Beveiligingsbeheer V2: Logboekregistratie en detectie van bedreigingen
Notitie
De meest recente Azure Security Benchmark is hier beschikbaar.
Logboekregistratie en detectie van bedreigingen omvatten besturingselementen voor het detecteren van bedreigingen in Azure en het inschakelen, verzamelen en opslaan van auditlogboeken voor Azure-services. Dit omvat het inschakelen van detectie-, onderzoeks- en herstelprocessen met besturingselementen voor het genereren van waarschuwingen van hoge kwaliteit met systeemeigen detectie van bedreigingen in Azure-services; het omvat ook het verzamelen van logboeken met Azure Monitor, het centraliseren van beveiligingsanalyse met Azure Sentinel, tijdsynchronisatie en logboekretentie.
Als u de toepasselijke ingebouwde Azure Policy wilt zien, raadpleegt u details van het ingebouwde initiatief naleving van regelgeving voor Azure Security Benchmark: Logboekregistratie en detectie van bedreigingen
LT-1: Detectie van bedreigingen inschakelen voor Azure-resources
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Zorg ervoor dat u verschillende typen Azure-assets controleert op mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen voor analisten om door te sorteren. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.
Gebruik Azure Defender, dat is gebaseerd op het bewaken van telemetrie van De Azure-service en het analyseren van servicelogboeken. Gegevens worden verzameld met behulp van de Log Analytics-agent, die verschillende beveiligingsconfiguraties en gebeurtenislogboeken van het systeem leest en de gegevens kopieert naar uw werkruimte voor analyse.
Daarnaast gebruikt u Azure Sentinel om analyseregels te bouwen, die bedreigingen opsporen die voldoen aan specifieke criteria in uw omgeving. De regels genereren incidenten wanneer aan de criteria wordt voldaan, zodat u elk incident kunt onderzoeken. Azure Sentinel kan ook bedreigingsinformatie van derden importeren om de mogelijkheid tot detectie van bedreigingen te verbeteren.
Referentiehandleiding voor Azure Security Center beveiligingswaarschuwingen
Aangepaste regels maken voor het detecteren van bedreigingen
Bedreigingsinformatie over cyberaanvallen met Azure Sentinel
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| LT-2 | 6.8 | AU-3, AU-6, AU-12, SI-4 |
Azure AD biedt de volgende gebruikerslogboeken die kunnen worden weergegeven in Azure AD rapportage of geïntegreerd met Azure Monitor, Azure Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerdere gebruiksscenario's voor bewaking en analyse:
Aanmeldingen: het rapport voor aanmeldingsactiviteit bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers
Auditlogboeken: traceerbaarheid via logboeken voor alle door diverse functies binnen Azure AD uitgevoerde wijzigingen. Voorbeelden van vermeldingen in auditlogboeken zijn wijzigingen die worden aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleidsregels.
Riskante aanmeldingen - Een riskante aanmelding is een indicator van een aanmeldingspoging die mogelijk is uitgevoerd door iemand die geen rechtmatige eigenaar van een gebruikersaccount is.
Gebruikers voor wie wordt aangegeven dat ze risico lopen - Een riskante gebruiker is een indicator van een gebruikersaccount dat mogelijk is aangetast.
Azure Security Center kan ook een waarschuwing geven over bepaalde verdachte activiteiten, zoals een overmatig aantal mislukte verificatiepogingen en afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kan Azure Defender ook uitgebreidere beveiligingswaarschuwingen verzamelen van afzonderlijke Azure-rekenresources (zoals virtuele machines, containers, app service), gegevensresources (zoals SQL DB en opslag) en Azure-servicelagen. Met deze mogelijkheid kunt u accountafwijkingen in de afzonderlijke resources bekijken.
