Security Control w wersji 3: rejestrowanie i wykrywanie zagrożeń
Rejestrowanie i wykrywanie zagrożeń obejmuje mechanizmy kontroli wykrywania zagrożeń na platformie Azure oraz włączania, zbierania i przechowywania dzienników inspekcji dla usług platformy Azure, w tym włączania procesów wykrywania, badania i korygowania z mechanizmami kontroli w celu generowania alertów wysokiej jakości z natywnym wykrywaniem zagrożeń w usługach platformy Azure; obejmuje również zbieranie dzienników za pomocą usługi Azure Monitor, scentralizowanie analizy zabezpieczeń za pomocą usługi Azure Sentinel, synchronizacji czasu i przechowywania dzienników.
LT-1: Włączanie możliwości wykrywania zagrożeń
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Zasada zabezpieczeń: Aby obsługiwać scenariusze wykrywania zagrożeń, monitoruj wszystkie znane typy zasobów pod kątem znanych i oczekiwanych zagrożeń i anomalii. Skonfiguruj reguły filtrowania alertów i analizy, aby wyodrębnić alerty wysokiej jakości z danych dzienników, agentów lub innych źródeł danych w celu zmniejszenia liczby wyników fałszywie dodatnich.
Wskazówki dotyczące platformy Azure: Użyj możliwości wykrywania zagrożeń usług Azure Defender w Microsoft Defender for Cloud dla odpowiednich usług platformy Azure.
W przypadku wykrywania zagrożeń nieuwzględnionego w usługach Azure Defender zapoznaj się z punktami odniesienia usługi Testów porównawczych zabezpieczeń platformy Azure dla odpowiednich usług, aby włączyć możliwości wykrywania zagrożeń lub alertów zabezpieczeń w usłudze. Wyodrębnij alerty do usługi Azure Monitor lub Azure Sentinel, aby tworzyć reguły analizy, które umożliwiają wyszukiwanie zagrożeń spełniających określone kryteria w danym środowisku.
W przypadku środowisk technologii operacyjnej (OT), które obejmują komputery, które kontrolują lub monitorują zasoby systemu kontroli przemysłowej (ICS) lub kontroli nadzoru i pozyskiwania danych (SCADA), użyj usługi Defender for IoT do spisu zasobów i wykrywania zagrożeń i luk w zabezpieczeniach.
W przypadku usług, które nie mają natywnej możliwości wykrywania zagrożeń, rozważ zbieranie dzienników płaszczyzny danych i analizowanie zagrożeń za pośrednictwem usługi Azure Sentinel.
Implementacja i dodatkowy kontekst:
- Wprowadzenie do usługi Azure Defender
- przewodnik referencyjny dotyczący alertów zabezpieczeń Microsoft Defender dla chmury
- Tworzenie niestandardowych reguł analizy do wykrywania zagrożeń
- Analiza zagrożeń cybernetycznych za pomocą usługi Azure Sentinel
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia infrastruktury i punktu końcowego
- Operacje zabezpieczeń
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia aplikacji i metodyka DevOps
- Analiza zagrożeń
LT-2: Włączanie wykrywania zagrożeń na potrzeby zarządzania tożsamościami i dostępem
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
Zasada zabezpieczeń: Wykrywanie zagrożeń dla tożsamości i zarządzania dostępem przez monitorowanie logowania użytkownika i aplikacji oraz uzyskiwanie dostępu do anomalii. Wzorce behawioralne, takie jak nadmierna liczba nieudanych prób logowania i przestarzałe konta w subskrypcji, powinny być powiadamiane.
Wskazówki dotyczące platformy Azure: Azure AD udostępnia następujące dzienniki, które można wyświetlić w Azure AD raportowaniu lub zintegrowaniu z usługą Azure Monitor, Azure Sentinel lub innymi narzędziami do monitorowania SIEM/monitoring w bardziej zaawansowanych przypadkach użycia monitorowania i analizy:
- Logowania: raport logowania zawiera informacje o użyciu zarządzanych aplikacji i działań logowania użytkowników.
