Contrôle de sécurité : journalisation et détection des menaces
La journalisation et la détection des menaces couvrent les contrôles destinés à détecter les menaces sur le cloud et à activer, collecter et stocker les journaux d’audit pour les services cloud, ce qui inclut l’activation des processus de détection, d’investigation et de correction avec des contrôles visant à générer des alertes de haute qualité avec la détection native des menaces dans les services Azure. Cela inclut également la collecte des journaux avec un service de monitoring sur le cloud, la centralisation des analyses de la sécurité avec une gestion des événements de sécurité (SIEM), la synchronisation de l’heure et la conservation des journaux.
LT-1 : activer les fonctionnalités de détection des menaces
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Principe de sécurité : pour prendre en charge les scénarios de détection des menaces, surveillez tous les types de ressources connus pour détecter les menaces et anomalies connues et attendues. Configurez vos règles de filtrage et d’analyse d’alertes pour extraire des alertes de haute qualité à partir de données de journal, d’agents ou d’autres sources de données afin de réduire les faux positifs.
Conseils Azure : Utilisez la fonctionnalité de détection des menaces de Microsoft Defender pour le cloud pour les services Azure respectifs.
Pour la détection des menaces non incluse dans Microsoft Defender services, reportez-vous aux bases de référence du service Microsoft Cloud Security Benchmark pour les services respectifs afin d’activer les fonctionnalités de détection des menaces ou d’alerte de sécurité au sein du service. Ingérer des alertes et des données de journalisation de Microsoft Defender pour le cloud, les Microsoft 365 Defender et les données de journalisation d’autres ressources dans vos instances Azure Monitor ou Microsoft Sentinel pour créer des règles d’analytique, qui détectent les menaces et créent des alertes qui correspondent à des critères spécifiques dans votre environnement.
Pour les environnements de technologie opérationnelle (OT) qui incluent des ordinateurs qui contrôlent ou surveillent des ressources ICS (Industrial Control System) ou SCADA (Supervisory Control and Data Acquisition), utilisez Microsoft Defender pour IoT pour inventorier les ressources et détecter les menaces et les vulnérabilités.
Pour les services qui n’ont pas de fonctionnalité de détection des menaces native, envisagez de collecter les journaux du plan de données et d’analyser les menaces via Microsoft Sentinel.
Implémentation Azure et contexte supplémentaire :
- Présentation de Microft Defender pour le cloud
- Guide de référence sur les alertes de sécurité de Microsoft Defender pour le cloud
- Créer des règles d’analytique personnalisées pour détecter des menaces
- Indicateurs de menace pour le renseignement sur les cybermenaces dans Microsoft Sentinel
Conseils AWS : Utilisez Amazon GuardDuty pour la détection des menaces qui analyse et traite les sources de données suivantes : Journaux de flux de VPC, journaux d’événements de gestion AWS CloudTrail, journaux d’événements de données CloudTrail S3, journaux d’audit EKS et journaux DNS. GuardDuty est capable de signaler des problèmes de sécurité tels que l’escalade des privilèges, l’utilisation des informations d’identification exposées ou la communication avec des adresses IP malveillantes ou des domaines.
Configurez AWS Config pour case activée règles dans SecurityHub pour la surveillance de la conformité, comme la dérive de configuration, et créez des résultats si nécessaire.
Pour la détection des menaces non incluse dans GuardDuty et SecurityHub, activez les fonctionnalités de détection des menaces ou d’alerte de sécurité au sein des services AWS pris en charge. Extrayez les alertes vers votre CloudTrail, CloudWatch ou Microsoft Sentinel pour créer des règles d’analyse, qui chassent les menaces qui correspondent à des critères spécifiques dans votre environnement.
Vous pouvez également utiliser Microsoft Defender pour le cloud pour surveiller certains services dans AWS, tels que les instances EC2.
