Security Control v3: Naplózás és fenyegetésészlelés
A naplózás és a fenyegetésészlelés az Azure-beli fenyegetések észlelésére, valamint az Azure-szolgáltatások naplózási naplóinak engedélyezésére, gyűjtésére és tárolására szolgáló vezérlőkre terjed ki, beleértve az észlelési, vizsgálati és szervizelési folyamatok engedélyezését olyan vezérlőkkel, amelyek kiváló minőségű riasztásokat hoznak létre natív veszélyforrás-észleléssel az Azure-szolgáltatásokban; Emellett naplókat gyűjt az Azure Monitorral, központosítja a biztonsági elemzést az Azure Sentinellel, az időszinkronizálást és a naplómegőrzést.
LT-1: Fenyegetésészlelési képességek engedélyezése
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
---|---|---|
8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Biztonsági elv: A fenyegetésészlelési forgatókönyvek támogatásához figyelje az összes ismert erőforrástípust az ismert és várt fenyegetések és anomáliák esetében. Konfigurálja a riasztásszűrési és elemzési szabályokat, hogy kiváló minőségű riasztásokat nyerjen ki a naplóadatokból, ügynökökből vagy más adatforrásokból a téves pozitív értékek csökkentése érdekében.
Azure-útmutató: Használja az Azure Defender-szolgáltatások fenyegetésészlelési képességét a felhőhöz készült Microsoft Defender a megfelelő Azure-szolgáltatásokhoz.
Ha az Azure Defender-szolgáltatások nem tartalmazzák a fenyegetésészlelést, tekintse meg az azure security benchmark szolgáltatás alapkonfigurációit a megfelelő szolgáltatásokhoz, amelyek lehetővé teszik a fenyegetésészlelési vagy biztonsági riasztási képességeket a szolgáltatáson belül. Kinyerheti a riasztásokat az Azure Monitorba vagy az Azure Sentinelbe elemzési szabályok létrehozásához, amelyek a környezet adott feltételeinek megfelelő fenyegetéseket keresnek.
Az olyan operatív technológiai (OT) környezetek esetében, amelyek olyan számítógépeket tartalmaznak, amelyek az ipari vezérlőrendszer (ICS) vagy a felügyeleti vezérlési és adatgyűjtési (SCADA) erőforrásokat felügyelik vagy figyelik, használja az IoT-hez készült Defendert az objektumok leltározásához, valamint a fenyegetések és a biztonsági rések észleléséhez.
Az olyan szolgáltatások esetében, amelyek nem rendelkeznek natív fenyegetésészlelési képességgel, érdemes lehet összegyűjteni az adatsík-naplókat, és elemezni a fenyegetéseket az Azure Sentinelen keresztül.
Megvalósítás és további környezet:
- Bevezetés az Azure Defender használatába
- Microsoft Defender felhőbeli biztonsági riasztások referencia-útmutatója
- Egyéni elemzési szabályok létrehozása fenyegetések észleléséhez
- Cyber threat intelligence with Azure Sentinel
Ügyfélbiztonsági érdekelt felek (További információ):
- Infrastruktúra és végpontbiztonság
- Biztonsági műveletek
- Helyzetkezelés
- Alkalmazásbiztonság és DevOps
- Fenyegetésfelderítés
LT-2: Fenyegetésészlelés engedélyezése identitás- és hozzáférés-kezeléshez
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
---|---|---|
8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Biztonsági elv: Észlelheti az identitásokkal és hozzáférés-kezeléssel kapcsolatos fenyegetéseket a felhasználói és alkalmazás-bejelentkezési és hozzáférési anomáliák monitorozásával. Az olyan viselkedési mintákat, mint a sikertelen bejelentkezési kísérletek túlzott száma és az előfizetés elavult fiókjai, riasztást kell adni.
Azure-útmutató: Azure AD a következő naplókat tartalmazza, amelyek megtekinthetők Azure AD jelentéskészítésben, vagy integrálhatók az Azure Monitorral, az Azure Sentinellel vagy más SIEM/monitorozási eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:
- Bejelentkezések: A bejelentkezési jelentés információt nyújt a felügyelt alkalmazások használatáról és a felhasználói bejelentkezési tevékenységekről.
