Biztonságvezérlés: Naplózás és fenyegetésészlelés
A naplózás és a fenyegetésészlelés magában foglalja a felhőbeli fenyegetések észlelésére szolgáló vezérlőket, valamint a felhőszolgáltatások auditnaplóinak engedélyezését, gyűjtését és tárolását, beleértve az észlelési, vizsgálati és szervizelési folyamatok engedélyezését vezérlőkkel, amelyek kiváló minőségű riasztásokat hoznak létre natív fenyegetésészleléssel a felhőszolgáltatásokban; Emellett naplókat gyűjt egy felhőmonitorozási szolgáltatással, központosítja a biztonsági elemzést SIEM-sel, időszinkronizálással és naplómegőrzéssel.
LT-1: Fenyegetésészlelési képességek engedélyezése
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Biztonsági elv: A fenyegetésészlelési forgatókönyvek támogatásához monitorozza az összes ismert erőforrástípust az ismert és várt fenyegetések és anomáliák alapján. Konfigurálja a riasztásszűrési és elemzési szabályokat, hogy kiváló minőségű riasztásokat nyerjen ki a naplóadatokból, ügynökökből vagy más adatforrásokból a téves pozitív értékek csökkentése érdekében.
Azure-útmutató: Használja a felhőhöz készült Microsoft Defender fenyegetésészlelési képességét a megfelelő Azure-szolgáltatásokhoz.
Ha a fenyegetésészlelés nem szerepel Microsoft Defender szolgáltatásokban, tekintse meg a Microsoft Cloud Security Benchmark szolgáltatás alapkonfigurációit a megfelelő szolgáltatásokhoz a szolgáltatáson belüli fenyegetésészlelési vagy biztonsági riasztási képességek engedélyezéséhez. Riasztások és naplóadatok betöltése a Microsoft Defender felhőhöz, Microsoft 365 Defender és naplóadatok más erőforrásokból az Azure Monitor- vagy Microsoft Sentinel-példányokba elemzési szabályok létrehozásához, amelyek észlelik a fenyegetéseket, és olyan riasztásokat hoznak létre, amelyek megfelelnek a környezet adott feltételeinek.
Az olyan operatív technológiai (OT) környezetek esetében, amelyek az ipari vezérlőrendszer (ICS) vagy a felügyeleti ellenőrzési és adatgyűjtési (SCADA) erőforrásokat vezérlő vagy figyelő számítógépeket tartalmaznak, az IoT-hez készült Microsoft Defender használatával leltározza az eszközöket, és észlelje a fenyegetéseket és a biztonsági réseket.
Az olyan szolgáltatások esetében, amelyek nem rendelkeznek natív fenyegetésészlelési képességgel, érdemes lehet összegyűjteni az adatsík naplóit, és elemezni a fenyegetéseket a Microsoft Sentinelen keresztül.
Azure-implementáció és további környezet:
- A Felhőhöz készült Microft Defender bemutatása
- Microsoft Defender felhőbeli biztonsági riasztásokhoz – referencia-útmutató
- Egyéni elemzési szabályok létrehozása fenyegetések észleléséhez
- A kiberfenyegetettség-felderítés fenyegetésmutatói a Microsoft Sentinelben
AWS-útmutató: Az Amazon GuardDuty használata fenyegetésészleléshez, amely a következő adatforrásokat elemzi és dolgozza fel: VPC-forgalomnaplók, AWS CloudTrail-felügyeleti eseménynaplók, CloudTrail S3-adatesemény-naplók, EKS-auditnaplók és DNS-naplók. A GuardDuty képes jelentéskészítésre olyan biztonsági problémákról, mint a jogosultságok eszkalálása, a felfedett hitelesítő adatok használata vagy a rosszindulatú IP-címekkel vagy tartományokkal folytatott kommunikáció.
Konfigurálja az AWS-konfigurációt, hogy ellenőrizze a SecurityHubon a megfelelőségi monitorozásra vonatkozó szabályokat, például a konfigurációs eltérést, és szükség esetén hozzon létre eredményeket.
Ha a GuardDuty és a SecurityHub nem tartalmazza a fenyegetésészlelést, engedélyezze a fenyegetésészlelési vagy biztonsági riasztási képességeket a támogatott AWS-szolgáltatásokban. Kinyerheti a riasztásokat a CloudTrailbe, a CloudWatchba vagy a Microsoft Sentinelbe elemzési szabályok létrehozásához, amelyek a környezet adott feltételeinek megfelelő fenyegetéseket keresnek.
