Share via

Controle de Segurança V3: registro em log e detecção de ameaças

  • Artigo

O registro em log e a detecção de ameaças abrangem controles para detectar ameaças no Azure e habilitar, coletar e armazenar logs de auditoria para serviços do Azure, incluindo a habilitação de processos de detecção, investigação e correção com controles para gerar alertas de alta qualidade com detecção de ameaças nativas nos serviços do Azure; ele também inclui a coleta de logs com Azure Monitor, centralização da análise de segurança com o Azure Sentinel, sincronização de tempo e retenção de log.

LT-1: habilitar funcionalidades de detecção de ameaças

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Princípio de segurança: para dar suporte a cenários de detecção de ameaças, monitore todos os tipos de recursos conhecidos para as ameaças e anomalias conhecidas e esperadas. Configure sua filtragem de alerta e regras de análise para extrair alertas de alta qualidade de dados de log, agentes ou outras fontes de dados para reduzir falsos positivos.

Diretrizes do Azure: use o recurso de detecção de ameaças dos serviços do Azure Defender no Microsoft Defender para Nuvem para os respectivos serviços do Azure.

Para a detecção de ameaças não incluída nos serviços do Azure Defender, consulte as linhas de base do Azure Security Benchmark para os respectivos serviços para habilitar as funcionalidades de detecção de ameaças ou alerta de segurança no serviço. Extraia os alertas para o Azure Monitor ou o Azure Sentinel para compilar regras de análise, as quais buscarão ameaças que correspondam a critérios específicos em todo o ambiente.

Para ambientes de OT (tecnologia operacional) que incluam computadores que controlam ou monitoram os recursos de ICS (sistema de controle industrial) ou SCADA (controle de supervisão e aquisição de dados), use o Defender para IoT para inventariar ativos e detectar ameaças e vulnerabilidades.

Para serviços que não têm um recurso de detecção de ameaças nativa, considere coletar os logs do plano de dados e analisar as ameaças por meio do Azure Sentinel.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

LT-2: habilitar a detecção de ameaças para gerenciamento de identidade e acesso

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Princípio de segurança: detecte ameaças para identidades e gerenciamento de acesso monitorando as anomalias de entrada e acesso de usuários e de aplicativos. Os padrões comportamentais, como número excessivo de tentativas de logon com falha e contas preteridas na assinatura, devem ser alertados.

Diretrizes do Azure: o Azure AD fornece os seguintes logs que podem ser exibidos no relatório do Azure AD ou integrados ao Azure Monitor, ao Azure Sentinel ou a outras ferramentas de monitoramento/SIEM para casos de uso de monitoramento e análise mais sofisticados:

  • Entradas: o relatório de entradas fornece informações sobre o uso de aplicativos gerenciados e as atividades de entrada do usuário.
  • Logs de auditoria: Possibilitam o rastreio por logs de todas as alterações feitas por vários recursos no Azure AD. Exemplos de logs de auditoria incluem alterações feitas em quaisquer recursos no Azure AD, como adicionar ou remover usuários, aplicativos, grupos, funções e políticas.
  • Entradas suspeitas: uma entrada suspeita é o indicador de uma tentativa de entrada que pode ter sido realizada por alguém que não é o proprietário legítimo de uma conta de usuário.
  • Usuários sinalizados como suspeitos: um usuário suspeito é o indicador de uma conta de usuário que pode ter sido comprometida.

O Azure AD também fornece um módulo do Identity Protection para detectar e corrigir riscos relacionados a contas de usuário e comportamentos de entrada. Os exemplos de riscos incluem credenciais vazadas, entrada a partir de endereços IP vinculados anônimos ou de malware, pulverização de senha. As políticas no Azure AD Identity Protection permitem que você aplique a autenticação MFA baseada em risco em conjunto com o acesso condicional do Azure em contas de usuário.

Além disso, o Microsoft Defender para Nuvem pode ser configurado para alertar sobre contas preteridas na assinatura e atividades suspeitas, como número excessivo de tentativas de autenticação com falha. Além do monitoramento básico de higiene de segurança, o módulo de Proteção contra Ameaças do Microsoft Defender para Nuvem também pode coletar alertas de segurança mais detalhados de recursos de computação individuais do Azure (como máquinas virtuais, contêineres, serviço de aplicativo), recursos de dados (como BD SQL e armazenamento) e camadas de serviço do Azure. Essa funcionalidade permite ver as anomalias nas contas nos recursos individuais.

Observação: se você estiver conectando sua Active Directory local para sincronização, use a solução Microsoft Defender para Identidade para consumir os sinais locais do Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas à sua organização.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

LT-3: habilitar registro em log para investigação de segurança

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Princípio de segurança: habilite o registro em log para seus recursos de nuvem para atender aos requisitos para investigações de incidentes de segurança e fins de conformidade e resposta de segurança.

Diretrizes do Azure: habilite o recurso de registro em log para recursos em diferentes camadas, como logs de recursos do Azure, sistemas operacionais e aplicativos dentro das VMs e outros tipos de log.

