Řízení zabezpečení: Protokolování a detekce hrozeb
Protokolování a detekce hrozeb zahrnují kontrolní mechanismy pro detekci hrozeb v cloudu a povolení, shromažďování a ukládání protokolů auditu pro cloudové služby, včetně povolení procesů detekce, vyšetřování a nápravy s ovládacími prvky pro generování vysoce kvalitních výstrah s nativní detekcí hrozeb v cloudových službách. Zahrnuje také shromažďování protokolů pomocí služby monitorování cloudu, centralizaci analýzy zabezpečení pomocí SIEM, synchronizaci času a uchovávání protokolů.
LT-1: Povolení funkcí detekce hrozeb
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Princip zabezpečení: Kvůli podpoře scénářů detekce hrozeb monitorujte známé a očekávané hrozby a anomálie ve všech známých typech prostředků. Nakonfigurujte pravidla filtrování a analýzy upozornění tak, aby extrahovali vysoce kvalitní upozornění z dat protokolů, agentů nebo jiných zdrojů dat, abyste snížili počet falešně pozitivních výsledků.
Pokyny k Azure: Využijte schopnost detekce hrozeb Microsoft Defender for Cloud pro příslušné služby Azure.
Informace o detekci hrozeb, která není součástí Microsoft Defender služeb, najdete v tématu Standardní hodnoty služby Microsoft Cloud Security Benchmark pro příslušné služby, které umožňují detekci hrozeb nebo výstrahy zabezpečení v rámci služby. Ingestujte upozornění a protokolujte data z Microsoft Defender pro cloud, Microsoft 365 Defender a protokolujte data z jiných prostředků do instancí služby Azure Monitor nebo Microsoft Sentinel, abyste mohli vytvářet analytická pravidla, která detekují hrozby a vytvářejí výstrahy, které odpovídají konkrétním kritériím ve vašem prostředí.
V prostředích s provozními technologiemi (OT) zahrnující počítače, které řídí nebo monitorují prostředky ICS (Industrial Control System) nebo SCADA (Supervisory Control and Data Acquisition), použijte k inventarizaci prostředků a detekci hrozeb a ohrožení zabezpečení Microsoft Defender for IoT.
U služeb, které nemají nativní detekci hrozeb, zvažte shromažďování protokolů roviny dat a analýzu hrozeb prostřednictvím služby Microsoft Sentinel.
Implementace Azure a další kontext:
- Úvod do Microft Defenderu for Cloud
- Referenční příručka k Microsoft Defender pro výstrahy zabezpečení cloudu
- Vytváření vlastních analytických pravidel pro detekci hrozeb
- Indikátory hrozeb pro analýzu kybernetických hrozeb ve službě Microsoft Sentinel
Pokyny pro AWS: K detekci hrozeb použijte Amazon GuardDuty, která analyzuje a zpracovává následující zdroje dat: protokoly toků VPC, protokoly událostí správy AWS CloudTrail, protokoly událostí dat CloudTrail S3, protokoly auditu EKS a protokoly DNS. GuardDuty dokáže hlásit problémy se zabezpečením, jako je eskalace oprávnění, zveřejněné použití přihlašovacích údajů nebo komunikace se škodlivými IP adresami nebo doménami.
Nakonfigurujte AWS Config tak, aby v SecurityHubu kontrolovali pravidla pro monitorování dodržování předpisů, jako je posun konfigurace, a v případě potřeby vytvářejte zjištění.
V případě detekce hrozeb, která není součástí GuardDuty a SecurityHubu, povolte možnosti detekce hrozeb nebo výstrah zabezpečení v rámci podporovaných služeb AWS. Extrahujte výstrahy do služby CloudTrail, CloudWatch nebo Microsoft Sentinel a sestavte analytická pravidla, která proaktivní vyhledávání hrozeb, které splňují konkrétní kritéria ve vašem prostředí.
Můžete také použít Microsoft Defender for Cloud k monitorování určitých služeb v AWS, jako jsou instance EC2.
V prostředích s provozními technologiemi (OT) zahrnující počítače, které řídí nebo monitorují prostředky ICS (Industrial Control System) nebo SCADA (Supervisory Control and Data Acquisition), použijte k inventarizaci prostředků a detekci hrozeb a ohrožení zabezpečení Microsoft Defender for IoT.
