建立記錄和監視基準

已完成

記錄與監視是嘗試識別、偵測及降低安全性威脅時的關鍵要求。 適當的記錄原則能確保您可以判斷發生安全性違規的時間。 此原則也可以識別負責的人員。 Azure 活動記錄會提供外部存取資源的相關資料，也會提供診斷記錄，讓您擁有特定資源作業的相關資訊。

注意

Azure 活動記錄屬於訂閱記錄，可提供在 Azure 中所發生訂閱層級事件的見解。 可以使用活動記錄來判斷訂閱資源上，所發生任何寫入作業的內容、對象與時間。

記錄原則建議

下列各節描述 CIS Microsoft Azure Foundations Security Benchmark v.3.0.0 中的安全性建議以在 Azure 訂用帳戶上設定記錄與監視原則。 每個建議都會包括可在 Azure 入口網站中完成的基本步驟。 建議對您自己的訂閱完成所述步驟，並使用自己的資源來驗證每項安全性建議。 請記住 ，層級 2 選項可能會限制某些功能或活動，因此請仔細考慮您決定強制執行的安全性選項。

確保存在診斷設定 - 層級 1

Azure 活動記錄能提供在 Azure 中所發生訂閱層級事件的見解。 此記錄涵蓋的資料範圍從 Azure Resource Manager 作業資料至「Azure 服務健康狀態」事件的更新。 活動記錄先前稱為 稽核記錄 或 作業記錄。 系統管理類別會報告訂閱的控制平面事件。

每個 Azure 訂閱都有單一的活動記錄。 記錄會提供源自 Azure 外部的資源作業相關資料。

診斷記錄已由資源發出。 診斷記錄會提供資源作業的相關資訊。 您必須針對每個資源來啟用診斷設定。

1. 登入 Azure 入口網站。 搜尋並選取 [監視]。

2. 請在左側功能表中，選取 [活動記錄]。

3. 請在 [活動記錄] 功能表列中，選取 [匯出活動記錄]。

4. 如果未顯示設定，請選取您的訂閱，然後選取 [新增診斷設定]。

   

5. 輸入診斷設定的名稱，然後選取 [記錄類別] 與 [目的地詳細資料]。

6. 請在功能表列上，選取 [儲存]。

以下為如何建立診斷設定的範例：

針對建立原則指派來建立活動記錄警示 - 層級 1

如果您監視所建立的原則，則能查看哪些使用者可以建立原則。 此資訊可協助您偵測 Azure 資源或訂閱的缺口或設定錯誤。

1. 登入 Azure 入口網站。 搜尋並選取 [監視]。

2. 請在左側功能表中，選取 [警示]。

3. 請在 [警示] 功能表列中，選取 [建立] 下拉式清單，然後選取 [警示規則]。

4. 請在 [建立警示規則] 窗格中，選取 [選取範圍]。

5. 請在 [選取資源] 窗格的 [依資源類型篩選] 下拉式清單中，選取 [原則指派 (policyAssignments)]。

6. 選取要監視的資源。

7. 選取 [完成]。

   

8. 若要完成建立警示，請完成 從 [Azure 監視器警示] 窗格建立警示規則中所述的步驟。

針對建立、更新或刪除網路安全性群組來建立活動記錄警示 - 層級 1

根據預設，系統不會在建立、更新或刪除 NSG 時建立監視警示。 變更或刪除安全性群組可能會允許不適當的來源存取內部資源，或非預期的輸出網路流量。

1. 登入 Azure 入口網站。 搜尋並選取 [監視]。

2. 請在左側功能表中，選取 [警示]。

3. 請在 [警示] 功能表列中，選取 [建立] 下拉式清單，然後選取 [警示規則]。

4. 請在 [建立警示規則] 窗格中，選取 [選取範圍]。

5. 請在 [選取資源] 窗格的 [依資源類型篩選] 下拉式清單中，選取 [網路安全性群組]。

6. 選取 [完成]。

7. 若要完成建立警示，請完成 從 [Azure 監視器警示] 窗格建立警示規則中所述的步驟。

針對建立或更新 SQL Server 防火牆規則來建立活動記錄警示 - 層級 1

監視會建立或更新 SQL Server 防火牆規則的事件，可提供網路存取變更的見解，且可能會減少偵測可疑的活動所需之時間。

1. 登入 Azure 入口網站。 搜尋並選取 [監視]。

2. 請在左側功能表中，選取 [警示]。

3. 請在 [警示] 功能表列中，選取 [建立] 下拉式清單，然後選取 [警示規則]。

4. 請在 [建立警示規則] 窗格中，選取 [選取範圍]。

5. 請在 [選取資源] 窗格的 [依資源類型篩選] 下拉式清單中，選取 [SQL 伺服器]。

6. 選取 [完成]。

7. 若要完成建立警示，請完成 從 [Azure 監視器警示] 窗格建立警示規則中所述的步驟。