A Microsoft Defender for Cloud használatával is monitorozhat bizonyos szolgáltatásokat az AWS-ben, például az EC2-példányokban.
Az olyan operatív technológiai (OT) környezetek esetében, amelyek az ipari vezérlőrendszer (ICS) vagy a felügyeleti ellenőrzési és adatgyűjtési (SCADA) erőforrásokat vezérlő vagy figyelő számítógépeket tartalmaznak, az IoT-hez készült Microsoft Defender használatával leltározza az eszközöket, és észlelje a fenyegetéseket és a biztonsági réseket.
AWS-implementáció és további környezet:
- Amazon GuardDuty
- Amazon GuardDuty-adatforrások
- AWS-fiókok csatlakoztatása a Microsoft Defender for Cloudhoz
- Hogyan segíti a Defender for Cloud Apps az Amazon Web Services- (AWS-) környezet védelmét?
- Biztonsági javaslatok az AWS-erőforrásokhoz – referencia-útmutató
GCP-útmutató: Használja a Google Cloud Security Command Center eseményfenyegetés-észlelését a fenyegetésészleléshez olyan naplóadatok használatával, mint a Rendszergazda tevékenység, a GKE-adathozzáférés, a VPC-folyamatnaplók, a felhőBELI DNS és a tűzfalnaplók.
Emellett használja a Security Operations csomagot a modern SOC-hoz a Chronicle SIEM és a SOAR használatával. A Chronicle SIEM és a SOAR fenyegetésészlelési, vizsgálati és vadászati képességeket biztosít
A Microsoft Defender for Cloud használatával is monitorozhat bizonyos szolgáltatásokat a GCP-ben, például számítási virtuálisgép-példányokat.
Az olyan operatív technológiai (OT) környezetek esetében, amelyek az ipari vezérlőrendszer (ICS) vagy a felügyeleti ellenőrzési és adatgyűjtési (SCADA) erőforrásokat vezérlő vagy figyelő számítógépeket tartalmaznak, az IoT-hez készült Microsoft Defender használatával leltározza az eszközöket, és észlelje a fenyegetéseket és a biztonsági réseket.
GCP-implementáció és további környezet:
- A Security Command Center eseményfenyegetésének áttekintése
- Krónika SOAR
- Hogyan segít a Defender for Cloud Apps a Google Cloud Platform-környezet (GCP) védelmében?
- Biztonsági javaslatok GCP-erőforrásokhoz – referencia-útmutató
Ügyfélbiztonsági érdekelt felek (További információ):
- Infrastruktúra és végpontbiztonság
- Biztonsági műveletek
- Helyzetkezelés
- Alkalmazásbiztonság és DevOps
- Fenyegetésfelderítés
LT-2: Fenyegetésészlelés engedélyezése identitás- és hozzáférés-kezeléshez
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Biztonsági alapelv: Észlelheti az identitások és hozzáférés-kezelés fenyegetéseit a felhasználói és alkalmazás-bejelentkezési és hozzáférési anomáliák monitorozásával. Az olyan viselkedési mintákat, mint a sikertelen bejelentkezési kísérletek túlzott száma és az előfizetés elavult fiókjai, riasztást kell adni.
Azure-útmutató: Azure AD a következő naplókat tartalmazza, amelyek megtekinthetők Azure AD jelentésekben, vagy integrálhatók az Azure Monitorral, a Microsoft Sentinellel vagy más SIEM/monitoring eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:
- Bejelentkezések: A bejelentkezési jelentés információt nyújt a felügyelt alkalmazások használatáról és a felhasználói bejelentkezési tevékenységekről.
- Auditnaplók: Naplókon keresztüli nyomon követhetőséget biztosít az Azure AD különböző funkciói által végrehajtott összes módosításhoz. A naplók rögzítik például az erőforrások módosításait az Azure AD-n belül, például a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadását vagy eltávolítását.
- Kockázatos bejelentkezések: A kockázatos bejelentkezés egy olyan bejelentkezési kísérlet jele, amelyet olyan személy végezhetett el, aki nem a felhasználói fiók jogos tulajdonosa.