Implementace AWS a další kontext:
- Amazon GuardDuty
- Amazon GuardDuty zdroje dat
- Připojení účtů AWS ke službě Microsoft Defender for Cloud
- Jak Defender for Cloud Apps pomáhá chránit prostředí Amazon Web Services (AWS)
- Doporučení k zabezpečení prostředků AWS – referenční příručka
Pokyny ke GCP: Detekce hrozeb událostí v centru Google Cloud Security Command Center slouží k detekci hrozeb pomocí dat protokolů, jako jsou Správa aktivita, přístup k datům GKE, protokoly toků VPC, Cloud DNS a protokoly brány firewall.
Kromě toho použijte sadu Security Operations suite pro moderní SOC s řešeními Chronicle SIEM a SOAR. Funkce Chronicle SIEM a SOAR poskytují možnosti detekce, vyšetřování a proaktivního vyhledávání hrozeb.
Můžete také použít Microsoft Defender for Cloud k monitorování určitých služeb v GCP, jako jsou instance výpočetních virtuálních počítačů.
V prostředích s provozními technologiemi (OT) zahrnující počítače, které řídí nebo monitorují prostředky ICS (Industrial Control System) nebo SCADA (Supervisory Control and Data Acquisition), použijte k inventarizaci prostředků a detekci hrozeb a ohrožení zabezpečení Microsoft Defender for IoT.
Implementace GCP a další kontext:
- Přehled detekce hrozeb událostí centra Security Command Center
- Chronicle SOAR
- Jak Defender for Cloud Apps pomáhá chránit prostředí GCP (Google Cloud Platform)
- Doporučení k zabezpečení prostředků GCP – referenční příručka
Účastníci zabezpečení zákazníků (další informace):
- Zabezpečení infrastruktury a koncových bodů
- Operace zabezpečení
- Správa stavu
- Zabezpečení aplikací a DevOps
- Analýza hrozeb
LT-2: Povolení detekce hrozeb pro správu identit a přístupu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Princip zabezpečení: Detekuje hrozby pro identity a správu přístupu monitorováním anomálií přístupu a přihlašování uživatelů a aplikací. Měly by se zobrazit upozornění na vzorce chování, jako je nadměrný počet neúspěšných pokusů o přihlášení a zastaralé účty v předplatném.
Pokyny pro Azure: Azure AD poskytuje následující protokoly, které je možné zobrazit v Azure AD vytváření sestav nebo je integrovat se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji SIEM/monitorovacími nástroji pro sofistikovanější případy monitorování a analýzy:
- Přihlášení: Sestava přihlášení obsahuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.
- Protokoly auditu: Poskytují sledovatelnost prostřednictvím protokolů pro všechny změny provedené různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny jakýchkoli prostředků v rámci Azure AD, jako jsou přidání nebo odebrání uživatelů, aplikací, skupin, rolí nebo zásad.
- Riziková přihlášení: Rizikové přihlášení je indikátor pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.
- Uživatelé označení příznakem rizika: Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.
Azure AD také poskytuje modul Identity Protection, který zjišťuje a opravuje rizika související s uživatelskými účty a chováním při přihlašování. Mezi rizika patří uniklé přihlašovací údaje, přihlášení z anonymních IP adres nebo IP adres propojených s malwarem nebo password spray. Zásady ve službě Azure AD Identity Protection umožňují vynucovat vícefaktorové ověřování na základě rizika ve spojení s podmíněným přístupem Azure u uživatelských účtů.
Kromě toho je možné nakonfigurovat Microsoft Defender for Cloud tak, aby upozorňovala na zastaralé účty v předplatném a podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření. Kromě základního monitorování hygieny zabezpečení může modul ochrany před internetovými útoky Microsoft Defender for Cloud shromažďovat podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (jako jsou virtuální počítače, kontejnery, app service), datových prostředků (jako je databáze SQL a úložiště) a vrstev služeb Azure. Tato funkce umožňuje zobrazit anomálie účtů uvnitř jednotlivých prostředků.
Poznámka: Pokud připojujete místní Active Directory k synchronizaci, využijte Microsoft Defender for Identity řešení k využití místní Active Directory signály k identifikaci, detekci a prošetření pokročilých hrozeb, ohrožených identit a škodlivých vnitřních akcí zaměřených na vaši organizaci.
