上一篇

下一步

创建日志记录和监视基线

已完成

日志记录和监视是尝试识别、检测和缓解安全威胁时的重要要求。 适当的日志记录策略可以确保能够确定发生安全冲突的时间。 该策略还可以确定负责人。 Azure 活动日志提供有关对资源的外部访问权限数据，它们提供诊断日志，因此你可以获得有关特定资源的操作信息。

注意

Azure 活动日志是一种方便用户深入了解 Azure 中发生的订阅级别事件的订阅日志。 通过使用活动日志，可确定订阅中在资源上发生的任何写入操作的内容、执行者和时间等信息。

日志记录策略建议

以下部分介绍 CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 中的安全建议，以在 Azure 订阅上设置日志记录和监视策略。 每项建议都包含要在 Azure 门户中完成的基本步骤。 应为自己的订阅完成这些步骤，并使用自己的资源来验证每个安全建议。 注意，“级别 2”选项可能会限制某些功能或活动，因此请仔细考虑你决定执行的安全选项。

确保存在“诊断设置” - 级别 1

Azure 活动日志有助于用户深入了解 Azure 中发生的订阅级别的事件。 此日志包括从 Azure 资源管理器操作数据到 Azure 服务运行状况事件更新的一系列数据。 活动日志以前称为审核日志或运行日志。 管理类别报告订阅的控制平面事件。

每个 Azure 订阅都具有单个活动日志。 该日志提供有关源自 Azure 外部的资源操作的数据。

诊断日志由资源发出。 诊断日志提供有关资源操作的信息。 必须为每个资源启用诊断设置。

1. 登录到 Azure 门户。 搜索并选择“Monitor”。

2. 在左侧菜单中，选择“活动日志”。

3. 在“活动日志”菜单栏中，选择“导出活动日志”。

4. 如果没有显示设置，请选择你的订阅，然后选择“添加诊断设置”。

   

5. 输入诊断设置的名称，然后选择日志类别和目标详细信息。

6. 在菜单栏中选择“保存”。

下面是有关如何创建诊断设置的示例：

为“创建策略分配”创建活动日志警报 - 级别 1

如果监视创建的策略，可以看到哪些用户可以创建策略。 此信息可能有助于检测 Azure 资源或订阅的违规或错误配置。

1. 登录 Azure 门户。 搜索并选择“Monitor”。

2. 在左侧菜单中，选择“警报”。

3. 在“警报”菜单栏中，选择“创建”下拉箭头，然后选择“警报规则”。

4. 在“创建警报规则”窗格中，选择“选择范围”。

5. 在“选择资源”窗格中，在“按资源类型筛选”下拉列表中，选择“策略分配(policyAssignments)”。

6. 选择要监视的资源。

7. 选择“完成”。

   

8. 若要完成警报创建，请完成从“Azure Monitor 警报”窗格中创建警报规则中所述的步骤。

为“创建、更新或删除网络安全组”创建活动日志警报 - 级别 1

默认情况下，在创建、更新或删除 NSG 时，不会创建任何监视警报。 更改或删除安全组可允许从不正确的源访问内部资源或意外的出站网络流量。

1. 登录 Azure 门户。 搜索并选择“Monitor”。

2. 在左侧菜单中，选择“警报”。

3. 在“警报”菜单栏中，选择“创建”下拉箭头，然后选择“警报规则”。

4. 在“创建警报规则”窗格中，选择“选择范围”。

5. 在“选择资源”窗格中的“按资源类型筛选”下拉列表中，选择“网络安全组”。

6. 选择“完成”。

7. 若要完成警报创建，请完成从“Azure Monitor 警报”窗格中创建警报规则中所述的步骤。

为“创建或更新 SQL Server 防火墙规则”创建活动日志警报 - 级别 1

监视可创建或更新 SQL Server 防火墙规则的事件，有助于用户深入了解网络访问更改，还可以减少检测可疑活动所花费的时间。

1. 登录 Azure 门户。 搜索并选择“Monitor”。

2. 在左侧菜单中，选择“警报”。

3. 在“警报”菜单栏中，选择“创建”下拉箭头，然后选择“警报规则”。

4. 在“创建警报规则”窗格中，选择“选择范围”。

5. 在“选择资源”窗格中的“按资源类型筛选”下拉列表中，选择“SQL 服务器”。

6. 选择“完成”。

7. 若要完成警报创建，请完成从“Azure Monitor 警报”窗格中创建警报规则中所述的步骤。

继续