Controllo della sicurezza: registrazione e rilevamento delle minacce
La registrazione e il rilevamento delle minacce illustra i controlli per rilevare le minacce nel cloud e abilitare, raccogliere e archiviare i log di controllo per i servizi cloud, inclusa l'abilitazione di processi di rilevamento, analisi e correzione con controlli per generare avvisi di alta qualità con rilevamento delle minacce nativo nei servizi cloud; include anche la raccolta di log con un servizio di monitoraggio cloud, la centralizzazione dell'analisi della sicurezza con una sincronizzazione dei tempi, la sincronizzazione del tempo e la conservazione dei log.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Principio di sicurezza: per supportare scenari di rilevamento delle minacce, monitorare tutti i tipi di risorse noti per minacce e anomalie note e previste. Configurare le regole di filtro e analisi degli avvisi per estrarre avvisi di alta qualità dai dati di log, dagli agenti o da altre origini dati per ridurre i falsi positivi.
Linee guida di Azure: usare la funzionalità di rilevamento delle minacce di Microsoft Defender per cloud per i rispettivi servizi di Azure.
Per il rilevamento delle minacce non incluso nei servizi di Microsoft Defender, fare riferimento alle linee di base del servizio Microsoft Cloud Security Benchmark per i rispettivi servizi per abilitare le funzionalità di rilevamento delle minacce o avviso di sicurezza all'interno del servizio. Inserire avvisi e dati di log da Microsoft Defender per Cloud, Microsoft 365 Defender e registrare dati da altre risorse nelle istanze di Monitoraggio di Azure o Microsoft Sentinel per compilare regole di analisi, che rilevano minacce e creano avvisi che corrispondono a criteri specifici nell'ambiente.
Per gli ambienti OPERATIONAL Technology (OT) che includono computer che controllano o monitorano il sistema di controllo industriale (ICS) o le risorse di controllo e acquisizione dei dati (SCADA), usano Microsoft Defender per i dispositivi IoT per inventariare gli asset e rilevare minacce e vulnerabilità.
Per i servizi che non dispongono di una funzionalità di rilevamento delle minacce nativa, è consigliabile raccogliere i log del piano dati e analizzare le minacce tramite Microsoft Sentinel.
Implementazione di Azure e contesto aggiuntivo:
- Introduzione a Microft Defender per cloud
- guida di riferimento per gli avvisi di sicurezza cloud Microsoft Defender
- Creare regole di analisi personalizzate per rilevare le minacce
- Indicatori di minaccia per l'intelligence sulle minacce informatiche in Microsoft Sentinel
Indicazioni su AWS: usare Amazon GuardDuty per il rilevamento delle minacce che analizza e elabora le origini dati seguenti: log di flusso VPC, log eventi di gestione di AWS CloudTrail, log eventi di dati CloudTrail S3, log di controllo EKS e log DNS. GuardDuty è in grado di segnalare problemi di sicurezza, ad esempio l'escalation dei privilegi, l'utilizzo delle credenziali esposte o la comunicazione con indirizzi IP dannosi o domini.
Configurare AWS Config per controllare le regole in SecurityHub per il monitoraggio della conformità, ad esempio la deriva della configurazione e creare risultati quando necessario.
Per il rilevamento delle minacce non incluso in GuardDuty e SecurityHub, abilitare le funzionalità di rilevamento delle minacce o avviso di sicurezza all'interno dei servizi AWS supportati. Estrarre gli avvisi a CloudTrail, CloudWatch o Microsoft Sentinel per creare regole di analisi, che cacciano minacce che corrispondono a criteri specifici nell'ambiente.
È anche possibile usare Microsoft Defender per Cloud per monitorare determinati servizi in AWS, ad esempio istanze EC2.
Per gli ambienti OPERATIONAL Technology (OT) che includono computer che controllano o monitorano il sistema di controllo industriale (ICS) o le risorse di controllo e acquisizione dei dati (SCADA), usano Microsoft Defender per i dispositivi IoT per inventariare gli asset e rilevare minacce e vulnerabilità.
