Security Control v3: Naplózás és fenyegetésészlelés

A naplózás és a fenyegetésészlelés az Azure-beli fenyegetések észlelésére, valamint az Azure-szolgáltatások naplózási naplóinak engedélyezésére, gyűjtésére és tárolására szolgáló vezérlőkre terjed ki, beleértve az észlelési, vizsgálati és szervizelési folyamatok engedélyezését olyan vezérlőkkel, amelyek kiváló minőségű riasztásokat hoznak létre natív veszélyforrás-észleléssel az Azure-szolgáltatásokban; Emellett naplókat gyűjt az Azure Monitorral, központosítja a biztonsági elemzést az Azure Sentinellel, az időszinkronizálást és a naplómegőrzést.

LT-1: Fenyegetésészlelési képességek engedélyezése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Biztonsági elv: A fenyegetésészlelési forgatókönyvek támogatásához figyelje az összes ismert erőforrástípust az ismert és várt fenyegetések és anomáliák esetében. Konfigurálja a riasztásszűrési és elemzési szabályokat, hogy kiváló minőségű riasztásokat nyerjen ki a naplóadatokból, ügynökökből vagy más adatforrásokból a téves pozitív értékek csökkentése érdekében.

Azure-útmutató: Használja az Azure Defender-szolgáltatások fenyegetésészlelési képességét a felhőhöz készült Microsoft Defender a megfelelő Azure-szolgáltatásokhoz.

Ha az Azure Defender-szolgáltatások nem tartalmazzák a fenyegetésészlelést, tekintse meg az azure security benchmark szolgáltatás alapkonfigurációit a megfelelő szolgáltatásokhoz, amelyek lehetővé teszik a fenyegetésészlelési vagy biztonsági riasztási képességeket a szolgáltatáson belül. Kinyerheti a riasztásokat az Azure Monitorba vagy az Azure Sentinelbe elemzési szabályok létrehozásához, amelyek a környezet adott feltételeinek megfelelő fenyegetéseket keresnek.

Az olyan operatív technológiai (OT) környezetek esetében, amelyek olyan számítógépeket tartalmaznak, amelyek az ipari vezérlőrendszer (ICS) vagy a felügyeleti vezérlési és adatgyűjtési (SCADA) erőforrásokat felügyelik vagy figyelik, használja az IoT-hez készült Defendert az objektumok leltározásához, valamint a fenyegetések és a biztonsági rések észleléséhez.

Az olyan szolgáltatások esetében, amelyek nem rendelkeznek natív fenyegetésészlelési képességgel, érdemes lehet összegyűjteni az adatsík-naplókat, és elemezni a fenyegetéseket az Azure Sentinelen keresztül.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

LT-2: Fenyegetésészlelés engedélyezése identitás- és hozzáférés-kezeléshez

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Biztonsági elv: Észlelheti az identitásokkal és hozzáférés-kezeléssel kapcsolatos fenyegetéseket a felhasználói és alkalmazás-bejelentkezési és hozzáférési anomáliák monitorozásával. Az olyan viselkedési mintákat, mint a sikertelen bejelentkezési kísérletek túlzott száma és az előfizetés elavult fiókjai, riasztást kell adni.

Azure-útmutató: Azure AD a következő naplókat tartalmazza, amelyek megtekinthetők Azure AD jelentéskészítésben, vagy integrálhatók az Azure Monitorral, az Azure Sentinellel vagy más SIEM/monitorozási eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:

  • Bejelentkezések: A bejelentkezési jelentés információt nyújt a felügyelt alkalmazások használatáról és a felhasználói bejelentkezési tevékenységekről.
  • Naplók: Naplókon keresztüli nyomon követhetőséget biztosít az Azure AD különböző funkciói által végrehajtott összes módosításhoz. A naplók rögzítik például az erőforrások módosításait az Azure AD-n belül, például a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadását vagy eltávolítását.
  • Kockázatos bejelentkezések: A kockázatos bejelentkezés egy olyan bejelentkezési kísérlet jele, amelyet olyan személy végezhetett el, aki nem a felhasználói fiók jogos tulajdonosa.
  • Kockázatosként megjelölt felhasználók: A kockázatos felhasználók olyan felhasználói fiókokra utalnak, amelyek esetleg sérültek.

