Controllo di sicurezza v3: Registrazione e rilevamento delle minacce
La registrazione e il rilevamento delle minacce illustra i controlli per rilevare le minacce in Azure e abilitare, raccogliere e archiviare i log di controllo per i servizi di Azure, tra cui l'abilitazione di processi di rilevamento, indagine e correzione con controlli per generare avvisi di alta qualità con il rilevamento delle minacce nativo nei servizi di Azure; include anche la raccolta di log con Monitoraggio di Azure, la centralizzazione dell'analisi della sicurezza con Azure Sentinel, la sincronizzazione dell'ora e la conservazione dei log.
LT-1: Abilitare le funzionalità di rilevamento delle minacce
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Principio di sicurezza: Per supportare gli scenari di rilevamento delle minacce, monitorare tutti i tipi di risorse noti per individuare minacce e anomalie note e previste. Configurare le regole di filtro e analisi degli avvisi per estrarre avvisi di alta qualità da dati di log, agenti o altre origini dati per ridurre i falsi positivi.
Linee guida di Azure: Usare la funzionalità di rilevamento delle minacce dei servizi di Azure Defender in Microsoft Defender for Cloud per i rispettivi servizi di Azure.
Per il rilevamento delle minacce non incluso nei servizi di Azure Defender, vedere le baseline del servizio Azure Security Benchmark per i rispettivi servizi per abilitare le funzionalità di rilevamento delle minacce o di avviso di sicurezza all'interno del servizio. Estrarre gli avvisi in Monitoraggio di Azure o Azure Sentinel per creare regole di analisi che cacciano minacce che soddisfano criteri specifici nell'ambiente.
Per gli ambienti OT (Operational Technology) che includono computer che controllano o monitorano le risorse ICS (Industrial Control System) o Supervisory Control and Data Acquisition (SCADA), usano Defender per IoT per inventariare gli asset e rilevare minacce e vulnerabilità.
Per i servizi che non dispongono di una funzionalità nativa di rilevamento delle minacce, è consigliabile raccogliere i log del piano dati e analizzare le minacce tramite Azure Sentinel.
Implementazione e contesto aggiuntivo:
- Introduzione ad Azure Defender
- guida di riferimento agli avvisi di sicurezza del cloud per Microsoft Defender
- Creare regole di analisi personalizzate per rilevare le minacce
- Intelligence sulle minacce informatiche con Azure Sentinel
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza dell'infrastruttura e degli endpoint
- Operazioni per la sicurezza
- Gestione della postura
- Sicurezza delle applicazioni e DevOps
- Intelligence per le minacce
LT-2: Abilitare il rilevamento delle minacce per la gestione delle identità e degli accessi
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Principio di sicurezza: Rilevare le minacce per le identità e la gestione degli accessi monitorando le anomalie di accesso e accesso dell'utente e dell'applicazione. Gli schemi comportamentali, ad esempio un numero eccessivo di tentativi di accesso non riusciti e gli account deprecati nella sottoscrizione, devono essere avvisati.
Linee guida di Azure: Azure AD fornisce i log seguenti che possono essere visualizzati nella creazione di report di Azure AD o integrati con Monitoraggio di Azure, Azure Sentinel o altri strumenti di monitoraggio/monitoraggio siem per casi d'uso di monitoraggio e analisi più sofisticati:
- Accessi: il report degli accessi fornisce informazioni sull'utilizzo delle applicazioni gestite e delle attività di accesso degli utenti.
- Log di controllo: fornisce la tracciabilità tramite i log per tutte le modifiche apportate da varie funzionalità all'interno di Azure AD. I log di controllo registrano, ad esempio, le modifiche apportate a qualsiasi risorsa di Azure AD, ad esempio l'aggiunta o la rimozione di utenti, app, gruppi, ruoli e criteri.
- Accessi a rischio: un accesso rischioso è un indicatore di un tentativo di accesso che potrebbe essere stato eseguito da qualcuno che non è il legittimo proprietario di un account utente.
- Utenti contrassegnati per il rischio: un utente rischioso è un indicatore di un account utente che potrebbe essere stato compromesso.
Azure AD offre anche un modulo Identity Protection per rilevare e correggere i rischi correlati agli account utente e ai comportamenti di accesso. Alcuni rischi includono credenziali perse, accesso da indirizzi IP collegati anonimi o malware, password spray. I criteri in Azure AD Identity Protection consentono di applicare l'autenticazione MFA basata sul rischio insieme all'accesso condizionale di Azure negli account utente.