Implementazione di AWS e contesto aggiuntivo:
- Amazon GuardDuty
- Origini dati amazon GuardDuty
- Connettere gli account AWS a Microsoft Defender per Cloud
- Come Defender for Cloud Apps consente di proteggere l'ambiente Amazon Web Services (AWS)
- Raccomandazioni sulla sicurezza per le risorse AWS - Guida di riferimento
Indicazioni su GCP: usare il rilevamento delle minacce eventi nel Centro comandi di Google Cloud Security per il rilevamento delle minacce usando dati di log, ad esempio Amministrazione attività, accesso ai dati GKE, log di flusso VPC, DNS cloud e log del firewall.
Inoltre, usare la suite di operazioni di sicurezza per il soC moderno con Siem di Cronaca e SOAR. La cronologia SIEM e SOAR offre funzionalità di rilevamento delle minacce, analisi e ricerca
È anche possibile usare Microsoft Defender per Cloud per monitorare determinati servizi in GCP, ad esempio istanze di macchine virtuali di calcolo.
Per gli ambienti OPERATIONAL Technology (OT) che includono computer che controllano o monitorano il sistema di controllo industriale (ICS) o le risorse di controllo e acquisizione dei dati (SCADA), usano Microsoft Defender per i dispositivi IoT per inventariare gli asset e rilevare minacce e vulnerabilità.
Implementazione di GCP e contesto aggiuntivo:
- Panoramica del rilevamento delle minacce per gli eventi del Centro sicurezza
- Cronaca SOAR
- Come Defender for Cloud Apps consente di proteggere l'ambiente Google Cloud Platform (GCP)
- Raccomandazioni sulla sicurezza per le risorse GCP - Guida di riferimento
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza dell'infrastruttura e degli endpoint
- Operazioni per la sicurezza
- Gestione della postura
- Sicurezza delle applicazioni e DevOps
- Intelligence per le minacce
LT-2: Abilitare il rilevamento delle minacce per la gestione delle identità e degli accessi
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Principio di sicurezza: rilevare le minacce per le identità e la gestione degli accessi monitorando l'accesso dell'utente e dell'applicazione e le anomalie di accesso. I modelli comportamentali, ad esempio il numero eccessivo di tentativi di accesso non riusciti e gli account deprecati nella sottoscrizione, devono essere avvisati.
Linee guida di Azure: Azure AD fornisce i log seguenti che possono essere visualizzati nella creazione di report di Azure AD o integrati con Monitoraggio di Azure, Microsoft Sentinel o altri strumenti di monitoraggio/monitoraggio SIEM per casi d'uso più sofisticati:
- Accessi: il report degli accessi fornisce informazioni sull'utilizzo delle applicazioni gestite e sulle attività di accesso degli utenti.
- Log di controllo: fornisce la tracciabilità tramite log per tutte le modifiche eseguite da varie funzionalità all'interno di Azure AD. I log di controllo registrano, ad esempio, le modifiche apportate a qualsiasi risorsa di Azure AD, ad esempio l'aggiunta o la rimozione di utenti, app, gruppi, ruoli e criteri.
- Accessi rischiosi: un accesso rischioso è un indicatore per un tentativo di accesso che potrebbe essere stato eseguito da un utente che non è il proprietario legittimo di un account utente.
- Utenti contrassegnati per il rischio: un utente rischioso è un indicatore per un account utente che potrebbe essere stato compromesso.
Azure AD offre anche un modulo Identity Protection per rilevare e correggere i rischi correlati agli account utente e ai comportamenti di accesso. Esempi di rischi includono credenziali perse, accesso da indirizzi IP anonimi o malware collegati, spray password. I criteri in Azure AD Identity Protection consentono di applicare l'autenticazione MFA basata sui rischi insieme all'accesso condizionale di Azure negli account utente.
Inoltre, Microsoft Defender per Cloud può essere configurato per avvisare gli account deprecati nella sottoscrizione e attività sospette, ad esempio un numero eccessivo di tentativi di autenticazione non riusciti. Oltre al monitoraggio dell'igiene della sicurezza di base, Microsoft Defender per il modulo Threat Protection di Cloud può anche raccogliere avvisi di sicurezza più approfonditi da singole risorse di calcolo di Azure (ad esempio macchine virtuali, contenitori, servizio app), risorse dati (ad esempio database SQL e archiviazione) e livelli di servizio di Azure. Questa funzionalità consente di visualizzare le anomalie degli account all'interno delle singole risorse.
Nota: se si connette il Active Directory locale per la sincronizzazione, usare la soluzione di Microsoft Defender per identità per usare il Active Directory locale segnali per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni insider dannose indirizzate all'organizzazione.
