Security Control версии 2: ведение журналов и обнаружение угроз

Замечание

Самый up-toпоследний Azure Security Benchmark доступен здесь.

Ведение журнала и обнаружение угроз охватывает элементы управления для обнаружения угроз в Azure, а также включение, сбор и хранение журналов аудита для служб Azure. Это включает в себя включение процессов обнаружения, исследования и исправления с помощью элементов управления для создания высококачественных оповещений со встроенным обнаружением угроз в службах Azure; Он также включает в себя сбор журналов с помощью Azure Monitor, централизацию анализа безопасности с помощью Azure Sentinel, синхронизацию времени и хранение журналов.

Сведения о применимой встроенной политике Azure см . в статье Сведения о встроенной инициативе Azure Security Benchmark по обеспечению соответствия нормативным требованиям: ведение журналов и обнаружение угроз

LT-1: включение обнаружения угроз для ресурсов Azure

Идентификатор Azure Элементы управления CIS версии 7.1 NIST SP 800-53 r4 Идентификатор(ы)
LT-1 6.7 AU-3, AU-6, AU-12, SI-4

Убедитесь, что вы отслеживаете различные типы ресурсов Azure на предмет потенциальных угроз и аномалий. Сосредоточьтесь на получении высококачественных оповещений, чтобы уменьшить количество ложных срабатываний для аналитиков. Источником оповещений могут быть данные журналов, агенты или другие данные.

Используйте Azure Defender, который основан на мониторинге телеметрии служб Azure и анализе журналов служб. Данные собираются с помощью агента Log Analytics, который считывает различные конфигурации, связанные с безопасностью, и журналы событий из системы и копирует данные в рабочую область для анализа.

Кроме того, используйте Azure Sentinel для создания правил аналитики, которые отслеживают угрозы, соответствующие определенным критериям в вашей среде. Правила создают инциденты при совпадении критериев, чтобы вы могли исследовать каждый инцидент. Azure Sentinel также может импортировать стороннюю аналитику угроз, чтобы расширить возможности обнаружения угроз.

Ответственность: клиент

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure

Идентификатор Azure Элементы управления CIS версии 7.1 NIST SP 800-53 r4 Идентификатор(ы)
LT-2 6,8 AU-3, AU-6, AU-12, SI-4

Azure AD предоставляет следующие журналы пользователей, которые можно просматривать в отчетах Azure AD или интегрировать с Azure Monitor, Azure Sentinel или другими средствами SIEM/мониторинга для более сложных вариантов использования мониторинга и аналитики:

  • Входы — отчет о входе предоставляет сведения об использовании управляемых приложений и действий входа пользователей.

  • Журналы аудита — обеспечивает отслеживаемость с помощью журналов для всех изменений, внесенных различными функциями в Azure AD. Примеры журналов аудита включают изменения, внесенные в любые ресурсы в Azure AD, такие как добавление или удаление пользователей, приложений, групп, ролей и политик.

  • Рискованные входы . Рискованные входы — это индикатор попытки входа, которая, возможно, была выполнена кем-то, кто не является законным владельцем учетной записи пользователя.

  • Пользователи, помеченные как риск. Рискованные пользователи — это индикатор для учетной записи пользователя, которая могла быть скомпрометирована.

Центр безопасности Azure также может оповещать о некоторых подозрительных действиях, таких как чрезмерное количество неудачных попыток проверки подлинности и устаревшие учетные записи в подписке. В дополнение к базовому мониторингу гигиены безопасности Azure Defender также может собирать более подробные оповещения системы безопасности из отдельных вычислительных ресурсов Azure (таких как виртуальные машины, контейнеры, служба приложений), ресурсов данных (таких как база данных SQL и хранилище) и уровней служб Azure. Эта возможность позволяет просматривать аномалии учетных записей в отдельных ресурсах.

