Kontrol Keamanan V2: Pengelogan dan Deteksi Ancaman

Pengelogan dan Deteksi Ancaman mencakup kontrol untuk mendeteksi ancaman pada Azure dan mengaktifkan, mengumpulkan, dan menyimpan log audit untuk layanan Azure. Ini termasuk memungkinkan proses deteksi, investigasi, dan remediasi dengan kontrol untuk menghasilkan peringatan berkualitas tinggi dengan deteksi ancaman asli di layanan Azure; ini juga termasuk mengumpulkan log dengan Azure Monitor, memusatkan analisis keamanan dengan Azure Sentinel, sinkronisasi waktu, dan retensi log.

Untuk melihat Azure Policy bawaan yang berlaku, lihat Detail inisiatif bawaan Kepatuhan Terhadap Peraturan Tolok Ukur Keamanan Azure: Pengelogan dan Deteksi Ancaman

LT-1: Mengaktifkan deteksi ancaman untuk sumber daya Azure

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
LT-1 6.7 AU-3, AU-6, AU-12, SI-4

Pastikan Anda memantau berbagai jenis aset Azure untuk potensi ancaman dan anomali. Fokuskan pada mendapatkan peringatan berkualitas tinggi untuk mengurangi positif palsu bagi analis untuk diurutkan. Pemberitahuan dapat bersumber dari data log, agen, atau data lainnya.

Gunakan Azure Defender, yang didasarkan pada pemantauan telemetri layanan Azure dan menganalisis log layanan. Data dikumpulkan menggunakan agen Analitik Log, yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari sistem dan menyalin data ke ruang kerja Anda untuk analisis.

Selain itu, gunakan Azure Sentinel untuk membangun aturan analitik, yang memburu ancaman yang sesuai dengan kriteria tertentu di seluruh lingkungan Anda. Aturan ini menghasilkan insiden saat kriteria dicocokkan, sehingga Anda dapat menyelidiki setiap insiden. Azure Sentinel juga dapat mengimpor inteligensi ancaman pihak ketiga untuk meningkatkan kemampuan deteksi ancamannya.

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

LT-2: Mengaktifkan deteksi ancaman untuk identitas Azure dan manajemen akses

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
LT-2 6.8 AU-3, AU-6, AU-12, SI-4

Azure Active Directory menyediakan log pengguna berikut yang dapat dilihat di pelaporan Azure Active Directory atau terintegrasi dengan Azure Monitor, Azure Sentinel, atau SIEM/alat pemantauan lainnya untuk kasus-kasus penggunaan pemantauan dan analitik yang lebih canggih:

  • Rincian masuk - Laporan masuk memberikan informasi tentang penggunaan aplikasi terkelola dan aktivitas masuk pengguna.

  • Log audit - Memberikan ketertelusuran melalui log untuk semua perubahan yang dilakukan oleh berbagai fitur dalam Azure Active Directory. Contoh log audit mencakup perubahan yang dibuat pada sumber daya apa pun dalam Microsoft Azure Active Directory seperti menambahkan atau menghapus pengguna, aplikasi, grup, peran, dan kebijakan.

  • Proses masuk riskan - Proses masuk riskan adalah indikator dari upaya rincian masuk yang mungkin telah dilakukan oleh seseorang yang bukan pemilik akun pengguna yang sah.

  • Pengguna yang ditandai berisiko - Pengguna berisiko adalah indikator untuk akun pengguna yang mungkin telah disusupi.

Azure Security Center juga dapat memberitahukan aktivitas mencurigakan tertentu, seperti jumlah upaya autentikasi gagal yang berlebihan, dan akun yang tidak digunakan lagi dalam langganan. Selain pemantauan kebersihan keamanan dasar, Azure Defender juga dapat mengumpulkan peringatan keamanan yang lebih mendalam dari sumber daya komputasi Azure individual (seperti mesin virtual, kontainer, layanan aplikasi), sumber daya data (seperti SQL DB dan penyimpanan), dan lapisan layanan Azure. Kemampuan ini memungkinkan Anda melihat anomali akun di dalam masing-masing sumber daya.