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Netwerkbeveiligingsgroepresourcelogboeken (NSG), NSG-stroomlogboeken, Azure Firewall-logboeken en Web Application Firewall waf-logboeken (WAF) inschakelen en verzamelen voor beveiligingsanalyse ter ondersteuning van incidentonderzoeken, opsporing van bedreigingen en het genereren van beveiligingswaarschuwingen. U kunt de stroomlogboeken verzenden naar een Azure Monitor Log Analytics-werkruimte en vervolgens Traffic Analytics gebruiken om inzichten te bieden.
Zorg ervoor dat u DNS-querylogboeken verzamelt om te helpen bij het correleren van andere netwerkgegevens.
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
LT-4: Logboekregistratie inschakelen voor Azure-resources
| Azure-id | CIS Controls v7.1 ID('s) | NIST SP 800-53 r4 ID('s) |
|---|---|---|
| LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Schakel logboekregistratie in voor Azure-resources om te voldoen aan de vereisten voor naleving, detectie van bedreigingen, opsporing en incidentonderzoek.
U kunt Azure Security Center en Azure Policy gebruiken om resourcelogboeken en logboekgegevens die worden verzameld op Azure-resources in te schakelen voor toegang tot audit-, beveiligings- en resourcelogboeken. Activiteitenlogboeken, die automatisch beschikbaar zijn, omvatten gebeurtenisbron, datum, gebruiker, tijdstempel, bronadressen, doeladressen en andere nuttige elementen.
Verantwoordelijkheid: Gedeeld
Belanghebbenden voor klantbeveiliging (meer informatie):
Infrastructuur- en eindpuntbeveiliging
LT-5: Beheer en analyse van beveiligingslogboek centraliseren
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Centraliseer logboekopslag en -analyse om correlatie mogelijk te maken. Zorg ervoor dat u voor elke logboekbron een gegevenseigenaar hebt toegewezen, toegangsrichtlijnen, opslaglocatie, welke hulpprogramma's worden gebruikt voor het verwerken en openen van de gegevens en vereisten voor gegevensretentie.
Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor voor het aggregeren van beveiligingsgegevens die worden gegenereerd door eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen. In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijnopslag en archivering.
Daarnaast kunt u gegevens inschakelen en onboarden naar Azure Sentinel of een SIEM van derden.
Veel organisaties kiezen ervoor om Azure Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt en Azure Storage voor 'koude' gegevens die minder vaak worden gebruikt.
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
LT-6: Bewaarperiode voor logboek configureren
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| LT-6 | 6.4 | AU-3, AU-11 |
Configureer uw logboekretentie op basis van uw nalevings-, regelgevings- en bedrijfsvereisten.
In Azure Monitor kunt u de bewaarperiode van uw Log Analytics-werkruimte instellen op basis van de nalevingsregels van uw organisatie. Gebruik Azure Storage-, Data Lake- of Log Analytics-werkruimteaccounts voor langetermijn- en archiveringsopslag.
Bewaarbeleid configureren voor Azure Storage-accountlogboeken
Azure Security Center waarschuwingen en aanbevelingen exporteren
Verantwoordelijkheid: Klant
Belanghebbenden voor klantbeveiliging (meer informatie):
LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| LT-7 | 6.1 | AU-8 |
Microsoft onderhoudt tijdbronnen voor de meeste Azure PaaS- en SaaS-services. Gebruik voor uw virtuele machines de standaard-NTP-server van Microsoft voor tijdsynchronisatie, tenzij u een specifieke vereiste hebt. Als u uw eigen NTP-server (Network Time Protocol) moet opstaan, moet u ervoor zorgen dat u de UDP-servicepoort 123 beveiligt.
Alle logboeken die worden gegenereerd door resources in Azure bieden tijdstempels met de standaard opgegeven tijdzone.
Tijdsynchronisatie configureren voor Azure Windows-rekenresources
Tijdsynchronisatie configureren voor Azure Linux-rekenresources
Verantwoordelijkheid: Gedeeld
Belanghebbenden voor klantbeveiliging (meer informatie):