Implementazione di Azure e contesto aggiuntivo:
- Report attività di controllo in Azure AD
- Abilitare Azure Identity Protection
- Protezione dalle minacce in Microsoft Defender per cloud
- Panoramica delle Microsoft Defender per identità
Linee guida per AWS: AWS IAM fornisce i report e i log e i report seguenti per le attività utente della console tramite il report delle credenziali IAM Access Advisor e IAM:
- Ogni tentativo di accesso riuscito e di accesso non riuscito.
- Stato MFA (Multi-Factor Authentication) per ogni utente.
- Utente IAM inattivo
Per il monitoraggio e il rilevamento delle minacce a livello di API, usare Amazon GuadDuty per identificare i risultati correlati all'IAM. Esempi di questi risultati includono:
- Un'API usata per ottenere l'accesso a un ambiente AWS ed è stata richiamata in modo anomalo oppure è stata usata per evitare misure difensive
- API usata per:
- le risorse di individuazione sono state richiamate in modo anomalo
- raccogliere i dati da un ambiente AWS è stato richiamato in modo anomalo.
- manomissione dei dati o dei processi in un ambiente AWS è stato richiamato in modo anomalo.
- ottenere l'accesso non autorizzato a un ambiente AWS è stato richiamato in modo anomalo.
- mantenere l'accesso non autorizzato a un ambiente AWS è stato richiamato in modo anomalo.
- ottenere autorizzazioni di alto livello per un ambiente AWS è stato richiamato in modo anomalo.
- essere richiamato da un indirizzo IP dannoso noto.
- essere richiamato usando le credenziali radice.
- La registrazione di AWS CloudTrail è stata disabilitata.
- I criteri password dell'account sono stati indeboliti.
- Sono stati osservati più account di accesso della console di successo in tutto il mondo.
- Le credenziali create esclusivamente per un'istanza EC2 tramite un ruolo di avvio dell'istanza vengono usate da un altro account all'interno di AWS.
- Le credenziali create esclusivamente per un'istanza EC2 tramite un ruolo di avvio dell'istanza vengono usate da un indirizzo IP esterno.
- Un'API è stata richiamata da un indirizzo IP dannoso noto.
- Un'API è stata richiamata da un indirizzo IP in un elenco di minacce personalizzato.
- Un'API è stata richiamata da un indirizzo IP del nodo di uscita tor.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: usare il rilevamento delle minacce degli eventi nel Centro comandi di Google Cloud Security per un determinato tipo di rilevamento delle minacce correlate a IAM, ad esempio il rilevamento di eventi in cui a un account del servizio gestito dall'utente inattivo è stato concesso uno o più ruoli IAM sensibili.
Tenere presente che i log di Google Identity e Google Cloud IAM producono entrambi i log attività di amministratore, ma per l'ambito diverso. I log di Google Identity sono solo per le operazioni corrispondenti a Identity Platform, mentre i log IAM corrispondono a IAM per Google Cloud. I log IAM contengono voci di log di chiamate API o altre azioni che modificano la configurazione o i metadati delle risorse. Ad esempio, questi log registrano quando gli utenti creano istanze di macchina virtuale o modificano le autorizzazioni di gestione delle identità e degli accessi.
Usare i report Cloud Identity e IAM per gli avvisi relativi a determinati modelli di attività sospette. È anche possibile usare Policy Intelligence per analizzare le attività degli account del servizio per identificare attività quali gli account di servizio nel progetto non sono stati usati negli ultimi 90 giorni.
Implementazione GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza dell'infrastruttura e degli endpoint
- Operazioni per la sicurezza
- Gestione della postura
- Sicurezza delle applicazioni e DevOps
- Intelligence per le minacce
LT-3: Abilitare la registrazione per l'analisi della sicurezza
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Principio di sicurezza: abilitare la registrazione per le risorse cloud per soddisfare i requisiti per le indagini sugli eventi imprevisti di sicurezza e la risposta alla sicurezza e la conformità.
Linee guida di Azure: abilitare la funzionalità di registrazione per le risorse a diversi livelli, ad esempio i log per le risorse di Azure, i sistemi operativi e le applicazioni all'interno delle macchine virtuali e altri tipi di log.