Pour les environnements de technologie opérationnelle (OT) qui incluent des ordinateurs qui contrôlent ou surveillent des ressources ICS (Industrial Control System) ou SCADA (Supervisory Control and Data Acquisition), utilisez Microsoft Defender pour IoT pour inventorier les ressources et détecter les menaces et les vulnérabilités.
Implémentation AWS et contexte supplémentaire :
- Amazon GuardDuty
- Sources de données Amazon GuardDuty
- Connecter vos comptes AWS à Microsoft Defender pour le cloud
- Comment Defender for Cloud Apps contribue à la protection de votre environnement AWS (Amazon Web Services)
- Recommandations de sécurité pour les ressources AWS : guide de référence
Conseils GCP : Utilisez la détection des menaces d’événement dans le Centre de commandes de sécurité Google Cloud pour la détection des menaces à l’aide de données de journal telles que l’activité Administration, l’accès aux données GKE, les journaux de flux de VPC, le DNS cloud et les journaux de pare-feu.
Utilisez également la suite Opérations de sécurité pour le SOC moderne avec Chronicle SIEM et SOAR. Chronicle SIEM et SOAR fournissent des fonctionnalités de détection des menaces, d’investigation et de chasse
Vous pouvez également utiliser Microsoft Defender pour le cloud pour surveiller certains services dans GCP, tels que les instances de machine virtuelle de calcul.
Pour les environnements de technologie opérationnelle (OT) qui incluent des ordinateurs qui contrôlent ou surveillent des ressources ICS (Industrial Control System) ou SCADA (Supervisory Control and Data Acquisition), utilisez Microsoft Defender pour IoT pour inventorier les ressources et détecter les menaces et les vulnérabilités.
Implémentation GCP et contexte supplémentaire :
- Vue d’ensemble de la détection des menaces d’événements du Centre de commandes de sécurité
- Chronique SOAR
- Comment Defender pour cloud Apps vous aide à protéger votre environnement Google Cloud Platform (GCP)
- Recommandations de sécurité pour les ressources GCP : guide de référence
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité d’infrastructure et de point de terminaison
- Opérations de sécurité
- Gestion de la posture
- Sécurité des applications et DevOps
- Renseignement sur les menaces
LT-2 : activer la détection des menaces pour la gestion des identités et des accès
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Principe de sécurité : détectez les menaces pour la gestion des identités et des accès en surveillant les anomalies de connexion et d’accès de l’utilisateur et de l’application. Les modèles comportementaux tels que le nombre excessif de tentatives de connexion ayant échoué et les comptes déconseillés dans l’abonnement doivent être alertés.
Conseils Azure : Azure AD fournit les journaux suivants qui peuvent être consultés dans la création de rapports Azure AD ou intégrés à Azure Monitor, Microsoft Sentinel ou à d’autres outils SIEM/monitoring pour des cas d’usage de supervision et d’analyse plus sophistiqués :
- Connexions : le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.
- Journaux d’audit : traçabilité proposée via des journaux d’activité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Par exemple, les journaux d’audit peuvent inclure les modifications apportées à des ressources dans Azure AD comme l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles, de stratégies, etc.
- Connexions risquées : une connexion risquée indique une tentative de connexion susceptible de provenir d’un utilisateur autre que le propriétaire légitime d’un compte d’utilisateur.
- Utilisateurs marqués d’un indicateur de risque : un utilisateur à risque indique un compte d’utilisateur susceptible d’être compromis.
Azure AD fournit également un module Identity Protection pour détecter et corriger les risques liés aux comptes d’utilisateur et aux comportements de connexion. Les exemples de risques incluent les informations d’identification divulguées, la connexion à partir d’adresses IP anonymes ou liées à des programmes malveillants, la pulvérisation de mot de passe. Les stratégies d’Azure AD Identity Protection vous permettent d’appliquer l’authentification MFA basée sur les risques conjointement avec l’accès conditionnel Azure sur les comptes d’utilisateur.
