Создание базового плана ведения журнала и мониторинга

  • 5 мин

Ведение журнала и мониторинг являются критически важными требованиями, когда вы пытаетесь идентифицировать, обнаруживать и устранять угрозы безопасности. Правильная политика ведения журналов гарантирует, что в случае нарушения безопасности вы сможете определить время, когда это нарушение произошло. Политика также может определить, кто несет ответственность. Журналы действий Azure предоставляют данные о внешнем доступе к ресурсу, а также журналы диагностики, чтобы у вас была информация о работе определенного ресурса.

Примечание.

Журнал действий Azure — это журнал подписки с подробными сведениями о событиях на уровне подписки, которые произошли в Azure. Используя журнал действий, вы можете определить, что и когда произошло, а также кто за это отвечает, для любых операций записи, которые выполнялись с ресурсами в вашей подписке.

Рекомендации по настройке политик ведения журнала

В следующих разделах описываются рекомендации по безопасности в CIS Microsoft Azure Foundations Security Benchmark версии 1.3.0 для настройки политик ведения журналов и мониторинга для ваших подписок Azure. В каждую рекомендацию включены основные шаги, которые необходимо выполнить на портале Azure. Вы должны выполнить эти шаги для своей подписки и использовать свои ресурсы для проверки каждой рекомендации по безопасности. Имейте в виду, что параметры уровня 2 могут ограничивать некоторые функции или действия, поэтому подумайте, какие параметры безопасности следует применить.

Убедитесь, что параметр диагностики существует — уровень 1

Журнал действий Azure предоставляет сведения о событиях на уровне подписки, которые произошли в Azure. Этот журнал включает разные данные — от операционных данных Azure Resource Manager до новой информации из событий Работоспособности служб Azure. Раньше журнал действий назывался журналом аудита или операционным журналом. Категория, связанная с администрированием, информирует о событиях уровня управления для ваших подписок.

Для каждой подписки Azure существует один журнал действий. Журнал предоставляет данные об операциях с ресурсами, которые были созданы за пределами Azure.

Журналы диагностики, выдаваемые ресурсом. Журналы диагностики предоставляют сведения об операции с ресурсом. Необходимо включить параметры диагностики для каждого ресурса.

  1. Войдите на портал Azure. Найдите и выберите Monitor.

  2. В меню слева выберите Журнал действий.

  3. В строке меню Журнал действий выберите Экспорт журналов действий.

  4. Если параметры не отображаются, выберите свою подписку и щелкните Добавить параметр диагностики.

    Screenshot that shows the Diagnostic settings pane and Add diagnostic setting selected.

  5. Введите имя параметра диагностики, а затем настройте категории журналов и сведения о назначении.

  6. В строке меню выберите Сохранить.

Пример того, как создать параметр диагностики:

Screenshot that shows the Diagnostic settings creation pane and options selected.

Создание оповещения журнала действий для создания назначения политики — уровень 1

Если вы отслеживаете созданные политики, вы можете узнать, какие пользователи могут создавать политики. Эта информация может помочь вам обнаружить нарушение или неправильную настройку ваших ресурсов или подписки Azure.

  1. Войдите на портал Azure. Найдите и выберите Monitor.

  2. В меню слева выберите Оповещения.

  3. В строке меню Оповещения щелкните раскрывающийся список Создать и выберите Правило генерации оповещений.

  4. В области Создание правила генерации оповещений щелкните Выбрать область.

  5. В области Выбор ресурса в раскрывающемся списке Фильтр по типу ресурса выберите Назначение политики (policyAssignments).

  6. Выберите ресурс для мониторинга.

  7. Нажмите кнопку Готово.

    Screenshot that shows adding a monitoring alert for an Azure resource.

  8. Чтобы завершить создание оповещения, выполните действия, описанные в разделе Создание правила генерации оповещений в области оповещений Azure Monitor.

Создание оповещения журнала действий для создания, обновления или удаления группы безопасности сети — уровень 1

По умолчанию оповещения мониторинга не создаются при создании, обновлении и удалении группы безопасности сети. Изменение или удаление группы безопасности может привести к предоставлению доступа к внутренним ресурсам из неподходящих источников или для неожиданного исходящего сетевого трафика.

  1. Войдите на портал Azure. Найдите и выберите Monitor.

  2. В меню слева выберите Оповещения.

  3. В строке меню Оповещения щелкните раскрывающийся список Создать и выберите Правило генерации оповещений.

  4. В области Создание правила генерации оповещений щелкните Выбрать область.

  5. В области Выбор ресурса в раскрывающемся списке Фильтр по типу ресурса выберите Группы безопасности сети.

  6. Нажмите кнопку Готово.

  7. Чтобы завершить создание оповещения, выполните действия, описанные в разделе Создание правила генерации оповещений в области оповещений Azure Monitor.

Создание оповещений журнала действий для создания или обновления правила брандмауэра SQL Server — уровень 1

Мониторинг событий, которые создают или обновляют правило брандмауэра SQL Server, информирует об изменениях доступа к сети и может сократить время, необходимое для обнаружения подозрительных действий.

  1. Войдите на портал Azure. Найдите и выберите Monitor.

  2. В меню слева выберите Оповещения.

  3. В строке меню Оповещения щелкните раскрывающийся список Создать и выберите Правило генерации оповещений.

  4. В области Создание правила генерации оповещений щелкните Выбрать область.

  5. В области Выбор ресурса в раскрывающемся списке Фильтр по типу ресурса выберите Серверы SQL.

  6. Нажмите кнопку Готово.

  7. Чтобы завершить создание оповещения, выполните действия, описанные в разделе Создание правила генерации оповещений в области оповещений Azure Monitor.