- Kockázatosként megjelölt felhasználók: A kockázatos felhasználók olyan felhasználói fiókokra utalnak, amelyeket esetleg feltörtek.
Azure AD egy Identity Protection modult is biztosít a felhasználói fiókokhoz és bejelentkezési viselkedésekhez kapcsolódó kockázatok észleléséhez és elhárításához. A kockázatok közé tartoznak például a kiszivárgott hitelesítő adatok, a névtelen vagy kártevőalapú IP-címekről való bejelentkezés, a jelszófeltörés. Az Azure AD Identity Protection szabályzatai lehetővé teszik a kockázatalapú MFA-hitelesítés kikényszerítését az Azure Feltételes hozzáféréssel együtt a felhasználói fiókokon.
Emellett a felhőhöz készült Microsoft Defender úgy is konfigurálható, hogy riasztást küldjön az előfizetés elavult fiókjairól és a gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról. Az alapvető biztonsági higiénés monitorozáson kívül a Cloud Threat Protection moduljának Microsoft Defender részletesebb biztonsági riasztásokat is gyűjthet az egyes Azure számítási erőforrásokról (például virtuális gépekről, tárolókról, app service-ről), az adaterőforrásokról (például AZ SQL DB-ről és a tárolóról) és az Azure szolgáltatásrétegeiről. Ez a funkció lehetővé teszi a fiókanomáliák megtekintését az egyes erőforrásokon belül.
Megjegyzés: Ha a szinkronizáláshoz csatlakoztatja a helyi Active Directory, használja a Microsoft Defender for Identity megoldást a helyi Active Directory a szervezetre irányuló speciális fenyegetések, feltört identitások és rosszindulatú belső műveletek azonosítására, észlelésére és kivizsgálására szolgáló jelek.
Azure-implementáció és további környezet:
- Tevékenységjelentések naplózása Azure AD
- Az Azure Identity Protection engedélyezése
- Veszélyforrások elleni védelem a Microsoft Defender for Cloudban
- A Microsoft Defender for Identity áttekintése
AWS-útmutató: Az AWS IAM az alábbi jelentéskészítést biztosítja a konzol felhasználói tevékenységeinek naplóiról és jelentéseiről az IAM Access Advisor és az IAM hitelesítő adatok jelentésén keresztül:
- Minden sikeres bejelentkezés és sikertelen bejelentkezési kísérlet.
- A többtényezős hitelesítés (MFA) állapota minden felhasználóhoz.
- Alvó IAM-felhasználó
Az API-szintű hozzáférés monitorozásához és a fenyegetésészleléshez használja az Amazon GuadDutyt az IAM-hez kapcsolódó megállapítások azonosításához. Ilyen megállapítások például a következők:
- Az AWS-környezethez való hozzáféréshez használt API-t rendellenes módon hívták meg, vagy védelmi intézkedések megkerülésére használták
- A következőkhöz használt API:
- az erőforrások felderítése rendellenes módon lett meghívva
- az AWS-környezetből származó adatok gyűjtése rendellenes módon lett meghívva.
- az AWS-környezetben lévő adatok vagy folyamatok illetéktelen módosítása rendellenes módon lett meghívva.
- jogosulatlan hozzáférést kapott egy AWS-környezethez, amely rendellenes módon lett meghívva.
- nem megfelelő módon hívták meg az AWS-környezethez való jogosulatlan hozzáférést.
- magas szintű engedélyek beszerzése egy AWS-környezethez rendellenes módon lett meghívva.
- egy ismert rosszindulatú IP-címről lehet meghívni.
- a rendszer gyökérszintű hitelesítő adatokkal hívja meg.
- Az AWS CloudTrail naplózása le lett tiltva.
- A fiókjelszó-szabályzat meggyengült.
- Több, világszerte sikeres konzolbelépést figyeltek meg.
- A kizárólag egy EC2-példányhoz példányindítási szerepkörrel létrehozott hitelesítő adatokat egy másik fiók használja az AWS-ben.
- A kizárólag egy EC2-példányhoz példányindítási szerepkörrel létrehozott hitelesítő adatokat egy külső IP-címről használja a rendszer.
- Egy API egy ismert rosszindulatú IP-címről lett meghívva.
- Egy API-t egy egyéni fenyegetéslistán szereplő IP-címről hívtak meg.
- Egy API egy Tor kilépési csomópont IP-címéről lett meghívva.
