Creare una baseline per la registrazione e il monitoraggio
La registrazione e il monitoraggio sono requisiti fondamentali quando si prova a identificare, rilevare e mitigare le minacce per la sicurezza. Un criterio di registrazione adeguato può consentire di determinare quando avviene una violazione della sicurezza. I criteri possono anche identificare potenzialmente il responsabile. I log attività di Azure forniscono dati sull'accesso esterno a una risorsa e log di diagnostica, in modo da avere a disposizione informazioni sul funzionamento di una risorsa specifica.
Nota
Un log attività di Azure è un log delle sottoscrizioni che fornisce informazioni dettagliate sugli eventi a livello di sottoscrizione che si sono verificati in Azure. L'uso del log attività permette di acquisire informazioni dettagliate su qualsiasi operazione di scrittura eseguita sulle risorse nella sottoscrizione.
Suggerimenti per i criteri di registrazione
Le sezioni seguenti descrivono le raccomandazioni per la sicurezza in CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 per impostare i criteri di registrazione e monitoraggio nelle sottoscrizioni di Azure. In ogni raccomandazione sono inclusi i passaggi di base da seguire nel portale di Azure. È necessario completare questi passaggi per la propria sottoscrizione e usando le proprie risorse per convalidare ogni raccomandazione per la sicurezza. Tenere presente che le opzioni del livello 2 possono limitare alcune funzionalità o attività, quindi valutare con attenzione le opzioni di sicurezza che si decide di applicare.
Assicurarsi dell'esistenza di un'impostazione di diagnostica - Livello 1
Il log attività di Azure fornisce informazioni dettagliate sugli eventi a livello di sottoscrizione che si sono verificati in Azure. Questo log include un intervallo di dati che vanno dai dati operativi di Azure Resource Manager agli aggiornamenti sugli eventi di integrità dei servizi di Azure. Il log attività era precedentemente chiamato log di controllo o log operativo. La categoria Amministrativo segnala gli eventi del piano di controllo per le sottoscrizioni.
Per ogni sottoscrizione di Azure è disponibile un singolo log attività. Il log fornisce dati sulle operazioni delle risorse che hanno avuto origine all'esterno di Azure.
I log di diagnostica sono generati da una risorsa. I log di diagnostica forniscono informazioni sul funzionamento della risorsa. È necessario abilitare le impostazioni di diagnostica per ogni risorsa.
Accedi al portale di Azure. Cercare e selezionare Monitoraggio.
Nel menu a sinistra selezionare Log attività.
Nella barra dei menu Log attività selezionare Esporta log attività.
Se non viene visualizzata alcuna impostazione, selezionare la sottoscrizione e quindi selezionare Aggiungi impostazione di diagnostica.
Immettere un nome per l'impostazione di diagnostica e quindi selezionare le categorie di log e i dettagli di destinazione.
Nella barra dei menu selezionare Salva.
Ecco un esempio di come creare un'impostazione di diagnostica:
Creare un avviso del log attività per la creazione di un'assegnazione di criteri - Livello 1
Monitorando i criteri creati è possibile visualizzare gli utenti che possono creare criteri. Le informazioni possono essere utili per rilevare una violazione o una configurazione errata delle risorse o della sottoscrizione di Azure.
Accedi al portale di Azure. Cercare e selezionare Monitoraggio.
Nel menu a sinistra selezionare Avvisi.
Nella barra dei menu Avvisi selezionare l'elenco a discesa Crea e quindi selezionare Regola di avviso.
Nel riquadro Crea una regola di avviso selezionare Seleziona ambito.
Nel riquadro Seleziona una risorsa selezionare Assegnazione di criterio (policyAssignments) nell'elenco a discesa Filtra per tipo di risorsa.
Selezionare una risorsa da monitorare.
Selezionare Fine.
Per completare la creazione dell'avviso, completare i passaggi descritti in Creare una regola di avviso dal riquadro Avvisi di Monitoraggio di Azure.
Creare un avviso del log attività per creazione, aggiornamento o eliminazione di un gruppo di sicurezza di rete - Livello 1
Per impostazione predefinita, non vengono creati avvisi di monitoraggio quando vengono creati, aggiornati o eliminati gruppi di sicurezza di rete. La modifica o l'eliminazione di un gruppo di sicurezza può consentire l'accesso alle risorse interne da origini non valide o traffico di rete in uscita imprevisto.
Accedi al portale di Azure. Cercare e selezionare Monitoraggio.
Nel menu a sinistra selezionare Avvisi.
Nella barra dei menu Avvisi selezionare l'elenco a discesa Crea e quindi selezionare Regola di avviso.
Nel riquadro Crea una regola di avviso selezionare Seleziona ambito.
Nel riquadro Seleziona una risorsa selezionare Gruppi di sicurezza di rete nell'elenco a discesa Filtra per tipo di risorsa.
Selezionare Fine.
Per completare la creazione dell'avviso, completare i passaggi descritti in Creare una regola di avviso dal riquadro Avvisi di Monitoraggio di Azure.
Creare un avviso del log attività per creazione o aggiornamento di una regola del firewall di SQL Server - Livello 1
Il monitoraggio degli eventi di creazione o aggiornamento di una regola del firewall di SQL Server fornisce informazioni dettagliate sulle modifiche all'accesso alla rete e può ridurre il tempo necessario per rilevare un'attività sospetta.
Accedi al portale di Azure. Cercare e selezionare Monitoraggio.
Nel menu a sinistra selezionare Avvisi.
Nella barra dei menu Avvisi selezionare l'elenco a discesa Crea e quindi selezionare Regola di avviso.
Nel riquadro Crea una regola di avviso selezionare Seleziona ambito.
Nel riquadro Seleziona una risorsa selezionare Server SQL nell'elenco a discesa Filtra per tipo di risorsa.
Selezionare Fine.
Per completare la creazione dell'avviso, completare i passaggi descritti in Creare una regola di avviso dal riquadro Avvisi di Monitoraggio di Azure.