Ответственность: клиент

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-3. Включение ведения журнала для сетевых действий Azure

Идентификатор Azure Элементы управления CIS версии 7.1 NIST SP 800-53 r4 Идентификатор(ы)
LT-3 9.3, 12.2, 12.5, 12.8 AU-3, AU-6, AU-12, SI-4

Включите и собирайте журналы ресурсов группы безопасности сети (NSG), журналы потоков NSG, журналы Брандмауэра Azure и журналы Брандмауэра веб-приложения (WAF) для анализа безопасности для поддержки расследования инцидентов, поиска угроз и создания оповещений системы безопасности. Журналы потоков можно отправлять в рабочую область Azure Monitor Log Analytics, а затем использовать аналитику трафика для предоставления аналитических сведений.

Убедитесь, что вы собираете журналы запросов DNS для корреляции других сетевых данных.

Ответственность: клиент

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-4: включение ведения журнала для ресурсов Azure

Идентификатор Azure Элементы управления CIS версии 7.1 NIST SP 800-53 r4 Идентификатор(ы)
ЛТ-4 6.2, 6.3, 8.8 АУ-3, АУ-12

Включите ведение журнала для ресурсов Azure, чтобы соответствовать требованиям к соответствию, обнаружению угроз, охоте и расследованию инцидентов.

Вы можете использовать Центр безопасности Azure и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов в ресурсах Azure для доступа к журналам аудита, безопасности и ресурсов. Журналы действий, которые доступны автоматически, включают источник событий, дату, пользователя, метку времени, исходные адреса, адреса назначения и другие полезные элементы.

Ответственность: Совместная

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

Безопасность инфраструктуры и конечной точки

LT-5: централизованные управление журналом безопасности и анализ

Идентификатор Azure Элементы управления CIS версии 7.1 NIST SP 800-53 r4 Идентификатор(ы)
ЛТ-5 6.5, 6.6 АУ-3, СИ-4

Централизуйте хранение и анализ журналов для обеспечения корреляции. Для каждого источника журнала убедитесь, что назначен владелец данных, разработано руководство по доступу, есть место хранения, определено, какие средства используются для обработки данных и доступа к ним, и установлены требования к хранению данных.

Убедитесь, что вы интегрируете журналы действий Azure в централизованное ведение журнала. Сбор журналов с использованием Azure Monitor для агрегирования данных безопасности, создаваемых устройствами конечных точек, сетевыми ресурсами и другими системами безопасности. В Azure Monitor используйте рабочие области Log Analytics для запросов и выполнения анализа, а также используйте учетные записи хранения Azure для долгосрочного и архивного хранения.

Кроме того, включите и подключите данные к Azure Sentinel или сторонней системе SIEM.

Многие организации предпочитают использовать Azure Sentinel для «горячих» данных, которые используются часто, и Azure Storage для «холодных» данных, которые используются реже.

Ответственность: клиент

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-6: Настройка хранения журналов

Идентификатор Azure Элементы управления CIS версии 7.1 NIST SP 800-53 r4 Идентификатор(ы)
LT-6 6,4 АУ-3, АУ-11

Настройте хранение журналов в соответствии с нормативными требованиями, нормативными требованиями и бизнес-требованиями.

В Azure Monitor можно задать период хранения рабочей области Log Analytics в соответствии с нормативными требованиями вашей организации. Используйте учетные записи Azure Storage, Data Lake или Log Analytics для долгосрочного и архивного хранения.

Ответственность: клиент

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-7. Использование утвержденных источников синхронизации времени

Идентификатор Azure Элементы управления CIS версии 7.1 NIST SP 800-53 r4 Идентификатор(ы)
ЛТ-7 6.1 АУ-8

Корпорация Майкрософт поддерживает источники времени для большинства служб Azure PaaS и SaaS. Для виртуальных машин используйте стандартный NTP-сервер Майкрософт для синхронизации времени, если у вас нет особых требований. Если вам нужно создать собственный сервер NTP, убедитесь, что порт службы UDP 123 защищён.

Все журналы, созданные ресурсами в Azure, предоставляют метки времени с часовыми поясами, указанными по умолчанию.

Ответственность: Совместная

Заинтересованные лица по безопасности клиентов (дополнительные сведения):