Control de seguridad: Registro y supervisión
Nota:
La versión más actualizada de Azure Security Benchmark está disponible aquí.
El registro y la supervisión de seguridad se centra en las actividades relacionadas con la habilitación, adquisición y almacenamiento de registros de auditoría de los servicios de Azure.
2.1: Uso de orígenes de sincronización de hora aprobados
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
Microsoft mantiene los orígenes de hora de los recursos de Azure; sin embargo, tiene la opción de administrar la configuración de la sincronización de hora de los recursos de proceso.
Configuración de la sincronización de hora de los recursos de proceso de Windows de Azure
Configuración de la sincronización de hora de los recursos de proceso de Linux de Azure
2.2: Configuración de la administración central de registros de seguridad
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 2.2 | 6.5, 6.6 | Customer |
Recopile registros mediante Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y utilice cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.
Como alternativa, puede habilitar e incorporar datos en Azure Sentinel o en una herramienta SIEM de terceros.
Recopilación de registros y métricas de plataforma con Azure Monitor
Recopilación de registros de host internos de máquina virtual de Azure con Azure Monitor
Introducción a Azure Monitor e integración con herramienta SIEM de terceros
2.3: Habilitación del registro de auditoría para recursos de Azure
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 2.3 | 6.2, 6.3 | Customer |
Habilite Configuración de diagnóstico en los recursos de Azure para poder acceder a los registros de auditoría, seguridad y diagnóstico. Los registros de actividad, que están disponibles automáticamente, incluyen el origen del evento, la fecha, el usuario, la marca de tiempo, las direcciones de origen y de destino, y otros elementos útiles.
Recopilación de registros y métricas de plataforma con Azure Monitor
Descripción del registro y de los distintos tipos de registro de Azure
2.4: Recopilación de registros de seguridad de sistemas operativos
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 2.4 | 6.2, 6.3 | Customer |
Si el recurso de proceso es propiedad de Microsoft, este será responsable de su supervisión. Si el recurso de proceso es propiedad de su organización, la responsabilidad de su supervisión recaerá sobre usted. Puede usar Azure Security Center para supervisar el sistema operativo. Entre los datos que recopila Security Center del sistema operativo se incluyen: tipo y versión del sistema operativo, sistema operativo (registros de eventos de Windows), procesos en ejecución, nombre de la máquina, direcciones IP y usuario conectado. El agente de Log Analytics también recopila los archivos de volcado de memoria.
Recopilación de registros de host internos de máquina virtual de Azure con Azure Monitor
Descripción de la recopilación de datos de Azure Security Center
2.5: Configuración de la retención del almacenamiento de registros de seguridad
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 2.5 | 6.4 | Customer |
En Azure Monitor, establezca el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.
2.6: Supervisión y registros de revisión
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 2.6 | 6.7 | Customer |
Analice y supervise los registros en busca de comportamientos anómalos y revise los resultados con regularidad. Use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas en los datos del registro.
Como alternativa, puede habilitar e incorporar datos en Azure Sentinel o en una herramienta SIEM de terceros.
2.7: Habilitación de alertas para actividades anómalas
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 2.7 | 6,8 | Customer |
Use Azure Security Center con el área de trabajo de Log Analytics para la supervisión y alertas sobre actividades anómalas que se encuentran en los registros y eventos de seguridad.
Como alternativa, puede habilitar e incorporar datos en Azure Sentinel.
2.8: Centralización del registro antimalware
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 2.8 | 8.6 | Customer |
Habilite la recopilación de eventos antimalware para Azure Virtual Machines y Cloud Services.
2.9: Habilitación del registro de consultas DNS
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 2.9 | 8,7 | Customer |
Implemente una solución de terceros de Azure Marketplace para la solución de registro DNS según las necesidades de su organización.
2.10: Habilitación del registro de auditoría de la línea de comandos
| Id. de Azure | Id. de CIS | Responsabilidad |
|---|---|---|
| 2.10 | 8.8 | Customer |
Use Microsoft Monitoring Agent en todas las máquinas virtuales Windows de Azure compatibles para registrar el evento de creación de procesos y el campo CommandLine. En el caso de las máquinas virtuales Linux de Azure compatibles, puede configurar manualmente el registro de la consola en cada nodo y usar Syslog para almacenar los datos. Además, use el área de trabajo de Log Analytics de Azure Monitor para revisar los registros y realizar consultas en los datos registrados de las máquinas virtuales de Azure.
Pasos siguientes
- Consulte el control de seguridad siguiente: Identidad y control de acceso