安全性控制 v3：記錄和威脅偵測

記錄和威脅偵測涵蓋在 Azure 上偵測威脅以及啟用、收集及儲存 Azure 服務稽核記錄的控制項，包括啟用偵測、調查和補救程式，以在 Azure 服務中產生具有原生威脅偵測的高品質警示;它也包括使用 Azure 監視器收集記錄、使用 Azure Sentinel 集中處理安全性分析、時間同步處理和記錄保留。

LT-1：啟用威脅偵測功能

CIS 控制項 v8 識別碼 ()	NIST SP 800-53 r4 識別碼 (s)	pci-DSS ID (s) v3.2.1
8.11	AU-3、AU-6、AU-12、SI-4	10.6、10.8、A3.5

安全性準則： 若要支援威脅偵測案例，請監視已知和預期的威脅和異常的所有已知資源類型。 設定警示篩選和分析規則，以從記錄資料、代理程式或其他資料來源擷取高品質的警示，以減少誤判。

Azure 指引：針對個別的 Azure 服務，在適用于雲端的 Microsoft Defender 中使用 Azure Defender 服務的威脅偵測功能。

針對 Azure Defender 服務中未包含的威脅偵測，請參閱個別服務的 Azure 安全性基準服務基準，以啟用服務內的威脅偵測或安全性警示功能。 將警示擷取至您的 Azure 監視器或 Azure Sentinel，以建置分析規則，以搜捕符合您環境中特定準則的威脅。

針對 Operational Technology (OT) 環境，其中包含控制或監視工業控制系統的電腦， (ICS) 或監督控制與資料擷取 (SCADA) 資源，請使用適用于 IoT 的 Defender 來清查資產並偵測威脅和弱點。

對於沒有原生威脅偵測功能的服務，請考慮收集資料平面記錄，並透過 Azure Sentinel 分析威脅。

實作和其他內容：

• Azure Defender 簡介
• 適用于雲端安全性警示的Microsoft Defender參考指南
• 建立自訂分析規則以偵測威脅
• 使用 Azure Sentinel 的網路威脅情報

客戶安全性專案關係人 (深入瞭解) ：

• 基礎結構和端點安全性
• 安全性作業
• 態勢管理
• 應用程式安全性和 DevOps
• 威脅情報

LT-2：啟用身分識別和存取管理的威脅偵測

CIS 控制項 v8 識別碼 ()	NIST SP 800-53 r4 識別碼 (s)	pci-DSS ID (s) v3.2.1
8.11	AU-3、AU-6、AU-12、SI-4	10.6、10.8、A3.5

安全性準則： 監視使用者和應用程式登入和存取異常，以偵測身分識別和存取管理的威脅。 應發出警示，例如過多失敗登入嘗試和訂用帳戶中已淘汰帳戶的行為模式。

Azure 指引： Azure AD 提供下列記錄，可在 Azure AD 報告中檢視或與 Azure 監視器、Azure Sentinel 或其他 SIEM/監視工具整合，以取得更複雜的監視和分析使用案例：

• 登入：登入報告提供受控應用程式和使用者登入活動使用方式的相關資訊。
• 稽核記錄：透過記錄提供 Azure AD 內各種功能所完成之所有變更的可追蹤性。 稽核記錄的範例包括對 Azure AD 中任何資源所做的變更，像是新增或移除使用者、應用程式、群組、角色和原則。
• 有風險的登入：有風險的登入是登入嘗試的指標，可能是由非使用者帳戶合法擁有者所執行。
• 標示為有風險的使用者：有風險的使用者是可能遭到入侵之使用者帳戶的指標。

Azure AD 也提供 Identity Protection 模組來偵測和補救與使用者帳戶和登入行為相關的風險。 範例風險包括認證外泄、從匿名或惡意程式碼連結 IP 位址登入、密碼噴灑。 Azure AD Identity Protection 中的原則可讓您搭配使用者帳戶上的 Azure 條件式存取，強制執行風險型 MFA 驗證。