En outre, Microsoft Defender pour le cloud peut également être configuré pour informer sur les comptes déconseillés dans l’abonnement et les activités suspectes, comme un nombre excessif de tentatives d’authentification ayant échoué. En plus de la surveillance de base de l’hygiène de sécurité, le module Protection contre les menaces de Microsoft Defender pour le cloud peut également collecter des alertes de sécurité plus approfondies à partir de ressources de calcul Azure individuelles (machines virtuelles, conteneurs ou service d’application, par exemple), de ressources de données (base de données SQL et stockage, par exemple) et de couches de service Azure. Cette capacité vous permet de voir les anomalies de compte à l’intérieur des ressources individuelles.
Remarque : si vous connectez votre Active Directory sur site pour la synchronisation, utilisez la solution Microsoft Defender pour Identity pour utiliser vos signaux Active Directory locaux afin d’identifier, de détecter et d’investiguer les menaces avancées, les identités compromises et les actions des utilisateurs internes malveillants dirigées contre votre entreprise.
Implémentation Azure et contexte supplémentaire :
- Rapports d’activité d’audit dans Azure AD
- Activer Azure AD Identity Protection
- Protection contre les menaces avec Microsoft Defender pour le cloud
- Vue d’ensemble de Microsoft Defender pour Identity
Conseils AWS : AWS IAM fournit les rapports suivants sur les journaux et rapports des activités des utilisateurs de la console via IAM Access Advisor et le rapport d’informations d’identification IAM :
- Chaque connexion réussie et chaque tentative de connexion infructueuse.
- L’authentification multifacteur (MFA) status pour chaque utilisateur.
- Utilisateur IAM dormant
Pour la surveillance de l’accès au niveau de l’API et la détection des menaces, utilisez Amazon GuadDuty pour identifier les résultats liés à IAM. Voici quelques exemples de ces résultats :
- Une API utilisée pour accéder à un environnement AWS et a été appelée de manière anormale ou a été utilisée pour échapper aux mesures défensives
- Api utilisée pour :
- découvrir que les ressources ont été appelées de manière anormale
- collecter des données à partir d’un environnement AWS a été appelé de manière anormale.
- la falsification des données ou des processus dans un environnement AWS a été appelée de manière anormale.
- l’accès non autorisé à un environnement AWS a été appelé de manière anormale.
- maintenir l’accès non autorisé à un environnement AWS a été appelé de manière anormale.
- obtenir des autorisations de haut niveau sur un environnement AWS a été appelé de manière anormale.
- être appelé à partir d’une adresse IP malveillante connue.
- être appelé à l’aide des informations d’identification racine.
- La journalisation AWS CloudTrail a été désactivée.
- La stratégie de mot de passe du compte a été affaiblie.
- Plusieurs connexions de console réussies dans le monde entier ont été observées.
- Les informations d’identification créées exclusivement pour un instance EC2 via un rôle de lancement d’instance sont utilisées à partir d’un autre compte dans AWS.
- Les informations d’identification créées exclusivement pour un instance EC2 via un rôle de lancement d’instance sont utilisées à partir d’une adresse IP externe.
- Une API a été appelée à partir d’une adresse IP malveillante connue.
- Une API a été appelée à partir d’une adresse IP dans une liste de menaces personnalisée.
- Une API a été appelée à partir d’une adresse IP de nœud de sortie Tor.
Implémentation AWS et contexte supplémentaire :
- Rapports d’informations d’identification IAM
- Source de données GuardDuty
- Types de recherche IAM GuardDuty
Conseils GCP : Utilisez la détection des menaces d’événement dans google Cloud Security Command Center pour certains types de détection des menaces liées à IAM, comme la détection d’événements dans lesquels un compte de service géré par l’utilisateur dormant s’est vu attribuer un ou plusieurs rôles IAM sensibles.