- Naplók: Naplókon keresztüli nyomon követhetőséget biztosít az Azure AD különböző funkciói által végrehajtott összes módosításhoz. A naplók rögzítik például az erőforrások módosításait az Azure AD-n belül, például a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadását vagy eltávolítását.
- Kockázatos bejelentkezések: A kockázatos bejelentkezés egy olyan bejelentkezési kísérlet jele, amelyet olyan személy végezhetett el, aki nem a felhasználói fiók jogos tulajdonosa.
- Kockázatosként megjelölt felhasználók: A kockázatos felhasználók olyan felhasználói fiókokra utalnak, amelyek esetleg sérültek.
Azure AD egy Identity Protection-modult is biztosít a felhasználói fiókokhoz és bejelentkezési viselkedésekhez kapcsolódó kockázatok észleléséhez és elhárításához. Ilyenek például a kiszivárgott hitelesítő adatok, a névtelen vagy kártevők által társított IP-címekről való bejelentkezés, a jelszópermet. Az Azure AD Identity Protection szabályzatai lehetővé teszik a kockázatalapú MFA-hitelesítés kikényszerítését az Azure Feltételes hozzáféréssel együtt a felhasználói fiókokon.
Emellett a felhőhöz készült Microsoft Defender úgy is konfigurálható, hogy riasztást jelenítsen meg az előfizetés elavult fiókjairól és gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról. A biztonsági higiénia alapszintű monitorozása mellett a Microsoft Defender a felhő fenyegetésvédelmi modulja részletesebb biztonsági riasztásokat is gyűjthet az egyes Azure számítási erőforrásokból (például virtuális gépekről, tárolókról, app service-ről), adaterőforrásokról (például SQL DB-ről és tárolásról) és az Azure szolgáltatásrétegeiről. Ez a funkció lehetővé teszi a fiókanomáliák megtekintését az egyes erőforrásokon belül.
Megjegyzés: Ha a szinkronizáláshoz csatlakoztatja a helyi Active Directory, használja a Microsoft Defender for Identity megoldást a helyi Active Directory a szervezetre irányuló speciális fenyegetések, feltört identitások és rosszindulatú insider-műveletek azonosítására, észlelésére és kivizsgálására szolgáló jelek.
Megvalósítás és további környezet:
- Tevékenységjelentések naplózása a Azure AD
- Az Azure Identity Protection engedélyezése
- Veszélyforrások elleni védelem a felhőhöz készült Microsoft Defender
Ügyfélbiztonsági érdekelt felek (További információ):
- Infrastruktúra és végpontbiztonság
- Biztonsági műveletek
- Helyzetkezelés
- Alkalmazásbiztonság és DevOps
- Fenyegetésfelderítés
LT-3: Naplózás engedélyezése biztonsági vizsgálathoz
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
---|---|---|
8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Biztonsági elv: Engedélyezze a naplózást a felhőbeli erőforrások számára, hogy megfeleljenek a biztonsági incidensek vizsgálatára, valamint a biztonsági reagálásra és a megfelelőségre vonatkozó követelményeknek.
Azure-útmutató: Engedélyezze a naplózási képességet a különböző szinteken lévő erőforrásokhoz, például az Azure-erőforrások naplóihoz, az operációs rendszerekhez és a virtuális gépeken belüli alkalmazásokhoz és más naplótípusokhoz.
Ügyeljen a biztonsági, naplózási és egyéb műveleti naplók különböző típusaira a felügyeleti/vezérlési síkon és az adatsík szintjén. Az Azure platformon háromféle napló érhető el:
- Azure-erőforrásnapló: Az Azure-erőforráson (adatsíkon) végrehajtott műveletek naplózása. Például lekérhet egy titkos kulcsot egy kulcstartóból, vagy kérést intézhet egy adatbázishoz. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik.