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

LT-3: Mengaktifkan pengelogan untuk aktivitas jaringan Azure

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
LT-3 9.3, 12.2, 12.5, 12.8 AU-3, AU-6, AU-12, SI-4

Aktifkan dan kumpulkan log sumber daya grup keamanan jaringan (NSG), log aliran NSG, log Azure Firewall, dan log Web Application Firewall (WAF) untuk analisis keamanan guna mendukung penyelidikan insiden, perburuan ancaman, dan pembuatan peringatan keamanan. Anda dapat mengirim log alur ke ruang kerja Log Analitik Azure Monitor dan kemudian menggunakan Analitik Lalu Lintas untuk memberikan wawasan.

Pastikan Anda mengumpulkan log kueri DNS untuk membantu berkorelasi dengan data jaringan lainnya.

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):

LT-4: Mengaktifkan pengelogan untuk sumber daya Azure

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
LT-4 6.2, 6.3, 8.8 AU-3, AU-12

Aktifkan pengelogan sumber daya Azure untuk memenuhi persyaratan kepatuhan, deteksi ancaman, perburuan, dan investigasi insiden.

Anda dapat menggunakan Azure Security Center dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log pada sumber daya Azure untuk akses ke log audit, keamanan, dan sumber daya. Log aktivitas, yang tersedia secara otomatis, termasuk sumber peristiwa, tanggal, pengguna, tanda waktu, alamat sumber, alamat tujuan, dan elemen berguna lainnya.

Tanggung Jawab: Bersama

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

Infrastruktur dan keamanan titik akhir

LT-5: Memusatkan manajemen dan analisis log keamanan

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
LT-5 6.5, 6.6 AU-3, SI-4

Pusatkan penyimpanan pengelogan dan analisis untuk mengaktifkan korelasi. Untuk setiap sumber log, pastikan Anda telah menetapkan pemilik data, panduan akses, lokasi penyimpanan, alat apa yang digunakan untuk memproses dan mengakses data, dan persyaratan retensi data.

Pastikan Anda mengintegrasikan log aktivitas Azure ke dalam pembuatan log pusat Anda. Lakukan penyerapan log melalui Azure Monitor untuk mengagregasi data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Di Azure Monitor, gunakan ruang kerja Analitik Log untuk mengkueri dan melakukan analitik, serta menggunakan akun Azure Storage untuk penyimpanan dan arsip jangka panjang.

Selain itu, aktifkan dan sesuaikan data ke Azure Sentinel atau SIEM pihak ketiga.

Banyak organisasi memilih untuk menggunakan Azure Sentinel untuk data "panas" yang sering digunakan dan Azure Storage untuk data "dingin" yang lebih jarang digunakan.

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

LT-6: Mengonfigurasi retensi penyimpanan log

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
LT-6 6.4 AU-3, AU-11

Konfigurasikan retensi log sesuai dengan kepatuhan, peraturan, dan persyaratan bisnis Anda.

Di Azure Monitor, Anda dapat mengatur periode retensi ruang kerja Analitik Log sesuai dengan peraturan kepatuhan organisasi Anda. Gunakan akun ruang kerja Azure Storage, Data Lake, atau Analitik Log untuk penyimpanan jangka panjang dan arsip.

Tanggung Jawab: Pelanggan

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):

LT-7: Menggunakan sumber sinkronisasi waktu yang disetujui

ID Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
LT-7 6.1 AU-8

Microsoft mempertahankan sumber waktu untuk sebagian besar layanan Azure PaaS dan SaaS. Untuk komputer virtual Anda, gunakan server NTP default Microsoft untuk sinkronisasi waktu kecuali Anda memiliki persyaratan tertentu. Jika perlu mendirikan server protokol waktu jaringan (NTP) Anda sendiri, pastikan Anda mengamankan port layanan UDP 123.

Semua log yang dihasilkan oleh sumber daya dalam Azure menyediakan stempel waktu dengan zona waktu yang ditentukan secara default.

Tanggung Jawab: Bersama

Pemangku Kepentingan Keamanan Pelanggan (Pelajari selengkapnya):