N’oubliez pas que les journaux d’activité Google Identity et Google Cloud IAM produisent tous deux des journaux d’activité d’administrateur, mais pour l’étendue différente. Les journaux d’activité Google Identity sont uniquement pour les opérations correspondant à Identity Platform, tandis que les journaux IAM sont pour les opérations correspondant à IAM pour Google Cloud. Les journaux IAM contiennent des entrées de journal des appels d’API ou d’autres actions qui modifient la configuration ou les métadonnées des ressources. Par exemple, ces journaux enregistrent lorsque les utilisateurs créent des instances de machine virtuelle ou modifient les autorisations de gestion des identités et des accès.
Utilisez l’identité cloud et les rapports IAM pour envoyer des alertes sur certains modèles d’activité suspectes. Vous pouvez également utiliser Policy Intelligence pour analyser les activités des comptes de service afin d’identifier les activités telles que les comptes de service dans votre projet n’ont pas été utilisées au cours des 90 derniers jours.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité d’infrastructure et de point de terminaison
- Opérations de sécurité
- Gestion de la posture
- Sécurité des applications et DevOps
- Renseignement sur les menaces
LT-3 : activer la journalisation pour l’examen de sécurité
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Principe de sécurité : activez la journalisation pour vos ressources cloud afin de répondre aux exigences en matière d’enquêtes sur les incidents de sécurité et de réponse de sécurité et de conformité.
Conseils Azure : Activez la fonctionnalité de journalisation pour les ressources aux différents niveaux, tels que les journaux des ressources Azure, les systèmes d’exploitation et les applications dans vos machines virtuelles et d’autres types de journaux.
Soyez attentif aux différents types de journaux de sécurité, d’audit et d’autres journaux opérationnels au niveau du plan de gestion/contrôle et du plan de données. Il existe trois types de journaux disponibles sur la plateforme Azure :
- Journal des ressources Azure : journalisation des opérations effectuées au sein d’une ressource Azure (le plan de données). Par exemple, l’obtention d’un secret à partir d’un coffre de clés ou l’exécution d’une requête sur une base de données. Le contenu des journaux de ressources varie en fonction du service Azure et du type de ressource.
- Journal d’activité Azure : journalisation des opérations sur chaque ressource Azure au niveau de la couche d’abonnement à partir de l’extérieur (le plan de gestion). Vous pouvez utiliser le journal d’activité pour déterminer quoi, qui et quand pour les opérations d’écriture (PUT, POST, DELETE) effectuées sur les ressources de votre abonnement. Il n’y qu’un seul journal d’activité par abonnement Azure.
- Journaux Azure Active Directory : les journaux contiennent l’historique de l’activité de connexion et la piste d’audit des modifications apportées dans Azure Active Directory pour un locataire particulier.
Vous pouvez également utiliser Microsoft Defender pour le cloud et Azure Policy pour activer la collecte des journaux de ressources et des données de journaux sur des ressources Azure.
Implémentation Azure et contexte supplémentaire :
- Présentation de la journalisation et des différents types de journaux dans Azure
- Comprendre Microsoft Defender pour la collecte de données cloud
- Activer et configurer la surveillance Antimalware
- Systèmes d’exploitation et journaux des applications à l’intérieur de vos ressources de calcul
Conseils AWS : Utilisez la journalisation AWS CloudTrail pour les événements de gestion (opérations de plan de contrôle) et les événements de données (opérations de plan de données) et surveillez ces traces avec CloudWatch pour les actions automatisées.
Le service Journaux Amazon CloudWatch vous permet de collecter et de stocker les journaux de vos ressources, applications et services en quasi temps réel. Il existe trois catégories main de journaux :
- Journaux vendés : journaux publiés en mode natif par les services AWS en votre nom. Actuellement, les journaux de flux Amazon VPC et Les journaux Amazon Route 53 sont les deux types pris en charge. Ces deux journaux sont activés par défaut.