Inoltre, è possibile configurare Microsoft Defender for Cloud per avvisare gli account deprecati nella sottoscrizione e le attività sospette, ad esempio un numero eccessivo di tentativi di autenticazione non riusciti. Oltre al monitoraggio dell'igiene della sicurezza di base, Microsoft Defender per il modulo Threat Protection del cloud può anche raccogliere avvisi di sicurezza più approfonditi da singole risorse di calcolo di Azure (ad esempio macchine virtuali, contenitori, servizio app), risorse dati (ad esempio database SQL e archiviazione) e livelli di servizio di Azure. Questa funzionalità consente di visualizzare le anomalie degli account all'interno delle singole risorse.
Nota: se si connette il Active Directory locale per la sincronizzazione, usare la soluzione Microsoft Defender per identità per utilizzare il Active Directory locale segnali per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni interne dannose dirette all'organizzazione.
Implementazione e contesto aggiuntivo:
- Controllare i report delle attività in Azure AD
- Abilitare Azure Identity Protection
- Protezione dalle minacce in Microsoft Defender for Cloud
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza dell'infrastruttura e degli endpoint
- Operazioni per la sicurezza
- Gestione della postura
- Sicurezza delle applicazioni e DevOps
- Intelligence per le minacce
LT-3: Abilitare la registrazione per l'analisi della sicurezza
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Principio di sicurezza: Abilitare la registrazione per le risorse cloud per soddisfare i requisiti per le indagini sugli eventi imprevisti di sicurezza e la risposta alla sicurezza e la conformità.
Linee guida di Azure: Abilitare la funzionalità di registrazione per le risorse a diversi livelli, ad esempio i log per le risorse di Azure, i sistemi operativi e le applicazioni all'interno delle macchine virtuali e altri tipi di log.
Tenere presenti diversi tipi di log per la sicurezza, il controllo e altri log delle operazioni a livello di piano di gestione/controllo e piano dati. Esistono tre tipi di log disponibili nella piattaforma Azure:
- Log delle risorse di Azure: registrazione delle operazioni eseguite all'interno di una risorsa di Azure (piano dati). Ad esempio, ottenere un segreto da un insieme di credenziali delle chiavi o effettuare una richiesta a un database. Il contenuto dei log delle risorse varia in base al servizio di Azure e al tipo di risorsa.
- Log attività di Azure: registrazione delle operazioni in ogni risorsa di Azure a livello di sottoscrizione, dall'esterno (piano di gestione). È possibile usare il log attività per determinare cosa, chi e quando per le operazioni di scrittura (PUT, POST, DELETE) eseguite sulle risorse nella sottoscrizione. È disponibile un singolo log attività per ogni sottoscrizione di Azure.
- Log di Azure Active Directory: log della cronologia delle attività di accesso e audit trail delle modifiche apportate in Azure Active Directory per un tenant specifico.
È anche possibile usare Microsoft Defender per Cloud e Criteri di Azure per abilitare i log delle risorse e i dati di log raccolti nelle risorse di Azure.
Implementazione e contesto aggiuntivo:
- Informazioni sulla registrazione e sui diversi tipi di log in Azure
- Informazioni sulla raccolta di dati di Microsoft Defender for Cloud
- Abilitare e configurare il monitoraggio antimalware
- Sistemi operativi e log applicazioni all'interno delle risorse di calcolo
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza dell'infrastruttura e degli endpoint
- Operazioni per la sicurezza
- Gestione della postura
- Sicurezza delle applicazioni e DevOps
- Intelligence per le minacce
LT-4: Abilitare la registrazione di rete per l'analisi della sicurezza
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10.8 |
Principio di sicurezza: Abilitare la registrazione per i servizi di rete per supportare le indagini sugli eventi imprevisti correlati alla rete, la ricerca delle minacce e la generazione di avvisi di sicurezza. I log di rete possono includere log da servizi di rete, ad esempio filtri IP, rete e application firewall, DNS, monitoraggio del flusso e così via.
Linee guida di Azure: Abilitare e raccogliere log delle risorse del gruppo di sicurezza di rete( NSG), log dei flussi del gruppo di sicurezza di rete, log di Firewall di Azure e log di Web application firewall (WAF) per l'analisi della sicurezza per supportare le indagini sugli eventi imprevisti e la generazione di avvisi di sicurezza. È possibile inviare i log del flusso a un'area di lavoro Log Analytics di Monitoraggio di Azure e quindi usare Analisi del traffico per fornire informazioni dettagliate.
Raccogliere i log delle query DNS per facilitare la correlazione di altri dati di rete.
