Säkerhetsloggar och aviseringar med hjälp av Azure-tjänster
Loggar ger inblick i driften av en arbetsbelastning, infrastruktur, nätverkskommunikation och så vidare. När misstänkt aktivitet identifieras använder du aviseringar som ett sätt att identifiera potentiella hot. Som en del av din djupskyddsstrategi och kontinuerliga övervakning bör du svara på aviseringarna för att förhindra att säkerhetsgarantin avta över tid.
Huvudpunkter
- Konfigurera central hantering av säkerhetsloggar.
- Aktivera granskningsloggning för Azure-resurser.
- Samla in säkerhetsloggar från operativsystem.
- Konfigurera kvarhållning av säkerhetslogglagring.
- Aktivera aviseringar för avvikande aktiviteter.
Använda interna tjänster
Azure Monitor ger observerbarhet i hela miljön. Du får automatiskt plattformsmått, aktivitetsloggar och diagnostikloggar från de flesta av dina Azure-resurser utan konfiguration. Aktivitetsloggarna innehåller detaljerad diagnostik- och granskningsinformation.
Microsoft Defender för moln genererar meddelanden som säkerhetsaviseringar genom att samla in, analysera och integrera loggdata från dina Azure-resurser och nätverket. Aviseringar är tillgängliga när du aktiverar Microsoft Defender-planerna. Detta kommer att lägga till den totala kostnaden.
Microsoft Sentinel är en lösning för hantering av säkerhetsinformationshändelse (SIEM) och soar-lösning (security orchestration automated response). Det är en enda lösning för aviseringsidentifiering, hotsynlighet, proaktiv jakt och hotsvar.
Vi rekommenderar att du använder en kombination av ovanstående tjänster för att få en fullständig vy. Använd till exempel Azure Monitor att samla in information om operativsystemet som körs på Azure Compute. Om du kör en egen beräkning använder du Microsoft Defender för molnet.
Granskningsloggning
En viktig aspekt av övervakning är spårningsåtgärder. Du vill till exempel veta vem som skapade, uppdaterade och tog bort en resurs. Du kan också hämta resursspecifik information, till exempel när en avbildning har hämtas från Azure Container Registry. Den informationen är viktig för ett SecOps-team (Security Operations) när det gäller att identifiera förekomsten av angripare, reagera på en avisering om misstänkt aktivitet eller proaktivt jaga efter avvikande händelser. De är också användbara för säkerhetsgranskning, efterlevnad och offlineanalys.
I Azure genereras informationen som plattformsloggar av resurserna och plattformen som de körs på. De spåras av Azure Resource Manager och när händelser på prenumerationsnivå inträffar. Varje resurs skickar loggar som är specifika för tjänsten.
Överväg att lagra dina data i granskningssyfte eller för statistisk analys. Du kan behålla data på Log Analytics-arbetsytan och ange datatypen. I det här exemplet anges SecurityEvents kvarhållningen i 730 dagar:
PUT /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview {"properties": {"retentionInDays": 730 } }
Om du behåller data på det här sättet kan du minska kostnaderna för datalagring över tid. Information om vilken typ av data du kan behålla finns i säkerhetsdatatyper.
Ett annat sätt är att skicka loggarna till ett lagringskonto.
Aviseringar
Säkerhetsaviseringar är meddelanden som genereras när avvikande aktivitet identifieras på de resurser som används av arbetsbelastningen eller plattformen.
Med Microsoft Defender-planerna analyserar Microsoft Defender for Cloud loggdata och visar en lista över aviseringar som baseras på loggar som samlats in från resurser inom ett omfång. Aviseringar innehåller sammanhangsinformation, till exempel allvarlighetsgrad, status, aktivitetstid. Defender for Cloud tillhandahåller också en korrelerad vy som kallas incidenter. Använd dessa data för att analysera vilka åtgärder angriparen vidtog och vilka resurser som påverkades. Ha strategier för att reagera på aviseringar så fort de genereras. Ett alternativ är att hantera aviseringar i Azure Functions.
