建立記錄和監視基準
記錄與監視是嘗試識別、偵測及降低安全性威脅時的關鍵要求。 適當的記錄原則能確保您可以判斷發生安全性違規的時間。 此原則也可以識別負責的人員。 Azure 活動記錄會提供外部存取資源的相關資料,也會提供診斷記錄,讓您擁有特定資源作業的相關資訊。
注意
Azure 活動記錄屬於訂閱記錄,可提供在 Azure 中所發生訂閱層級事件的見解。 可以使用活動記錄來判斷訂閱資源上,所發生任何寫入作業的內容、對象與時間。
記錄原則建議
下節描述 CIS Microsoft Azure Foundations Security Benchmark v.1.3.0 中的安全性建議,以在您的 Azure 訂閱上設定記錄與監視原則。 每個建議都會包括可在 Azure 入口網站中完成的基本步驟。 建議對您自己的訂閱完成所述步驟,並使用自己的資源來驗證每項安全性建議。 請記住,層級 2 選項可能會限制一些功能或活動,因此請仔細考慮您要強制執行哪一些安全性選項。
確保存在診斷設定 - 層級 1
Azure 活動記錄能提供在 Azure 中所發生訂閱層級事件的見解。 此記錄涵蓋的資料範圍從 Azure Resource Manager 作業資料至「Azure 服務健康狀態」事件的更新。 活動記錄先前稱為稽核記錄或作業記錄。 系統管理類別會報告訂閱的控制平面事件。
每個 Azure 訂閱都有單一的活動記錄。 記錄會提供源自 Azure 外部的資源作業相關資料。
診斷記錄已由資源發出。 診斷記錄會提供資源作業的相關資訊。 您必須針對每個資源來啟用診斷設定。
登入 Azure 入口網站。 搜尋並選取 [監視]。
請在左側功能表中,選取 [活動記錄]。
請在 [活動記錄] 功能表列中,選取 [匯出活動記錄]。
如果未顯示設定,請選取您的訂閱,然後選取 [新增診斷設定]。
輸入診斷設定的名稱,然後選取 [記錄類別] 與 [目的地詳細資料]。
請在功能表列上,選取 [儲存]。
以下為如何建立診斷設定的範例:
針對建立原則指派來建立活動記錄警示 - 層級 1
如果您監視所建立的原則,則能查看哪些使用者可以建立原則。 此資訊可協助您偵測 Azure 資源或訂閱的缺口或設定錯誤。
登入 Azure 入口網站。 搜尋並選取 [監視]。
請在左側功能表中,選取 [警示]。
請在 [警示] 功能表列中,選取 [建立] 下拉式清單,然後選取 [警示規則]。
請在 [建立警示規則] 窗格中,選取 [選取範圍]。
請在 [選取資源] 窗格的 [依資源類型篩選] 下拉式清單中,選取 [原則指派 (policyAssignments)]。
選取要監視的資源。
選取完成。
如果要完成所建立的警示,請完成從 [Azure 監視器警示] 窗格來建立警示規則中所述的步驟。
針對建立、更新或刪除網路安全性群組來建立活動記錄警示 - 層級 1
根據預設,系統不會在建立、更新或刪除 NSG 時建立監視警示。 變更或刪除安全性群組可能會允許不適當的來源存取內部資源,或非預期的輸出網路流量。
登入 Azure 入口網站。 搜尋並選取 [監視]。
請在左側功能表中,選取 [警示]。
請在 [警示] 功能表列中,選取 [建立] 下拉式清單,然後選取 [警示規則]。
請在 [建立警示規則] 窗格中,選取 [選取範圍]。
請在 [選取資源] 窗格的 [依資源類型篩選] 下拉式清單中,選取 [網路安全性群組]。
選取完成。
如果要完成所建立的警示,請完成從 [Azure 監視器警示] 窗格來建立警示規則中所述的步驟。
針對建立或更新 SQL Server 防火牆規則來建立活動記錄警示 - 層級 1
監視會建立或更新 SQL Server 防火牆規則的事件,可提供網路存取變更的見解,且可能會減少偵測可疑的活動所需之時間。
登入 Azure 入口網站。 搜尋並選取 [監視]。
請在左側功能表中,選取 [警示]。
請在 [警示] 功能表列中,選取 [建立] 下拉式清單,然後選取 [警示規則]。
請在 [建立警示規則] 窗格中,選取 [選取範圍]。
請在 [選取資源] 窗格的 [依資源類型篩選] 下拉式清單中,選取 [SQL 伺服器]。
選取完成。
如果要完成所建立的警示,請完成從 [Azure 監視器警示] 窗格來建立警示規則中所述的步驟。