Implementace Azure a další kontext:
- Sestavy aktivit auditu v Azure AD
- Povolení ochrany identit Azure
- Ochrana před hrozbami v Microsoft Defender pro cloud
- Přehled Microsoft Defender for Identity
Pokyny pro AWS: AWS IAM poskytuje následující sestavy protokolů a sestav pro aktivity uživatelů konzoly prostřednictvím IAM Access Advisoru a sestavy přihlašovacích údajů IAM:
- Každé úspěšné přihlášení a neúspěšné pokusy o přihlášení
- Stav vícefaktorového ověřování (MFA) pro každého uživatele
- Neaktivní uživatel IAM
Pro monitorování přístupu na úrovni rozhraní API a detekci hrozeb použijte Amazon GuadDuty k identifikaci zjištění souvisejících s IAM. Příklady těchto zjištění:
- Rozhraní API sloužící k získání přístupu k prostředí AWS a bylo vyvoláno neobvyklým způsobem nebo se použilo k obcházení obranných opatření.
- Rozhraní API sloužící k:
- Zjišťování prostředků bylo vyvoláno neobvyklým způsobem
- shromažďování dat z prostředí AWS bylo vyvoláno neobvyklým způsobem.
- manipulace s daty nebo procesy v prostředí AWS byla vyvolána neobvyklým způsobem.
- získání neoprávněného přístupu k prostředí AWS bylo vyvoláno neobvyklým způsobem.
- udržování neoprávněného přístupu k prostředí AWS byl vyvolán neobvyklým způsobem.
- Získání oprávnění vysoké úrovně pro prostředí AWS bylo vyvoláno neobvyklým způsobem.
- být vyvolána ze známé škodlivé IP adresy.
- být vyvolána pomocí přihlašovacích údajů uživatele root.
- Protokolování AWS CloudTrail bylo zakázané.
- Zásady hesel k účtu byly oslabeny.
- Bylo zjištěno několik celosvětově úspěšných přihlášení ke konzole.
- Přihlašovací údaje vytvořené výhradně pro instanci EC2 prostřednictvím role spuštění instance se používají z jiného účtu v rámci AWS.
- Přihlašovací údaje vytvořené výhradně pro instanci EC2 prostřednictvím role spuštění instance se používají z externí IP adresy.
- Rozhraní API bylo vyvoláno ze známé škodlivé IP adresy.
- Rozhraní API bylo vyvoláno z IP adresy ve vlastním seznamu hrozeb.
- Rozhraní API bylo vyvoláno z IP adresy výstupního uzlu Tor.
Implementace AWS a další kontext:
Pokyny ke GCP: Detekce hrozeb událostí v centru Google Cloud Security Command Center použijte k určitému typu detekce hrozeb souvisejících s IAM, jako je detekce událostí, kdy byl neaktivnímu účtu služby spravované uživatelem udělena jedna nebo více citlivých rolí IAM.
Mějte na paměti, že protokoly identit Google i protokoly Google Cloud IAM vytvářejí protokoly aktivit správce, ale pro jiný rozsah. Protokoly identity Google jsou určené pouze pro operace odpovídající platformě Identity Platform, zatímco protokoly IAM jsou určené pro operace odpovídající IAM pro Google Cloud. Protokoly IAM obsahují položky protokolu volání rozhraní API nebo jiných akcí, které upravují konfiguraci nebo metadata prostředků. Tyto protokoly například zaznamenávají, když uživatelé vytvářejí instance virtuálních počítačů nebo mění oprávnění správy identit a přístupu.
Sestavy cloudové identity a IAM můžete použít k upozornění na určité vzory podezřelých aktivit. Pomocí funkce Policy Intelligence můžete také analyzovat aktivity účtů služeb a identifikovat aktivity, jako jsou účty služeb ve vašem projektu, které se v posledních 90 dnech nepoužívaly.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
- Zabezpečení infrastruktury a koncových bodů
- Operace zabezpečení
- Správa stavu
- Zabezpečení aplikací a DevOps
- Analýza hrozeb
LT-3: Povolení protokolování pro účely šetření zabezpečení
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Princip zabezpečení: Povolte protokolování pro cloudové prostředky, abyste splnili požadavky na šetření incidentů zabezpečení, reakci zabezpečení a dodržování předpisů.