- Journaux publiés par les services AWS : les journaux de plus de 30 services AWS sont publiés sur CloudWatch. Ils incluent Amazon API Gateway, AWS Lambda, AWS CloudTrail et bien d’autres. Ces journaux peuvent être activés directement dans les services et CloudWatch.
- Journaux personnalisés : journaux à partir de votre propre application et de ressources locales. Vous devrez peut-être collecter ces journaux en installant l’agent CloudWatch dans vos systèmes d’exploitation et en les transférant à CloudWatch.
Alors que de nombreux services publient des journaux uniquement sur CloudWatch Logs, certains services AWS peuvent publier des journaux directement sur AmazonS3 ou Amazon Kinesis Data Firehose, où vous pouvez utiliser différentes stratégies de stockage et de rétention de journalisation.
Implémentation AWS et contexte supplémentaire :
- Activation de la journalisation à partir de certains services AWS
- Surveillance et journalisation
- Fonctionnalités cloudwatch
Conseils GCP : Activez la fonctionnalité de journalisation pour les ressources à différents niveaux, comme les journaux des ressources Azure, les systèmes d’exploitation et les applications à l’intérieur de vos machines virtuelles et d’autres types de journaux.
Soyez attentif aux différents types de journaux de sécurité, d’audit et d’autres journaux opérationnels au niveau du plan de gestion/contrôle et du plan de données. Le service de journalisation cloud Operations Suite collecte et agrège tous les types d’événements de journal à partir des niveaux de ressources. Quatre catégories de journaux sont prises en charge dans la journalisation cloud :
- Journaux de plateforme : journaux écrits par vos services Google Cloud.
- Journaux de composants : similaires aux journaux de plateforme, mais ce sont des journaux générés par des composants logiciels fournis par Google qui s’exécutent sur vos systèmes.
- Journaux de sécurité : principalement des journaux d’audit qui enregistrent les activités administratives et les accès au sein de vos ressources.
- Écrit par l’utilisateur : journaux écrits par des applications et services personnalisés
- Journaux multicloud et journaux de cloud hybride : journaux d’autres fournisseurs de cloud comme Microsoft Azure et journaux d’activité d’une infrastructure locale.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité d’infrastructure et de point de terminaison
- Opérations de sécurité
- Gestion de la posture
- Sécurité des applications et DevOps
- Renseignement sur les menaces
LT-4 : activer la journalisation réseau pour l’examen de sécurité
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10.8 |
Principe de sécurité : activez la journalisation pour vos services réseau afin de prendre en charge les enquêtes sur les incidents liés au réseau, la chasse aux menaces et la génération d’alertes de sécurité. Les journaux réseau peuvent inclure des journaux provenant de services réseau tels que le filtrage IP, le pare-feu réseau et des applications, le DNS, la supervision du flux de données, etc.
Conseils Azure : Activez et collectez les journaux de ressources des groupes de sécurité réseau (NSG), les journaux de flux NSG, les journaux d’activité Pare-feu Azure et les journaux d’activité Web Application Firewall (WAF) et les journaux d’activité des machines virtuelles via l’agent de collecte de données du trafic réseau pour l’analyse de la sécurité afin de prendre en charge les enquêtes sur les incidents et la génération d’alertes de sécurité. Vous pouvez envoyer les journaux de flux à un espace de travail Log Analytics sur Azure Monitor, puis utiliser Traffic Analytics pour obtenir des insights.
Collectez les journaux de requêtes DNS pour faciliter la corrélation d’autres données réseau.
