Säkerhetskontroll v3: Loggning och hotidentifiering

  • Artikel

Loggning och hotidentifiering omfattar kontroller för att identifiera hot i Azure och aktivera, samla in och lagra granskningsloggar för Azure-tjänster, inklusive aktivering av processer för identifiering, undersökning och reparation med kontroller för att generera aviseringar av hög kvalitet med inbyggd hotidentifiering i Azure-tjänster. Den omfattar även insamling av loggar med Azure Monitor, centralisering av säkerhetsanalys med Azure Sentinel, tidssynkronisering och loggkvarhållning.

LT-1: Aktivera funktioner för hotidentifiering

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Säkerhetsprincip: Övervaka alla kända resurstyper för kända och förväntade hot och avvikelser för att stödja hotidentifieringsscenarier. Konfigurera dina aviseringsfiltrerings- och analysregler för att extrahera aviseringar av hög kvalitet från loggdata, agenter eller andra datakällor för att minska falska positiva identifieringar.

Azure-vägledning: Använd funktionen för hotidentifiering i Azure Defender-tjänster i Microsoft Defender för molnet för respektive Azure-tjänster.

Information om hotidentifiering som inte ingår i Azure Defender-tjänster finns i tjänstbaslinjerna för Azure Security Benchmark för respektive tjänster för att aktivera funktionerna för hotidentifiering eller säkerhetsaviseringar i tjänsten. Extrahera aviseringarna till Azure Monitor eller Azure Sentinel för att skapa analysregler som jagar hot som matchar specifika kriterier i din miljö.

För OT-miljöer (Operational Technology) som innehåller datorer som styr eller övervakar ICS-resurser (Industrial Control System) eller SCADA-resurser (Övervakningskontroll och dataförvärv) använder du Defender för IoT för att inventera tillgångar och identifiera hot och sårbarheter.

För tjänster som inte har en inbyggd hotidentifieringsfunktion bör du överväga att samla in dataplansloggarna och analysera hoten via Azure Sentinel.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

LT-2: Aktivera hotidentifiering för identitets- och åtkomsthantering

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Säkerhetsprincip: Identifiera hot för identiteter och åtkomsthantering genom att övervaka användarens och programmets inloggnings- och åtkomstavvikelser. Beteendemönster, till exempel överdrivet antal misslyckade inloggningsförsök och inaktuella konton i prenumerationen, bör aviseras.

Azure-vägledning: Azure AD innehåller följande loggar som kan visas i Azure AD rapportering eller integreras med Azure Monitor, Azure Sentinel eller andra SIEM/övervakningsverktyg för mer avancerade användningsfall för övervakning och analys:

  • Inloggningar: Inloggningsrapporten innehåller information om användningen av hanterade program och användarinloggningsaktiviteter.
  • Granskningsloggar: Ger spårbarhet via loggar för alla ändringar som görs av olika funktioner i Azure AD. Exempel på granskningsloggar är de resursändringar som görs i Azure AD, som att lägga till eller ta bort användare, appar, grupper, roller och principer.
  • Riskfyllda inloggningar: En riskfylld inloggning är en indikator för ett inloggningsförsök som kan ha utförts av någon som inte är legitim ägare till ett användarkonto.
  • Användare som har flaggats för risk: En riskfylld användare är en indikator för ett användarkonto som kan ha komprometterats.

Azure AD tillhandahåller också en Identity Protection-modul för att identifiera och åtgärda risker relaterade till användarkonton och inloggningsbeteenden. Exempel på risker är läckta autentiseringsuppgifter, inloggning från anonyma eller skadliga IP-adresser, lösenordsspray. Med principerna i Azure AD Identity Protection kan du framtvinga riskbaserad MFA-autentisering tillsammans med villkorsstyrd åtkomst i Azure på användarkonton.

Dessutom kan Microsoft Defender för molnet konfigureras för aviseringar om inaktuella konton i prenumerationen och misstänkta aktiviteter, till exempel ett överdrivet antal misslyckade autentiseringsförsök. Förutom den grundläggande övervakningen av säkerhetshygien kan Microsoft Defender för molnets hotskyddsmodul även samla in mer djupgående säkerhetsaviseringar från enskilda Azure-beräkningsresurser (till exempel virtuella datorer, containrar, apptjänst), dataresurser (till exempel SQL DB och lagring) och Azure-tjänstlager. Med den här funktionen kan du se kontoavvikelser i de enskilda resurserna.

Obs! Om du ansluter din lokal Active Directory för synkronisering använder du den Microsoft Defender for Identity lösningen för att använda din lokal Active Directory signaler för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder som riktas mot din organisation.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

LT-3: Aktivera loggning för säkerhetsundersökning

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Säkerhetsprincip: Aktivera loggning för dina molnresurser för att uppfylla kraven för undersökningar av säkerhetsincidenter och säkerhetsåtgärds- och efterlevnadsändamål.

Azure-vägledning: Aktivera loggningsfunktioner för resurser på olika nivåer, till exempel loggar för Azure-resurser, operativsystem och program i dina virtuella datorer och andra loggtyper.