Azure AD egy Identity Protection-modult is biztosít a felhasználói fiókokhoz és bejelentkezési viselkedésekhez kapcsolódó kockázatok észleléséhez és elhárításához. Ilyenek például a kiszivárgott hitelesítő adatok, a névtelen vagy kártevők által társított IP-címekről való bejelentkezés, a jelszópermet. Az Azure AD Identity Protection szabályzatai lehetővé teszik a kockázatalapú MFA-hitelesítés kikényszerítését az Azure Feltételes hozzáféréssel együtt a felhasználói fiókokon.

Emellett a felhőhöz készült Microsoft Defender úgy is konfigurálható, hogy riasztást jelenítsen meg az előfizetés elavult fiókjairól és gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról. A biztonsági higiénia alapszintű monitorozása mellett a Microsoft Defender a felhő fenyegetésvédelmi modulja részletesebb biztonsági riasztásokat is gyűjthet az egyes Azure számítási erőforrásokból (például virtuális gépekről, tárolókról, app service-ről), adaterőforrásokról (például SQL DB-ről és tárolásról) és az Azure szolgáltatásrétegeiről. Ez a funkció lehetővé teszi a fiókanomáliák megtekintését az egyes erőforrásokon belül.

Megjegyzés: Ha a szinkronizáláshoz csatlakoztatja a helyi Active Directory, használja a Microsoft Defender for Identity megoldást a helyi Active Directory a szervezetre irányuló speciális fenyegetések, feltört identitások és rosszindulatú insider-műveletek azonosítására, észlelésére és kivizsgálására szolgáló jelek.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

LT-3: Naplózás engedélyezése biztonsági vizsgálathoz

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Biztonsági elv: Engedélyezze a naplózást a felhőbeli erőforrások számára, hogy megfeleljenek a biztonsági incidensek vizsgálatára, valamint a biztonsági reagálásra és a megfelelőségre vonatkozó követelményeknek.

Azure-útmutató: Engedélyezze a naplózási képességet a különböző szinteken lévő erőforrásokhoz, például az Azure-erőforrások naplóihoz, az operációs rendszerekhez és a virtuális gépeken belüli alkalmazásokhoz és más naplótípusokhoz.

Ügyeljen a biztonsági, naplózási és egyéb műveleti naplók különböző típusaira a felügyeleti/vezérlési síkon és az adatsík szintjén. Az Azure platformon háromféle napló érhető el:

  • Azure-erőforrásnapló: Az Azure-erőforráson (adatsíkon) végrehajtott műveletek naplózása. Például lekérhet egy titkos kulcsot egy kulcstartóból, vagy kérést intézhet egy adatbázishoz. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik.
  • Azure-tevékenységnapló: A műveletek naplózása az egyes Azure-erőforrásokon az előfizetési rétegen kívülről (a felügyeleti síkon). A tevékenységnaplóval meghatározhatja, hogy az előfizetés erőforrásain végrehajtott írási műveletek (PUT, POST, DELETE) mit, ki és mikor. Minden Azure-előfizetéshez egyetlen tevékenységnapló tartozik.
  • Azure Active Directory-naplók: Naplók a bejelentkezési tevékenység előzményeiről és az azure Active Directoryban egy adott bérlőn végrehajtott módosítások naplóiról.

A felhőhöz és a Azure Policy Microsoft Defender is használhatja az azure-erőforrások erőforrásnaplóinak és naplóadatainak gyűjtésének engedélyezéséhez.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

LT-4: Hálózati naplózás engedélyezése biztonsági vizsgálathoz

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10,8

Biztonsági elv: Engedélyezze a hálózati szolgáltatások naplózását a hálózattal kapcsolatos incidensvizsgálatok, veszélyforrások keresése és biztonsági riasztások létrehozása támogatásához. A hálózati naplók tartalmazhatnak hálózati szolgáltatásokból származó naplókat, például IP-szűrést, hálózati és alkalmazás tűzfalat, DNS-t, folyamatfigyelést stb.

Azure-útmutató: Hálózati biztonsági csoport (NSG) erőforrásnaplóinak, NSG-folyamatnaplóinak, Azure Firewall naplóinak és Web Application Firewall (WAF) naplóinak engedélyezése és gyűjtése biztonsági elemzésekhez az incidensvizsgálatok és a biztonsági riasztások generálása céljából. A folyamatnaplókat elküldheti egy Azure Monitor Log Analytics-munkaterületre, majd a Traffic Analytics használatával elemzéseket biztosíthat.

