資料。 在 Azure Monitor 中,使用 Log Analytics 工作區來查詢和執行分析,並使用 Azure Storage 帳戶進行長期/封存儲存。
或者,您可以啟動並將數據匯入到 Azure Sentinel 或第三方 SIEM。
2.3:啟用 Azure 資源的稽核記錄
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.3 | 6.2, 6.3 | 客戶 |
在 Azure 資源上啟用診斷設定,以存取稽核、安全性和診斷記錄。 自動可用的活動記錄包括事件來源、日期、用戶、時間戳、來源位址、目的地位址和其他實用元素。
2.4:從作業系統收集安全性記錄檔
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.4 | 6.2, 6.3 | 客戶 |
如果計算資源是由 Microsoft 所擁有,則Microsoft負責監視它。 如果計算資源是由您的組織所擁有,您有責任監視它。 您可以使用 Azure 資訊安全中心來監視 OS。 資訊安全中心從作系統收集的數據包括作系統類型和版本、OS(Windows 事件記錄檔)、執行進程、計算機名稱、IP 位址,以及登入的使用者。 Log Analytics 代理程式也會收集當機傾印檔案。
2.5:設定安全性記錄檔儲存體保留期
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.5 | 6.4 | 客戶 |
在 Azure 監視器中,根據您的組織的合規性法規設定 Log Analytics 工作區保留期限。 使用 Azure 儲存帳戶進行長期或封存儲存。
2.6:監視和檢閱記錄
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.6 | 6.7 | 客戶 |
分析及監視異常行為的記錄,並定期檢閱結果。 使用 Azure 監視器的 Log Analytics 工作區來檢閱記錄,並針對記錄數據執行查詢。
或者,您可以啟用並將數據導入到 Azure Sentinel 或第三方 SIEM 平台。
2.7:啟用異常活動的警示
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.7 | 6.8 | 客戶 |
搭配 Log Analytics 工作區使用 Azure 資訊安全中心,以監視和警示安全性記錄和事件中找到的異常活動。
或者,您可以啟用 Azure Sentinel 並加入數據。
2.8:集中處理反惡意代碼記錄
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.8 | 8.6 | 客戶 |
啟用 Azure 虛擬機和雲端服務的反惡意代碼事件收集。
2.9:啟用 DNS 查詢記錄
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.9 | 8.7 | 客戶 |
根據您的組織需求,從 Azure Marketplace 實作 DNS 記錄解決方案的第三方解決方案。
2.10:啟用命令行稽核記錄
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.10 | 8.8 | 客戶 |
在所有支援的 Azure Windows 虛擬機上使用Microsoft監視代理程式,記錄進程建立事件和 CommandLine 字段。 針對支援的 Azure Linux 虛擬機,您可以手動設定每個節點的控制台記錄,並使用 Syslog 來儲存數據。 此外,使用 Azure 監視器的 Log Analytics 工作區來檢閱記錄,並針對來自 Azure 虛擬機的記錄數據執行查詢。
後續步驟
- 請參閱下一個安全性控制: 身分識別和訪問控制