- Dzienniki inspekcji: zapewnia możliwość śledzenia za pośrednictwem dzienników wszystkich zmian wykonywanych przez różne funkcje w ramach Azure AD. Działania umieszczane w dziennikach inspekcji to na przykład zmiany wprowadzone w dowolnych zasobach usługi Azure AD, takie jak dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.
- Ryzykowne logowania: ryzykowne logowanie jest wskaźnikiem próby logowania, która mogła zostać wykonana przez osobę, która nie jest uzasadnionym właścicielem konta użytkownika.
- Użytkownicy oflagowani pod kątem ryzyka: ryzykowny użytkownik jest wskaźnikiem dla konta użytkownika, które mogło zostać naruszone.
Azure AD udostępnia również moduł usługi Identity Protection do wykrywania i korygowania zagrożeń związanych z kontami użytkowników i zachowaniami logowania. Przykłady zagrożeń obejmują wyciek poświadczeń, logowanie z anonimowych lub połączonych adresów IP złośliwego oprogramowania, spray haseł. Zasady w usłudze Azure AD Identity Protection umożliwiają wymuszanie uwierzytelniania wieloskładnikowego opartego na ryzyku w połączeniu z dostępem warunkowym platformy Azure na kontach użytkowników.
Ponadto Microsoft Defender dla chmury można skonfigurować tak, aby alerty dotyczące przestarzałych kont w subskrypcji i podejrzanych działaniach, takich jak nadmierna liczba nieudanych prób uwierzytelniania. Oprócz podstawowego monitorowania higieny zabezpieczeń moduł Microsoft Defender dla usługi Threat Protection w chmurze może również zbierać bardziej szczegółowe alerty zabezpieczeń z poszczególnych zasobów obliczeniowych platformy Azure (takich jak maszyny wirtualne, kontenery, app service), zasoby danych (takie jak baza danych SQL i magazyn) i warstwy usług platformy Azure. Ta funkcja umożliwia wyświetlanie anomalii kont w poszczególnych zasobach.
Uwaga: jeśli łączysz lokalna usługa Active Directory na potrzeby synchronizacji, użyj rozwiązania Microsoft Defender for Identity do korzystania z lokalna usługa Active Directory sygnały służące do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości naruszonych zabezpieczeń i złośliwych akcji wewnętrznych skierowanych do organizacji.
Implementacja i dodatkowy kontekst:
- Inspekcja raportów aktywności w Azure AD
- Włączanie usługi Azure Identity Protection
- Ochrona przed zagrożeniami w usłudze Microsoft Defender for Cloud
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia infrastruktury i punktu końcowego
- Operacje zabezpieczeń
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia aplikacji i metodyka DevOps
- Analiza zagrożeń
LT-3: Włączanie rejestrowania na potrzeby badania zabezpieczeń
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
Zasada zabezpieczeń: Włącz rejestrowanie dla zasobów w chmurze, aby spełnić wymagania dotyczące badania zdarzeń zabezpieczeń oraz reagowania na zabezpieczenia i zgodności.
Wskazówki dotyczące platformy Azure: Włącz możliwość rejestrowania zasobów w różnych warstwach, takich jak dzienniki zasobów platformy Azure, systemy operacyjne i aplikacje wewnątrz maszyn wirtualnych i innych typów dzienników.
Należy pamiętać o różnych typach dzienników zabezpieczeń, inspekcji i innych dzienników operacji w warstwach płaszczyzny zarządzania/sterowania i płaszczyzny danych. Istnieją trzy typy dzienników dostępnych na platformie Azure:
- Dziennik zasobów platformy Azure: rejestrowanie operacji wykonywanych w ramach zasobu platformy Azure (płaszczyzny danych). Na przykład pobranie wpisu tajnego z magazynu kluczy lub żądanie do bazy danych. Zawartość dzienników zasobów różni się w zależności od typu usługi platformy Azure i zasobu.
