Security Control V2: rejestrowanie i wykrywanie zagrożeń
Uwaga
Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.
Rejestrowanie i wykrywanie zagrożeń obejmuje mechanizmy kontroli wykrywania zagrożeń na platformie Azure oraz włączania, zbierania i przechowywania dzienników inspekcji dla usług platformy Azure. Obejmuje to włączanie procesów wykrywania, badania i korygowania za pomocą kontrolek w celu generowania alertów wysokiej jakości z natywnym wykrywaniem zagrożeń w usługach platformy Azure; obejmuje również zbieranie dzienników za pomocą usługi Azure Monitor, scentralizowanie analizy zabezpieczeń za pomocą usługi Azure Sentinel, synchronizacji czasu i przechowywania dzienników.
Aby wyświetlić odpowiednie wbudowane Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: rejestrowanie i wykrywanie zagrożeń
LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Upewnij się, że monitorujesz różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów o wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich dla analityków do sortowania. Alerty mogą być pozyskiwane z danych dziennika, agentów lub innych danych.
Użyj usługi Azure Defender, która jest oparta na monitorowaniu danych telemetrycznych usługi platformy Azure i analizowaniu dzienników usług. Dane są zbierane przy użyciu agenta usługi Log Analytics, który odczytuje różne konfiguracje i dzienniki zdarzeń związanych z zabezpieczeniami z systemu i kopiuje dane do obszaru roboczego na potrzeby analizy.
Ponadto usługa Azure Sentinel umożliwia tworzenie reguł analizy, które umożliwiają wyszukiwanie zagrożeń spełniających określone kryteria w danym środowisku. Reguły generują zdarzenia, gdy kryteria są zgodne, dzięki czemu można zbadać każde zdarzenie. Usługa Azure Sentinel umożliwia również importowanie analizy zagrożeń innych firm w celu zwiększenia możliwości wykrywania zagrożeń.
Przewodnik referencyjny dotyczący alertów zabezpieczeń Azure Security Center
Tworzenie niestandardowych reguł analizy do wykrywania zagrożeń
Analiza zagrożeń cybernetycznych za pomocą usługi Azure Sentinel
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| LT-2 | 6.8 | AU-3, AU-6, AU-12, SI-4 |
Azure AD udostępnia następujące dzienniki użytkowników, które można wyświetlić w raportach Azure AD lub zintegrowanych z usługą Azure Monitor, Azure Sentinel lub innymi narzędziami SIEM/monitoring, aby uzyskać bardziej zaawansowane przypadki użycia monitorowania i analizy:
Logowania — raporty aktywności logowania zawierają informacje na temat użycia zarządzanych aplikacji i działań użytkownika związane z logowaniem.
Dzienniki inspekcji — udostępnia możliwość śledzenia wszystkich zmian wprowadzanych przez różne funkcje usługi Azure AD za pomocą dzienników. Działania umieszczane w dziennikach inspekcji to na przykład zmiany wprowadzone w dowolnych zasobach usługi Azure AD, takie jak dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.
Ryzykowne logowania — ryzykowne logowanie jest wskaźnikiem próby logowania, które mogło zostać wykonane przez osobę, która nie jest prawowitym właścicielem konta użytkownika.
Użytkownicy oflagowani w związku z ryzykiem — ryzykowny użytkownik jest wskaźnikiem konta użytkownika, którego bezpieczeństwo mogło zostać naruszone.
Azure Security Center mogą również otrzymywać alerty dotyczące niektórych podejrzanych działań, takich jak nadmierna liczba nieudanych prób uwierzytelniania i przestarzałe konta w subskrypcji. Oprócz podstawowego monitorowania higieny zabezpieczeń usługa Azure Defender może również zbierać bardziej szczegółowe alerty zabezpieczeń z poszczególnych zasobów obliczeniowych platformy Azure (takich jak maszyny wirtualne, kontenery, usługa App Service), zasoby danych (takie jak baza danych SQL i magazyn) oraz warstwy usług platformy Azure. Ta funkcja umożliwia wyświetlanie anomalii kont w poszczególnych zasobach.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
LT-3: Włączanie rejestrowania działań sieci platformy Azure
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Włączanie i zbieranie dzienników zasobów sieciowej grupy zabezpieczeń, dzienników przepływów sieciowej grupy zabezpieczeń, dzienników Azure Firewall i dzienników Web Application Firewall (WAF) na potrzeby analizy zabezpieczeń w celu obsługi badania zdarzeń, wyszukiwania zagrożeń i generowania alertów zabezpieczeń. Dzienniki przepływu można wysłać do obszaru roboczego usługi Log Analytics usługi Azure Monitor, a następnie użyć analizy ruchu w celu uzyskania szczegółowych informacji.