Implémentation Azure et contexte supplémentaire :
- Tutoriel : journaliser le trafic réseau à destination et en provenance d’une machine virtuelle à l’aide du portail Azure
- Journaux et métriques du pare-feu Azure
- Solutions de supervision réseau Azure dans Azure Monitor
- Rassemblement d’informations sur votre infrastructure DNS avec la solution DNS Analytics
Conseils AWS : Activez et collectez des journaux réseau tels que les journaux de flux DE VPC, les journaux WAF et les journaux de requête du programme de résolution Route53 pour l’analyse de la sécurité afin de prendre en charge les enquêtes sur les incidents et la génération d’alertes de sécurité. Les journaux peuvent être exportés vers CloudWatch pour la supervision ou vers un compartiment de stockage S3 pour l’ingestion dans la solution Microsoft Sentinel pour l’analytique centralisée.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : la plupart des journaux d’activité réseau sont disponibles via les journaux de flux VPC, qui enregistrent un exemple de flux réseau envoyés et reçus par des ressources, y compris les instances utilisées comme machines virtuelles Google Compute, nœuds du moteur Kubernetes. Ces journaux peuvent être utilisés pour la surveillance du réseau, la forensique, l’analyse de la sécurité en temps réel et l’optimisation des dépenses.
Vous pouvez afficher les journaux de flux dans La journalisation cloud et exporter les journaux vers la destination prise en charge par l’exportation de la journalisation cloud. Les journaux de flux sont agrégés par connexion à partir des machines virtuelles du moteur de calcul et exportés en temps réel. En vous abonnant à Pub/Sub, vous pouvez analyser les journaux de flux à l’aide des API de streaming en temps réel.
Remarque : Vous pouvez également utiliser la mise en miroir de paquets clone le trafic des instances spécifiées dans votre réseau de cloud privé virtuel (VPC) et le transfère pour examen. La mise en miroir de paquets capture l’ensemble du trafic et des données de paquets, y compris les charges utiles et les en-têtes.
Implémentation gcp et contexte supplémentaire :
- Utiliser les journaux de flux VPC
- Informations de journalisation de l’audit VPC
- Mise en miroir de paquets
Parties prenantes de la sécurité des clients (En savoir plus) :
- Opérations de sécurité
- Sécurité d’infrastructure et de point de terminaison
- Sécurité des applications et DevOps
- Renseignement sur les menaces
LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | N/A |
Principe de sécurité : Centralisez le stockage et l’analyse de la journalisation pour activer la corrélation entre les données de journal. Pour chaque source de journal, assurez-vous d’avoir attribué un propriétaire de données, des conseils d’accès, un emplacement de stockage, les outils utilisés pour traiter les données et y accéder, ainsi que les exigences en matière de conservation des données.
Utilisez un SIEM cloud natif si vous n’avez pas de solution SIEM existante pour les fournisseurs de services cloud. ou agréger des journaux/alertes dans votre SIEM existant.
Conseils Azure : Veillez à intégrer les journaux d’activité Azure dans un espace de travail Log Analytics centralisé. Utilisez Azure Monitor pour interroger et effectuer des analyses et créer des règles d’alerte à l’aide des journaux agrégés à partir des services Azure, des appareils de point de terminaison, des ressources réseau et d’autres systèmes de sécurité.
En outre, activez et intégrez des données à Microsoft Sentinel, qui fournit des fonctionnalités SIEM (Security Information Event Management) et SOAR (Security Orchestration Automated Response).
Implémentation Azure et contexte supplémentaire :
- Guide pratique pour collecter des journaux et des métriques de plateforme avec Azure Monitor
- Guide pratique pour intégrer Azure Sentinel
Conseils AWS : Veillez à intégrer vos journaux AWS dans une ressource centralisée à des fins de stockage et d’analyse. Utilisez CloudWatch pour interroger et effectuer des analyses, et pour créer des règles d’alerte à l’aide des journaux agrégés à partir des services, services, appareils de point de terminaison, ressources réseau et autres systèmes de sécurité AWS.
En outre, vous pouvez agréger les journaux dans un compartiment de stockage S3 et intégrer les données de journal à Microsoft Sentinel, qui fournit des fonctionnalités SIEM (Security Information Event Management) et SOAR (Security Orchestration Automated Response).
