Säkerhetskontroll: Loggning och övervakning

  • Artikel

Anteckning

Den senaste Azure Security Benchmark finns här.

Säkerhetsloggning och övervakning fokuserar på aktiviteter som rör aktivering, anskaffning och lagring av granskningsloggar för Azure-tjänster.

2.1: Använd godkända tidssynkroniseringskällor

Azure-ID CIS-ID:n Ansvar
2.1 6.1 Microsoft

Microsoft underhåller tidskällor för Azure-resurser, men du kan välja att hantera tidssynkroniseringsinställningarna för dina beräkningsresurser.

2.2: Konfigurera central hantering av säkerhetsloggar

Azure-ID CIS-ID:n Ansvar
2.2 6.5, 6.6 Kund

Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att fråga och utföra analyser och använda Azure Storage-konton för långsiktig/arkiveringslagring.

Du kan också aktivera och registrera data till Azure Sentinel eller en SIEM från tredje part.

2.3: Aktivera granskningsloggning för Azure-resurser

Azure-ID CIS-ID:n Ansvar
2.3 6.2, 6.3 Kund

Aktivera diagnostikinställningar på Azure-resurser för åtkomst till gransknings-, säkerhets- och diagnostikloggar. Aktivitetsloggar, som är automatiskt tillgängliga, inkluderar händelsekälla, datum, användare, tidsstämpel, källadresser, måladresser och andra användbara element.

2.4: Samla in säkerhetsloggar från operativsystem

Azure-ID CIS-ID:n Ansvar
2.4 6.2, 6.3 Kund

Om beräkningsresursen ägs av Microsoft ansvarar Microsoft för att övervaka den. Om beräkningsresursen ägs av din organisation är det ditt ansvar att övervaka den. Du kan använda Azure Security Center för att övervaka operativsystemet. Data som samlas in av Security Center från operativsystemet inkluderar operativsystemtyp och version, OPERATIVSYSTEM (Windows-händelseloggar), processer som körs, datornamn, IP-adresser och inloggad användare. Log Analytics-agenten samlar också in kraschdumpfiler.

2.5: Konfigurera kvarhållning av säkerhetslogglagring

Azure-ID CIS-ID:n Ansvar
2.5 6.4 Kund

I Azure Monitor anger du kvarhållningsperioden för Log Analytics-arbetsytan enligt organisationens efterlevnadsregler. Använd Azure Storage-konton för långsiktig/arkiveringslagring.

2.6: Övervaka och granska loggar

Azure-ID CIS-ID:n Ansvar
2,6 6.7 Kund

Analysera och övervaka loggar för avvikande beteende och granska resultaten regelbundet. Använd Log Analytics-arbetsytan i Azure Monitor för att granska loggar och köra frågor om loggdata.

Du kan också aktivera och registrera data till Azure Sentinel eller en SIEM från tredje part.

2.7: Aktivera aviseringar för avvikande aktiviteter

Azure-ID CIS-ID:n Ansvar
2.7 6.8 Kund

Använd Azure Security Center med Log Analytics-arbetsytan för övervakning och aviseringar om avvikande aktivitet som finns i säkerhetsloggar och händelser.

Du kan också aktivera och registrera data till Azure Sentinel.

2.8: Centralisera loggning av skadlig kod

Azure-ID CIS-ID:n Ansvar
2.8 8,6 Kund

Aktivera händelsesamling mot skadlig kod för Azure Virtual Machines och Cloud Services.

2.9: Aktivera DNS-frågeloggning

Azure-ID CIS-ID:n Ansvar
2.9 8.7 Kund

Implementera en tredjepartslösning från Azure Marketplace för DNS-loggningslösning enligt organisationens behov.

2.10: Aktivera loggning av kommandoradsgranskning

Azure-ID CIS-ID:n Ansvar
2,10 8.8 Kund

Använd Microsoft Monitoring Agent på alla virtuella Azure Windows-datorer som stöds för att logga händelsen för att skapa processen och fältet Kommandorad. För virtuella Azure Linux-datorer som stöds kan du manuellt konfigurera konsolloggning per nod och använda Syslog för att lagra data. Använd även Azure Monitors Log Analytics-arbetsyta för att granska loggar och köra frågor på loggade data från virtuella Azure-datorer.

Nästa steg