Pokyny k Azure: Povolte možnost protokolování pro prostředky na různých úrovních, jako jsou protokoly prostředků Azure, operačních systémů a aplikací ve virtuálních počítačích a dalších typech protokolů.
Mějte na paměti různé typy protokolů zabezpečení, auditu a dalších provozních protokolů na úrovních roviny správy/řízení a roviny dat. Na platformě Azure jsou k dispozici tři typy protokolů:
- Protokol prostředků Azure: Protokolování operací prováděných v rámci prostředku Azure (rovina dat). Například získání tajného kódu z trezoru klíčů nebo vytvoření požadavku na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
- Protokol aktivit Azure: Protokolování operací s každým prostředkem Azure ve vrstvě předplatného z vnějšku (rovina správy). Protokol aktivit můžete použít k určení toho, co, kdo a kdy u všech operací zápisu (PUT, POST, DELETE) proběhlo u prostředků ve vašem předplatném. Pro každé předplatné Azure existuje jeden protokol aktivit.
- Protokoly Azure Active Directory: Protokoly historie aktivit přihlašování a záznamu auditu změn provedených v Azure Active Directory pro konkrétního tenanta.
Můžete také použít Microsoft Defender for Cloud a Azure Policy k povolení shromažďování protokolů prostředků a dat protokolů u prostředků Azure.
Implementace Azure a další kontext:
- Principy protokolování a různých typů protokolů v Azure
- Principy Microsoft Defender pro shromažďování dat v cloudu
- Povolení a konfigurace antimalwarového monitorování
- Operační systémy a protokoly aplikací ve výpočetních prostředcích
Pokyny pro AWS: Použijte protokolování AWS CloudTrail pro události správy (operace řídicí roviny) a události dat (operace roviny dat) a monitorujte tyto stopy pomocí CloudWatch pro automatizované akce.
Služba Amazon CloudWatch Logs umožňuje shromažďovat a ukládat protokoly z vašich prostředků, aplikací a služeb téměř v reálném čase. Protokoly mají tři hlavní kategorie:
- Virtuální protokoly: Protokoly nativně publikované službami AWS vaším jménem. V současné době se podporují protokoly Amazon VPC Flow Logs a Amazon Route 53. Tyto dva protokoly jsou ve výchozím nastavení povolené.
- Protokoly publikované službami AWS: Protokoly z více než 30 služeb AWS se publikují do CloudWatch. Patří mezi ně Amazon API Gateway, AWS Lambda, AWS CloudTrail a mnoho dalších. Tyto protokoly je možné povolit přímo ve službách a v CloudWatch.
- Vlastní protokoly: Protokoly z vaší vlastní aplikace a místních prostředků. Možná budete muset tyto protokoly shromáždit tak, že do operačních systémů nainstalujete agenta CloudWatch a předáte je do služby CloudWatch.
Zatímco mnoho služeb publikuje protokoly jenom do protokolů CloudWatch, některé služby AWS můžou publikovat protokoly přímo do AmazonS3 nebo Amazon Kinesis Data Firehose, kde můžete použít různé zásady ukládání a uchovávání.
Implementace AWS a další kontext:
Pokyny ke GCP: Povolte možnost protokolování pro prostředky na různých úrovních, jako jsou protokoly prostředků Azure, operačních systémů a aplikací ve virtuálních počítačích a dalších typech protokolů.
Mějte na paměti různé typy protokolů zabezpečení, auditu a dalších provozních protokolů na úrovních roviny správy/řízení a roviny dat. Služba protokolování v cloudu Operations Suite shromažďuje a agreguje všechny typy událostí protokolu z úrovní prostředků. Cloudové protokolování podporuje čtyři kategorie protokolů:
- Protokoly platformy – protokoly zapsané službami Google Cloud.
- Protokoly komponent – podobné protokolům platformy, ale jsou to protokoly generované softwarovými komponentami poskytovanými Googlem, které běží ve vašich systémech.
- Protokoly zabezpečení – hlavně protokoly auditu, které zaznamenávají aktivity správy a přístupy v rámci vašich prostředků.
