Řízení zabezpečení V3: protokolování a detekce hrozeb

Protokolování a detekce hrozeb pokrývá ovládací prvky pro detekci hrozeb v Azure a povolování, shromažďování a ukládání protokolů auditu pro služby Azure, včetně povolování zjišťování, vyšetřování a nápravných procesů s ovládacími prvky pro generování vysoce kvalitních výstrah s detekcí nativních hrozeb ve službách Azure. zahrnuje také shromažďování protokolů s Azure Monitor, centralizaci analýzy zabezpečení s použitím Sentinel Azure, synchronizaci času a uchovávání protokolů.

LT-1: povolení možností detekce hrozeb

V8 (CIS) řídí ID (s) NIST SP 800-53 R4 ID (s) ID PCI-DSS (s) v 3.2.1
8,11 AU-3, AU-6, AU-12, SI-4 10,6, 10,8, a 3.5

Princip zabezpečení: Pro podporu scénářů detekce hrozeb Sledujte všechny známé typy prostředků pro známé a očekávané hrozby a anomálie. Nakonfigurujte filtrování a pravidla analýzy výstrah pro extrakci vysoce kvalitních výstrah z dat protokolů, agentů nebo jiných zdrojů dat, abyste snížili falešně pozitivní výsledky.

Pokyny pro Azure: využijte možnosti detekce hrozeb ve službě azure Defender v Microsoft Defender for Cloud pro příslušné služby azure.

Pro detekci hrozeb, která není součástí služeb Azure Defenderu, se podívejte na směrné plány služby Azure Security test pro příslušné služby, které umožní detekci hrozeb nebo výstrahu zabezpečení v rámci služby. Extrahujte výstrahy do svého Azure Monitor nebo Azure Sentinel a Sestavujte analytická pravidla, která se zacházejí na hrozbách, které odpovídají konkrétním kritériím v rámci vašeho prostředí.

V prostředích provozní technologie (z), která zahrnuje počítače, které řídí nebo monitorují prostředky pro řízení a správu a získávání dat (SCADA) v průmyslu, používají Defender pro IoT k inventarizaci prostředků a detekci hrozeb a ohrožení zabezpečení.

U služeb, které nemají schopnost nativního zjišťování hrozeb, zvažte shromažďování protokolů roviny dat a analýzu hrozeb prostřednictvím služby Azure Sentinel.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (Další informace):

LT-2: povolení detekce hrozeb pro správu identit a přístupu

V8 (CIS) řídí ID (s) NIST SP 800-53 R4 ID (s) ID PCI-DSS (s) v 3.2.1
8,11 AU-3, AU-6, AU-12, SI-4 10,6, 10,8, a 3.5

Princip zabezpečení: Vyhledá hrozby pro správu identit a přístupu monitorováním přihlášení uživatelů a aplikací a přístupu ke anomáliím. V případě vzorců chování, jako je nadměrný počet neúspěšných pokusů o přihlášení a zastaralých účtů v rámci předplatného, by se měla upozornit.

Pokyny pro Azure: Azure AD poskytuje následující protokoly, které se dají zobrazit v sestavách Azure AD nebo jsou integrované s Azure Monitor, Azure Sentinel nebo jiné nástroje SIEM/Monitoring pro výkonnější monitorování a analytické účely:

  • Přihlášení: sestava přihlášení poskytuje informace o použití spravovaných aplikací a aktivitách přihlašování uživatelů.
  • Protokoly auditu: poskytuje sledovatelnost prostřednictvím protokolů pro všechny změny prováděné různými funkcemi v rámci služby Azure AD. Mezi příklady protokolů auditu patří změny jakýchkoli prostředků v rámci Azure AD, jako jsou přidání nebo odebrání uživatelů, aplikací, skupin, rolí nebo zásad.
  • Riziková přihlášení: rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.
  • Uživatelé označení příznakem rizika: rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožen.