Tenere presente i diversi tipi di log per la sicurezza, il controllo e altri log operativi a livello di piano di gestione/controllo e piano dati. Esistono tre tipi di log disponibili nella piattaforma Azure:
- Log delle risorse di Azure: registrazione delle operazioni eseguite all'interno di una risorsa di Azure (piano dati). Ad esempio, ottenere un segreto da un insieme di credenziali delle chiavi o effettuare una richiesta a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.
- Log attività di Azure: registrazione delle operazioni in ogni risorsa di Azure a livello di sottoscrizione, dall'esterno (piano di gestione). È possibile usare il log attività per determinare cosa, chi e quando per le operazioni di scrittura (PUT, POST, DELETE) eseguite sulle risorse nella sottoscrizione. È disponibile un singolo log attività per ogni sottoscrizione di Azure.
- Log di Azure Active Directory: log della cronologia delle attività di accesso e audit trail delle modifiche apportate in Azure Active Directory per un tenant specifico.
È anche possibile usare Microsoft Defender per Cloud e Criteri di Azure per abilitare i log delle risorse e i dati di log raccolti nelle risorse di Azure.
Implementazione di Azure e contesto aggiuntivo:
- Informazioni sulla registrazione e sui diversi tipi di log in Azure
- Informazioni sulla raccolta di dati di Microsoft Defender for Cloud
- Abilitare e configurare il monitoraggio antimalware
- Sistemi operativi e log applicazioni all'interno delle risorse di calcolo
Indicazioni su AWS: usare la registrazione di AWS CloudTrail per gli eventi di gestione (operazioni del piano di controllo) e gli eventi di dati (operazioni del piano dati) e monitorare questi percorsi con CloudWatch per le azioni automatizzate.
Il servizio Amazon CloudWatch Logs consente di raccogliere e archiviare log da risorse, applicazioni e servizi quasi in tempo reale. Esistono tre categorie principali di log:
- Log vended: log pubblicati in modo nativo dai servizi AWS per conto dell'utente. Attualmente, i log dei flussi amazon VPC e i log di Amazon Route 53 sono i due tipi supportati. Questi due log sono abilitati per impostazione predefinita.
- Log pubblicati dai servizi AWS: log da più di 30 servizi AWS pubblicati in CloudWatch. Includono Amazon API Gateway, AWS Lambda, AWS CloudTrail e molti altri. Questi log possono essere abilitati direttamente nei servizi e CloudWatch.
- Log personalizzati: log dall'applicazione e dalle risorse locali. Potrebbe essere necessario raccogliere questi log installando CloudWatch Agent nei sistemi operativi e inoltrandoli a CloudWatch.
Anche se molti servizi pubblicano i log solo nei log di CloudWatch, alcuni servizi AWS possono pubblicare i log direttamente in AmazonS3 o AmazonIntunes Data Firehose, in cui è possibile usare criteri di archiviazione e conservazione della registrazione diversi.
Implementazione di AWS e contesto aggiuntivo:
- Abilitazione della registrazione da determinati servizi AWS
- Monitoraggio e registrazione
- Funzionalità di Cloudwatch
Indicazioni su GCP: abilitare la funzionalità di registrazione per le risorse a diversi livelli, ad esempio i log per le risorse di Azure, i sistemi operativi e le applicazioni all'interno delle macchine virtuali e altri tipi di log.
Tenere presente i diversi tipi di log per la sicurezza, il controllo e altri log operativi a livello di piano di gestione/controllo e piano dati. Il servizio Di registrazione cloud di Operations Suite raccoglie e aggrega tutti i tipi di eventi di log dai livelli di risorse. In Registrazione cloud sono supportate quattro categorie di log:
- Log della piattaforma: log scritti dai servizi Google Cloud.
- Log dei componenti: simili ai log della piattaforma, ma sono log generati da componenti software forniti da Google eseguiti nei sistemi.
- Log di sicurezza: principalmente i log di controllo che registrano le attività amministrative e accede all'interno delle risorse.
- Scritto dall'utente: log scritti da applicazioni e servizi personalizzati
- Log multi-cloud e log cloud ibridi: log da altri provider di servizi cloud come Microsoft Azure e log dall'infrastruttura locale.