- Uživatelem napsané – protokoly zapsané vlastními aplikacemi a službami
- Protokoly pro více cloudů a protokoly hybridního cloudu – protokoly od jiných poskytovatelů cloudu, jako je Microsoft Azure, a protokoly z místní infrastruktury.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
- Zabezpečení infrastruktury a koncových bodů
- Operace zabezpečení
- Správa stavu
- Zabezpečení aplikací a DevOps
- Analýza hrozeb
LT-4: Povolení síťového protokolování pro účely šetření zabezpečení
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10,8 |
Princip zabezpečení: Povolte protokolování síťových služeb, aby bylo možné podporovat vyšetřování incidentů související se sítí, proaktivní vyhledávání hrozeb a generování výstrah zabezpečení. Síťové protokoly můžou obsahovat protokoly ze síťových služeb, jako je filtrování IP adres, síťová a aplikační brána firewall, DNS, monitorování toků atd.
Pokyny k Azure: Povolte a shromažďujte protokoly prostředků skupiny zabezpečení sítě (NSG), protokoly toků NSG, protokoly Azure Firewall a protokoly Web Application Firewall (WAF) a protokoly z virtuálních počítačů prostřednictvím agenta shromažďování dat síťového provozu pro účely analýzy zabezpečení pro podporu vyšetřování incidentů a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru služby Azure Monitor Log Analytics a pak pomocí Analýzy provozu poskytnout přehledy.
Shromážděte protokoly dotazů DNS, které vám pomůžou při korelaci dalších síťových dat.
Implementace Azure a další kontext:
- Povolení protokolů toků skupin zabezpečení sítě
- Azure Firewall protokolů a metrik
- Řešení pro monitorování sítí Azure ve službě Azure Monitor
- Shromážděte přehledy o infrastruktuře DNS pomocí řešení DNS Analytics.
Pokyny pro AWS: Povolte a shromážděte síťové protokoly, jako jsou protokoly toků VPC, protokoly WAF a protokoly dotazů nástroje Route53 Resolver pro účely analýzy zabezpečení pro podporu vyšetřování incidentů a generování výstrah zabezpečení. Protokoly je možné exportovat do služby CloudWatch za účelem monitorování nebo do kontejneru úložiště S3 pro ingestování do řešení Microsoft Sentinel pro centralizovanou analýzu.
Implementace AWS a další kontext:
Pokyny pro GCP: Většina protokolů síťových aktivit je k dispozici prostřednictvím protokolů toků toků VPC, které zaznamenávají ukázku síťových toků odesílaných a přijatých prostředky, včetně instancí používaných jako virtuální počítače Google Compute a uzlů modulu Kubernetes. Tyto protokoly je možné použít k monitorování sítě, forenzním analýzám zabezpečení v reálném čase a optimalizaci výdajů.
Protokoly toku můžete zobrazit v cloudovém protokolování a exportovat protokoly do cíle, který podporuje export protokolování do cloudu. Protokoly toku se agregují podle připojení z virtuálních počítačů výpočetního stroje a exportují se v reálném čase. Přihlášením k odběru pub/sub můžete analyzovat protokoly toku pomocí rozhraní API streamování v reálném čase.
Poznámka: Můžete také použít funkci Zrcadlení paketů, které klonuje provoz zadaných instancí ve vaší síti VPC (Virtual Private Cloud) a předá ho k prověření. Zrcadlení paketů zachycuje veškerý provoz a data paketů, včetně datových částí a hlaviček.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace) :
- Operace zabezpečení
- Zabezpečení infrastruktury a koncových bodů
- Zabezpečení aplikací a DevOps
- Analýza hrozeb
LT-5: Centralizace správy a analýz protokolu zabezpečení
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | – |
Princip zabezpečení: Centralizace úložiště protokolování a analýzy za účelem zajištění korelace mezi daty protokolů. Pro každý zdroj protokolu se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování a přístupu k datům a požadavky na uchovávání dat.
Pokud nemáte existující řešení SIEM pro poskytovatele CSP, použijte nativní cloudový model SIEM. nebo agregujte protokoly nebo výstrahy do vašeho existujícího SIEM.