Implementazione e contesto aggiuntivo:
- Come abilitare i log dei flussi dei gruppi di sicurezza di rete
- Firewall di Azure log e metriche
- Soluzioni di monitoraggio di rete di Azure in Monitoraggio di Azure
- Raccogliere informazioni dettagliate sull'infrastruttura DNS con la soluzione Analisi DNS
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Operazioni per la sicurezza
- Sicurezza dell'infrastruttura e degli endpoint
- Sicurezza delle applicazioni e DevOps
- Intelligence per le minacce
LT-5: Centralizzare la gestione e l'analisi dei log di sicurezza
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | N/D |
Principio di sicurezza: Centralizzare l'archiviazione e l'analisi della registrazione per abilitare la correlazione tra i dati di log. Per ogni origine log, assicurarsi di avere assegnato un proprietario dei dati, indicazioni di accesso, posizione di archiviazione, quali strumenti vengono usati per elaborare e accedere ai dati e ai requisiti di conservazione dei dati.
Linee guida di Azure: Assicurarsi di integrare i log attività di Azure in un'area di lavoro Log Analytics centralizzata. Usare Monitoraggio di Azure per eseguire query ed eseguire analisi e creare regole di avviso usando i log aggregati da servizi di Azure, dispositivi endpoint, risorse di rete e altri sistemi di sicurezza.
Inoltre, abilitare ed eseguire l'onboarding dei dati in Azure Sentinel che offre la funzionalità SIEM (Security Information Event Management) e security orchestration automated response (SOAR).
Implementazione e contesto aggiuntivo:
- Come raccogliere log e metriche della piattaforma con Monitoraggio di Azure
- Come eseguire l'onboarding di Azure Sentinel
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Architettura di sicurezza
- Sicurezza delle applicazioni e DevOps
- Sicurezza dell'infrastruttura e degli endpoint
LT-6: Configurare la conservazione dell'archiviazione dei log
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
Principio di sicurezza: Pianificare la strategia di conservazione dei log in base ai requisiti di conformità, normative e aziendali. Configurare i criteri di conservazione dei log nei singoli servizi di registrazione per assicurarsi che i log vengano archiviati in modo appropriato.
Linee guida di Azure: I log, ad esempio gli eventi dei log attività di Azure, vengono conservati per 90 giorni e quindi eliminati. È consigliabile creare un'impostazione di diagnostica e instradare le voci di log a un'altra posizione, ad esempio l'area di lavoro Log Analytics di Monitoraggio di Azure, Hub eventi o Archiviazione di Azure, in base alle esigenze. Questa strategia si applica anche agli altri log delle risorse e alle risorse gestite manualmente, ad esempio i log nei sistemi operativi e nelle applicazioni all'interno delle macchine virtuali.
È disponibile l'opzione di conservazione dei log come indicato di seguito:
- Usare l'area di lavoro Log Analytics di Monitoraggio di Azure per un periodo di conservazione dei log fino a 1 anno o in base ai requisiti del team di risposta.
- Usare Archiviazione di Azure, Esplora dati o Data Lake per l'archiviazione a lungo termine e archiviazione per più di 1 anno e per soddisfare i requisiti di conformità alla sicurezza.
- Usare Hub eventi di Azure per inoltrare i log all'esterno di Azure.
Nota: Azure Sentinel usa l'area di lavoro Log Analytics come back-end per l'archiviazione dei log. È consigliabile prendere in considerazione una strategia di archiviazione a lungo termine se si prevede di conservare i log SIEM per un periodo di tempo più lungo.
Implementazione e contesto aggiuntivo:
- Modificare il periodo di conservazione dei dati in Log Analytics
- Come configurare i criteri di conservazione per i log dell'account di archiviazione di Azure
- Microsoft Defender per l'esportazione di avvisi e raccomandazioni cloud
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Architettura di sicurezza
- Sicurezza delle applicazioni e DevOps
- Operazioni per la sicurezza
- Gestione della conformità alla sicurezza
LT-7: usare le origini di sincronizzazione dell'ora approvate
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 8.4 | AU-8 | 10.4 |
Principio di sicurezza: Usare le origini di sincronizzazione dell'ora approvate per il timestamp di registrazione che includono informazioni su data, ora e fuso orario.
Linee guida di Azure: Microsoft gestisce le origini temporali per la maggior parte dei servizi PaaS e SaaS di Azure. Per i sistemi operativi delle risorse di calcolo, usare un server NTP predefinito Microsoft per la sincronizzazione dell'ora, a meno che non si disponga di un requisito specifico. Se è necessario configurare il proprio server NTP (Network Time Protocol), assicurarsi di proteggere la porta del servizio UDP 123.
Tutti i log generati dalle risorse in Azure forniscono timestamp con il fuso orario specificato per impostazione predefinita.
Implementazione e contesto aggiuntivo:
- Come configurare la sincronizzazione dell'ora per le risorse di calcolo windows di Azure
- Come configurare la sincronizzazione dell'ora per le risorse di calcolo Linux di Azure
- Come disabilitare UDP in ingresso per i servizi di Azure
Stakeholder della sicurezza dei clienti (Altre informazioni):