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Veillez à intégrer vos journaux GCP dans une ressource centralisée (comme le compartiment de journalisation cloud Operations Suite) à des fins de stockage et d’analyse. La journalisation cloud prend en charge la majeure partie de la journalisation du service natif Google Cloud, ainsi que les applications tierces et les applications locales. Vous pouvez utiliser la journalisation cloud pour interroger et effectuer des analyses, et créer des règles d’alerte à l’aide des journaux agrégés à partir des services, services, appareils de point de terminaison, ressources réseau et autres systèmes de sécurité GCP.
Utilisez siem natif cloud si vous ne disposez pas d’une solution SIEM existante pour csp, ou agrégez les journaux/alertes dans votre SIEM existant.
Remarque : Google fournit deux serveurs frontaux de requête de journal, Journaux Explorer et Log Analytics pour interroger, afficher et analyser les journaux. Pour la résolution des problèmes et l’exploration des données de journal, il est recommandé d’utiliser journaux Explorer. Pour générer des insights et des tendances, il est recommandé d’utiliser Log Analytics.
Implémentation gcp et contexte supplémentaire :
- Agréger et stocker les journaux de votre organization
- Vue d’ensemble des journaux d’activité de requête et d’affichage
- Chronicle SIEM
Parties prenantes de la sécurité des clients (En savoir plus) :
- Architecture de la sécurité
- Sécurité des applications et DevOps
- Sécurité d’infrastructure et de point de terminaison
LT-6 : Configurer la rétention du stockage des journaux
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
Principe de sécurité : Planifiez votre stratégie de rétention des journaux en fonction de vos exigences de conformité, de réglementation et d’entreprise. Configurez la stratégie de rétention des journaux au niveau des services de journalisation individuels pour vous assurer que les journaux sont correctement archivés.
Conseils Azure : Les journaux, tels que les journaux d’activité Azure, sont conservés pendant 90 jours, puis supprimés. Vous devez créer un paramètre de diagnostic et acheminer les journaux vers un autre emplacement (par exemple, espace de travail Azure Monitor Log Analytics, Event Hubs ou Stockage Azure) en fonction de vos besoins. Cette stratégie s’applique également à d’autres journaux de ressources et ressources gérés par vous-même, tels que les journaux des systèmes d’exploitation et des applications dans les machines virtuelles.
L’option de rétention de journal est la suivante :
- Utilisez l’espace de travail Azure Monitor Log Analytics pour une période de rétention de journal allant jusqu’à 1 an ou selon les besoins de votre équipe chargée des réponses.
- Utilisez Stockage Azure, Data Explorer ou Data Lake pour le stockage à long terme et l’archivage pendant une période supérieure à 1 an et pour répondre aux exigences de conformité en matière de sécurité.
- Utilisez Azure Event Hubs pour transférer les journaux à une ressource externe en dehors d’Azure.
Remarque : Microsoft Sentinel utilise l’espace de travail Log Analytics comme back-end pour le stockage des journaux. Vous devez envisager une stratégie de stockage à long terme si vous envisagez de conserver les journaux SIEM plus longtemps.
Implémentation Azure et contexte supplémentaire :
- Modification de la période de conservation des données dans Log Analytics
- Guide pratique pour configurer la stratégie de conservation des journaux de compte de Stockage Azure
- Exportation des recommandations et des alertes Microsoft Defender pour le cloud
Conseils AWS : Par défaut, les journaux sont conservés indéfiniment et n’expirent jamais dans CloudWatch. Vous pouvez ajuster la stratégie de rétention pour chaque groupe de journaux, en conservant la rétention indéfinie ou en choisissant une période de rétention comprise entre 10 ans et un jour.