Tenha em mente os diferentes tipos de logs de segurança, auditoria e outros logs de operação no plano de gerenciamento/controle e nas camadas de plano de dados. Há três tipos de logs disponíveis na plataforma Azure:

  • Log de recursos do Azure: registro em log de operações que são executadas em um recurso do Azure (o plano de dados). Por exemplo, obter um segredo do cofre de chaves ou fazer uma solicitação para um banco de dados. O conteúdo de logs de recursos varia de acordo com o tipo de recurso e serviço do Azure.
  • Log de atividades do Azure: registro em log de operações em cada recurso do Azure na camada de assinatura, desde fora (o plano de gerenciamento). Use o Log de Atividades para determinar o quê, quem e quando de todas as operações de gravação (PUT, POST, DELETE) executadas nos recursos em sua assinatura. Há um só Log de Atividades para cada assinatura do Azure.
  • Logs do Azure Active Directory: logs do histórico de atividade de entrada e a trilha de auditoria das alterações feitas no Azure Active Directory para um locatário específico.

Também é possível usar o Microsoft Defender para Nuvem e o Azure Policy para habilitar logs de recursos e coleta de dados de log nos recursos do Azure.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

LT-4: habilitar o registro de rede para investigação de segurança

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10,8

Princípio de segurança: habilite o registro em log para os serviços de rede para dar suporte a investigações de incidentes relacionadas à rede, à busca de ameaças e à geração de alertas de segurança. Os logs de rede podem incluir logs de serviços de rede, como filtragem de IP, firewall de rede e de aplicativo, DNS, monitoramento de fluxo e assim por diante.

Diretrizes do Azure: habilite e colete logs de recursos do NSG (grupo de segurança de rede), logs de fluxo do NSG, logs de Firewall do Azure e logs de WAF (firewall do aplicativo Web) para análise de segurança para dar suporte a investigações de incidentes e geração de alertas de segurança. Você pode enviar os logs de fluxo para um workspace do Log Analytics do Azure Monitor e, em seguida, usar a Análise de Tráfego para fornecer insights.

Colete logs de consulta DNS para ajudar a correlacionar outros dados de rede.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

LT-5: centralizar o gerenciamento e a análise do log de segurança

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 N/D

Princípio de segurança: centralize o armazenamento e a análise de log para habilitar a correlação entre os dados de log. Para cada origem de log, verifique se você atribuiu um proprietário de dados, orientação de acesso, local de armazenamento, quais ferramentas são usadas para processar e acessar os dados e os requisitos de retenção de dados.

Diretrizes do Azure: verifique se você está integrando logs de atividades do Azure em um workspace do Log Analytics centralizado. Use o Azure Monitor para consultar e executar análises e criar regras de alerta usando os logs agregados de serviços do Azure, dispositivos de ponto de extremidade, recursos de rede e outros sistemas de segurança.

Além disso, habilite e integre dados do Azure Sentinel que fornecem o SIEM (gerenciamento de eventos e informações de segurança) e a funcionalidade SOAR (resposta automatizada de orquestração de segurança).

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

LT-6: configurar a retenção do armazenamento de log

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Princípio de segurança: planeje sua estratégia de retenção de log de acordo com seus requisitos de conformidade, regulamento e negócios. Configure a política de retenção de log nos serviços de registro em log individuais para garantir que os logs sejam arquivados adequadamente.

Diretrizes do Azure: logs como eventos de logs de atividades do Azure são retidos por 90 dias e depois excluídos. Você deve criar uma configuração de diagnóstico e rotear as entradas de log para outro local (como um workspace do Log Analytics do Azure Monitor, Hubs de Eventos ou Armazenamento do Azure) com base em suas necessidades. Essa estratégia também se aplica aos outros logs de recursos e recursos gerenciados por você mesmo, como logs nos sistemas operacionais e aplicativos dentro das VMs.

Você tem a opção de retenção de log como abaixo:

  • Usar o workspace do Log Analytics do Azure Monitor por um período de retenção de log de até 1 ano ou de acordo com os requisitos da equipe de resposta.
  • Usar o Armazenamento do Microsoft Azure, Data Explorer ou Data Lake para armazenamento de longo prazo e arquivamento por mais de 1 ano e para atender aos requisitos de conformidade de segurança.
  • Usar os Hubs de Eventos do Azure para enviar dados para fora do Azure.

Observação: o Azure Sentinel usa o workspace do Log Analytics como seu back-end para armazenamento de log. Você deve considerar uma estratégia de armazenamento de longo prazo se planeja manter os logs SIEM por mais tempo.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):

LT-7: usar fontes de sincronização de tempo aprovadas

ID(s) do CIS Controls v8 ID(s) do NIST SP 800-53 r4 ID(s) do PCI-DSS v3.2.1
8.4 AU-8 10.4

Princípio de segurança: use fontes de sincronização de data/hora aprovadas para o carimbo de data/hora de registro, que incluem informações de data, hora e fuso horário.

Diretrizes do Azure: a Microsoft mantém fontes de data/hora para a maioria dos serviços PaaS e SaaS do Azure. Para os sistemas operacionais de recursos de computação, use um servidor NTP padrão da Microsoft para sincronização de data/hora, a menos que você tenha um requisito específico. Se você precisar montar seu próprio servidor NTP (protocolo de tempo de rede), proteja a porta de serviço UDP 123.

Todos os logs gerados por recursos no Azure fornecem carimbos de data/hora com o fuso horário especificado por padrão.

Implementação e contexto adicional:

Stakeholders de segurança do cliente (Saiba mais):