此外，雲端Microsoft Defender可以設定為針對訂用帳戶中已被取代的帳戶發出警示，以及可疑的活動，例如大量失敗的驗證嘗試。 除了基本的安全性防護監視之外，雲端威脅防護模組Microsoft Defender也可以從個別 Azure 計算資源收集更深入的安全性警示， (例如虛擬機器、容器、App Service) 、資料資源 (，例如 SQL DB 和儲存體) ，以及 Azure 服務層級。 這項功能可讓您查看個別資源內的帳戶異常狀況。

注意：如果您要連線內部部署的 Active Directory以進行同步處理，請使用適用於身分識別的 Microsoft Defender解決方案來取用您的內部部署的 Active Directory 用來識別、偵測及調查進階威脅、遭入侵的身分識別，以及貴組織導向的惡意內部動作的訊號。

實作和其他內容：

• Azure AD 中的稽核活動報告
• 啟用 Azure Identity Protection
• 雲端Microsoft Defender中的威脅防護

客戶安全性專案關係人 (深入瞭解) ：

• 基礎結構和端點安全性
• 安全性作業
• 態勢管理
• 應用程式安全性和 DevOps
• 威脅情報

LT-3：啟用安全性調查的記錄

CIS 控制項 v8 識別碼 ()	NIST SP 800-53 r4 識別碼 (s)	pci-DSS ID (s) v3.2.1
8.2, 8.5, 8.12	AU-3、AU-6、AU-12、SI-4	10.1, 10.2, 10.3

安全性準則： 為您的雲端資源啟用記錄，以符合安全性事件調查和安全性回應和安全性回應與合規性的需求。

Azure 指引： 針對不同層級的資源啟用記錄功能，例如 VM 和其他記錄類型中 Azure 資源的記錄、作業系統和應用程式。

請留意管理/控制平面和資料平面層上安全性、稽核和其他作業記錄的不同類型記錄。 Azure 平臺提供三種類型的記錄：

• Azure 資源記錄：記錄在 Azure 資源內執行的作業， (資料平面) 。 範例如，從金鑰保存庫取得祕密，或是向資料庫提出要求。 資源記錄的內容會依 Azure 服務和資源類型而有所不同。
• Azure 活動記錄：從外部 (管理平面) ，記錄訂用帳戶層上每個 Azure 資源上的作業。 您可以使用活動記錄來判斷任何寫入作業 (PUT、POST、DELETE) 在訂用帳戶中的資源上取得的專案、物件和時間。 每個 Azure 訂閱都有單一活動記錄。
• Azure Active Directory 記錄：登入活動的記錄，以及針對特定租使用者在 Azure Active Directory 中所做的變更稽核記錄。

您也可以使用雲端和Azure 原則Microsoft Defender來啟用 Azure 資源上的資源記錄和記錄資料收集。

實作和其他內容：

• 瞭解 Azure 中的記錄和不同的記錄類型
• 了解適用於雲端的 Microsoft Defender 資料收集
• 啟用和設定反惡意程式碼監視
• 計算資源內的作業系統和應用程式記錄

客戶安全性專案關係人 (深入瞭解) ：

• 基礎結構和端點安全性
• 安全性作業
• 態勢管理
• 應用程式安全性和 DevOps
• 威脅情報

LT-4：啟用網路記錄以進行安全性調查

CIS 控制項 v8 識別碼 ()	NIST SP 800-53 r4 識別碼 (s)	pci-DSS ID (s) v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6	AU-3、AU-6、AU-12、SI-4	10.8

安全性準則： 為您的網路服務啟用記錄，以支援網路相關的事件調查、威脅搜捕和安全性警示產生。 網路記錄可能包含來自網路服務的記錄，例如 IP 篩選、網路和應用程式防火牆、DNS、流量監視等等。

Azure 指引：啟用和收集網路安全性群組 (NSG) 資源記錄、NSG 流量記錄、Azure 防火牆記錄，以及Web 應用程式防火牆 (WAF) 記錄，以支援事件調查和安全性警示產生。 您可以將流量記錄傳送至 Azure 監視器 Log Analytics 工作區，然後使用流量分析來提供見解。

收集 DNS 查詢記錄，以協助相互關聯其他網路資料。

實作和其他內容：

• 如何啟用網路安全性群組流量記錄
• Azure 防火牆記錄和計量
• Azure 監視器中的 Azure 網路監視解決方案
• 使用 DNS 分析解決方案收集有關 DNS 基礎結構的深入解析