- Dziennik aktywności platformy Azure: rejestrowanie operacji na każdym zasobie platformy Azure w warstwie subskrypcji z zewnątrz (płaszczyzna zarządzania). Możesz użyć dziennika aktywności, aby określić, co, kto i kiedy dla wszystkich operacji zapisu (PUT, POST, DELETE) pobranych na zasoby w subskrypcji. Dla każdej subskrypcji platformy Azure istnieje jeden dziennik aktywności.
- Dzienniki usługi Azure Active Directory: dzienniki historii aktywności logowania i dziennik inspekcji zmian wprowadzonych w usłudze Azure Active Directory dla określonej dzierżawy.
Możesz również użyć Microsoft Defender dla chmury i Azure Policy, aby włączyć dzienniki zasobów i zbieranie danych dzienników na zasobach platformy Azure.
Implementacja i dodatkowy kontekst:
- Omówienie rejestrowania i różnych typów dzienników na platformie Azure
- Omówienie Microsoft Defender zbierania danych w chmurze
- Włączanie i konfigurowanie monitorowania oprogramowania chroniącego przed złośliwym kodem
- Systemy operacyjne i dzienniki aplikacji w zasobach obliczeniowych
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia infrastruktury i punktu końcowego
- Operacje zabezpieczeń
- Zarządzanie stanem bezpieczeństwa
- Zabezpieczenia aplikacji i metodyka DevOps
- Analiza zagrożeń
LT-4: Włączanie rejestrowania sieci na potrzeby badania zabezpieczeń
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10,8 |
Zasada zabezpieczeń: Włącz rejestrowanie dla usług sieciowych, aby obsługiwać badania zdarzeń związanych z siecią, wyszukiwanie zagrożeń i generowanie alertów zabezpieczeń. Dzienniki sieciowe mogą zawierać dzienniki z usług sieciowych, takich jak filtrowanie adresów IP, zapora sieci i aplikacji, system DNS, monitorowanie przepływu itd.
Wskazówki dotyczące platformy Azure: Włączanie i zbieranie dzienników zasobów sieciowej grupy zabezpieczeń, dzienników przepływów sieciowej grupy zabezpieczeń, dzienników Azure Firewall i dzienników Web Application Firewall (WAF) na potrzeby analizy zabezpieczeń w celu obsługi badania zdarzeń i generowania alertów zabezpieczeń. Dzienniki przepływu można wysłać do obszaru roboczego usługi Log Analytics usługi Azure Monitor, a następnie użyć analizy ruchu w celu uzyskania szczegółowych informacji.
Zbierz dzienniki zapytań DNS, aby pomóc w korelowaniu innych danych sieciowych.
Implementacja i dodatkowy kontekst:
- Jak włączyć dzienniki przepływu sieciowej grupy zabezpieczeń
- Azure Firewall dzienniki i metryki
- Rozwiązania do monitorowania sieci platformy Azure w usłudze Azure Monitor
- Zbieranie szczegółowych informacji na temat infrastruktury DNS za pomocą rozwiązania ANALIZY DNS
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Operacje zabezpieczeń
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
- Analiza zagrożeń
LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | Nie dotyczy |
Zasada zabezpieczeń: Scentralizowanie rejestrowania magazynu i analizy w celu umożliwienia korelacji między danymi dzienników. Dla każdego źródła dziennika upewnij się, że przypisano właściciela danych, wskazówki dotyczące dostępu, lokalizację magazynu, narzędzia używane do przetwarzania i uzyskiwania dostępu do danych oraz wymagania dotyczące przechowywania danych.
Wskazówki dotyczące platformy Azure: Upewnij się, że integrujesz dzienniki aktywności platformy Azure ze scentralizowanym obszarem roboczym usługi Log Analytics. Usługa Azure Monitor umożliwia wykonywanie zapytań i wykonywanie analiz oraz tworzenie reguł alertów przy użyciu dzienników zagregowanych z usług platformy Azure, urządzeń punktów końcowych, zasobów sieciowych i innych systemów zabezpieczeń.
Ponadto włącz i dołącz dane do usługi Azure Sentinel, która zapewnia funkcję automatycznego reagowania na zdarzenia zabezpieczeń (SIEM) i orkiestracji zabezpieczeń (SOAR).
