Säkerhetskontroll: Loggning och övervakning

Anteckning

Det senaste Azure Security Benchmark finns här.

Säkerhetsloggning och övervakning fokuserar på aktiviteter som rör aktivering, anskaffning och lagring av granskningsloggar för Azure-tjänster.

2.1: Använd godkända tidssynkroniseringskällor

Azure-ID CIS-ID:n Ansvar
2.1 6.1 Microsoft

Microsoft underhåller tidskällor för Azure-resurser, men du kan välja att hantera tidssynkroniseringsinställningarna för dina beräkningsresurser.

2.2: Konfigurera central hantering av säkerhetsloggar

Azure-ID CIS-ID:n Ansvar
2.2 6.5, 6.6 Kund

Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att köra frågor mot och utföra analyser och använda Azure Storage-konton för långsiktig/arkiveringslagring.

Du kan också aktivera och publicera data till Azure Sentinel eller en SIEM från tredje part.

2.3: Aktivera granskningsloggning för Azure-resurser

Azure-ID CIS-ID:n Ansvar
2.3 6.2, 6.3 Kund

Aktivera diagnostikinställningar för Azure-resurser för åtkomst till gransknings-, säkerhets- och diagnostikloggar. Aktivitetsloggar, som är automatiskt tillgängliga, inkluderar händelsekälla, datum, användare, tidsstämpel, källadresser, måladresser och andra användbara element.

2.4: Samla in säkerhetsloggar från operativsystem

Azure-ID CIS-ID:n Ansvar
2.4 6.2, 6.3 Kund

Om beräkningsresursen ägs av Microsoft ansvarar Microsoft för att övervaka den. Om beräkningsresursen ägs av din organisation är det ditt ansvar att övervaka den. Du kan använda Azure Security Center för att övervaka operativsystemet. Data som samlas in av Security Center från operativsystemet omfattar operativsystemtyp och version, OPERATIVSYSTEM (Windows-händelseloggar), processer som körs, datornamn, IP-adresser och inloggad användare. Log Analytics-agenten samlar också in kraschdumpfiler.

2.5: Konfigurera kvarhållning av säkerhetslogglagring

Azure-ID CIS-ID:n Ansvar
2.5 6.4 Kund

I Azure Monitor anger du kvarhållningsperioden för Log Analytics-arbetsytan enligt organisationens efterlevnadsregler. Använd Azure Storage-konton för långsiktig/arkiveringslagring.

2.6: Övervaka och granska loggar

Azure-ID CIS-ID:n Ansvar
2,6 6.7 Kund

Analysera och övervaka loggar för avvikande beteende och granska resultat regelbundet. Använd Log Analytics-arbetsytan i Azure Monitor för att granska loggar och köra frågor på loggdata.

Du kan också aktivera och publicera data till Azure Sentinel eller en SIEM från tredje part.

2.7: Aktivera aviseringar för avvikande aktiviteter

Azure-ID CIS-ID:n Ansvar
2.7 6.8 Kund

Använd Azure Security Center med Log Analytics-arbetsyta för övervakning och aviseringar om avvikande aktivitet som finns i säkerhetsloggar och händelser.

Du kan också aktivera och publicera data till Azure Sentinel.

2.8: Centralisera loggning mot skadlig kod

Azure-ID CIS-ID:n Ansvar
2.8 8,6 Kund

Aktivera händelseinsamling mot skadlig kod för Azure Virtual Machines och Cloud Services.

2.9: Aktivera DNS-frågeloggning

Azure-ID CIS-ID:n Ansvar
2.9 8.7 Kund

Implementera en lösning från tredje part från Azure Marketplace för DNS-loggningslösning enligt organisationens behov.

2.10: Aktivera granskningsloggning på kommandoraden

Azure-ID CIS-ID:n Ansvar
2,10 8.8 Kund

Använd Microsoft Monitoring Agent på alla virtuella Azure Windows-datorer som stöds för att logga processens skapandehändelse och fältet Kommandorad. För virtuella Azure Linux-datorer som stöds kan du manuellt konfigurera konsolloggning per nod och använda Syslog för att lagra data. Använd även Log Analytics-arbetsytan i Azure Monitor för att granska loggar och köra frågor på loggade data från virtuella Azure-datorer.

Nästa steg