AWS-implementáció és további környezet:
GCP-útmutató: A Google Cloud Security Command Center eseményfenyegetésének észlelése bizonyos típusú IAM-hez kapcsolódó fenyegetésészleléshez használható, például olyan események észleléséhez, amelyekben egy alvó, felhasználó által felügyelt szolgáltatásfiók egy vagy több bizalmas IAM-szerepkört kapott.
Vegye figyelembe, hogy a Google Identity-naplók és a Google Cloud IAM-naplók egyaránt létrehoznak rendszergazdai tevékenységnaplókat, de a különböző hatókörökben. A Google-identitásnaplók csak az Identity Platformnak megfelelő műveletekhez használhatók, míg az IAM-naplók a Google Cloudhoz készült IAM-nek megfelelő műveletekhez tartoznak. Az IAM-naplók API-hívások naplóbejegyzéseit vagy más olyan műveleteket tartalmaznak, amelyek módosítják az erőforrások konfigurációját vagy metaadatait. Ezek a naplók például akkor rögzítik a naplókat, amikor a felhasználók virtuálisgép-példányokat hoznak létre, vagy módosítják az identitás- és hozzáférés-kezelési engedélyeket.
A Cloud Identity és az IAM-jelentések használatával riasztásokat készíthet bizonyos gyanús tevékenységmintákról. A Szabályzatintelligencia segítségével a szolgáltatásfiókok tevékenységeinek elemzésével azonosíthatja azokat a tevékenységeket, mint például a projektben lévő szolgáltatásfiókok, amelyeket az elmúlt 90 napban nem használtak.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
- Infrastruktúra és végpontbiztonság
- Biztonsági műveletek
- Helyzetkezelés
- Alkalmazásbiztonság és DevOps
- Fenyegetésfelderítés
LT-3: Naplózás engedélyezése biztonsági vizsgálathoz
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Biztonsági alapelv: Engedélyezze a felhőbeli erőforrások naplózását, hogy megfeleljenek a biztonsági incidensek vizsgálatára, valamint a biztonsági reagálásra és a megfelelőségre vonatkozó követelményeknek.
Azure-útmutató: Engedélyezze a naplózási képességet a különböző szinteken lévő erőforrásokhoz, például az Azure-erőforrások naplóihoz, az operációs rendszerekhez és a virtuális gépeken belüli alkalmazásokhoz és más naplótípusokhoz.
Vegye figyelembe a biztonsági, naplózási és egyéb működési naplók különböző típusait a felügyeleti/vezérlősík- és adatsíkszinteken. Az Azure platformon háromféle napló érhető el:
- Azure-erőforrásnapló: Az Azure-erőforráson (az adatsíkon) végrehajtott műveletek naplózása. Például lekérhet egy titkos kulcsot egy kulcstartóból, vagy kérést intézhet egy adatbázishoz. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik.
- Azure-tevékenységnapló: Az egyes Azure-erőforrások műveleteinek naplózása az előfizetési rétegben, kívülről (a felügyeleti síkról). A tevékenységnaplóval meghatározhatja, hogy az előfizetés erőforrásain végrehajtott írási műveletek (PUT, POST, DELETE) milyen, ki és mikor legyenek. Minden Azure-előfizetéshez egyetlen tevékenységnapló tartozik.
- Azure Active Directory-naplók: Naplók a bejelentkezési tevékenység előzményeiről és az Azure Active Directoryban egy adott bérlőn végrehajtott módosítások naplóiról.
A Microsoft Defender for Cloud és a Azure Policy használatával is engedélyezheti az azure-erőforrásokon gyűjtött erőforrásnaplókat és naplóadatokat.
Azure-implementáció és további környezet:
- A naplózás és a különböző naplótípusok megismerése az Azure-ban
- A felhőbeli adatgyűjtés Microsoft Defender ismertetése
- Kártevőirtó-figyelés engedélyezése és konfigurálása
- Operációs rendszerek és alkalmazásnaplók a számítási erőforrásokban
AWS-útmutató: Az AWS CloudTrail-naplózás használata felügyeleti eseményekhez (vezérlősík műveleteihez) és adateseményekhez (adatsík-műveletekhez), és ezeket a nyomokat a CloudWatch használatával monitorozza automatizált műveletekhez.