Implementacja i dodatkowy kontekst:
- Jak zbierać dzienniki platformy i metryki za pomocą usługi Azure Monitor
- Jak dołączyć usługę Azure Sentinel
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Architektura zabezpieczeń
- Zabezpieczenia aplikacji i metodyka DevOps
- Zabezpieczenia infrastruktury i punktu końcowego
LT-6: Konfigurowanie przechowywania magazynu dzienników
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
Zasada zabezpieczeń: Zaplanuj strategię przechowywania dzienników zgodnie ze zgodnością, regulacjami i wymaganiami biznesowymi. Skonfiguruj zasady przechowywania dzienników w poszczególnych usługach rejestrowania, aby upewnić się, że dzienniki są odpowiednio zarchiwizowane.
Wskazówki dotyczące platformy Azure: Dzienniki, takie jak zdarzenia dzienników aktywności platformy Azure, są przechowywane przez 90 dni, a następnie usuwane. Należy utworzyć ustawienie diagnostyczne i skierować wpisy dziennika do innej lokalizacji (na przykład obszaru roboczego usługi Log Analytics usługi Azure Monitor, usługi Event Hubs lub usługi Azure Storage) na podstawie Twoich potrzeb. Ta strategia dotyczy również innych dzienników zasobów i zasobów zarządzanych samodzielnie, takich jak dzienniki w systemach operacyjnych i aplikacjach wewnątrz maszyn wirtualnych.
Masz opcję przechowywania dzienników, jak pokazano poniżej:
- Użyj obszaru roboczego usługi Log Analytics usługi Azure Monitor, aby uzyskać okres przechowywania dzienników do 1 roku lub zgodnie z wymaganiami zespołu reagowania.
- Użyj usługi Azure Storage, Data Explorer lub Data Lake w celu przechowywania długoterminowego i archiwizacji przez ponad 1 rok i spełnić wymagania dotyczące zgodności z zabezpieczeniami.
- Użyj Azure Event Hubs, aby przekazywać dzienniki poza platformę Azure.
Uwaga: usługa Azure Sentinel używa obszaru roboczego usługi Log Analytics jako zaplecza magazynu dzienników. Należy rozważyć długoterminową strategię magazynowania, jeśli planujesz przechowywać dzienniki SIEM przez dłuższy czas.
Implementacja i dodatkowy kontekst:
- Zmienianie okresu przechowywania danych w usłudze Log Analytics
- Jak skonfigurować zasady przechowywania dla dzienników konta usługi Azure Storage
- Microsoft Defender dla alertów i rekomendacji dotyczących chmury eksportu
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Architektura zabezpieczeń
- Zabezpieczenia aplikacji i metodyka DevOps
- Operacje zabezpieczeń
- Zarządzanie zgodnością zabezpieczeń
LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 8.4 | AU-8 | 10.4 |
Zasada zabezpieczeń: Użyj zatwierdzonych źródeł synchronizacji czasu dla sygnatury czasowej rejestrowania, która zawiera informacje o dacie, godzinie i strefie czasowej.
Wskazówki dotyczące platformy Azure: Firma Microsoft utrzymuje źródła czasu dla większości usług PaaS i SaaS platformy Azure. W przypadku systemów operacyjnych zasobów obliczeniowych użyj domyślnego serwera NTP firmy Microsoft do synchronizacji czasu, chyba że masz określone wymaganie. Jeśli musisz utworzyć własny serwer protokołu czasu sieciowego (NTP), upewnij się, że port usługi UDP jest zabezpieczony 123.
Wszystkie dzienniki generowane przez zasoby na platformie Azure zapewniają sygnatury czasowe ze strefą czasową określoną domyślnie.
Implementacja i dodatkowy kontekst:
- Jak skonfigurować synchronizację czasu dla zasobów obliczeniowych platformy Azure z systemem Windows
- Jak skonfigurować synchronizację czasu dla zasobów obliczeniowych platformy Azure z systemem Linux
- Jak wyłączyć przychodzący protokół UDP dla usług platformy Azure
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):