Pokyny pro Azure: Ujistěte se, že integrujete protokoly aktivit Azure do centralizovaného pracovního prostoru služby Log Analytics. Azure Monitor slouží k dotazování a provádění analýz a vytváření pravidel upozornění pomocí protokolů agregovaných ze služeb Azure, koncových zařízení, síťových prostředků a dalších systémů zabezpečení.
Kromě toho povolte a připojte data do služby Microsoft Sentinel, která poskytuje možnosti správy událostí zabezpečení (SIEM) a automatizované reakce na orchestraci zabezpečení (SOAR).
Implementace Azure a další kontext:
- Shromažďování protokolů a metrik platformy pomocí služby Azure Monitor
- Postup při onboardingu služby Azure Sentinel
Pokyny pro AWS: Ujistěte se, že integrujete protokoly AWS do centralizovaného prostředku pro účely úložiště a analýzy. CloudWatch slouží k dotazování a provádění analýz a k vytváření pravidel upozornění pomocí protokolů agregovaných ze služeb AWS, služeb, koncových zařízení, síťových prostředků a dalších systémů zabezpečení.
Kromě toho můžete agregovat protokoly v kontejneru úložiště S3 a připojit data protokolů do služby Microsoft Sentinel, která poskytuje možnosti správy událostí zabezpečení (SIEM) a automatizované reakce na orchestraci zabezpečení (SOAR).
Implementace AWS a další kontext:
Pokyny ke GCP: Ujistěte se, že integrujete protokoly GCP do centralizovaného prostředku (například kontejneru protokolování cloudových služeb Operations Suite) pro účely úložiště a analýzy. Protokolování v cloudu podporuje většinu protokolování nativní služby Google Cloud, stejně jako aplikace třetích stran a místní aplikace. Cloudové protokolování můžete použít k dotazování a provádění analýz a k vytváření pravidel upozornění pomocí protokolů agregovaných ze služeb GCP, služeb, koncových zařízení, síťových prostředků a dalších systémů zabezpečení.
Pokud nemáte existující řešení SIEM pro CSP, použijte nativní cloudový SIEM nebo agregujte protokoly a upozornění do existujícího SIEM.
Poznámka: Google poskytuje dva front-endové dotazy na protokoly, Průzkumník protokolů a Log Analytics pro dotazování, zobrazení a analýzu protokolů. Pro řešení potíží a zkoumání dat protokolu se doporučuje použít Průzkumník protokolů. Pokud chcete generovat přehledy a trendy, doporučujeme použít Log Analytics.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace) :
LT-6: Konfigurace uchovávání úložiště protokolů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
Princip zabezpečení: Naplánujte strategii uchovávání protokolů podle vašich požadavků na dodržování předpisů, předpisy a obchodní požadavky. Nakonfigurujte zásady uchovávání protokolů v jednotlivých službách protokolování, abyste zajistili, že se protokoly správně archivují.
Pokyny pro Azure: Protokoly aktivit Azure se uchovávají po dobu 90 dnů a pak se odstraní. Měli byste vytvořit nastavení diagnostiky a směrovat protokoly do jiného umístění (například do pracovního prostoru Služby Log Analytics služby Azure Monitor, služby Event Hubs nebo služby Azure Storage) podle svých potřeb. Tato strategie se vztahuje také na další protokoly prostředků a prostředky, které spravujete sami, jako jsou protokoly v operačních systémech a aplikacích ve virtuálních počítačích.
Máte možnost uchovávání protokolů, jak je uvedeno níže:
- Pracovní prostor služby Azure Monitor Log Analytics použijte po dobu uchovávání protokolů až 1 rok nebo podle požadavků týmu odpovědí.
- Azure Storage, Data Explorer nebo Data Lake použijte k dlouhodobému a archivačnímu úložišti po dobu delší než 1 rok a ke splnění požadavků na dodržování předpisů zabezpečení.
- K předávání protokolů externímu prostředku mimo Azure použijte Azure Event Hubs.
Poznámka: Microsoft Sentinel používá pracovní prostor služby Log Analytics jako svůj back-end pro ukládání protokolů. Pokud plánujete uchovávat protokoly SIEM po delší dobu, měli byste zvážit dlouhodobou strategii ukládání.
