Controllo di sicurezza V2: registrazione e rilevamento delle minacce

Nota

Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.

La registrazione e il rilevamento delle minacce illustra i controlli per rilevare le minacce in Azure e abilitare, raccogliere e archiviare i log di controllo per i servizi di Azure. Ciò include l'abilitazione di processi di rilevamento, indagine e correzione con controlli per generare avvisi di alta qualità con il rilevamento delle minacce nativo nei servizi di Azure; include anche la raccolta di log con Monitoraggio di Azure, la centralizzazione dell'analisi della sicurezza con Azure Sentinel, la sincronizzazione dell'ora e la conservazione dei log.

Per visualizzare le Criteri di Azure predefinite applicabili, vedere Dettagli dell'iniziativa predefinita Di conformità alle normative di Azure Security Benchmark: Registrazione e rilevamento delle minacce

LT-1: Abilitare il rilevamento delle minacce per le risorse di Azure

ID di Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
LT-1 6.7 AU-3, AU-6, AU-12, SI-4

Assicurarsi di monitorare diversi tipi di asset di Azure per individuare potenziali minacce e anomalie. Concentrarsi sul recupero di avvisi di alta qualità per ridurre i falsi positivi per gli analisti da ordinare. Gli avvisi possono essere originati da dati di log, agenti o altri dati.

Usare Azure Defender, basato sul monitoraggio dei dati di telemetria dei servizi di Azure e sull'analisi dei log del servizio. I dati vengono raccolti usando l'agente di Log Analytics, che legge varie configurazioni e registri eventi correlati alla sicurezza dal sistema e copia i dati nell'area di lavoro per l'analisi.

Usare anche Azure Sentinel per creare regole di analisi, che cacciano minacce che soddisfano criteri specifici nell'ambiente in uso. Le regole generano eventi imprevisti quando vengono soddisfatti i criteri, in modo da poter analizzare ogni evento imprevisto. Azure Sentinel può anche importare informazioni sulle minacce di terze parti per migliorare la funzionalità di rilevamento delle minacce.

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (Altre informazioni):

LT-2: Abilitare il rilevamento delle minacce per la gestione delle identità e degli accessi di Azure

ID di Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
LT-2 6.8 AU-3, AU-6, AU-12, SI-4

Azure AD fornisce i log utente seguenti che possono essere visualizzati nei report di Azure AD o integrati con Monitoraggio di Azure, Azure Sentinel o altri strumenti di monitoraggio/siem/monitoraggio per casi d'uso di monitoraggio e analisi più sofisticati:

  • Accessi: il report degli accessi fornisce informazioni sull'uso delle applicazioni gestite e sulle attività di accesso degli utenti.

  • Log di controllo: i log consentono la tracciabilità di tutte le modifiche apportate da varie funzionalità all'interno di Azure AD. I log di controllo registrano, ad esempio, le modifiche apportate a qualsiasi risorsa di Azure AD, ad esempio l'aggiunta o la rimozione di utenti, app, gruppi, ruoli e criteri.

  • Accessi a rischio. Un accesso rischioso è indicativo di un tentativo di accesso che potrebbe essere stato eseguito da qualcuno che non è il legittimo proprietario di un account utente.

  • Utenti contrassegnati per il rischio. Un utente rischioso è indicativo di un account utente che potrebbe essere stato compromesso.

Centro sicurezza di Azure può anche avvisare su determinate attività sospette, ad esempio un numero eccessivo di tentativi di autenticazione non riusciti e account deprecati nella sottoscrizione. Oltre al monitoraggio dell'igiene della sicurezza di base, Azure Defender può anche raccogliere avvisi di sicurezza più approfonditi da singole risorse di calcolo di Azure (ad esempio macchine virtuali, contenitori, servizio app), risorse dati (ad esempio database SQL e archiviazione) e livelli di servizio di Azure. Questa funzionalità consente di visualizzare le anomalie degli account all'interno delle singole risorse.