Använd dessa data för att stödja dessa aktiviteter:
- Åtgärd av hot.
- Undersökning av en incident.
- Proaktiva jaktaktiviteter.
Mer information finns i Säkerhetsaviseringar och incidenter.
Centralisera loggar och aviseringar
Organisationer följer vanligtvis någon av tre modeller när de distribuerar loggar: centraliserad, decentraliserad eller hybrid. Valet beror på organisationsstrukturer. Om varje team till exempel äger sin resursgrupp, separeras loggdata per resurs. Även om det kan vara enkelt att konfigurera åtkomstkontroll till dessa data, är det svårt att korrelera loggar. Detta kan vara svårt för SecOps-teamet som behöver en holistisk vy för att analysera data.
Överväg en central vy över loggen och data, när det är tillämpligt. Några fördelar är:
- Resurserna i arbetsbelastningen kan dela en gemensam loggarbetsyta, vilket minskar dupliceringen.
- En enskild punkt av observerbarhet med alla loggdata gör det enklare att använda data för jaktaktiviteter, frågor och statistisk utvärdering.
- Integrerade data kan matas in i moderna maskininlärningsanalysplattformar som stöder inmatning av stora mängder information och kan analysera stora datamängder snabbt. Dessutom kan dessa lösningar justeras för att avsevärt minska de falska positiva aviseringarna.
Du kan samla in loggar och aviseringar från olika källor centralt i en Log Analytics-arbetsyta, ett lagringskonto och Event Hubs. Du kan sedan granska och fråga loggdata effektivt. I Azure Monitor du diagnostikinställningen för resurser för att dirigera specifika loggar som är viktiga för organisationen. Loggarna varierar beroende på resurstyp. I Microsoft Defender för moln kan du dra nytta av funktionen för löpande export för att dirigera aviseringar.
Anteckning
Plattformsloggar är inte tillgängliga på obestämd tid. Du måste behålla dem så att du kan granska dem senare i granskningssyfte eller offlineanalys. Använd Azure Storage-konton för långsiktig lagring/arkivlagring. I Azure Monitor anger du en kvarhållningsperiod när du aktiverar diagnostikinställning för dina resurser.
Ett annat sätt att se alla data i en enda vy är att integrera loggar och aviseringar i LÖSNINGAR för säkerhetsinformation och händelsehantering (SIEM), till exempel Microsoft Sentinel. Andra populära alternativ från tredje part är Splunk, QRadar och ArcSight. Microsoft Defender för moln och Azure Monitor har stöd för alla dessa lösningar.
Integrering av mer data kan utöka aviseringar med ytterligare kontext. Samlingen är dock inte identifiering. Se till att en stor mängd data med lågt värde inte flödar in i dessa lösningar.
Om du inte har en rimlig förväntan på att data ska ge värde kan du nedprioritera integreringen av dessa händelser. Ett stort antal brandväggsnekanden kan till exempel skapa brus utan faktiska åtgärder.
Det alternativet hjälper till med snabba svar och åtgärder genom att filtrera bort falska positiva resultat och höja sanna positiva resultat och så vidare. Dessutom sänker det SIEM-kostnaden, falska positiva resultat och ökar prestandan.
Andra sätt att integrera loggar kan omfatta en hybridmodell som blandar centraliserade och decentraliserade metoder (distribuerade mellan team). Mer information finns i Viktiga överväganden för en strategi för åtkomstkontroll.
Nästa
Att svara på aviseringar är ett viktigt sätt att förhindra att säkerhetssäkerheten slutar fungera och utforma för djupskyddsstrategier och strategier med minsta behörighet.
Relaterade länkar
Mer information finns i de här artiklarna:
- Komma igång med Azure Monitor SIEM-integrering från tredje part
- Så här samlar du in plattformsloggar och mått med Azure Monitor
- Exportera aviseringar
- Förstå datainsamling i Microsoft Defender for Cloud
Gå tillbaka till huvudartikeln: Övervaka