Implementace Azure a další kontext:
- Změna doby uchovávání dat v Log Analytics
- Konfigurace zásad uchovávání informací pro protokoly účtu služby Azure Storage
- Microsoft Defender pro export upozornění a doporučení do cloudu
Pokyny pro AWS: Ve výchozím nastavení se protokoly uchovávají po neomezenou dobu a v CloudWatch nikdy nevyprší platnost. Můžete upravit zásady uchovávání informací pro každou skupinu protokolů, zachovat neomezenou dobu uchovávání nebo zvolit dobu uchovávání mezi 10 lety a jedním dnem.
Použijte Amazon S3 pro archivaci protokolů z CloudWatch a použijte pro kontejner zásady správy životního cyklu a archivace objektů. Azure Storage můžete použít k centrální archivaci protokolů přenosem souborů z Amazon S3 do Azure Storage.
Implementace AWS a další kontext:
Pokyny pro GCP: Protokolování cloudu operations suite ve výchozím nastavení uchovává protokoly po dobu 30 dnů, pokud pro kontejner Protokolování cloudu nenakonfigurujete vlastní uchovávání. Správa protokoly auditu aktivit, protokoly auditu událostí systému a protokoly transparentnosti přístupu se ve výchozím nastavení uchovávají po dobu 400 dnů. Cloudové protokolování můžete nakonfigurovat tak, aby se protokoly uchovály mezi 1 dnem a 3650 dny.
Pro archivaci protokolů z cloudového protokolování použijte cloudové úložiště a na kontejner použijte zásady správy životního cyklu a archivace objektů. Azure Storage můžete použít k centrální archivaci protokolů přenosem souborů z Google Cloud Storage do Azure Storage.
Implementace GCP a další kontext:
- Vlastní uchovávání protokolů
- Zásady uchovávání informací o úložišti
- Přehled směrování protokolů a úložiště
Účastníci zabezpečení zákazníků (další informace) :
- Architektura zabezpečení
- Zabezpečení aplikací a DevOps
- Operace zabezpečení
- Správa dodržování předpisů zabezpečení
LT-7: Použití schválených zdrojů synchronizace času
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS verze 3.2.1 |
|---|---|---|
| 8.4 | AU-8 | 10.4 |
Princip zabezpečení: Pro časové razítko protokolování použijte schválené zdroje synchronizace času, mezi které patří data, čas a informace o časovém pásmu.
Pokyny pro Azure: Microsoft udržuje zdroje času pro většinu služeb Azure PaaS a SaaS. Pro operační systémy výpočetních prostředků použijte k synchronizaci času výchozí server NTP od Microsoftu, pokud nemáte konkrétní požadavek. Pokud potřebujete postavit svůj vlastní server NTP (Network Time Protocol), ujistěte se, že jste zabezpečili port služby UDP 123.
Všechny protokoly generované prostředky v Rámci Azure poskytují časová razítka s časovým pásmem určeným ve výchozím nastavení.
Implementace Azure a další kontext:
- Postup konfigurace synchronizace času pro výpočetní prostředky Azure s Windows
- Postup konfigurace synchronizace času pro výpočetní prostředky Azure s Linuxem
- Jak zakázat příchozí udp pro služby Azure
Pokyny pro AWS: AWS udržuje časové zdroje pro většinu služeb AWS. Pro prostředky nebo služby, ve kterých je nakonfigurované nastavení času operačního systému, použijte pro synchronizaci času výchozí službu Amazon Time Sync Service AWS, pokud nemáte konkrétní požadavek. Pokud potřebujete postavit svůj vlastní server NTP (Network Time Protocol), ujistěte se, že jste zabezpečili port služby UDP 123.
Všechny protokoly generované prostředky v rámci AWS poskytují časová razítka s časovým pásmem určeným ve výchozím nastavení.
Implementace AWS a další kontext:
Pokyny GCP: Google Cloud udržuje zdroje času pro většinu služeb PaaS a SaaS v cloudu Google. V případě operačních systémů výpočetních prostředků použijte pro synchronizaci času výchozí server NTP služby Google Cloud, pokud nemáte konkrétní požadavek. Pokud potřebujete postavit svůj vlastní server NTP (Network Time Protocol), ujistěte se, že je zabezpečený port služby UDP 123.
Poznámka: Doporučujeme nepoužívat externí zdroje NTP s virtuálními počítači výpočetního modulu, ale interní server NTP poskytovaný společností Google.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace) :