Security Control V2: registro em log e detecção de ameaças
Observação
A versão mais recente do Azure Security Benchmark está disponível aqui.
O registro em log e a detecção de ameaças abrangem controles para detectar ameaças no Azure e habilitar, coletar e armazenar logs de auditoria para serviços do Azure. Isso inclui a habilitação de processos de detecção, investigação e correção com controles para gerar alertas de alta qualidade com detecção de ameaças nativas nos serviços do Azure, além da coleta de logs com o Azure Monitor, da centralização da análise de segurança com o Azure Sentinel, da sincronização de tempo e da retenção de log.
Para ver o Azure Policy interno aplicável, confira Detalhes da iniciativa interna de conformidade regulatória do Azure Security Benchmark: registro em log e detecção de ameaças
LT-1: habilitar a detecção de ameaças para recursos do Azure
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Verifique se você está monitorando diferentes tipos de ativos do Azure para possíveis ameaças e anomalias. Concentre-se em obter alertas de alta qualidade para reduzir os falsos positivos a serem classificados pelos analistas. Os alertas podem ser originados de dados de log, agentes ou outros dados.
Use o Azure Defender, que se baseia no monitoramento da telemetria do serviço do Azure e na análise de logs de serviço. Os dados são coletados usando o agente do Log Analytics, que lê uma variedade de configurações e logs de eventos relacionados à segurança do sistema e copia os dados para o seu workspace visando a análise.
Além disso, use o Azure Sentinel para criar regras de análise, que procurarão ameaças que correspondam a critérios específicos em todo o seu ambiente. As regras geram incidentes quando os critérios são atendidos, para que você possa investigar cada incidente. O Azure Sentinel também pode importar inteligência de ameaças de terceiros para aprimorar o recurso de detecção de ameaças.
Guia de referência de alertas de segurança da Central de Segurança do Azure
Criar regras de análise personalizadas para detectar ameaças
Inteligência contra ameaças cibernéticas com o Azure Sentinel
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
LT-2: habilitar a detecção de ameaças para o gerenciamento de identidades e acesso do Azure
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| LT-2 | 6.8 | AU-3, AU-6, AU-12, SI-4 |
o Azure AD fornece os seguintes logs de usuário que podem ser exibidos no relatório do Azure AD ou integrados ao Azure Monitor, ao Azure Sentinel ou a outras ferramentas de monitoramento/SIEM para casos de uso de monitoramento e análise mais sofisticados:
Entradas – O relatório de entradas fornece informações sobre o uso de aplicativos gerenciados e atividades de entrada do usuário.
Logs de auditoria – Permitem o rastreio de todas as alterações feitas por vários recursos no Azure AD por meio de logs. Exemplos de logs de auditoria incluem alterações feitas em quaisquer recursos no Azure AD, como adicionar ou remover usuários, aplicativos, grupos, funções e políticas.
Entradas arriscadas - uma entrada arriscada é um indicador para uma tentativa de logon que pode ter sido realizada por alguém que não é o proprietário legítimo de uma conta de usuário.
Usuários sinalizados para riscos - um usuário arriscado é um indicador de uma conta de usuário que pode ter sido comprometida.
A Central de Segurança do Azure também pode fornecer alertas sobre algumas atividades suspeitas, como um número excessivo de tentativas de autenticação com falha e contas preteridas na assinatura. Além do monitoramento básico de higiene de segurança, o Azure Defender também pode coletar alertas de segurança mais detalhados de recursos de computação individuais do Azure (como máquinas virtuais, contêineres e o serviço de aplicativo), recursos de dados (como armazenamento e BD SQL) e camadas de serviço do Azure. Essa funcionalidade permite ver as anomalias nas contas nos recursos individuais.
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
LT-3: habilitar o registro em log para atividades de rede do Azure
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Habilite e colete logs de recursos do NSG (grupo de segurança de rede), logs de fluxo do NSG, logs do Firewall do Azure e logs do WAF (Firewall de Aplicativo Web) para análises de segurança a fim de dar suporte a investigações de incidentes, busca de ameaças e geração de alertas de segurança. Você pode enviar os logs de fluxo para um workspace do Log Analytics do Azure Monitor e, em seguida, usar a Análise de Tráfego para fornecer insights.
Verifique se você está coletando logs de consulta DNS para ajudar a correlacionar outros dados de rede.
Como habilitar os logs de fluxo do grupo de segurança de rede
Coletar insights sobre a infraestrutura DNS com a solução Análise de DNS
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
LT-4: habilitar o registro em log para recursos do Azure
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Habilite o registro em log de recursos do Azure para atender aos requisitos de conformidade, detecção de ameaças, busca e investigação de incidentes.
É possível usar a Central de Segurança do Azure e o Azure Policy para habilitar a coleta de logs de recursos e dados de log em recursos do Azure para acesso a logs de auditoria, segurança e recursos. Logs de atividade, que estão automaticamente disponíveis, incluem origem do evento, data, usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis.
Responsabilidade: Compartilhado
Stakeholders da segurança do cliente (Saiba mais):
Segurança de infraestrutura e ponto de extremidade
LT-5: centralizar o gerenciamento e a análise do log de segurança
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Centralize o armazenamento e a análise de registros em logs para habilitar a correlação. Para cada origem de log, verifique se você atribuiu um proprietário de dados, orientação de acesso, local de armazenamento, quais ferramentas são usadas para processar e acessar os dados e os requisitos de retenção de dados.
Verifique se você está integrando os logs de atividades do Azure em seu log central. Ingira os logs por meio do Azure Monitor para agregar dados de segurança gerados por dispositivos de ponto de extremidade, recursos de rede e outros sistemas de segurança. No Azure Monitor, use workspaces do Log Analytics para consultar e executar análises e use contas do Armazenamento do Azure para armazenamento de longo prazo e arquivamento.
Além disso, você pode habilitar e integrar dados ao Azure Sentinel ou a um SIEM de terceiros.
Muitas organizações optam por usar o Azure Sentinel para dados de "acesso frequente", que são usados com frequência, e o Armazenamento do Azure para dados de "acesso esporádico", que são usados com menos frequência.
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
LT-6: configurar a retenção do armazenamento de log
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| LT-6 | 6.4 | AU-3, AU-11 |
Configure a retenção de log de acordo com seus requisitos de conformidade, regulamentação e negócios.
No Azure Monitor, é possível definir o período de retenção do workspace do Log Analytics de acordo com os regulamentos de conformidade da organização. Use contas de workspace do Log Analytics, do Data Lake ou Armazenamento do Microsoft Azure para armazenamento de longo prazo e arquivamento.
Como configurar a política de retenção de logs de conta do Armazenamento do Azure
Alertas da Central de Segurança do Azure e recomendações para exportar
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
LT-7: usar fontes de sincronização de tempo aprovadas
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| LT-7 | 6.1 | AU-8 |
A Microsoft mantém fontes de hora para a maioria dos serviços de PaaS e SaaS do Azure. Para suas máquinas virtuais, use o servidor NTP padrão da Microsoft para a sincronização de hora, a menos que você tenha um requisito específico. Se você precisar montar seu próprio servidor NTP (protocolo de tempo de rede), proteja a porta de serviço UDP 123.
Todos os logs gerados por recursos no Azure fornecem carimbos de data/hora com o fuso horário especificado por padrão.
Como configurar a sincronização de data/hora para recursos de computação do Azure para Windows
Como configurar a sincronização de data/hora para recursos de computação do Azure para Linux
Responsabilidade: Compartilhado
Stakeholders da segurança do cliente (Saiba mais):