Upewnij się, że zbierasz dzienniki zapytań DNS, aby pomóc w korelowaniu innych danych sieciowych.
Jak włączyć dzienniki przepływu sieciowej grupy zabezpieczeń
Rozwiązania do monitorowania sieci platformy Azure w usłudze Azure Monitor
Zbieranie szczegółowych informacji na temat infrastruktury DNS za pomocą rozwiązania ANALIZY DNS
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
LT-4: Włącz rejestrowanie zasobów platformy Azure
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Włącz rejestrowanie zasobów platformy Azure, aby spełnić wymagania dotyczące zgodności, wykrywania zagrożeń, wyszukiwania zagrożeń i badania zdarzeń.
Za pomocą Azure Security Center i Azure Policy można włączyć dzienniki zasobów i dane dziennika zbierania danych na zasobach platformy Azure w celu uzyskania dostępu do dzienników inspekcji, zabezpieczeń i zasobów. Dzienniki aktywności, które są automatycznie dostępne, obejmują źródło zdarzeń, datę, użytkownika, znacznik czasu, adresy źródłowe, adresy docelowe i inne przydatne elementy.
Odpowiedzialność: Współużytkowane
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
Zabezpieczenia infrastruktury i punktu końcowego
LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Scentralizowanie rejestrowania magazynu i analizy w celu włączenia korelacji. Dla każdego źródła dziennika upewnij się, że przypisano właściciela danych, wskazówki dotyczące dostępu, lokalizację magazynu, narzędzia używane do przetwarzania i uzyskiwania dostępu do danych oraz wymagania dotyczące przechowywania danych.
Upewnij się, że integrujesz dzienniki aktywności platformy Azure z centralnym rejestrowaniem. Pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia punktu końcowego, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics do wykonywania zapytań i przeprowadzania analiz oraz używania kont usługi Azure Storage na potrzeby długoterminowego i archiwizacji magazynu.
Ponadto włącz i dołącz dane do usługi Azure Sentinel lub rozwiązania SIEM innej firmy.
Wiele organizacji decyduje się używać usługi Azure Sentinel do "gorących" danych, które są często używane, a usługa Azure Storage jest używana rzadziej.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
LT-6: Konfigurowanie przechowywania magazynu dzienników
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| LT-6 | 6.4 | AU-3, AU-11 |
Skonfiguruj przechowywanie dzienników zgodnie ze swoimi wymaganiami dotyczącymi zgodności, regulacji i działalności biznesowej.
W usłudze Azure Monitor można ustawić okres przechowywania obszaru roboczego usługi Log Analytics zgodnie z przepisami dotyczącymi zgodności organizacji. Używaj kont obszarów roboczych usługi Azure Storage, Data Lake lub Log Analytics na potrzeby długoterminowego i archiwalnego magazynu.
Zmienianie okresu przechowywania danych w usłudze Log Analytics
Jak skonfigurować zasady przechowywania dla dzienników konta usługi Azure Storage
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| LT-7 | 6.1 | AU-8 |
Firma Microsoft utrzymuje źródła czasu dla większości usług PaaS i SaaS platformy Azure. W przypadku maszyn wirtualnych użyj domyślnego serwera NTP firmy Microsoft do synchronizacji czasu, chyba że masz określone wymaganie. Jeśli musisz utworzyć własny serwer protokołu czasu sieciowego (NTP), upewnij się, że port usługi UDP jest zabezpieczony 123.
Wszystkie dzienniki generowane przez zasoby na platformie Azure zapewniają sygnatury czasowe ze strefą czasową określoną domyślnie.
Jak skonfigurować synchronizację czasu dla zasobów obliczeniowych platformy Azure z systemem Windows
Jak skonfigurować synchronizację czasu dla zasobów obliczeniowych platformy Azure z systemem Linux
Jak wyłączyć przychodzący protokół UDP dla usług platformy Azure
Odpowiedzialność: Współużytkowane
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):