Az Amazon CloudWatch Logs szolgáltatással közel valós időben gyűjthet és tárolhat naplókat az erőforrásaiból, alkalmazásaiból és szolgáltatásaiból. A naplóknak három fő kategóriája van:
- Elajándékozott naplók: Az AWS-szolgáltatások által az Ön nevében natívan közzétett naplók. Jelenleg az Amazon VPC-forgalomnaplók és az Amazon Route 53-naplók a két támogatott típus. Ez a két napló alapértelmezés szerint engedélyezve van.
- Az AWS-szolgáltatások által közzétett naplók: Több mint 30 AWS-szolgáltatás naplói közzéteendők a CloudWatch-ban. Ezek közé tartozik az Amazon API Gateway, az AWS Lambda, az AWS CloudTrail és még sok más. Ezek a naplók közvetlenül a szolgáltatásokban és a CloudWatch-ban engedélyezhetők.
- Egyéni naplók: Saját alkalmazásból és helyszíni erőforrásokból származó naplók. Előfordulhat, hogy ezeket a naplókat úgy kell összegyűjtenie, hogy telepíti a CloudWatch Agentet az operációs rendszerekben, és továbbítja őket a CloudWatch-nak.
Bár számos szolgáltatás csak a CloudWatch-naplókban teszi közzé a naplókat, egyes AWS-szolgáltatások közvetlenül az AmazonS3-on vagy az Amazon Kinesis Data Firehose-on tehetik közzé a naplókat, ahol különböző naplózási tárolási és adatmegőrzési szabályzatokat használhat.
AWS-implementáció és további környezet:
GCP-útmutató: Engedélyezze a naplózási képességet a különböző szinteken lévő erőforrásokhoz, például az Azure-erőforrások naplóihoz, a virtuális gépeken belüli operációs rendszerekhez és alkalmazásokhoz és más naplótípusokhoz.
Vegye figyelembe a biztonsági, naplózási és egyéb működési naplók különböző típusait a felügyeleti/vezérlősík- és adatsíkszinteken. Az Operations Suite felhőnaplózási szolgáltatás az erőforrásszintekről gyűjti és összesíti az összes naplóeseményt. A felhőnaplózás négy naplókategóriát támogat:
- Platformnaplók – a Google Cloud-szolgáltatások által írt naplók.
- Összetevőnaplók – hasonlóak a platformnaplókhoz, de a Google által biztosított szoftverösszetevők által létrehozott naplók, amelyek a rendszereken futnak.
- Biztonsági naplók – főként azokat az auditnaplókat, amelyek felügyeleti tevékenységeket és hozzáféréseket rögzítenek az erőforrásokon belül.
- Felhasználó által írt – egyéni alkalmazások és szolgáltatások által írt naplók
- Többfelhős naplók és hibridfelhő-naplók – más felhőszolgáltatók, például a Microsoft Azure naplói és a helyszíni infrastruktúrából származó naplók.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
- Infrastruktúra és végpontbiztonság
- Biztonsági műveletek
- Helyzetkezelés
- Alkalmazásbiztonság és DevOps
- Fenyegetésfelderítés
LT-4: Hálózati naplózás engedélyezése biztonsági vizsgálathoz
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10,8 |
Biztonsági elv: Engedélyezze a hálózati szolgáltatások naplózását a hálózattal kapcsolatos incidensvizsgálatok, fenyegetéskeresés és biztonsági riasztások generálásához. A hálózati naplók tartalmazhatnak olyan hálózati szolgáltatások naplóit, mint az IP-szűrés, a hálózati és alkalmazás tűzfala, a DNS, a folyamatfigyelés stb.
Azure-útmutató: Engedélyezze és gyűjtse össze a hálózati biztonsági csoport (NSG) erőforrásnaplóit, az NSG-forgalom naplóit, Azure Firewall naplóit és Web Application Firewall (WAF) naplóit, valamint a virtuális gépek naplóit a hálózati adatgyűjtő ügynökön keresztül az incidensvizsgálatok támogatásához és a biztonsági riasztások generálásához. A folyamatnaplókat elküldheti egy Azure Monitor Log Analytics-munkaterületre, majd a Traffic Analytics használatával elemzéseket biztosíthat.
Gyűjtse össze a DNS-lekérdezési naplókat, hogy segítsen más hálózati adatok korrelációjában.