Implementazione GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza dell'infrastruttura e degli endpoint
- Operazioni per la sicurezza
- Gestione della postura
- Sicurezza delle applicazioni e DevOps
- Intelligence per le minacce
LT-4: Abilitare la registrazione di rete per l'analisi della sicurezza
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10.8 |
Principio di sicurezza: abilitare la registrazione per i servizi di rete per supportare indagini impreviste correlate alla rete, ricerca di minacce e generazione di avvisi di sicurezza. I log di rete possono includere log da servizi di rete, ad esempio filtri IP, rete e application firewall, DNS, monitoraggio del flusso e così via.
Linee guida di Azure: abilitare e raccogliere log delle risorse del gruppo di sicurezza di rete, log dei flussi del gruppo di sicurezza di rete, log Firewall di Azure e log di Web application firewall (WAF) e log dalle macchine virtuali tramite l'agente di raccolta dati del traffico di rete per l'analisi della sicurezza per supportare le indagini sugli eventi imprevisti e la generazione di avvisi di sicurezza. È possibile inviare i log del flusso a un'area di lavoro Log Analytics di Monitoraggio di Azure e quindi usare Analisi del traffico per fornire informazioni dettagliate.
Raccogliere i log delle query DNS per facilitare la correlazione di altri dati di rete.
Implementazione di Azure e contesto aggiuntivo:
- Come abilitare i log dei flussi dei gruppi di sicurezza di rete
- Firewall di Azure log e metriche
- Soluzioni di monitoraggio di rete di Azure in Monitoraggio di Azure
- Raccogliere informazioni dettagliate sull'infrastruttura DNS con la soluzione Analisi DNS
Indicazioni di AWS: abilitare e raccogliere log di rete, ad esempio log di flusso VPC, log WAF e log di query del resolver Route53 per l'analisi della sicurezza per supportare le indagini sugli eventi imprevisti e la generazione di avvisi di sicurezza. I log possono essere esportati in CloudWatch per il monitoraggio o un bucket di archiviazione S3 per l'inserimento nella soluzione Microsoft Sentinel per l'analisi centralizzata.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: la maggior parte dei log delle attività di rete è disponibile tramite i log dei flussi VPC che registrano un esempio di flussi di rete inviati e ricevuti dalle risorse, incluse le istanze usate come macchine virtuali di calcolo Google, nodi del motore Kubernetes. Questi log possono essere usati per il monitoraggio della rete, le analisi forensi, l'analisi della sicurezza in tempo reale e l'ottimizzazione delle spese.
È possibile visualizzare i log dei flussi in Registrazione cloud ed esportare i log nella destinazione supportata dall'esportazione di Registrazione cloud. I log dei flussi vengono aggregati in base alla connessione dalla macchina virtuale del motore di calcolo ed esportati in tempo reale. Eseguendo la sottoscrizione a Pub/Sub, è possibile analizzare i log dei flussi usando le API di streaming in tempo reale.
Nota: è anche possibile usare il mirroring dei pacchetti clona il traffico delle istanze specificate nella rete VPC (Virtual Private Cloud) e lo inoltra per l'esame. Il mirroring dei pacchetti acquisisce tutto il traffico e i dati dei pacchetti, inclusi payload e intestazioni.
Implementazione GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Operazioni per la sicurezza
- Sicurezza dell'infrastruttura e degli endpoint
- Sicurezza delle applicazioni e DevOps
- Intelligence per le minacce
LT-5: Centralizzare la gestione e l'analisi dei log di sicurezza
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | N/D |
Principio di sicurezza: centralizzare l'archiviazione e l'analisi della registrazione per abilitare la correlazione tra i dati di log. Per ogni origine log, assicurarsi di avere assegnato un proprietario dei dati, indicazioni di accesso, posizione di archiviazione, quali strumenti vengono usati per elaborare e accedere ai dati e ai requisiti di conservazione dei dati.
Usare SIEM nativo del cloud se non si dispone di una soluzione SIEM esistente per i provider di servizi cloud. o aggregare log/avvisi nel siem esistente.
Linee guida di Azure: assicurarsi di integrare i log attività di Azure in un'area di lavoro Log Analytics centralizzata. Usare Monitoraggio di Azure per eseguire query ed eseguire analisi e creare regole di avviso usando i log aggregati da servizi di Azure, dispositivi endpoint, risorse di rete e altri sistemi di sicurezza.