- Azure-tevékenységnapló: A műveletek naplózása az egyes Azure-erőforrásokon az előfizetési rétegen kívülről (a felügyeleti síkon). A tevékenységnaplóval meghatározhatja, hogy az előfizetés erőforrásain végrehajtott írási műveletek (PUT, POST, DELETE) mit, ki és mikor. Minden Azure-előfizetéshez egyetlen tevékenységnapló tartozik.
- Azure Active Directory-naplók: Naplók a bejelentkezési tevékenység előzményeiről és az azure Active Directoryban egy adott bérlőn végrehajtott módosítások naplóiról.
A felhőhöz és a Azure Policy Microsoft Defender is használhatja az azure-erőforrások erőforrásnaplóinak és naplóadatainak gyűjtésének engedélyezéséhez.
Megvalósítás és további környezet:
- A naplózás és a különböző naplótípusok ismertetése az Azure-ban
- A felhőbeli adatgyűjtés Microsoft Defender ismertetése
- Kártevőirtó monitorozás engedélyezése és konfigurálása
- Operációs rendszerek és alkalmazásnaplók a számítási erőforrásokban
Ügyfélbiztonsági érdekelt felek (További információ):
- Infrastruktúra és végpontbiztonság
- Biztonsági műveletek
- Helyzetkezelés
- Alkalmazásbiztonság és DevOps
- Fenyegetésfelderítés
LT-4: Hálózati naplózás engedélyezése biztonsági vizsgálathoz
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
---|---|---|
8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10,8 |
Biztonsági elv: Engedélyezze a hálózati szolgáltatások naplózását a hálózattal kapcsolatos incidensvizsgálatok, veszélyforrások keresése és biztonsági riasztások létrehozása támogatásához. A hálózati naplók tartalmazhatnak hálózati szolgáltatásokból származó naplókat, például IP-szűrést, hálózati és alkalmazás tűzfalat, DNS-t, folyamatfigyelést stb.
Azure-útmutató: Hálózati biztonsági csoport (NSG) erőforrásnaplóinak, NSG-folyamatnaplóinak, Azure Firewall naplóinak és Web Application Firewall (WAF) naplóinak engedélyezése és gyűjtése biztonsági elemzésekhez az incidensvizsgálatok és a biztonsági riasztások generálása céljából. A folyamatnaplókat elküldheti egy Azure Monitor Log Analytics-munkaterületre, majd a Traffic Analytics használatával elemzéseket biztosíthat.
Gyűjtse össze a DNS-lekérdezési naplókat, hogy segítsen a többi hálózati adat korrelációjában.
Megvalósítás és további környezet:
- Hálózati biztonsági csoport folyamatnaplóinak engedélyezése
- naplók és metrikák Azure Firewall
- Azure-hálózatfigyelési megoldások az Azure Monitorban
- Elemzések gyűjtése a DNS-infrastruktúráról a DNS Analytics-megoldással
Ügyfélbiztonsági érdekelt felek (További információ):
- Biztonsági műveletek
- Infrastruktúra és végpontbiztonság
- Alkalmazásbiztonság és DevOps
- Fenyegetésfelderítés
LT-5: Biztonsági naplók kezelésének és elemzésének központosítása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
---|---|---|
8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | N/A |
Biztonsági elv: A naplózási tároló és az elemzés központosítása a naplóadatok közötti korreláció engedélyezéséhez. Minden naplóforrás esetében győződjön meg arról, hogy hozzárendelt egy adattulajdonost, a hozzáférési útmutatót, a tárolási helyet, az adatok feldolgozásához és eléréséhez használt eszközöket, valamint az adatmegőrzési követelményeket.
Azure-útmutató: Győződjön meg arról, hogy az Azure-tevékenységnaplókat egy központosított Log Analytics-munkaterületbe integrálja. Az Azure Monitor használatával lekérdezheti és végrehajthatja az elemzéseket, és riasztási szabályokat hozhat létre az Azure-szolgáltatásokból, végponteszközökről, hálózati erőforrásokból és más biztonsági rendszerekből összesített naplók használatával.