Azure-implementáció és további környezet:
- Hálózati biztonsági csoport folyamatnaplóinak engedélyezése
- naplók és metrikák Azure Firewall
- Azure-beli hálózatfigyelési megoldások az Azure Monitorban
- A DNS-infrastruktúrával kapcsolatos megállapítások összegyűjtése a DNS Analytics-megoldással
AWS-útmutató: Engedélyezze és gyűjtse össze a hálózati naplókat, például a VPC-forgalom naplóit, a WAF-naplókat és a Route53 Resolver lekérdezési naplóit biztonsági elemzés céljából az incidensvizsgálatok és a biztonsági riasztások generálásához. A naplók exportálhatók a CloudWatch-ba monitorozás céljából, vagy egy S3-tárológyűjtőbe, a központi elemzéshez a Microsoft Sentinel-megoldásba való betöltéshez.
AWS-implementáció és további környezet:
GCP-útmutató: A hálózati tevékenységnaplók többsége a VPC-folyamatnaplókon keresztül érhető el, amelyek az erőforrásokból küldött és fogadott hálózati folyamatok mintáját rögzítik, beleértve a Google Compute virtuális gépekként használt példányokat és a Kubernetes Engine-csomópontokat. Ezek a naplók hálózati monitorozáshoz, kriminalisztikai elemzésekhez, valós idejű biztonsági elemzésekhez és költségoptimalizáláshoz használhatók.
Megtekintheti a felhőnaplózás folyamatnaplóit, és exportálhatja a naplókat arra a célhelyre, amelyet a Felhőnaplózás exportálása támogat. A folyamatnaplókat a rendszer a számítási motor virtuális gépeinek kapcsolatai alapján összesíti, és valós időben exportálja. A Pub/Sub szolgáltatásra való feliratkozással valós idejű streamelési API-k használatával elemezheti a folyamatnaplókat.
Megjegyzés: A Csomagtükrözés a virtuális magánfelhő (VPC) hálózatában lévő meghatározott példányok forgalmát is klónozza, és továbbítja vizsgálatra. A csomagtükrözés minden forgalmat és csomagadatot rögzít, beleértve a hasznos adatokat és a fejléceket is.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
- Biztonsági műveletek
- Infrastruktúra és végpontbiztonság
- Alkalmazásbiztonság és DevOps
- Fenyegetésfelderítés
LT-5: Biztonsági naplók kezelésének és elemzésének központosítása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | N/A |
Biztonsági elv: A naplózási tárolás és az elemzés központosítása a naplóadatok közötti korreláció engedélyezéséhez. Minden naplóforrás esetében győződjön meg arról, hogy hozzárendelt egy adattulajdonost, a hozzáférési útmutatót, a tárolási helyet, az adatok feldolgozásához és eléréséhez használt eszközöket, valamint az adatmegőrzési követelményeket.
Ha nem rendelkezik meglévő SIEM-megoldás a CSP-khez, használja a natív felhőbeli SIEM-et. vagy naplókat/riasztásokat összesíthet a meglévő SIEM-be.
Azure-útmutató: Győződjön meg arról, hogy az Azure-tevékenységnaplókat egy központosított Log Analytics-munkaterületbe integrálja. Az Azure Monitor használatával lekérdezheti és végrehajthatja az elemzéseket, és riasztási szabályokat hozhat létre az Azure-szolgáltatásokból, végponteszközökről, hálózati erőforrásokból és más biztonsági rendszerekből összesített naplók használatával.
Emellett engedélyezze és előkészítse az adatokat a Microsoft Sentinelbe, amely biztonságiadat-kezelési (SIEM) és biztonsági vezénylési automatikus válasz (SOAR) képességeket biztosít.
Azure-implementáció és további környezet:
AWS-útmutató: Győződjön meg arról, hogy az AWS-naplókat egy központosított erőforrásba integrálja tárolás és elemzés céljából. A CloudWatch használatával lekérdezheti és elvégezheti az elemzéseket, valamint riasztási szabályokat hozhat létre az AWS-szolgáltatásokból, szolgáltatásokból, végponteszközökből, hálózati erőforrásokból és más biztonsági rendszerekből összesített naplók használatával.
Emellett összesítheti a naplókat egy S3-tároló gyűjtőben, és előkészítheti a naplóadatokat a Microsoft Sentinelbe, amely biztonsági információ-eseménykezelést (SIEM) és biztonsági vezénylési automatikus reagálási (SOAR) képességeket biztosít.
