安全性控制 V2:記錄和威脅偵測
注意
這裡 提供最新的Azure 安全性效能評定。
記錄和威脅偵測涵蓋在 Azure 上偵測威脅以及啟用、收集和儲存 Azure 服務稽核記錄的控制項。 這包括使用控制項啟用偵測、調查和補救程式,以在 Azure 服務中產生原生威脅偵測的高品質警示;它也包括使用 Azure 監視器收集記錄、使用 Azure Sentinel 集中處理安全性分析、時間同步處理和記錄保留。
若要查看適用的內建Azure 原則,請參閱Azure 安全性效能評定法規合規性內建方案的詳細資料:記錄和威脅偵測
LT-1:啟用 Azure 資源的威脅偵測
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| LT-1 | 6.7 | AU-3、AU-6、AU-12、SI-4 |
請確定您監視不同類型的 Azure 資產是否有潛在威脅和異常。 專注于取得高品質的警示,以減少分析師要排序的誤判。 警示可以來自記錄資料、代理程式或其他資料。
使用以監視 Azure 服務遙測和分析服務記錄為基礎的 Azure Defender。 使用 Log Analytics 代理程式收集資料,它會從系統讀取各種安全性相關組態和事件記錄檔,並將資料複製到您的工作區進行分析。
此外,使用 Azure Sentinel 來建置分析規則,以搜捕符合您環境中特定準則的威脅。 這些規則會在符合準則時產生事件,以便調查每個事件。 Azure Sentinel 也可以匯入協力廠商威脅情報,以增強其威脅偵測功能。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
LT-2:啟用 Azure 身分識別與存取權管理的威脅偵測
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| LT-2 | 6.8 | AU-3、AU-6、AU-12、SI-4 |
Azure AD 提供下列使用者記錄,可在 Azure AD 報告中檢視或與 Azure 監視器、Azure Sentinel 或其他 SIEM/監視工具整合,以取得更複雜的監視和分析使用案例:
登入 – 登入報告會提供受控應用程式和使用者登入活動的使用情況相關資訊。
稽核記錄 - 可針對各種功能在 Azure AD 內進行的所有變更,提供記錄追蹤功能。 稽核記錄的範例包括對 Azure AD 中任何資源所做的變更,像是新增或移除使用者、應用程式、群組、角色和原則。
有風險的登入 - 有風險的登入表示非使用者帳戶合法擁有者的某人嘗試登入。
標幟為有風險的使用者 - 有風險的使用者表示可能被盜用的使用者帳戶。
Azure 資訊安全中心也可以針對某些可疑活動發出警示,例如大量失敗的驗證嘗試,以及訂用帳戶中已被取代的帳戶。 除了基本安全性防護監視之外,Azure Defender 也可以從個別 Azure 計算資源收集更深入的安全性警示, (例如虛擬機器、容器、App Service) 、資料資源 (,例如 SQL DB 和儲存體) ,以及 Azure 服務層級。 這項功能可讓您查看個別資源內的帳戶異常狀況。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
LT-3:啟用 Azure 網路活動的記錄功能
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3、AU-6、AU-12、SI-4 |
啟用和收集網路安全性群組 (NSG) 資源記錄、NSG 流量記錄、Azure 防火牆記錄,以及Web 應用程式防火牆 (WAF) 記錄,以支援事件調查、威脅搜捕和安全性警示產生。 您可以將流量記錄傳送至 Azure 監視器 Log Analytics 工作區,然後使用流量分析來提供見解。
請確定您正在收集 DNS 查詢記錄,以協助相互關聯其他網路資料。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
LT-4:啟用 Azure 資源的記錄功能
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| LT-4 | 6.2, 6.3, 8.8 | AU-3、AU-12 |
啟用 Azure 資源的記錄,以符合合規性、威脅偵測、搜捕和事件調查的需求。
您可以使用Azure 資訊安全中心和Azure 原則,在 Azure 資源上啟用資源記錄和記錄資料收集,以存取稽核、安全性和資源記錄。 活動記錄 (自動提供) 包含事件來源、日期、使用者、時間戳記、來源位址、目的地位址,以及其他有用的項目。
責任:共用
客戶安全性專案關係人 (深入瞭解) :
基礎結構和端點安全性
LT-5:將安全性記錄的管理與分析集中
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| LT-5 | 6.5, 6.6 | AU-3、SI-4 |
集中記錄儲存和分析,以啟用相互關聯。 針對每個記錄來源,請確定您已指派資料擁有者、存取指引、儲存位置、用來處理和存取資料的工具,以及資料保留需求。
確定您要將 Azure 活動記錄整合到中央記錄中。 透過 Azure 監視器擷取記錄,以匯總端點裝置、網路資源和其他安全性系統所產生的安全性資料。 在 Azure 監視器中,使用 Log Analytics 工作區來查詢和執行分析,並使用 Azure 儲存體帳戶進行長期和封存儲存體。
此外,啟用資料並上線至 Azure Sentinel 或協力廠商 SIEM。
許多組織都選擇針對經常使用的「經常性」資料使用 Azure Sentinel,而 Azure 儲存體則選擇使用較不常使用的「冷」資料。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
LT-6:設定記錄儲存保留期
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| LT-6 | 6.4 | AU-3、AU-11 |
根據您的合規性、法規和商務需求來設定記錄保留。
在 Azure 監視器中,您可以根據組織的合規性法規來設定 Log Analytics 工作區保留期間。 使用 Azure 儲存體、Data Lake 或 Log Analytics 工作區帳戶進行長期和封存儲存體。
責任:客戶
客戶安全性專案關係人 (深入瞭解) :
LT-7:使用核准的時間同步處理來源
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 (s) | NIST SP 800-53 r4 識別碼 (s) |
|---|---|---|
| LT-7 | 6.1 | AU-8 |
Microsoft 會維護大部分 Azure PaaS 和 SaaS 服務的時間來源。 針對虛擬機器,除非您有特定需求,否則請使用 Microsoft 預設 NTP 伺服器進行時間同步處理。 如果您需要將自己的網路時間通訊協定 (NTP) 伺服器,請確定您保護 UDP 服務埠 123。
Azure 內資源所產生的所有記錄都會提供時間戳記與預設指定的時區。
責任:共用
客戶安全性專案關係人 (深入瞭解) :