Inoltre, abilitare ed eseguire l'onboarding dei dati in Microsoft Sentinel che fornisce funzionalità siem (Security Information Event Management) e security orchestration automated response (SOAR).
Implementazione di Azure e contesto aggiuntivo:
- Come raccogliere log e metriche della piattaforma con Monitoraggio di Azure
- Come eseguire l'onboarding di Azure Sentinel
Indicazioni su AWS: assicurarsi di integrare i log AWS in una risorsa centralizzata per l'archiviazione e l'analisi. Usare CloudWatch per eseguire query ed eseguire analisi e creare regole di avviso usando i log aggregati da servizi AWS, servizi, dispositivi endpoint, risorse di rete e altri sistemi di sicurezza.
È anche possibile aggregare i log in un bucket di archiviazione S3 ed eseguire l'onboarding dei dati di log in Microsoft Sentinel, che offre funzionalità SIEM (Security Information Event Management) e soAR (Security Orchestration Automated Response).
Implementazione di AWS e contesto aggiuntivo:
Indicazioni su GCP: assicurarsi di integrare i log GCP in una risorsa centralizzata ,ad esempio un bucket di registrazione cloud di Operations Suite, per l'archiviazione e l'analisi. La registrazione cloud supporta la maggior parte della registrazione del servizio nativo di Google Cloud, nonché delle applicazioni di terze parti e delle applicazioni locali. È possibile usare Registrazione cloud per eseguire query ed eseguire analisi e creare regole di avviso usando i log aggregati da servizi, servizi, dispositivi endpoint, risorse di rete e altri sistemi di sicurezza.
Usare SIEM nativo del cloud se non si dispone di una soluzione SIEM esistente per CSP o di aggregare log/avvisi nel siem esistente.
Nota: Google fornisce due front-end di query di log, Esplora log e Log Analytics per query, visualizzazione e analisi dei log. Per la risoluzione dei problemi e l'esplorazione dei dati di log, è consigliabile usare Esplora log. Per generare informazioni dettagliate e tendenze, è consigliabile usare Log Analytics.
Implementazione GCP e contesto aggiuntivo:
- Aggregare e archiviare i log dell'organizzazione
- Panoramica dei log di query e visualizzazione
- Siem cronache
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Architettura di sicurezza
- Sicurezza delle applicazioni e DevOps
- Sicurezza dell'infrastruttura e degli endpoint
LT-6: Configurare la conservazione dell'archiviazione dei log
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
Principio di sicurezza: pianificare la strategia di conservazione dei log in base ai requisiti di conformità, normative e aziendali. Configurare i criteri di conservazione dei log nei singoli servizi di registrazione per assicurarsi che i log vengano archiviati in modo appropriato.
Indicazioni di Azure: i log, ad esempio i log attività di Azure, vengono conservati per 90 giorni e quindi eliminati. È consigliabile creare un'impostazione di diagnostica e instradare i log a un'altra posizione, ad esempio l'area di lavoro Log Analytics di Monitoraggio di Azure, Hub eventi o Archiviazione di Azure, in base alle proprie esigenze. Questa strategia si applica anche ad altri log delle risorse e risorse gestiti manualmente, ad esempio i log nei sistemi operativi e nelle applicazioni all'interno delle macchine virtuali.
È disponibile l'opzione di conservazione dei log come indicato di seguito:
- Usare l'area di lavoro Log Analytics di Monitoraggio di Azure per un periodo di conservazione dei log fino a 1 anno o in base ai requisiti del team di risposta.
- Usare Archiviazione di Azure, Esplora dati o Data Lake per l'archiviazione a lungo termine e archiviazione per più di 1 anno e per soddisfare i requisiti di conformità alla sicurezza.
- Usare Hub eventi di Azure per inoltrare i log a una risorsa esterna all'esterno di Azure.
Nota: Microsoft Sentinel usa l'area di lavoro Log Analytics come back-end per l'archiviazione dei log. È consigliabile prendere in considerazione una strategia di archiviazione a lungo termine se si prevede di conservare i log SIEM per un periodo di tempo più lungo.
Implementazione di Azure e contesto aggiuntivo:
- Modificare il periodo di conservazione dei dati in Log Analytics
- Come configurare i criteri di conservazione per i log dell'account di archiviazione di Azure
- Microsoft Defender per l'esportazione di avvisi e raccomandazioni cloud
Indicazioni su AWS: per impostazione predefinita, i log vengono mantenuti per un periodo illimitato e non scadono mai in CloudWatch. È possibile modificare i criteri di conservazione per ogni gruppo di log, mantenere la conservazione illimitata o scegliere un periodo di conservazione compreso tra 10 anni e un giorno.