AWS-implementáció és további környezet:
GCP-útmutató: Győződjön meg arról, hogy a GCP-naplókat egy központosított erőforrásba (például az Operations Suite felhőnaplózási gyűjtőbe) integrálja tárolás és elemzés céljából. A felhőnaplózás támogatja a Google Cloud natív szolgáltatásnaplózásának nagy részét, valamint a külső alkalmazásokat és a helyszíni alkalmazásokat. A felhőnaplózást használhatja lekérdezésekhez és elemzésekhez, valamint riasztási szabályok létrehozásához a GCP-szolgáltatásokból, szolgáltatásokból, végponteszközökből, hálózati erőforrásokból és egyéb biztonsági rendszerekből összesített naplók használatával.
Ha nem rendelkezik meglévő SIEM-megoldással a CSP-hez, vagy a meglévő SIEM-be összesíti a naplókat/riasztásokat, használja a natív felhőbeli SIEM-et.
Megjegyzés: A Google két napló lekérdezési előtérrendszert, a Logs Explorert és a Log Analyticset biztosítja a naplók lekérdezéséhez, megtekintéséhez és elemzéséhez. A naplóadatok hibaelhárításához és feltárásához ajánlott a Logs Explorert használni. Elemzések és trendek létrehozásához ajánlott a Log Analytics használata.
GCP-implementáció és további környezet:
- A szervezet naplóinak összesítése és tárolása
- Naplók lekérdezése és megtekintése – áttekintés
- Krónika SIEM
Ügyfélbiztonsági érdekelt felek (További információ):
LT-6: Tárolt naplók megőrzésének konfigurálása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
Biztonsági elv: Tervezze meg a naplómegőrzési stratégiát a megfelelőség, a szabályozás és az üzleti követelményeknek megfelelően. Konfigurálja a naplómegőrzési szabályzatot az egyes naplózási szolgáltatásoknál, hogy a naplók archiválása megfelelő legyen.
Azure-útmutató: A naplók, például az Azure-tevékenységnaplók 90 napig megmaradnak, majd törlődnek. Létre kell hoznia egy diagnosztikai beállítást, és az igényeinek megfelelően másik helyre (például Azure Monitor Log Analytics-munkaterületre, Event Hubsra vagy Azure Storage-ra) kell irányítania a naplókat. Ez a stratégia a saját maga által kezelt egyéb erőforrásnaplókra és erőforrásokra is vonatkozik, például az operációs rendszerek naplóira és a virtuális gépeken belüli alkalmazásokra.
A naplómegőrzési lehetőség az alábbi módon választható:
- Az Azure Monitor Log Analytics-munkaterületet a naplómegőrzési időtartam legfeljebb 1 évig vagy a válaszcsapat követelményei szerint használhatja.
- Az Azure Storage, a Data Explorer vagy a Data Lake használatával 1 évnél hosszabb ideig használható hosszú távú és archivált tároláshoz, valamint a biztonsági megfelelőségi követelményeknek való megfeleléshez.
- A Azure Event Hubs használatával a naplókat az Azure-on kívüli külső erőforrásra továbbíthatja.
Megjegyzés: A Microsoft Sentinel a Log Analytics-munkaterületet használja háttérrendszerként a naplótároláshoz. Érdemes megfontolnia egy hosszú távú tárolási stratégiát, ha hosszabb ideig szeretné megőrizni a SIEM-naplókat.
Azure-implementáció és további környezet:
- Az adatmegőrzési időtartam módosítása a Log Analyticsben
- Adatmegőrzési szabályzat konfigurálása az Azure Storage-fióknaplókhoz
- Microsoft Defender felhőbeli riasztásokhoz és javaslatok exportálásához
AWS-útmutató: Alapértelmezés szerint a naplók határozatlan ideig maradnak, és soha nem járnak le a CloudWatch-ban. Módosíthatja az egyes naplócsoportok adatmegőrzési szabályzatát, megtarthatja a határozatlan megőrzést, vagy 10 év és egy nap közötti megőrzési időtartamot választhat.
Használja az Amazon S3-at a CloudWatch naplóarchiválásához, és alkalmazza az objektuméletciklus-kezelési és -archiválási szabályzatot a gyűjtőre. Az Azure Storage-ot a központi naplóarchiváláshoz használhatja, ha a fájlokat az Amazon S3-ból az Azure Storage-ba adhatja át.
