Contrôle de sécurité : Journalisation et supervision
Notes
La version la plus à jour d’Azure Security Benchmark est disponible ici.
La journalisation et la supervision de la sécurité se concentrent sur les activités liées à l’activation, l’acquisition et le stockage des journaux d’audit pour les services Azure.
2.1 : Utiliser des sources de synchronisation date/heure approuvées
| Identifiant Azure | Identifiants CIS | Responsabilité |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
Microsoft gère les sources de temps pour les ressources Azure. Toutefois, vous avez la possibilité de gérer les paramètres de synchronisation date/heure pour vos ressources de calcul.
2.2 : Configurer la gestion des journaux de sécurité centrale
| Identifiant Azure | Identifiants CIS | Responsabilité |
|---|---|---|
| 2.2 | 6.5, 6.6 | Customer |
Ingérez des journaux par le biais d’Azure Monitor pour agréger les données de sécurité générées par les appareils de point de terminaison, les ressources réseau et d’autres systèmes de sécurité. Dans Azure Monitor, utilisez des espaces de travail Log Analytics pour interroger et effectuer l’analytique, puis utilisez les comptes de stockage Azure pour le stockage à long terme/d’archivage.
Vous pouvez également activer et intégrer les données dans Azure Sentinel ou une solution SIEM tierce.
Guide pratique pour collecter des journaux et des métriques de plateforme avec Azure Monitor
Guide pratique pour bien démarrer avec Azure Monitor et l’intégration d’une solution SIEM tierce
2.3 : Activer la journalisation d’audit pour les ressources Azure
| Identifiant Azure | Identifiants CIS | Responsabilité |
|---|---|---|
| 2.3 | 6.2, 6.3 | Customer |
Activez les paramètres de diagnostic sur les ressources Azure pour accéder aux journaux d’audit, de sécurité et de diagnostic. Les journaux d’activité, automatiquement disponibles, incluent la source de l’événement, la date, l’utilisateur, l’horodatage, les adresses sources, les adresses de destination et d’autres éléments utiles.
Guide pratique pour collecter des journaux et des métriques de plateforme avec Azure Monitor
Présentation de la journalisation et des différents types de journaux dans Azure
2.4 : Collecter les journaux de sécurité des systèmes d’exploitation
| Identifiant Azure | Identifiants CIS | Responsabilité |
|---|---|---|
| 2.4 | 6.2, 6.3 | Customer |
Si la ressource de calcul appartient à Microsoft, alors Microsoft est responsable de sa supervision. Si la ressource de calcul appartient à votre organisation, il vous incombe de la superviser. Vous pouvez utiliser Azure Security Center pour superviser le système d’exploitation. Les données collectées par Security Center auprès du système d’exploitation incluent le type et la version du système d’exploitation, le système d’exploitation (journaux des événements Windows), les processus en cours d’exécution, le nom de l’ordinateur, les adresses IP et l’utilisateur connecté. L’agent Log Analytics collecte également les fichiers de vidage sur incident.
2.5 : Configurer la conservation du stockage des journaux de sécurité
| Identifiant Azure | Identifiants CIS | Responsabilité |
|---|---|---|
| 2.5 | 6.4 | Customer |
Dans Azure Monitor, définissez la période de conservation de votre espace de travail Log Analytics en fonction des obligations réglementaires de votre organisation. Utilisez les comptes de stockage Azure pour le stockage à long terme/d’archivage.
Modification de la période de conservation des données dans Log Analytics
Guide pratique pour configurer la stratégie de conservation des journaux de compte de Stockage Azure
2.6 : Superviser et examiner les journaux
| Identifiant Azure | Identifiants CIS | Responsabilité |
|---|---|---|
| 2.6 | 6.7 | Customer |
Analysez et supervisez les journaux pour détecter les comportements anormaux et examinez régulièrement les résultats. Utilisez l’espace de travail Log Analytics d’Azure Monitor pour examiner les journaux et effectuer des requêtes sur leurs données.
Vous pouvez également activer et intégrer les données dans Azure Sentinel ou une solution SIEM tierce.
2.7 : Activer les alertes d’activité anormale
| Identifiant Azure | Identifiants CIS | Responsabilité |
|---|---|---|
| 2.7 | 6.8 | Customer |
Utilisez Azure Security Center avec un espace de travail Log Analytics pour superviser les activités anormales détectées dans les journaux de sécurité et les événements et générer des alertes s’y rapportant.
Vous pouvez également activer et intégrer les données dans Azure Sentinel.
Guide pratique pour gérer les alertes dans Azure Security Center
Guide pratique pour générer une alerte sur des données de journal Log Analytics
2.8 : Centraliser la journalisation anti-programme malveillant
| Identifiant Azure | Identifiants CIS | Responsabilité |
|---|---|---|
| 2.8 | 8.6 | Customer |
Activez la collecte des événements anti-programme malveillant pour les machines virtuelles et services cloud Azure.
2.9 : Activer la journalisation des requêtes DNS
| Identifiant Azure | Identifiants CIS | Responsabilité |
|---|---|---|
| 2,9 | 8,7 | Customer |
Implémentez une solution tierce de journalisation DNS à partir de la Place de marché Azure en fonction des besoins de votre organisation.
2.10 : Activer l’enregistrement d’audit en ligne de commande
| Identifiant Azure | Identifiants CIS | Responsabilité |
|---|---|---|
| 2.10 | 8.8 | Customer |
Utilisez Microsoft Monitoring Agent sur toutes les machines virtuelles Windows Azure prises en charge pour journaliser l’événement de création de processus et le champ de ligne de commande. En ce qui concerne les machines virtuelles Linux Azure prises en charge, vous pouvez configurer manuellement la journalisation de la console au niveau de chaque nœud et utiliser Syslog pour stocker les données. Exploitez également l’espace de travail Log Analytics d’Azure Monitor pour examiner les journaux et effectuer des requêtes sur les données journalisées à partir des machines virtuelles Azure.
Étapes suivantes
- Consultez le contrôle de sécurité suivant : Identité et contrôle d’accès