客戶安全性專案關係人 (深入瞭解) ：

• 安全性作業
• 基礎結構和端點安全性
• 應用程式安全性和 DevOps
• 威脅情報

LT-5：將安全性記錄的管理與分析集中

CIS 控制項 v8 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)	PCI-DSS 識別碼 (s) v3.2.1
8.9, 8.11, 13.1	AU-3、AU-6、AU-12、SI-4	N/A

安全性準則： 集中記錄儲存體和分析，以啟用跨記錄資料的相互關聯。 針對每個記錄來源，請確定您已指派資料擁有者、存取指引、儲存位置、用來處理和存取資料的工具，以及資料保留需求。

Azure 指引： 請確定您將 Azure 活動記錄整合到集中式 Log Analytics 工作區中。 使用 Azure 監視器來查詢和執行分析，並使用從 Azure 服務、端點裝置、網路資源和其他安全性系統匯總的記錄來建立警示規則。

此外，啟用並上線資料至 Azure Sentinel，其提供安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 功能。

實作和其他內容：

• 如何使用 Azure 監視器收集平台記錄和計量
• 如何使 Azure Sentinel 上線

客戶安全性專案關係人 (深入瞭解) ：

• 安全性架構
• 應用程式安全性和 DevOps
• 基礎結構和端點安全性

LT-6：設定記錄儲存保留期

CIS 控制項 v8 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)	PCI-DSS 識別碼 (s) v3.2.1
8.3, 8.10	AU-11	10.5, 10.7

安全性準則： 根據您的合規性、法規和商務需求規劃記錄保留原則。 在個別記錄服務上設定記錄保留原則，以確保記錄已適當地封存。

Azure 指引： Azure 活動記錄事件等記錄會保留 90 天，然後刪除。 您應該建立診斷設定，並根據需求將記錄專案路由傳送至另一個位置 (，例如 Azure 監視器 Log Analytics 工作區、事件中樞或 Azure 儲存體) 。 此策略也適用于自己管理的其他資源記錄和資源，例如 VM 內的作業系統和應用程式中的記錄。

您有記錄保留選項，如下所示：

• 針對最多 1 年或每個回應小組需求的記錄保留期間，請使用 Azure 監視器 Log Analytics 工作區。
• 使用 Azure 儲存體、Data Explorer或 Data Lake 長期和封存儲存體超過 1 年，並符合您的安全性合規性需求。
• 使用Azure 事件中樞將記錄轉送至 Azure 外部。

注意：Azure Sentinel 會使用 Log Analytics 工作區作為記錄儲存體的後端。 如果您打算保留 SIEM 記錄較長的時間，您應該考慮長期儲存策略。

實作和其他內容：

• 變更 Log Analytics 中的資料保留期間
• 如何設定 Azure 儲存體客戶紀錄的保留原則
• 雲端警示和建議匯出的Microsoft Defender

客戶安全性專案關係人 (深入瞭解) ：

• 安全性架構
• 應用程式安全性和 DevOps
• 安全性作業
• 安全性合規性管理

LT-7：使用核准的時間同步處理來源

CIS 控制項 v8 識別碼 (s)	NIST SP 800-53 r4 識別碼 (s)	PCI-DSS 識別碼 (s) v3.2.1
8.4	AU-8	10.4

安全性準則： 針對記錄時間戳記使用核准的時間同步處理來源，其中包含日期、時間和時區資訊。

Azure 指引： Microsoft 會維護大部分 Azure PaaS 和 SaaS 服務的時間來源。 針對計算資源作業系統，除非您有特定需求，否則請使用 Microsoft 預設 NTP 伺服器進行時間同步處理。 如果您需要將自己的網路時間通訊協定 (NTP) 伺服器，請確定您保護 UDP 服務埠 123。

Azure 內資源所產生的所有記錄，預設會提供時間戳記與指定的時區。

實作和其他內容：

• 如何設定 Azure Windows 計算資源的時間同步處理
• 如何設定 Azure Linux 計算資源的時間同步處理
• 如何停用 Azure 服務的輸入 UDP

客戶安全性專案關係人 (深入瞭解) ：

• 原則和標準
• 應用程式安全性和 DevOps
• 基礎結構和端點安全性