Azure AD taky poskytuje modul Identity Protection pro detekci a nápravu rizik souvisejících s uživatelskými účty a chováním při přihlašování. Příklady rizik zahrnují nevrácená pověření, přihlášení z anonymních nebo propojených IP adres, spreje hesel. Zásady v Azure AD Identity Protection umožňují vymáhat ověřování MFA založené na rizikech ve spojení s podmíněným přístupem Azure na uživatelských účtech.

kromě toho je možné Microsoft Defender for Cloud nakonfigurovat na upozornění na zastaralé účty v rámci předplatného a podezřelé aktivity, jako je například nadměrný počet neúspěšných pokusů o ověření. kromě základního monitorování hygieny zabezpečení může modul ochrany před internetovými útoky Microsoft Defender for Cloud taky shromažďovat podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (například virtuálních počítačů, kontejnerů, app service), datových prostředků (například SQL DB a storage) a vrstev služeb Azure. Tato funkce umožňuje zobrazit anomálie účtů v jednotlivých prostředcích.

poznámka: pokud připojujete místní Active Directory k synchronizaci, použijte řešení Microsoft Defender for Identity, abyste mohli využívat místní Active Directory signály pro identifikaci, detekci a prověření pokročilých hrozeb, napadených identit a škodlivých akcí Insider směrovaných ve vaší organizaci.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (Další informace):

LT-3: povolení protokolování pro šetření zabezpečení

V8 (CIS) řídí ID (s) NIST SP 800-53 R4 ID (s) ID PCI-DSS (s) v 3.2.1
8,2, 8,5, 8,12 AU-3, AU-6, AU-12, SI-4 10,1, 10,2, 10,3

Princip zabezpečení: Povolte protokolování pro cloudové prostředky, aby splňovaly požadavky na vyšetřování incidentů zabezpečení a bezpečnostní odpověď a dodržování předpisů.

Pokyny pro Azure: Povolte protokolování prostředků na různých úrovních, jako jsou protokoly pro prostředky Azure, operační systémy a aplikace uvnitř virtuálních počítačů a dalších typů protokolů.

Nezapomeňte o různých typech protokolů pro zabezpečení, audit a další protokoly operací na úrovni správy/řízení a roviny dat. Existují tři typy protokolů, které jsou k dispozici na platformě Azure:

  • Azure Resource log: protokolování operací, které se provádějí v rámci prostředku Azure (rovina dat). Například získání tajného klíče z trezoru klíčů nebo vytvoření žádosti do databáze. Obsah protokolů prostředků se liší podle typu prostředku a služby Azure.
  • Protokol aktivit Azure: protokolování operací v jednotlivých prostředcích Azure na úrovni předplatného z vnějšku (rovina správy). Protokol aktivit můžete použít k určení toho, kdo a kdy se u prostředků ve vašem předplatném provádí operace zápisu (PUT, POST, DELETE). Pro každé předplatné Azure existuje jeden protokol aktivit.
  • protokoly Azure Active Directory: protokoly historie přihlašovací aktivity a auditované záznamy o změnách provedených v Azure Active Directory pro konkrétního tenanta.

pomocí Microsoft Defender for Cloud a Azure Policy můžete taky povolit protokoly prostředků a data protokolů, která se shromažďují v prostředcích Azure.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (Další informace):

LT-4: povolení protokolování sítě pro šetření zabezpečení

V8 (CIS) řídí ID (s) NIST SP 800-53 R4 ID (s) ID PCI-DSS (s) v 3.2.1
8,2, 8,5, 8,6, 8,7, 13,6 AU-3, AU-6, AU-12, SI-4 10,8

Princip zabezpečení: Povolte protokolování síťových služeb pro podporu vyšetřování incidentů souvisejících se sítí, loveckých hrozeb a generování výstrah zabezpečení. Síťové protokoly můžou zahrnovat protokoly ze síťových služeb, jako je filtrování IP adres, brána firewall sítě a aplikace, DNS, sledování toků atd.

Pokyny k Azure: Povolte a shromáždíte protokoly prostředků skupiny zabezpečení sítě (NSG), protokoly toku NSG, protokoly Azure Firewall a protokoly waf (Web Application Firewall) pro analýzu zabezpečení pro podporu vyšetřování incidentů a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru Azure Monitor Log Analytics a pak pomocí Analýza provozu poskytnout přehledy.