Tänk på olika typer av loggar för säkerhet, granskning och andra åtgärdsloggar på nivåerna hantering/kontrollplan och dataplan. Det finns tre typer av loggar som är tillgängliga på Azure-plattformen:

  • Azure-resurslogg: Loggning av åtgärder som utförs i en Azure-resurs (dataplanet). Du kan till exempel hämta en hemlighet från ett nyckelvalv eller göra en begäran till en databas. Innehållet i resursloggarna varierar beroende på tjänst- och resurstyp i Azure.
  • Azure-aktivitetslogg: Loggning av åtgärder på varje Azure-resurs på prenumerationsnivå, utifrån (hanteringsplanet). Du kan använda aktivitetsloggen för att fastställa vad, vem och när för skrivåtgärder (PUT, POST, DELETE) som tagits på resurserna i din prenumeration. Det finns en enda aktivitetslogg för varje Azure-prenumeration.
  • Azure Active Directory-loggar: Loggar över inloggningsaktivitetens historik och spårningsloggen för ändringar som gjorts i Azure Active Directory för en viss klientorganisation.

Du kan också använda Microsoft Defender för molnet och Azure Policy för att aktivera resursloggar och loggdata som samlas in på Azure-resurser.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

LT-4: Aktivera nätverksloggning för säkerhetsundersökning

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10,8

Säkerhetsprincip: Aktivera loggning för dina nätverkstjänster för att stödja nätverksrelaterade incidentundersökningar, hotjakt och generering av säkerhetsaviseringar. Nätverksloggarna kan innehålla loggar från nätverkstjänster som IP-filtrering, nätverks- och programbrandvägg, DNS, flödesövervakning och så vidare.

Azure-vägledning: Aktivera och samla in nätverkssäkerhetsgruppsloggar (NSG), NSG-flödesloggar, Azure Firewall loggar och Web Application Firewall-loggar (WAF) för säkerhetsanalys för att stödja incidentundersökningar och generering av säkerhetsaviseringar. Du kan skicka flödesloggarna till en Azure Monitor Log Analytics-arbetsyta och sedan använda Trafikanalys för att ge insikter.

Samla in DNS-frågeloggar för att korrelera andra nätverksdata.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

LT-5: Central hantering och analys av säkerhetsloggar

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 Ej tillämpligt

Säkerhetsprincip: Centralisera loggningslagring och analys för att möjliggöra korrelation mellan loggdata. För varje loggkälla kontrollerar du att du har tilldelat en dataägare, åtkomstvägledning, lagringsplats, vilka verktyg som används för att bearbeta och komma åt data samt krav på datakvarhållning.

Azure-vägledning: Se till att du integrerar Azure-aktivitetsloggar i en centraliserad Log Analytics-arbetsyta. Använd Azure Monitor för att köra frågor mot och utföra analyser och skapa aviseringsregler med hjälp av loggar som sammanställts från Azure-tjänster, slutpunktsenheter, nätverksresurser och andra säkerhetssystem.

Dessutom aktiverar och registrerar du data till Azure Sentinel som tillhandahåller funktionen för hantering av säkerhetsinformationshändelser (SIEM) och soAR(Security Orchestration Automated Response).

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

LT-6: Konfigurera kvarhållning av loggar

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Säkerhetsprincip: Planera din strategi för loggkvarhållning enligt dina efterlevnads-, reglerings- och affärskrav. Konfigurera loggkvarhållningsprincipen för de enskilda loggningstjänsterna för att säkerställa att loggarna arkiveras korrekt.

Azure-vägledning: Loggar som Händelser i Azure-aktivitetsloggar behålls i 90 dagar och tas sedan bort. Du bör skapa en diagnostikinställning och dirigera loggposterna till en annan plats (till exempel Azure Monitor Log Analytics-arbetsyta, Event Hubs eller Azure Storage) baserat på dina behov. Den här strategin gäller även för andra resursloggar och resurser som hanteras av dig själv, till exempel loggar i operativsystemen och programmen på de virtuella datorerna.

Du har alternativet för loggkvarhållning enligt nedan:

  • Använd Azure Monitor Log Analytics-arbetsytan för en kvarhållningsperiod för loggar på upp till 1 år eller enligt dina krav från svarsteamet.
  • Använd Azure Storage, Data Explorer eller Data Lake för långsiktig lagring och arkivering i mer än ett år och för att uppfylla dina krav på säkerhetsefterlevnad.
  • Använd Azure Event Hubs för att vidarebefordra loggar till utanför Azure.

Obs! Azure Sentinel använder Log Analytics-arbetsytan som serverdel för logglagring. Du bör överväga en långsiktig lagringsstrategi om du planerar att behålla SIEM-loggar under längre tid.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

LT-7: Använd godkända tidssynkroniseringskällor

CIS-kontroller v8 ID:n NIST SP 800-53 r4 ID:n PCI-DSS ID(er) v3.2.1
8,4 AU-8 10.4

Säkerhetsprincip: Använd godkända tidssynkroniseringskällor för din loggningstidsstämpel som innehåller information om datum, tid och tidszon.

Azure-vägledning: Microsoft underhåller tidskällor för de flesta Azure PaaS- och SaaS-tjänster. Använd microsofts standardoperativsystem för beräkningsresurser för tidssynkronisering om du inte har ett specifikt krav. Om du behöver skapa en egen NTP-server (Network Time Protocol) kontrollerar du att du skyddar UDP-tjänstporten 123.

Alla loggar som genereras av resurser i Azure tillhandahåller tidsstämplar med den tidszon som anges som standard.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):