Beveiligingsbeheer: logboekregistratie en bewaking

Notitie

De meest recente Azure Security Benchmark is hier beschikbaar.

Beveiligingslogboeken en -bewaking zijn gericht op activiteiten met betrekking tot het inschakelen, verkrijgen en opslaan van auditlogboeken voor Azure-services.

2.1: Goedgekeurde tijdsynchronisatiebronnen gebruiken

Azure-id CIS-id's Verantwoordelijkheid
2.1 6.1 Microsoft

Microsoft onderhoudt tijdbronnen voor Azure-resources, maar u hebt de mogelijkheid om de instellingen voor tijdsynchronisatie voor uw rekenresources te beheren.

2.2: Centraal beheer van beveiligingslogboeken configureren

Azure-id CIS-id's Verantwoordelijkheid
2.2 6.5, 6.6 Klant

Logboeken opnemen via Azure Monitor voor het aggregeren van beveiligingsgegevens die worden gegenereerd door eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen. Gebruik in Azure Monitor Log Analytics-werkruimte(s) om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijn-/archiveringsopslag.

U kunt ook gegevens inschakelen en onboarden naar Azure Sentinel of een SIEM van derden.

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Azure-id CIS-id's Verantwoordelijkheid
2.3 6.2, 6.3 Klant

Schakel diagnostische instellingen in voor Azure-resources voor toegang tot audit-, beveiligings- en diagnostische logboeken. Activiteitenlogboeken, die automatisch beschikbaar zijn, omvatten gebeurtenisbron, datum, gebruiker, tijdstempel, bronadressen, doeladressen en andere nuttige elementen.

2.4: Beveiligingslogboeken verzamelen van besturingssystemen

Azure-id CIS-id's Verantwoordelijkheid
2.4 6.2, 6.3 Klant

Als de rekenresource eigendom is van Microsoft, is Microsoft verantwoordelijk voor het bewaken ervan. Als de rekenresource eigendom is van uw organisatie, is het uw verantwoordelijkheid om deze te controleren. U kunt Azure Security Center gebruiken om het besturingssysteem te bewaken. Gegevens die door Security Center van het besturingssysteem worden verzameld, omvatten besturingssysteemtype en versie, besturingssysteem (Windows-gebeurtenislogboeken), actieve processen, computernaam, IP-adressen en aangemelde gebruiker. De Log Analytics-agent verzamelt ook crashdumpbestanden.

2.5: Opslagretentie voor beveiligingslogboeken configureren

Azure-id CIS-id's Verantwoordelijkheid
2,5 6.4 Klant

Stel in Azure Monitor de bewaarperiode van uw Log Analytics-werkruimte in op basis van de nalevingsregels van uw organisatie. Gebruik Azure Storage-accounts voor langetermijn-/archiveringsopslag.

2.6: Logboeken bewaken en controleren

Azure-id CIS-id's Verantwoordelijkheid
2,6 6.7 Klant

Analyseer en bewaak logboeken voor afwijkend gedrag en controleer regelmatig de resultaten. Gebruik de Log Analytics-werkruimte van Azure Monitor om logboeken te controleren en query's uit te voeren op logboekgegevens.

U kunt ook gegevens inschakelen en onboarden naar Azure Sentinel of een SIEM van derden.

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Azure-id CIS-id's Verantwoordelijkheid
2.7 6.8 Klant

Gebruik Azure Security Center met Log Analytics-werkruimte voor bewaking en waarschuwingen over afwijkende activiteiten in beveiligingslogboeken en -gebeurtenissen.

U kunt ook gegevens inschakelen en onboarden bij Azure Sentinel.

2.8: Logboekregistratie van antimalware centraliseren

Azure-id CIS-id's Verantwoordelijkheid
2.8 8,6 Klant

Schakel het verzamelen van antimalwaregebeurtenissen in voor Azure Virtual Machines en Cloud Services.

2.9: DNS-querylogboekregistratie inschakelen

Azure-id CIS-id's Verantwoordelijkheid
2.9 8.7 Klant

Implementeer een oplossing van derden van Azure Marketplace voor DNS-logboekregistratie op basis van de behoeften van uw organisatie.

2.10: Opdrachtregelcontrolelogboekregistratie inschakelen

Azure-id CIS-id's Verantwoordelijkheid
2.10 8.8 Klant

Gebruik Microsoft Monitoring Agent op alle ondersteunde virtuele Azure Windows-machines om de gebeurtenis voor het maken van processen en het veld CommandLine te registreren. Voor ondersteunde virtuele Azure Linux-machines kunt u consolelogboekregistratie handmatig per knooppunt configureren en Syslog gebruiken om de gegevens op te slaan. Gebruik ook de Log Analytics-werkruimte van Azure Monitor om logboeken te bekijken en query's uit te voeren op vastgelegde gegevens van virtuele Azure-machines.

Volgende stappen