Shromáždí protokoly dotazů DNS, které vám pomohou při korelaci jiných síťových dat.

Implementace a další kontext:

Customer Security Stakeholders (Další informace):

LT-5: Centralizace správy a analýz protokolu zabezpečení

ID cis Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4

Princip zabezpečení: Centralizujte úložiště protokolování a analýzu, abyste umožnili korelaci mezi daty protokolů. Pro každý zdroj protokolu se ujistěte, že jste přiřadili vlastníka dat, pokyny pro přístup, umístění úložiště, jaké nástroje se používají ke zpracování a přístupu k datům, a požadavky na uchovávání dat.

Pokyny k Azure: Ujistěte se, že integrujete protokoly aktivit Azure do centralizovaného pracovního prostoru služby Log Analytics. Pomocí Azure Monitor můžete dotazovat a provádět analýzy a vytvářet pravidla upozornění pomocí protokolů agregovaných ze služeb Azure, zařízení koncových bodů, síťových prostředků a dalších systémů zabezpečení.

Kromě toho povolte a onboarding dat do služby Azure Sentinel která poskytuje funkce pro správu událostí informací o zabezpečení (SIEM) a automatickou reakci na orchestraci zabezpečení (SOAR).

Implementace a další kontext:

Customer Security Stakeholders (Další informace):

LT-6: Konfigurace uchovávání úložiště protokolů

ID cis Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Princip zabezpečení: Naplánujte strategii uchovávání protokolů v souladu s vašimi požadavky na dodržování předpisů, nařízení a obchodní požadavky. Nakonfigurujte zásady uchovávání protokolů v jednotlivých protokolových službách, abyste zajistili odpovídající archivaci protokolů.

Pokyny k Azure: Protokoly, jako jsou události protokolů aktivit Azure, se uchovávají po dobu 90 dnů a pak se odstraní. Měli byste vytvořit nastavení diagnostiky a směrovat položky protokolu do jiného umístění (například do pracovního prostoru služby Azure Monitor Log Analytics, Event Hubs nebo Azure Storage) podle vašich potřeb. Tato strategie platí také pro ostatní protokoly prostředků a prostředky, které spravujete sami, jako jsou protokoly v operačních systémech a aplikacích ve virtuálních systémech.

Máte možnost uchovávání protokolů, jak je uvedeno níže:

  • Použijte Azure Monitor log Analytics po dobu uchovávání protokolů, která je až 1 rok nebo podle požadavků vašeho týmu pro reakce.
  • Použijte Azure Storage, Data Explorer nebo Data Lake pro dlouhodobé a archivní úložiště po dobu delší než 1 rok a ke splnění vašich požadavků na dodržování předpisů zabezpečení.
  • Pomocí Azure Event Hubs můžete protokoly předávat mimo Azure.

Poznámka: Azure Sentinel úložiště protokolů používá pracovní prostor služby Log Analytics jako back-end. Pokud plánujete uchovávat protokoly SIEM po delší dobu, měli byste zvážit dlouhodobou strategii ukládání.

Implementace a další kontext:

Customer Security Stakeholders (Další informace):

LT-7: Použití schválených zdrojů synchronizace času

ID cis Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
8.4 AU-8 10.4

Princip zabezpečení: Pro časové razítko protokolování použijte schválené zdroje synchronizace času, které obsahují informace o datu, času a časovém pásmu.

Pokyny k Azure: Microsoft udržuje časové zdroje pro většinu služeb Azure PaaS a SaaS. Pro operační systémy výpočetních prostředků použijte výchozí server NTP od Microsoftu pro synchronizaci času, pokud nemáte konkrétní požadavek. Pokud potřebujete vytvořit vlastní server NTP (Network Time Protocol), ujistěte se, že zabezpečíte port služby UDP 123.

Všechny protokoly vygenerované prostředky v Rámci Azure poskytují časová razítka s časovým pásmem zadaným ve výchozím nastavení.

Implementace a další kontext:

Customer Security Stakeholders (Další informace):