Utilisez Amazon S3 pour l’archivage des journaux à partir de CloudWatch et appliquez la gestion du cycle de vie des objets et la stratégie d’archivage au compartiment. Vous pouvez utiliser stockage Azure pour l’archivage des journaux centralisé en transférant les fichiers d’Amazon S3 vers Stockage Azure.
Implémentation AWS et contexte supplémentaire :
- Modification de la rétention des journaux CloudWatch
- Copier des données depuis Amazon S3 vers le Stockage Azure avec AzCopy
Conseils GCP : Par défaut, Operations Suite Cloud Logging conserve les journaux pendant 30 jours, sauf si vous configurez une rétention personnalisée pour le compartiment De journalisation cloud. Administration les journaux d’audit d’activité, les journaux d’audit des événements système et les journaux de transparence d’accès sont conservés 400 jours par défaut. Vous pouvez configurer la journalisation cloud pour conserver les journaux entre 1 jour et 3650 jours.
Utilisez Le stockage cloud pour l’archivage des journaux à partir de la journalisation cloud et appliquez la gestion du cycle de vie des objets et la stratégie d’archivage au compartiment. Vous pouvez utiliser Stockage Azure pour l’archivage des journaux centralisé en transférant les fichiers de Google Cloud Storage vers Stockage Azure.
Implémentation gcp et contexte supplémentaire :
- Conservation personnalisée des journaux
- Stratégies de rétention du stockage
- Vue d’ensemble du routage et du stockage des journaux
Parties prenantes de la sécurité des clients (En savoir plus) :
- Architecture de la sécurité
- Sécurité des applications et DevOps
- Opérations de sécurité
- Gestion de la conformité de la sécurité
LT-7 : Utiliser des sources de synchronisation date/heure approuvées
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 8,4 | AU-8 | 10,4 |
Principe de sécurité : utilisez des sources de synchronisation d’heure approuvées pour votre horodatage de journalisation qui incluent des informations de date, d’heure et de fuseau horaire.
Conseils Azure : Microsoft gère les sources de temps pour la plupart des services PaaS et SaaS Azure. Pour les systèmes d’exploitation de vos ressources de calcul, utilisez un serveur NTP par défaut Microsoft pour la synchronisation de l’heure, sauf si vous avez une exigence spécifique. Si vous devez mettre en place votre propre serveur NTP (Network Time Protocol), veillez à sécuriser le port 123 du service UDP.
Tous les journaux générés par des ressources dans Azure fournissent des horodatages avec le fuseau horaire spécifié par défaut.
Implémentation Azure et contexte supplémentaire :
- Guide pratique pour configurer la synchronisation date/heure pour les ressources de calcul Windows Azure
- Guide pratique pour configurer la synchronisation date/heure pour les ressources de calcul Linux Azure
- Comment désactiver le protocole UDP entrant pour les services Azure
Conseils AWS : AWS gère les sources de temps pour la plupart des services AWS. Pour les ressources ou services pour lesquels le paramètre d’heure du système d’exploitation est configuré, utilisez Amazon Time Sync Service par défaut AWS pour la synchronisation de l’heure, sauf si vous avez une exigence spécifique. Si vous devez mettre en place votre propre serveur NTP (Network Time Protocol), veillez à sécuriser le port 123 du service UDP.
Tous les journaux générés par les ressources dans AWS fournissent des horodatages avec le fuseau horaire spécifié par défaut.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Google Cloud gère les sources de temps pour la plupart des services PaaS et SaaS Google Cloud. Pour vos systèmes d’exploitation de ressources de calcul, utilisez un serveur NTP Google Cloud par défaut pour la synchronisation de l’heure, sauf si vous avez une exigence spécifique. Si vous devez mettre en place votre propre serveur NTP (Network Time Protocol), veillez à sécuriser le port de service UDP 123.
Remarque : il est recommandé de ne pas utiliser de sources NTP externes avec des machines virtuelles du moteur de calcul, mais d’utiliser le serveur NTP interne fourni par Google.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :