Beveiligingsbeheer: logboekregistratie en detectie van bedreigingen
Logboekregistratie en detectie van bedreigingen omvat controles voor het detecteren van bedreigingen in de cloud en het inschakelen, verzamelen en opslaan van auditlogboeken voor cloudservices, waaronder het mogelijk maken van detectie,onderzoek en herstelprocessen met controles om waarschuwingen van hoge kwaliteit te genereren met systeemeigen detectie van bedreigingen in cloudservices; Het omvat ook het verzamelen van logboeken met een cloudbewakingsservice, het centraliseren van beveiligingsanalyse met een SIEM, tijdsynchronisatie en logboekretentie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Beveiligingsprincipe: ter ondersteuning van scenario's voor bedreigingsdetectie controleert u alle bekende resourcetypen op bekende en verwachte bedreigingen en afwijkingen. Configureer de regels voor het filteren en analyseren van waarschuwingen om waarschuwingen van hoge kwaliteit te extraheren uit logboekgegevens, agents of andere gegevensbronnen om fout-positieven te verminderen.
Azure-richtlijnen: gebruik de mogelijkheid om bedreigingen te detecteren van Microsoft Defender for Cloud voor de respectieve Azure-services.
Voor bedreigingsdetectie die niet is opgenomen in Microsoft Defender-services, raadpleegt u Microsoft Cloud Security Benchmark-servicebasislijnen voor de respectieve services om de mogelijkheden voor bedreigingsdetectie of beveiligingswaarschuwingen binnen de service in te schakelen. Neem waarschuwingen en logboekgegevens op van Microsoft Defender for Cloud, Microsoft 365 Defender en logboekgegevens van andere resources in uw Azure Monitor- of Microsoft Sentinel-exemplaren om analyseregels te bouwen die bedreigingen detecteren en waarschuwingen maken die voldoen aan specifieke criteria in uw omgeving.
Gebruik voor OT-omgevingen (Operational Technology) die computers bevatten die ICS-resources (Industrial Control System) of Supervisory Control and Data Acquisition (SCADA) beheren of bewaken, Microsoft Defender voor IoT om assets te inventariseren en bedreigingen en beveiligingsproblemen te detecteren.
Voor services die geen systeemeigen bedreigingsdetectiefunctie hebben, kunt u overwegen om de logboeken van het gegevensvlak te verzamelen en de bedreigingen te analyseren via Microsoft Sentinel.
Azure-implementatie en aanvullende context:
- Inleiding tot Microft Defender for Cloud
- Referentiehandleiding voor beveiligingswaarschuwingen voor Microsoft Defender for Cloud
- Aangepaste regels maken voor het detecteren van bedreigingen
- Bedreigingsindicatoren voor cyberdreigingsinformatie in Microsoft Sentinel
AWS-richtlijnen: Gebruik Amazon GuardDuty voor bedreigingsdetectie waarmee de volgende gegevensbronnen worden geanalyseerd en verwerkt: VPC-stroomlogboeken, AWS CloudTrail-beheergebeurtenislogboeken, CloudTrail S3-gegevensgebeurtenislogboeken, EKS-auditlogboeken en DNS-logboeken. GuardDuty kan rapporteren over beveiligingsproblemen zoals escalatie van bevoegdheden, openbaar referentiegebruik of communicatie met schadelijke IP-adressen of domeinen.
Configureer AWS-configuratie om regels in SecurityHub te controleren voor nalevingscontrole, zoals configuratiedrift, en om resultaten te maken wanneer dat nodig is.
Voor bedreigingsdetectie die niet is opgenomen in GuardDuty en SecurityHub, schakelt u mogelijkheden voor detectie van bedreigingen of beveiligingswaarschuwingen in de ondersteunde AWS-services in. Pak de waarschuwingen uit naar uw CloudTrail, CloudWatch of Microsoft Sentinel om analyseregels te bouwen die bedreigingen opsporen die voldoen aan specifieke criteria in uw omgeving.
U kunt ook Microsoft Defender for Cloud gebruiken om bepaalde services in AWS te bewaken, zoals EC2-exemplaren.
Gebruik voor OT-omgevingen (Operational Technology) die computers bevatten die ICS-resources (Industrial Control System) of Supervisory Control and Data Acquisition (SCADA) beheren of bewaken, Microsoft Defender voor IoT om assets te inventariseren en bedreigingen en beveiligingsproblemen te detecteren.
AWS-implementatie en aanvullende context:
- Amazon GuardDuty
- Amazon GuardDuty-gegevensbronnen
- Uw AWS-accounts verbinden met Microsoft Defender for Cloud
- Hoe Defender for Cloud Apps uw AWS-omgeving (Amazon Web Services) beschermt
- Beveiligingsaanbevelingen voor AWS-resources - een referentiehandleiding
GCP-richtlijnen: gebruik de detectie van bedreigingen van gebeurtenissen in Google Cloud Security Command Center voor detectie van bedreigingen met behulp van logboekgegevens zoals Beheer-activiteit, GKE-gegevenstoegang, VPC-stroomlogboeken, cloud-DNS en firewalllogboeken.
Gebruik ook de Security Operations-suite voor het moderne SOC met Chronicle SIEM en SOAR. Chronicle SIEM en SOAR bieden mogelijkheden voor detectie, onderzoek en opsporing van bedreigingen
U kunt Microsoft Defender for Cloud ook gebruiken om bepaalde services in GCP te bewaken, zoals Reken-VM-exemplaren.
Gebruik voor OT-omgevingen (Operational Technology) die computers bevatten die ICS-resources (Industrial Control System) of Supervisory Control and Data Acquisition (SCADA) beheren of bewaken, Microsoft Defender voor IoT om assets te inventariseren en bedreigingen en beveiligingsproblemen te detecteren.
GCP-implementatie en aanvullende context:
- Overzicht van Detectie van bedreigingen voor gebeurtenissen in Security Command Center
- Chronicle SOAR
- Hoe Defender for Cloud Apps uw GCP-omgeving (Google Cloud Platform) helpt beveiligen
- Beveiligingsaanbeveling voor GCP-resources - een referentiehandleiding
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
- Infrastructuur- en eindpuntbeveiliging
- Beveiligingsbewerkingen
- Postuurbeheer
- Toepassingsbeveiliging en DevOps
- Bedreigingsinformatie
LT-2: Detectie van bedreigingen inschakelen voor identiteits- en toegangsbeheer
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Beveiligingsprincipe: bedreigingen voor identiteiten en toegangsbeheer detecteren door de aanmeldings- en toegangsafwijkingen van gebruikers en toepassingen te bewaken. Gedragspatronen, zoals een overmatig aantal mislukte aanmeldingspogingen en afgeschafte accounts in het abonnement, moeten worden gewaarschuwd.
Azure-richtlijnen: Azure AD biedt de volgende logboeken die kunnen worden weergegeven in Azure AD rapportage of die kunnen worden geïntegreerd met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerdere gebruiksvoorbeelden voor bewaking en analyse:
- Aanmeldingen: het aanmeldingsrapport bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.
- Auditlogboeken: biedt traceerbaarheid via logboeken voor alle wijzigingen die zijn aangebracht door verschillende functies in Azure AD. Voorbeelden van vermeldingen in auditlogboeken zijn wijzigingen die worden aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleidsregels.
- Riskante aanmeldingen: Een riskante aanmelding is een indicator voor een aanmeldingspoging die mogelijk is uitgevoerd door iemand die niet de legitieme eigenaar van een gebruikersaccount is.
- Gebruikers die worden gemarkeerd voor risico: een riskante gebruiker is een indicator voor een gebruikersaccount dat mogelijk is gehackt.
Azure AD biedt ook een Identity Protection-module voor het detecteren en oplossen van risico's met betrekking tot gebruikersaccounts en aanmeldingsgedrag. Voorbeelden van risico's zijn gelekte referenties, aanmelding vanaf anonieme of aan malware gekoppelde IP-adressen, wachtwoordspray. Met het beleid in Azure AD Identity Protection kunt u MFA-verificatie op basis van risico's afdwingen in combinatie met voorwaardelijke toegang van Azure voor gebruikersaccounts.
Bovendien kunnen Microsoft Defender for Cloud worden geconfigureerd voor waarschuwingen over afgeschafte accounts in het abonnement en verdachte activiteiten, zoals een overmatig aantal mislukte verificatiepogingen. Naast de basisbewaking van beveiligingshygiëne kunt u met de threat protection-module van Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van afzonderlijke Azure-rekenresources (zoals virtuele machines, containers, app-service), gegevensresources (zoals SQL DB en opslag) en Azure-servicelagen. Met deze mogelijkheid kunt u accountafwijkingen in de afzonderlijke resources zien.
Opmerking: als u uw on-premises Active Directory voor synchronisatie verbindt, gebruikt u de Microsoft Defender for Identity-oplossing om uw on-premises Active Directory signalen om geavanceerde bedreigingen, gecompromitteerde identiteiten en kwaadwillende acties van insiders gericht op uw organisatie te identificeren, detecteren en onderzoeken.
Azure-implementatie en aanvullende context:
- Controleactiviteitenrapporten in Azure AD
- Azure AD Identity Protection inschakelen
- Bedreigingsbeveiliging in Microsoft Defender for Cloud
- Overzicht van Microsoft Defender for Identity
AWS-richtlijnen: AWS IAM biedt de volgende rapportage van de logboeken en rapporten voor consolegebruikersactiviteiten via IAM Access Advisor en IAM-referentierapport:
- Elke geslaagde aanmelding en mislukte aanmeldingspogingen.
- MFA-status (Multi-Factor Authentication) voor elke gebruiker.
- Inactieve IAM-gebruiker
Voor toegangsbewaking op API-niveau en detectie van bedreigingen gebruikt u Amazon GuadDuty om de bevindingen met betrekking tot de IAM te identificeren. Voorbeelden van deze bevindingen zijn:
- Een API die wordt gebruikt om toegang te krijgen tot een AWS-omgeving en is op een afwijkende manier aangeroepen of gebruikt om verdedigingsmaatregelen te ontwijken
- Een API die wordt gebruikt voor het volgende:
- resources detecteren die op een afwijkende manier zijn aangeroepen
- gegevens verzamelen uit een AWS-omgeving die op een afwijkende manier is aangeroepen.
- manipulatie met gegevens of processen in een AWS-omgeving is op een afwijkende manier aangeroepen.
- onbevoegde toegang krijgen tot een AWS-omgeving is op een afwijkende manier aangeroepen.
- onbevoegde toegang tot een AWS-omgeving wordt op een afwijkende manier aangeroepen.
- machtigingen op hoog niveau verkrijgen voor een AWS-omgeving die op een afwijkende manier is aangeroepen.
- worden aangeroepen vanaf een bekend schadelijk IP-adres.
- worden aangeroepen met basisreferenties.
- AWS CloudTrail-logboekregistratie is uitgeschakeld.
- Accountwachtwoordbeleid is afgezwakt.
- Er zijn meerdere wereldwijde geslaagde consoleaanmeldingen waargenomen.
- Referenties die uitsluitend zijn gemaakt voor een EC2-exemplaar via de rol Instantie starten, worden gebruikt vanuit een ander account binnen AWS.
- Referenties die uitsluitend zijn gemaakt voor een EC2-exemplaar via de rol Instantie starten, worden gebruikt vanaf een extern IP-adres.
- Er is een API aangeroepen vanaf een bekend schadelijk IP-adres.
- Er is een API aangeroepen vanaf een IP-adres in een aangepaste bedreigingslijst.
- Er is een API aangeroepen vanaf het IP-adres van een Tor-eindknooppunt.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: gebruik de detectie van bedreigingen van gebeurtenissen in Google Cloud Security Command Center voor een bepaald type IAM-gerelateerde bedreigingsdetectie, zoals het detecteren van gebeurtenissen waarbij een inactief door de gebruiker beheerd serviceaccount een of meer gevoelige IAM-rollen heeft gekregen.
Houd er rekening mee dat Google Identity-logboeken en Google Cloud IAM-logboeken beide beheerdersactiviteitenlogboeken produceren, maar voor het verschillende bereik. Google Identity-logboeken zijn alleen voor bewerkingen die overeenkomen met Identity Platform, terwijl IAM-logboeken voor bewerkingen zijn die overeenkomen met IAM voor Google Cloud. IAM-logboeken bevatten logboekvermeldingen van API-aanroepen of andere acties die de configuratie of metagegevens van resources wijzigen. Deze logboeken registreren bijvoorbeeld wanneer gebruikers VM-exemplaren maken of machtigingen voor identiteits- en toegangsbeheer wijzigen.
Gebruik de cloudidentiteits- en IAM-rapporten om waarschuwingen te geven over bepaalde verdachte activiteitspatronen. U kunt ook Beleidsinformatie gebruiken om activiteiten van serviceaccounts te analyseren om activiteiten zoals serviceaccounts in uw project te identificeren die de afgelopen 90 dagen niet zijn gebruikt.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
- Infrastructuur- en eindpuntbeveiliging
- Beveiligingsbewerkingen
- Postuurbeheer
- Toepassingsbeveiliging en DevOps
- Bedreigingsinformatie
LT-3: Logboekregistratie inschakelen voor beveiligingsonderzoek
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Beveiligingsprincipe: schakel logboekregistratie in voor uw cloudresources om te voldoen aan de vereisten voor onderzoeken van beveiligingsincidenten en beveiligingsreacties en nalevingsdoeleinden.
Azure-richtlijnen: schakel logboekregistratie in voor resources in de verschillende lagen, zoals logboeken voor Azure-resources, -besturingssystemen en -toepassingen in uw VM's en andere logboektypen.
Houd rekening met verschillende typen logboeken voor beveiliging, controle en andere operationele logboeken in de beheer-/besturingslaag en de gegevenslaag. Er zijn drie typen logboeken beschikbaar op het Azure-platform:
- Azure-resourcelogboek: logboekregistratie van bewerkingen die worden uitgevoerd in een Azure-resource (het gegevensvlak). Bijvoorbeeld het ophalen van een geheim uit een sleutelkluis of het indienen van een aanvraag naar een database. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype.
- Azure-activiteitenlogboek: logboekregistratie van bewerkingen op elke Azure-resource in de abonnementslaag, van buitenaf (het beheervlak). U kunt het activiteitenlogboek gebruiken om te bepalen wat, wie en wanneer voor schrijfbewerkingen (PUT, POST, DELETE) zijn uitgevoerd op de resources in uw abonnement. Er is één activiteitenlogboek voor elk Azure-abonnement.
- Azure Active Directory-logboeken: logboeken van de geschiedenis van aanmeldingsactiviteiten en audittrails van wijzigingen die zijn aangebracht in Azure Active Directory voor een bepaalde tenant.
U kunt ook Microsoft Defender for Cloud en Azure Policy gebruiken om het verzamelen van resourcelogboeken en logboekgegevens op Azure-resources in te schakelen.
Azure-implementatie en aanvullende context:
- Meer informatie over logboekregistratie en verschillende logboektypen in Azure
- Inzicht in Microsoft Defender voor gegevensverzameling in de cloud
- Antimalwarebewaking inschakelen en configureren
- Besturingssystemen en toepassingslogboeken in uw rekenresources
AWS-richtlijnen: gebruik AWS CloudTrail-logboekregistratie voor beheergebeurtenissen (besturingsvlakbewerkingen) en gegevensgebeurtenissen (gegevensvlakbewerkingen) en bewaak deze paden met CloudWatch voor geautomatiseerde acties.
Met de Amazon CloudWatch Logs-service kunt u logboeken van uw resources, toepassingen en services in bijna realtime verzamelen en opslaan. Er zijn drie hoofdcategorieën van logboeken:
- Niet-gekoppelde logboeken: logboeken die systeemeigen namens u door AWS-services worden gepubliceerd. Momenteel zijn Amazon VPC-stroomlogboeken en Amazon Route 53-logboeken de twee ondersteunde typen. Deze twee logboeken zijn standaard ingeschakeld.
- Logboeken die zijn gepubliceerd door AWS-services: logboeken van meer dan 30 AWS-services worden gepubliceerd naar CloudWatch. Ze omvatten Amazon API Gateway, AWS Lambda, AWS CloudTrail en vele andere. Deze logboeken kunnen rechtstreeks in de services en CloudWatch worden ingeschakeld.
- Aangepaste logboeken: logboeken van uw eigen toepassing en on-premises resources. Mogelijk moet u deze logboeken verzamelen door CloudWatch Agent in uw besturingssystemen te installeren en door te sturen naar CloudWatch.
Hoewel veel services logboeken alleen publiceren naar CloudWatch-logboeken, kunnen sommige AWS-services logboeken rechtstreeks publiceren naar AmazonS3 of Amazon Kinesis Data Firehose, waar u verschillende opslag- en bewaarbeleidsregels voor logboekregistratie kunt gebruiken.
AWS-implementatie en aanvullende context:
- Logboekregistratie van bepaalde AWS-services inschakelen
- Bewaking en logboekregistratie
- Cloudwatch-functies
GCP-richtlijnen: logboekregistratie inschakelen voor resources in de verschillende lagen, zoals logboeken voor Azure-resources, besturingssystemen en toepassingen in uw VM's en andere logboektypen.
Houd rekening met verschillende typen logboeken voor beveiliging, controle en andere operationele logboeken in de beheer-/besturingslaag en de gegevenslaag. Operations Suite Cloud Logging-service verzamelt en aggregert alle soorten logboekgebeurtenissen van resourcelagen. Er worden vier categorieën logboeken ondersteund in cloudlogboekregistratie:
- Platformlogboeken: logboeken die zijn geschreven door uw Google Cloud-services.
- Onderdeellogboeken: vergelijkbaar met platformlogboeken, maar het zijn logboeken die worden gegenereerd door door Google geleverde softwareonderdelen die op uw systemen worden uitgevoerd.
- Beveiligingslogboeken: voornamelijk auditlogboeken die administratieve activiteiten en toegang tot uw resources vastleggen.
- Door de gebruiker geschreven logboeken die zijn geschreven door aangepaste toepassingen en services
- Logboeken voor meerdere clouds en hybride cloudlogboeken: logboeken van andere cloudproviders zoals Microsoft Azure en logboeken van on-premises infrastructuur.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
- Infrastructuur- en eindpuntbeveiliging
- Beveiligingsbewerkingen
- Postuurbeheer
- Toepassingsbeveiliging en DevOps
- Bedreigingsinformatie
LT-4: netwerklogboekregistratie inschakelen voor beveiligingsonderzoek
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10.8 |
Beveiligingsprincipe: schakel logboekregistratie in voor uw netwerkservices ter ondersteuning van netwerkgerelateerde incidentonderzoeken, opsporing van bedreigingen en het genereren van beveiligingswaarschuwingen. De netwerklogboeken kunnen logboeken van netwerkservices bevatten, zoals IP-filtering, netwerk- en toepassingsfirewall, DNS, stroombewaking, enzovoort.
Azure-richtlijnen: NSG-resourcelogboeken (netwerkbeveiligingsgroep) inschakelen en verzamelen, NSG-stroomlogboeken, Azure Firewall-logboeken en waf-logboeken (Web Application Firewall) en logboeken van virtuele machines via de agent voor het verzamelen van netwerkverkeersgegevens voor beveiligingsanalyse ter ondersteuning van incidentonderzoeken en het genereren van beveiligingswaarschuwingen. U kunt de stroomlogboeken verzenden naar een Azure Monitor Log Analytics-werkruimte en vervolgens Traffic Analytics gebruiken om inzichten te bieden.
Verzamel DNS-querylogboeken om te helpen bij het correleren van andere netwerkgegevens.
Azure-implementatie en aanvullende context:
- Stroomlogboeken voor netwerkbeveiligingsgroepen inschakelen
- logboeken en metrische gegevens Azure Firewall
- Azure-netwerkbewakingsoplossingen in Azure Monitor
- Inzichten verzamelen over uw DNS-infrastructuur met de DNS Analytics-oplossing
AWS-richtlijnen: schakel en verzamel netwerklogboeken zoals VPC-stroomlogboeken, WAF-logboeken en Route53 Resolver-querylogboeken voor beveiligingsanalyse ter ondersteuning van incidentonderzoeken en het genereren van beveiligingswaarschuwingen. De logboeken kunnen worden geëxporteerd naar CloudWatch voor bewaking of een S3-opslagbucket voor opname in de Microsoft Sentinel-oplossing voor gecentraliseerde analyse.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: de meeste logboeken voor netwerkactiviteiten zijn beschikbaar via de VPC-stroomlogboeken, waarin een voorbeeld wordt vastgelegd van netwerkstromen die worden verzonden van en ontvangen door resources, inclusief instanties die worden gebruikt als Google Compute-VM's en Kubernetes Engine-knooppunten. Deze logboeken kunnen worden gebruikt voor netwerkbewaking, forensisch onderzoek, realtime beveiligingsanalyse en onkostenoptimalisatie.
U kunt stroomlogboeken weergeven in CloudLogboekregistratie en logboeken exporteren naar de bestemming die door het exporteren van cloudlogboekregistratie wordt ondersteund. Stroomlogboeken worden geaggregeerd op basis van een verbinding van vm's van de compute-engine en in realtime geëxporteerd. Door u te abonneren op Pub/Sub, kunt u stroomlogboeken analyseren met behulp van realtime streaming-API's.
Opmerking: U kunt pakketspiegeling ook gebruiken om het verkeer van opgegeven exemplaren in uw VPC-netwerk (Virtual Private Cloud) te klonen en door te sturen voor onderzoek. Pakketspiegeling legt alle verkeer en pakketgegevens vast, inclusief nettoladingen en headers.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
- Beveiligingsbewerkingen
- Infrastructuur- en eindpuntbeveiliging
- Toepassingsbeveiliging en DevOps
- Bedreigingsinformatie
LT-5: Beheer en analyse van beveiligingslogboek centraliseren
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | N.v.t. |
Beveiligingsprincipe: centraliseer opslag en analyse van logboekregistratie om correlatie tussen logboekgegevens mogelijk te maken. Zorg ervoor dat u voor elke logboekbron een gegevenseigenaar, richtlijnen voor toegang, opslaglocatie, welke hulpprogramma's worden gebruikt om de gegevens te verwerken en te openen, en vereisten voor gegevensretentie hebt toegewezen.
Gebruik cloudeigen SIEM als u geen bestaande SIEM-oplossing voor CSP's hebt. of verzamel logboeken/waarschuwingen in uw bestaande SIEM.
Azure-richtlijnen: Zorg ervoor dat u Azure-activiteitenlogboeken integreert in een gecentraliseerde Log Analytics-werkruimte. Gebruik Azure Monitor om query's uit te voeren en analyses uit te voeren en waarschuwingsregels te maken met behulp van de logboeken die zijn samengevoegd vanuit Azure-services, eindpuntapparaten, netwerkresources en andere beveiligingssystemen.
Daarnaast kunt u gegevens inschakelen en onboarden voor Microsoft Sentinel, dat siem-mogelijkheden (Security Information Event Management) en SOAR-mogelijkheden (Security Orchestration Automated Response) biedt.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: Zorg ervoor dat u uw AWS-logboeken integreert in een gecentraliseerde resource voor opslag en analyse. Gebruik CloudWatch om query's uit te voeren en analyses uit te voeren en om waarschuwingsregels te maken met behulp van de logboeken die zijn samengevoegd vanuit AWS-services, -services, -eindpuntapparaten, -netwerkresources en andere beveiligingssystemen.
Daarnaast kunt u de logboeken in een S3-opslagbucket aggregeren en de logboekgegevens onboarden naar Microsoft Sentinel, wat SIEM-mogelijkheden (Security Information Event Management) en SOAR -mogelijkheden (Security Orchestration Automated Response) biedt.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Zorg ervoor dat u uw GCP-logboeken integreert in een gecentraliseerde resource (zoals Operations Suite Cloud Logging-bucket) voor opslag en analyse. Cloudlogboekregistratie ondersteunt de meeste systeemeigen servicelogboekregistratie van Google Cloud, evenals de toepassingen van derden en on-premises toepassingen. U kunt cloudlogboekregistratie gebruiken voor query's en het uitvoeren van analyses, en om waarschuwingsregels te maken met behulp van de logboeken die zijn samengevoegd op basis van GCP-services, -services, -eindpuntapparaten, -netwerkbronnen en andere beveiligingssystemen.
Gebruik cloudeigen SIEM als u geen bestaande SIEM-oplossing voor CSP's hebt of logboeken/waarschuwingen aggregeren in uw bestaande SIEM.
Opmerking: Google biedt twee front-end voor logboekquery's, Logs Explorer en Log Analytics om logboeken op te vragen, weer te geven en te analyseren. Voor het oplossen van problemen met logboekgegevens en het verkennen van logboekgegevens wordt u aangeraden Logs Explorer te gebruiken. Als u inzichten en trends wilt genereren, is het raadzaam om Log Analytics te gebruiken.
GCP-implementatie en aanvullende context:
- De logboeken van uw organisatie aggregeren en opslaan
- Overzicht van query's uitvoeren en logboeken weergeven
- Chronicle SIEM
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
LT-6: Bewaarperiode voor logboek configureren
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
Beveiligingsprincipe: Plan uw strategie voor logboekretentie op basis van uw nalevings-, regelgevings- en bedrijfsvereisten. Configureer het bewaarbeleid voor logboeken bij de afzonderlijke logboekregistratieservices om ervoor te zorgen dat de logboeken op de juiste manier worden gearchiveerd.
Azure-richtlijnen: logboeken zoals Azure-activiteitenlogboeken worden 90 dagen bewaard en vervolgens verwijderd. U moet een diagnostische instelling maken en de logboeken naar een andere locatie routeren (zoals Azure Monitor Log Analytics-werkruimte, Event Hubs of Azure Storage) op basis van uw behoeften. Deze strategie is ook van toepassing op andere resourcelogboeken en resources die door uzelf worden beheerd, zoals logboeken in de besturingssystemen en toepassingen in vm's.
U hebt de optie voor logboekretentie, zoals hieronder:
- Gebruik de Azure Monitor Log Analytics-werkruimte voor een bewaarperiode van maximaal 1 jaar of volgens de vereisten van uw antwoordteam.
- Gebruik Azure Storage, Data Explorer of Data Lake voor langetermijn- en archiveringsopslag voor meer dan 1 jaar en om te voldoen aan uw vereisten voor beveiligingsnaleving.
- Gebruik Azure Event Hubs om logboeken door te sturen naar een externe resource buiten Azure.
Opmerking: Microsoft Sentinel gebruikt Log Analytics-werkruimte als back-end voor logboekopslag. U moet een langetermijnopslagstrategie overwegen als u van plan bent om SIEM-logboeken langer te bewaren.
Azure-implementatie en aanvullende context:
- De bewaarperiode voor gegevens wijzigen in Log Analytics
- Bewaarbeleid configureren voor Azure Storage-accountlogboeken
- Microsoft Defender voor cloudwaarschuwingen en aanbevelingen exporteren
AWS-richtlijnen: logboeken worden standaard voor onbepaalde tijd bewaard en verlopen nooit in CloudWatch. U kunt het bewaarbeleid voor elke logboekgroep aanpassen, de retentie voor onbepaalde tijd behouden of een bewaarperiode kiezen tussen 10 jaar en één dag.
Gebruik Amazon S3 voor logboekarchivering vanuit CloudWatch en pas objectlevenscyclusbeheer en archiveringsbeleid toe op de bucket. U kunt Azure Storage gebruiken voor centrale logboekarchivering door de bestanden van Amazon S3 over te brengen naar Azure Storage.
AWS-implementatie en aanvullende context:
- CloudWatch-logboekretentie wijzigen
- Gegevens kopiëren van Amazon S3 naar Azure Storage met behulp van AzCopy
GCP-richtlijnen: In Operations Suite Cloud Logging worden de logboeken standaard 30 dagen bewaard, tenzij u aangepaste retentie configureert voor de bucket Cloud Logging. Beheer auditlogboeken voor activiteiten, auditlogboeken voor systeemgebeurtenissen en Access-transparantielogboeken worden standaard 400 dagen bewaard. U kunt cloudlogboekregistratie configureren om logboeken tussen 1 dag en 3650 dagen te bewaren.
Gebruik Cloud Storage voor logboekarchivering vanuit Cloud Logging en pas objectlevenscyclusbeheer en archiveringsbeleid toe op de bucket. U kunt Azure Storage gebruiken voor centrale logboekarchivering door de bestanden van Google Cloud Storage over te brengen naar Azure Storage.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
- Beveiligingsarchitectuur
- Toepassingsbeveiliging en DevOps
- Beveiligingsbewerkingen
- Beveiligingsnalevingsbeheer
LT-7: Goedgekeurde tijdsynchronisatiebronnen gebruiken
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 8.4 | AU-8 | 10.4 |
Beveiligingsprincipe: Gebruik goedgekeurde tijdsynchronisatiebronnen voor de tijdstempel voor logboekregistratie, waaronder datum-, tijd- en tijdzonegegevens.
Azure-richtlijnen: Microsoft onderhoudt tijdbronnen voor de meeste Azure PaaS- en SaaS-services. Gebruik voor de besturingssystemen van uw rekenresources een standaard NTP-server van Microsoft voor tijdsynchronisatie, tenzij u een specifieke vereiste hebt. Als u uw eigen NTP-server (Network Time Protocol) wilt opzetten, moet u ervoor zorgen dat u poort 123 van de UDP-service beveiligt.
Alle logboeken die worden gegenereerd door resources in Azure, bevatten tijdstempels waarvoor standaard de tijdzone is opgegeven.
Azure-implementatie en aanvullende context:
- Tijdsynchronisatie configureren voor Azure Windows-rekenresources
- Tijdsynchronisatie configureren voor Azure Linux-rekenresources
- Inkomende UDP uitschakelen voor Azure-services
AWS-richtlijnen: AWS onderhoudt tijdbronnen voor de meeste AWS-services. Voor resources of services waarvoor de tijdinstelling van het besturingssysteem is geconfigureerd, gebruikt u de standaard Amazon Time Sync-service van AWS voor tijdsynchronisatie, tenzij u een specifieke vereiste hebt. Als u uw eigen NTP-server (Network Time Protocol) wilt opzetten, moet u ervoor zorgen dat u poort 123 van de UDP-service beveiligt.
Alle logboeken die worden gegenereerd door resources in AWS, bevatten tijdstempels met de standaard opgegeven tijdzone.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Google Cloud onderhoudt tijdbronnen voor de meeste Google Cloud PaaS- en SaaS-services. Gebruik voor uw rekenresources-besturingssystemen een standaard NTP-server van Google Cloud voor de tijdsynchronisatie, tenzij u een specifieke vereiste hebt. Als u uw eigen NTP-server (Network Time Protocol) wilt opzetten, moet u ervoor zorgen dat u poort 123 van de UDP-service beveiligt.
Opmerking: het wordt aanbevolen dat u geen externe NTP-bronnen gebruikt met virtuele machines van de Compute Engine, maar de interne NTP-server van Google gebruikt.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::