Usare Amazon S3 per l'archiviazione dei log da CloudWatch e applicare i criteri di archiviazione e gestione del ciclo di vita degli oggetti al bucket. È possibile usare Archiviazione di Azure per l'archiviazione dei log centralizzata trasferendo i file da Amazon S3 ad Archiviazione di Azure.
Implementazione di AWS e contesto aggiuntivo:
- Modifica della conservazione dei log di CloudWatch
- Copiare dati da Amazon S3 ad Archiviazione di Azure usando AzCopy
Indicazioni per GCP: per impostazione predefinita, Operations Suite Cloud Logging conserva i log per 30 giorni, a meno che non si configuri la conservazione personalizzata per il bucket Registrazione cloud. Amministrazione log di controllo attività, log di controllo eventi di sistema e log di trasparenza di accesso vengono conservati 400 giorni per impostazione predefinita. È possibile configurare La registrazione cloud per conservare i log tra 1 giorno e 3650 giorni.
Usare Archiviazione cloud per l'archiviazione dei log da Registrazione cloud e applicare i criteri di archiviazione e gestione del ciclo di vita degli oggetti al bucket. È possibile usare Archiviazione di Azure per l'archiviazione dei log centralizzata trasferendo i file da Google Cloud Storage ad Archiviazione di Azure.
Implementazione GCP e contesto aggiuntivo:
- Conservazione personalizzata dei log
- Criteri di conservazione archiviazione
- Panoramica del routing e dell'archiviazione dei log
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Architettura di sicurezza
- Sicurezza delle applicazioni e DevOps
- Operazioni per la sicurezza
- Gestione della conformità alla sicurezza
LT-7: usare le origini di sincronizzazione dell'ora approvate
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.4 | AU-8 | 10.4 |
Principio di sicurezza: usare le origini di sincronizzazione dell'ora approvate per il timestamp di registrazione che includono informazioni su data, ora e fuso orario.
Linee guida di Azure: Microsoft gestisce le origini temporali per la maggior parte dei servizi PaaS e SaaS di Azure. Per i sistemi operativi delle risorse di calcolo, usare un server NTP predefinito Microsoft per la sincronizzazione dell'ora, a meno che non si disponga di un requisito specifico. Se è necessario configurare il proprio server NTP (Network Time Protocol), assicurarsi di proteggere la porta del servizio UDP 123.
Tutti i log generati dalle risorse in Azure forniscono timestamp con il fuso orario specificato per impostazione predefinita.
Implementazione di Azure e contesto aggiuntivo:
- Come configurare la sincronizzazione dell'ora per le risorse di calcolo windows di Azure
- Come configurare la sincronizzazione dell'ora per le risorse di calcolo Linux di Azure
- Come disabilitare UDP in ingresso per i servizi di Azure
Indicazioni su AWS: AWS gestisce le origini temporali per la maggior parte dei servizi AWS. Per le risorse o i servizi in cui è configurata l'impostazione dell'ora del sistema operativo, usare il servizio Amazon Time Sync predefinito di AWS per la sincronizzazione dell'ora, a meno che non si disponga di un requisito specifico. Se è necessario configurare il proprio server NTP (Network Time Protocol), assicurarsi di proteggere la porta del servizio UDP 123.
Tutti i log generati dalle risorse in AWS forniscono timestamp con il fuso orario specificato per impostazione predefinita.
Implementazione di AWS e contesto aggiuntivo:
Indicazioni per GCP: Google Cloud gestisce le origini temporali per la maggior parte dei servizi PaaS e SaaS di Google Cloud. Per i sistemi operativi delle risorse di calcolo, usare un server NTP predefinito di Google Cloud per la sincronizzazione dell'ora, a meno che non si disponga di un requisito specifico. Se è necessario configurare il proprio server NTP (Network Time Protocol), assicurarsi di proteggere la porta del servizio UDP 123.
Nota: è consigliabile non usare origini NTP esterne con macchine virtuali del motore di calcolo, ma usare il server NTP interno fornito da Google.
Implementazione GCP e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):