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (Altre informazioni):

LT-3: Abilitare la registrazione per le attività di rete di Azure

ID di Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
LT-3 9.3, 12.2, 12.5, 12.8 AU-3, AU-6, AU-12, SI-4

Abilitare e raccogliere i log delle risorse del gruppo di sicurezza di rete, i log dei flussi del gruppo di sicurezza di rete, i log Firewall di Azure e i log di Web application firewall (WAF) per l'analisi della sicurezza per supportare le indagini sugli eventi imprevisti, la ricerca delle minacce e la generazione di avvisi di sicurezza. È possibile inviare i log del flusso a un'area di lavoro Log Analytics di Monitoraggio di Azure e quindi usare Analisi del traffico per fornire informazioni dettagliate.

Assicurarsi di raccogliere i log delle query DNS per facilitare la correlazione di altri dati di rete.

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (Altre informazioni):

LT-4: Abilitare la registrazione per le risorse di Azure

ID di Azure CIS Controls v7.1 ID(s) ID NIST SP 800-53 r4
LT-4 6.2, 6.3, 8.8 AU-3, AU-12

Abilitare la registrazione per le risorse di Azure per soddisfare i requisiti per la conformità, il rilevamento delle minacce, la ricerca e l'analisi degli eventi imprevisti.

È possibile usare Centro sicurezza di Azure e Criteri di Azure per abilitare i log delle risorse e i dati di log raccolti nelle risorse di Azure per l'accesso ai log di controllo, sicurezza e risorse. I log attività, che sono automaticamente disponibili, includono origine evento, data, utente, timestamp, indirizzi di origine, indirizzi di destinazione e altri elementi utili.

Responsabilità: Condiviso

Stakeholder della sicurezza dei clienti (Altre informazioni):

Sicurezza dell'infrastruttura e degli endpoint

LT-5: Centralizzare la gestione e l'analisi dei log di sicurezza

ID di Azure CONTROLLI CIS v7.1 ID ID R4 NIST SP 800-53
LT-5 6.5, 6.6 AU-3, SI-4

Centralizzare l'archiviazione e l'analisi della registrazione per abilitare la correlazione. Per ogni origine log, assicurarsi di aver assegnato un proprietario dei dati, linee guida per l'accesso, percorso di archiviazione, strumenti usati per elaborare e accedere ai dati e ai requisiti di conservazione dei dati.

Assicurarsi di integrare i log attività di Azure nella registrazione centrale. Inserire i log tramite Monitoraggio di Azure per aggregare i dati di sicurezza generati da dispositivi endpoint, risorse di rete e altri sistemi di sicurezza. In Monitoraggio di Azure usare aree di lavoro Log Analytics per eseguire query ed eseguire analisi e usare gli account di archiviazione di Azure per archiviazione a lungo termine e archiviazione.

Inoltre, abilitare ed eseguire l'onboarding dei dati in Azure Sentinel o in un siem di terze parti.

Molte organizzazioni scelgono di usare Azure Sentinel per i dati "ad accesso frequente" usati di frequente e Archiviazione di Azure per i dati "a freddo" usati meno frequentemente.

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

LT-6: Configurare la conservazione dell'archiviazione dei log

ID di Azure CONTROLLI CIS v7.1 ID ID R4 NIST SP 800-53
LT-6 6.4 AU-3, AU-11

Configurare la conservazione dei log in base ai requisiti di conformità, regolamento e business.

In Monitoraggio di Azure è possibile impostare il periodo di conservazione dell'area di lavoro Log Analytics in base alle normative di conformità dell'organizzazione. Usare Archiviazione di Azure, Data Lake o Account dell'area di lavoro Log Analytics per l'archiviazione a lungo termine e l'archiviazione.

Responsabilità: Customer

Stakeholder della sicurezza dei clienti (altre informazioni):

LT-7: Usare le origini di sincronizzazione temporale approvate

ID di Azure CONTROLLI CIS v7.1 ID ID R4 NIST SP 800-53
LT-7 6.1 AU-8

Microsoft gestisce le origini temporali per la maggior parte dei servizi PaaS e SaaS di Azure. Per le macchine virtuali, usare il server NTP predefinito Microsoft per la sincronizzazione temporale, a meno che non si disponga di un requisito specifico. Se è necessario supportare il proprio server NTP (Network Time Protocol), assicurarsi di proteggere la porta del servizio UDP 123.

Tutti i log generati dalle risorse all'interno di Azure forniscono i timestamp con il fuso orario specificato per impostazione predefinita.

Responsabilità: Condiviso

Stakeholder della sicurezza dei clienti (altre informazioni):