Gyűjtse össze a DNS-lekérdezési naplókat, hogy segítsen a többi hálózati adat korrelációjában.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 N/A

Biztonsági elv: A naplózási tároló és az elemzés központosítása a naplóadatok közötti korreláció engedélyezéséhez. Minden naplóforrás esetében győződjön meg arról, hogy hozzárendelt egy adattulajdonost, a hozzáférési útmutatót, a tárolási helyet, az adatok feldolgozásához és eléréséhez használt eszközöket, valamint az adatmegőrzési követelményeket.

Azure-útmutató: Győződjön meg arról, hogy az Azure-tevékenységnaplókat egy központosított Log Analytics-munkaterületbe integrálja. Az Azure Monitor használatával lekérdezheti és végrehajthatja az elemzéseket, és riasztási szabályokat hozhat létre az Azure-szolgáltatásokból, végponteszközökről, hálózati erőforrásokból és más biztonsági rendszerekből összesített naplók használatával.

Emellett engedélyezze és előkészítse az adatokat az Azure Sentinelbe, amely biztosítja a biztonsági információk eseménykezelését (SIEM) és a biztonsági vezénylés automatizált válaszképességét (SOAR).

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

LT-6: Tárolt naplók megőrzésének konfigurálása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Biztonsági elv: Tervezze meg a naplómegőrzési stratégiát a megfelelőségi, szabályozási és üzleti követelményeknek megfelelően. Konfigurálja a naplómegőrzési szabályzatot az egyes naplózási szolgáltatásoknál, hogy a naplók megfelelően legyenek archiválva.

Azure-útmutató: A naplók, például az Azure-tevékenységnaplók eseményei 90 napig megmaradnak, majd törlődnek. Az igényeinek megfelelően létre kell hoznia egy diagnosztikai beállítást, és a naplóbejegyzéseket egy másik helyre (például az Azure Monitor Log Analytics-munkaterületre, az Event Hubsra vagy az Azure Storage-ra) kell irányítania. Ez a stratégia a saját maga által felügyelt egyéb erőforrásnaplókra és erőforrásokra is vonatkozik, például az operációs rendszerek naplóira és a virtuális gépeken belüli alkalmazásokra.

A naplómegőrzési lehetőség az alábbiak szerint lehetséges:

  • Használja az Azure Monitor Log Analytics-munkaterületet egy akár 1 éves naplómegőrzési időszakra, vagy a válaszcsapat követelményei szerint.
  • Az Azure Storage, Data Explorer vagy Data Lake használata 1 évnél hosszabb ideig tartó hosszú távú és archiválási tároláshoz, valamint a biztonsági megfelelőségi követelmények teljesítéséhez.
  • Az Azure Event Hubs használatával továbbíthatja a naplókat az Azure-on kívülre.

Megjegyzés: Az Azure Sentinel a Log Analytics-munkaterületet használja háttérrendszerként a naplótároláshoz. Érdemes megfontolnia egy hosszú távú tárolási stratégiát, ha hosszabb ideig szeretné megőrizni a SIEM-naplókat.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

LT-7: Jóváhagyott időszinkronizálási források használata

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
8.4 AU-8 10.4

Biztonsági elv: Használjon jóváhagyott időszinkronizálási forrásokat a naplózási időbélyeghez, amelyek tartalmazzák a dátum, az idő és az időzóna adatait.

Azure-útmutató: A Microsoft időforrásokat tart fenn a legtöbb Azure PaaS- és SaaS-szolgáltatáshoz. A számítási erőforrások operációs rendszereihez használjon microsoftos alapértelmezett NTP-kiszolgálót az időszinkronizáláshoz, hacsak nincs konkrét követelménye. Ha ki kell állnia a saját hálózati időprotokoll- (NTP-) kiszolgálójához, győződjön meg arról, hogy biztonságossá teszi a 123-es UDP-szolgáltatásportot.

Az Azure-beli erőforrások által létrehozott összes napló időbélyegeket biztosít az alapértelmezés szerint megadott időzónával.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):