Controlo de Segurança V2: Registo e deteção de ameaças
Nota
O benchmark de segurança Azure mais atualizado está disponível aqui.
A deteção de registos e deteção de ameaças abrange os controlos de deteção de ameaças no Azure e a capacitação, recolha e armazenamento de registos de auditoria para os serviços Azure. Isto inclui permitir processos de deteção, investigação e remediação com controlos para gerar alertas de alta qualidade com deteção de ameaças nativas nos serviços Azure; inclui também a recolha de registos com o Azure Monitor, a centralização da análise de segurança com o Azure Sentinel, a sincronização do tempo e a retenção de registos.
Para ver os Azure Policy incorporados aplicáveis, consulte detalhes da iniciativa de conformidade regulamentar de referência de segurança Azure: Registo e Deteção de Ameaças
LT-1: Permitir a deteção de ameaças para recursos Azure
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Certifique-se de que está a monitorizar diferentes tipos de ativos da Azure para potenciais ameaças e anomalias. Concentre-se em obter alertas de alta qualidade para reduzir falsos positivos para os analistas classificarem. Os alertas podem ser obtidos a partir de dados de registo, agentes ou outros dados.
Utilize o Azure Defender, que se baseia na monitorização da telemetria de serviço da Azure e na análise de registos de serviço. Os dados são recolhidos utilizando o agente Log Analytics, que lê várias configurações relacionadas com a segurança e registos de eventos do sistema e copia os dados para o seu espaço de trabalho para análise.
Além disso, use o Azure Sentinel para construir regras de análise, que caçam ameaças que correspondem a critérios específicos em todo o seu ambiente. As regras geram incidentes quando os critérios são combinados, para que possa investigar cada incidente. O Azure Sentinel também pode importar inteligência de ameaça de terceiros para aumentar a sua capacidade de deteção de ameaças.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
LT-2: Ative a deteção de ameaças para a gestão de identidades e acessos do Azure
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-2 | 6.8 | AU-3, AU-6, AU-12, SI-4 |
Azure AD fornece os seguintes registos de utilizador que podem ser visualizados em Azure AD relatórios ou integrados com o Azure Monitor, Azure Sentinel ou outras ferramentas SIEM/monitorização para casos de monitorização e utilização analíticos mais sofisticados:
Inícios de sessão – o relatório de inícios de sessão faculta informações sobre a utilização de aplicações geridas e das atividades de início de sessão dos utilizadores.
Registos de auditoria - Capacidade de rastreio através de registos para todas as alterações efetuadas por várias funcionalidades no Azure AD. Os exemplos de registos de auditoria incluem as alterações feitas a quaisquer recursos no Azure AD, como adicionar ou remover utilizadores, aplicações, grupos, funções e políticas.
Inícios de sessão de risco – Um início de sessão de risco é um indicador de uma tentativa de início de sessão que pode ter sido efetuada por alguém que não é o proprietário legítimo de uma conta de utilizador.
Utilizadores sinalizados para risco – Um utilizador de risco é um indicador de uma conta de utilizador que pode ter sido comprometida.
Centro de Segurança do Azure também podem alertar para certas atividades suspeitas, como um número excessivo de tentativas de autenticação falhadas e contas precídas na subscrição. Além da monitorização básica da higiene de segurança, o Azure Defender também pode recolher alertas de segurança mais aprofundados de recursos compute individuais da Azure (tais como máquinas virtuais, contentores, serviço de aplicações), recursos de dados (como SQL DB e armazenamento) e camadas de serviço Azure. Esta capacidade permite-lhe ver anomalias de conta dentro dos recursos individuais.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
LT-3: Ativar o registo para atividades de rede do Azure
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Ativar e recolher registos de recursos do grupo de segurança da rede (NSG), registos de fluxo NSG, registos de Azure Firewall e registos de Firewall de Aplicações Web (WAF) para análise de segurança para apoiar investigações de incidentes, caça de ameaças e geração de alerta de segurança. Pode enviar os registos de fluxo para um espaço de trabalho do Azure Monitor Log Analytics e, em seguida, utilizar o Traffic Analytics para fornecer informações.
Certifique-se de que está a recolher registos de consultas DNS para ajudar a correlacionar outros dados de rede.
Como permitir registos de fluxo de grupos de segurança de rede
Recolha informações sobre a sua infraestrutura DNS com a solução DNS Analytics
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
LT-4: Ativar o registo dos recursos do Azure
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Permitir a exploração madeireira dos recursos Azure para satisfazer os requisitos de conformidade, deteção de ameaças, caça e investigação de incidentes.
Pode utilizar Centro de Segurança do Azure e Azure Policy para permitir registos de recursos e registar a recolha de dados nos recursos da Azure para acesso a registos de auditoria, segurança e recursos. Os registos de atividade, que estão automaticamente disponíveis, incluem fonte de evento, data, utilizador, marca de tempo, endereços de origem, endereços de destino e outros elementos úteis.
Responsabilidade: Partilhada
Stakeholders de Segurança do Cliente (Saiba mais):
Segurança de infraestrutura e pontos finais
LT-5: Centralizar a análise e gestão do registo de segurança
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Centralizar o armazenamento e análise de registo para permitir a correlação. Para cada fonte de registo, certifique-se de que atribuiu um titular de dados, orientação de acesso, localização de armazenamento, que ferramentas são usadas para processar e aceder aos dados, e requisitos de retenção de dados.
Certifique-se de que está a integrar os registos de atividade do Azure na sua exploração de registo central. Ingerir registos via Azure Monitor para agregar dados de segurança gerados por dispositivos de ponto final, recursos de rede e outros sistemas de segurança. No Azure Monitor, utilize espaços de trabalho do Log Analytics para consultar e realizar análises, e utilize contas de Armazenamento Azure para armazenamento de longo prazo e arquivo.
Além disso, ative e a bordo dados para Azure Sentinel ou um SIEM de terceiros.
Muitas organizações optam por usar o Azure Sentinel para dados "quentes" que são usados frequentemente e o Azure Storage para dados "frios" que são usados com menos frequência.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
LT-6: Configurar a retenção de armazenamento dos registos
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-6 | 6.4 | AU-3, AU-11 |
Configure a sua retenção de registos de acordo com os seus requisitos de conformidade, regulação e negócio.
No Azure Monitor, pode definir o período de retenção do espaço de trabalho do Log Analytics de acordo com os regulamentos de conformidade da sua organização. Utilize o espaço de trabalho Azure Storage, Data Lake ou Log Analytics para armazenamento de longo prazo e arquivo.
Como configurar a política de retenção para os registos de conta de armazenamento Azure
Centro de Segurança do Azure alertas e recomendações exportam
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
LT-7: Utilizar fontes de sincronização de tempo aprovadas
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| LT-7 | 6.1 | AU-8 |
A Microsoft mantém fontes de tempo para a maioria dos serviços Azure PaaS e SaaS. Para as suas máquinas virtuais, utilize o servidor NTP padrão da Microsoft para sincronização de tempo, a menos que tenha um requisito específico. Se precisar de manter o seu próprio servidor de protocolo de tempo de rede (NTP), certifique-se de que protege a porta de serviço UDP 123.
Todos os registos gerados por recursos dentro do Azure fornecem carimbos de tempo com o fuso horário especificado por padrão.
Como configurar a sincronização temporal para os recursos computativos do Azure Windows
Como configurar a sincronização do tempo para os recursos de computação Azure Linux
Responsabilidade: Partilhada
Stakeholders de Segurança do Cliente (Saiba mais):