AWS-implementáció és további környezet:
- A CloudWatch naplómegőrzésének módosítása
- Adatok másolása az Amazon S3-ból az Azure Storage-ba az AzCopy használatával
GCP-útmutató: Alapértelmezés szerint az Operations Suite felhőnaplózása 30 napig őrzi meg a naplókat, kivéve, ha egyéni megőrzést konfigurál a felhőnaplózási gyűjtőhöz. Rendszergazda tevékenységnaplók, a rendszeresemény-naplók és az Access átlátszósági naplói alapértelmezés szerint 400 napot őriznek meg. A felhőnaplózás konfigurálható úgy, hogy 1 nap és 3650 nap között őrizze meg a naplókat.
A Cloud Storage használatával naplóarchiválást naplózhat a felhőnaplózásból, és objektuméletciklus-kezelést és archiválási szabályzatot alkalmazhat a gyűjtőre. Az Azure Storage-ot a központi naplóarchiváláshoz használhatja a fájlok a Google Cloud Storage-ból az Azure Storage-ba való átvitelével.
GCP-implementáció és további környezet:
- Egyéni adatmegőrzés naplózása
- Tárolási adatmegőrzési szabályzatok
- Naplóútválasztás és -tárolás áttekintése
Ügyfélbiztonsági érdekelt felek (További információ):
- Biztonsági architektúra
- Alkalmazásbiztonság és DevOps
- Biztonsági műveletek
- Biztonsági megfelelőség kezelése
LT-7: Jóváhagyott időszinkronizálási források használata
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 8.4 | AU-8 | 10.4 |
Biztonsági elv: Jóváhagyott időszinkronizálási forrásokat használjon a naplózási időbélyeghez, amelyek dátum-, idő- és időzónaadatokat tartalmaznak.
Azure-útmutató: A Microsoft időforrásokat tart fenn a legtöbb Azure PaaS- és SaaS-szolgáltatáshoz. A számítási erőforrások operációs rendszereihez használjon alapértelmezett Microsoft NTP-kiszolgálót az időszinkronizáláshoz, hacsak nem rendelkezik egy adott követelménysel. Ha ki kell állnia a saját hálózati idő protokoll (NTP) kiszolgálójához, győződjön meg arról, hogy biztonságossá teszi az 123-es UDP-szolgáltatásportot.
Az Azure-beli erőforrások által létrehozott összes napló időbélyegeket biztosít az alapértelmezés szerint megadott időzónával.
Azure-implementáció és további környezet:
- Időszinkronizálás konfigurálása Azure Windows számítási erőforrásokhoz
- Időszinkronizálás konfigurálása Azure Linux számítási erőforrásokhoz
- Bejövő UDP letiltása az Azure-szolgáltatásokhoz
AWS-útmutató: Az AWS időforrásokat tart fenn a legtöbb AWS-szolgáltatáshoz. Az olyan erőforrások vagy szolgáltatások esetében, amelyeknél az operációs rendszer időbeállítása konfigurálva van, használja az AWS alapértelmezett Amazon Time Sync Service-t az időszinkronizáláshoz, hacsak nincs konkrét követelménye. Ha ki kell állnia a saját hálózati idő protokoll (NTP) kiszolgálójához, győződjön meg arról, hogy biztonságossá teszi az 123-es UDP-szolgáltatásportot.
Az AWS-ben az erőforrások által létrehozott összes napló időbélyegeket biztosít az alapértelmezés szerint megadott időzónával.
AWS-implementáció és további környezet:
GCP-útmutató: A Google Cloud időforrásokat tart fenn a legtöbb Google Cloud PaaS- és SaaS-szolgáltatáshoz. A számítási erőforrások operációs rendszereihez használjon alapértelmezett Google Cloud NTP-kiszolgálót az időszinkronizáláshoz, hacsak nem rendelkezik egy adott követelményvel. Ha ki kell állnia a saját hálózati időprotokoll-kiszolgálójának (NTP), győződjön meg arról, hogy biztonságossá teszi az 123-es UDP-szolgáltatásportot.
Megjegyzés: Javasoljuk, hogy ne használjon külső NTP-forrásokat a számítási motor virtuális gépeivel, hanem használja a Google által biztosított belső NTP-kiszolgálót.
GCP-implementáció és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):