Emellett engedélyezze és előkészítse az adatokat az Azure Sentinelbe, amely biztosítja a biztonsági információk eseménykezelését (SIEM) és a biztonsági vezénylés automatizált válaszképességét (SOAR).
Megvalósítás és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
LT-6: Tárolt naplók megőrzésének konfigurálása
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
---|---|---|
8.3, 8.10 | AU-11 | 10.5, 10.7 |
Biztonsági elv: Tervezze meg a naplómegőrzési stratégiát a megfelelőségi, szabályozási és üzleti követelményeknek megfelelően. Konfigurálja a naplómegőrzési szabályzatot az egyes naplózási szolgáltatásoknál, hogy a naplók megfelelően legyenek archiválva.
Azure-útmutató: A naplók, például az Azure-tevékenységnaplók eseményei 90 napig megmaradnak, majd törlődnek. Az igényeinek megfelelően létre kell hoznia egy diagnosztikai beállítást, és a naplóbejegyzéseket egy másik helyre (például az Azure Monitor Log Analytics-munkaterületre, az Event Hubsra vagy az Azure Storage-ra) kell irányítania. Ez a stratégia a saját maga által felügyelt egyéb erőforrásnaplókra és erőforrásokra is vonatkozik, például az operációs rendszerek naplóira és a virtuális gépeken belüli alkalmazásokra.
A naplómegőrzési lehetőség az alábbiak szerint lehetséges:
- Használja az Azure Monitor Log Analytics-munkaterületet egy akár 1 éves naplómegőrzési időszakra, vagy a válaszcsapat követelményei szerint.
- Az Azure Storage, Data Explorer vagy Data Lake használata 1 évnél hosszabb ideig tartó hosszú távú és archiválási tároláshoz, valamint a biztonsági megfelelőségi követelmények teljesítéséhez.
- Az Azure Event Hubs használatával továbbíthatja a naplókat az Azure-on kívülre.
Megjegyzés: Az Azure Sentinel a Log Analytics-munkaterületet használja háttérrendszerként a naplótároláshoz. Érdemes megfontolnia egy hosszú távú tárolási stratégiát, ha hosszabb ideig szeretné megőrizni a SIEM-naplókat.
Megvalósítás és további környezet:
- Az adatmegőrzési időszak módosítása a Log Analyticsben
- Adatmegőrzési szabályzat konfigurálása az Azure Storage-fióknaplókhoz
- Microsoft Defender felhőbeli riasztásokhoz és javaslatok exportálásához
Ügyfélbiztonsági érdekelt felek (További információ):
- Biztonsági architektúra
- Alkalmazásbiztonság és DevOps
- Biztonsági műveletek
- Biztonsági megfelelőség kezelése
LT-7: Jóváhagyott időszinkronizálási források használata
CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
---|---|---|
8.4 | AU-8 | 10.4 |
Biztonsági elv: Használjon jóváhagyott időszinkronizálási forrásokat a naplózási időbélyeghez, amelyek tartalmazzák a dátum, az idő és az időzóna adatait.
Azure-útmutató: A Microsoft időforrásokat tart fenn a legtöbb Azure PaaS- és SaaS-szolgáltatáshoz. A számítási erőforrások operációs rendszereihez használjon microsoftos alapértelmezett NTP-kiszolgálót az időszinkronizáláshoz, hacsak nincs konkrét követelménye. Ha ki kell állnia a saját hálózati időprotokoll- (NTP-) kiszolgálójához, győződjön meg arról, hogy biztonságossá teszi a 123-es UDP-szolgáltatásportot.
Az Azure-beli erőforrások által létrehozott összes napló időbélyegeket biztosít az alapértelmezés szerint megadott időzónával.
Megvalósítás és további környezet:
- Időszinkronizálás konfigurálása Azure Windows számítási erőforrásokhoz
- Időszinkronizálás konfigurálása Azure Linux számítási erőforrásokhoz
- Bejövő UDP letiltása Azure-szolgáltatásokhoz
Ügyfélbiztonsági érdekelt felek (További információ):