Säkerhetskontroll: Loggning och övervakning
Anteckning
Den senaste Azure Security Benchmark finns här.
Säkerhetsloggning och övervakning fokuserar på aktiviteter som rör aktivering, anskaffning och lagring av granskningsloggar för Azure-tjänster.
2.1: Använd godkända tidssynkroniseringskällor
Azure-ID | CIS-ID:n | Ansvar |
---|---|---|
2.1 | 6.1 | Microsoft |
Microsoft underhåller tidskällor för Azure-resurser, men du kan välja att hantera tidssynkroniseringsinställningarna för dina beräkningsresurser.
Så här konfigurerar du tidssynkronisering för Azure Windows-beräkningsresurser
Konfigurera tidssynkronisering för Azure Linux-beräkningsresurser
2.2: Konfigurera central hantering av säkerhetsloggar
Azure-ID | CIS-ID:n | Ansvar |
---|---|---|
2.2 | 6.5, 6.6 | Kund |
Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att fråga och utföra analyser och använda Azure Storage-konton för långsiktig/arkiveringslagring.
Du kan också aktivera och registrera data till Azure Sentinel eller en SIEM från tredje part.
Samla in interna värdloggar i Azure Virtual Machine med Azure Monitor
Så här kommer du igång med Azure Monitor och SIEM-integrering från tredje part
2.3: Aktivera granskningsloggning för Azure-resurser
Azure-ID | CIS-ID:n | Ansvar |
---|---|---|
2.3 | 6.2, 6.3 | Kund |
Aktivera diagnostikinställningar på Azure-resurser för åtkomst till gransknings-, säkerhets- och diagnostikloggar. Aktivitetsloggar, som är automatiskt tillgängliga, inkluderar händelsekälla, datum, användare, tidsstämpel, källadresser, måladresser och andra användbara element.
2.4: Samla in säkerhetsloggar från operativsystem
Azure-ID | CIS-ID:n | Ansvar |
---|---|---|
2.4 | 6.2, 6.3 | Kund |
Om beräkningsresursen ägs av Microsoft ansvarar Microsoft för att övervaka den. Om beräkningsresursen ägs av din organisation är det ditt ansvar att övervaka den. Du kan använda Azure Security Center för att övervaka operativsystemet. Data som samlas in av Security Center från operativsystemet inkluderar operativsystemtyp och version, OPERATIVSYSTEM (Windows-händelseloggar), processer som körs, datornamn, IP-adresser och inloggad användare. Log Analytics-agenten samlar också in kraschdumpfiler.
2.5: Konfigurera kvarhållning av säkerhetslogglagring
Azure-ID | CIS-ID:n | Ansvar |
---|---|---|
2.5 | 6.4 | Kund |
I Azure Monitor anger du kvarhållningsperioden för Log Analytics-arbetsytan enligt organisationens efterlevnadsregler. Använd Azure Storage-konton för långsiktig/arkiveringslagring.
2.6: Övervaka och granska loggar
Azure-ID | CIS-ID:n | Ansvar |
---|---|---|
2,6 | 6.7 | Kund |
Analysera och övervaka loggar för avvikande beteende och granska resultaten regelbundet. Använd Log Analytics-arbetsytan i Azure Monitor för att granska loggar och köra frågor om loggdata.
Du kan också aktivera och registrera data till Azure Sentinel eller en SIEM från tredje part.
2.7: Aktivera aviseringar för avvikande aktiviteter
Azure-ID | CIS-ID:n | Ansvar |
---|---|---|
2.7 | 6.8 | Kund |
Använd Azure Security Center med Log Analytics-arbetsytan för övervakning och aviseringar om avvikande aktivitet som finns i säkerhetsloggar och händelser.
Du kan också aktivera och registrera data till Azure Sentinel.
2.8: Centralisera loggning av skadlig kod
Azure-ID | CIS-ID:n | Ansvar |
---|---|---|
2.8 | 8,6 | Kund |
Aktivera händelsesamling mot skadlig kod för Azure Virtual Machines och Cloud Services.
2.9: Aktivera DNS-frågeloggning
Azure-ID | CIS-ID:n | Ansvar |
---|---|---|
2.9 | 8.7 | Kund |
Implementera en tredjepartslösning från Azure Marketplace för DNS-loggningslösning enligt organisationens behov.
2.10: Aktivera loggning av kommandoradsgranskning
Azure-ID | CIS-ID:n | Ansvar |
---|---|---|
2,10 | 8.8 | Kund |
Använd Microsoft Monitoring Agent på alla virtuella Azure Windows-datorer som stöds för att logga händelsen för att skapa processen och fältet Kommandorad. För virtuella Azure Linux-datorer som stöds kan du manuellt konfigurera konsolloggning per nod och använda Syslog för att lagra data. Använd även Azure Monitors Log Analytics-arbetsyta för att granska loggar och köra frågor på loggade data från virtuella Azure-datorer.
Nästa steg
- Se nästa säkerhetskontroll: Identitet och Access Control