Управление безопасностью версии 3. Ведение журнала и обнаружение угроз

Ведение журнала и обнаружение угроз охватывают элементы управления для обнаружения угроз в Azure и включения, сбора и хранения журналов аудита для служб Azure, включая включение процессов обнаружения, исследования и исправления с помощью средств управления для создания высококачественных оповещений с помощью машинного обнаружения угроз в службах Azure; он также включает сбор журналов с помощью Azure Monitor, централизованного анализа безопасности с помощью Azure Sentinel, синхронизации времени и хранения журналов.

LT-1. Включение возможностей обнаружения угроз

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Принцип безопасности: Для поддержки сценариев обнаружения угроз отслеживайте все известные типы ресурсов для известных и ожидаемых угроз и аномалий. Настройте правила для фильтрации и анализа оповещений, чтобы извлекать высококачественные оповещения из журналов, от агентов или из других источников данных и уменьшить количество ложных срабатываний.

Руководство по Azure: Используйте возможность обнаружения угроз служб Azure Defender в Microsoft Defender для облака для соответствующих служб Azure.

Для обнаружения угроз, не включенных в службы Azure Defender, обратитесь к базовым планам службы Azure Security Benchmark для соответствующих служб, чтобы активировать функции обнаружения угроз или оповещения о безопасности в этих службах. Извлеките оповещения в Azure Monitor или Azure Sentinel для создания правил аналитики, которые охотятся на угрозы, соответствующие определенным критериям в вашей среде.

Для сред операционной технологии (OT), включающих компьютеры, которые контролируют или отслеживают ресурсы системы управления промышленными системами (ICS) или надзорным контролем и получением данных (SCADA), используйте Defender для Интернета вещей для инвентаризации активов и обнаружения угроз и уязвимостей.

Для служб, которые не имеют собственной возможности обнаружения угроз, рассмотрите возможность сбора журналов плоскости данных и анализа угроз с помощью Azure Sentinel.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-2. Включение возможностей обнаружения угроз для управления удостоверениями и доступом

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
8.11 AU-3, AU-6, AU-12, SI-4 10.6, 10.8, A3.5

Принцип безопасности: Обнаружение угроз для удостоверений и управления доступом путем мониторинга аномалий входа пользователя и приложения. Модели поведения, такие как чрезмерное количество неудачных попыток входа и заброшенные учетные записи в подписке, должны быть под наблюдением и вызывать тревогу.

Руководство по Azure: Azure AD предоставляет следующие журналы, которые можно просматривать в отчетах Azure AD или интегрировать с Azure Monitor, Azure Sentinel или другими средствами мониторинга SIEM или другими средствами мониторинга для более сложных вариантов использования мониторинга и аналитики.

  • Входы. Отчет о входе предоставляет сведения об использовании управляемых приложений и действий входа пользователей.
  • Журналы аудита: обеспечивает трассировку с помощью журналов для всех изменений, выполненных различными функциями в Azure AD. Примеры журналов аудита включают изменения, внесенные в любые ресурсы в Azure AD, такие как добавление или удаление пользователей, приложений, групп, ролей и политик.
  • Рискованные входы: рискованный вход — это индикатор попытки входа, который, возможно, был выполнен кем-то, кто не является законным владельцем учетной записи пользователя.
  • Пользователи, помеченные как риск: рискованный пользователь является индикатором для учетной записи пользователя, которая могла быть скомпрометирована.

Azure AD также предоставляет модуль защиты идентификации для обнаружения и устранения рисков, связанных с учетными записями пользователей и поведением входа. Примеры рисков включают утечку учетных данных, вход из анонимных или вредоносных связанных IP-адресов, распыление паролей. Политики в службе защиты идентификации Azure AD позволяют применять проверку подлинности на основе рисков MFA в сочетании с условным доступом Azure в учетных записях пользователей.

Кроме того, Microsoft Defender для облака можно настроить для оповещения о устаревших учетных записях в подписке и подозрительных действиях, таких как чрезмерное количество неудачных попыток проверки подлинности. Помимо базового мониторинга гигиены безопасности модуль Microsoft Defender для защиты от угроз облака также может собирать более подробные оповещения о безопасности из отдельных вычислительных ресурсов Azure (таких как виртуальные машины, контейнеры, служба приложений), ресурсы данных (например, база данных SQL и хранилище) и уровни служб Azure. Эта возможность позволяет просматривать аномалии учетных записей в отдельных ресурсах.

Примечание. Если вы подключаетесь к локальной службе Active Directory для синхронизации, используйте решение Microsoft Defender для идентификаций, чтобы получать сигналы от локальной службы Active Directory и выявлять, обнаруживать и изучать расширенные угрозы, скомпрометированные идентификации и вредоносные действия инсайдеров, направленные против вашей организации.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-3. Включение ведения журнала для исследования безопасности

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
8.2, 8.5, 8.12 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3

Принцип безопасности: Включите ведение журнала для облачных ресурсов в соответствии с требованиями для расследований инцидентов безопасности и реагирования на безопасность и соответствия требованиям.

Руководство по Azure: Включите возможность ведения журнала для ресурсов на разных уровнях, таких как журналы для ресурсов Azure, операционных систем и приложений в виртуальных машинах и других типах журналов.

Помните о различных типах журналов для безопасности, аудита и других журналов операций на уровне управления и уровнях плоскости данных. На платформе Azure доступны три типа журналов:

  • Журнал ресурсов Azure: ведение журнала операций, выполняемых в ресурсе Azure (плоскости данных). Например, получение секрета из хранилища ключей или запрос к базе данных. Содержимое журналов ресурсов зависит от типа службы и ресурса Azure.
  • Журнал действий Azure: ведение журналов операций на каждом ресурсе Azure на уровне подписки снаружи (плоскость управления). Журнал действий можно использовать для определения того, что, кто и когда для любых операций записи (PUT, POST, DELETE) с ресурсами в вашей подписке. Для каждой подписки Azure существует один журнал действий.
  • Журналы Azure Active Directory: журналы истории активности входа в систему и аудита изменений, внесенных в Azure Active Directory для определенного тенанта.

Вы также можете использовать Microsoft Defender для облака и Azure Policy для активации журналов ресурсов и сбора данных в ресурсах Azure.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-4. Включение ведения сетевого журнала для исследования безопасности

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
8.2, 8.5, 8.6, 8.7, 13.6 AU-3, AU-6, AU-12, SI-4 10.8

Принцип безопасности: Включите ведение журнала для сетевых служб для поддержки расследований инцидентов, связанных с сетью, охоты на угрозы и создания оповещений системы безопасности. Сетевые журналы могут включать в себя журналы сетевых служб, таких как фильтрация IP-адресов, брандмауэр сети и приложений, DNS, мониторинг потоков и т. д.

Руководство по Azure: Включение и сбор журналов ресурсов группы безопасности сети (NSG), журналов потоков NSG, журналов брандмауэра Azure и журналов брандмауэра веб-приложений (WAF) для анализа безопасности для поддержки расследований инцидентов и создания оповещений системы безопасности. Журналы потоков можно отправлять в рабочую область Azure Monitor Log Analytics, а затем использовать аналитику трафика для предоставления аналитических сведений.

Сбор журналов запросов DNS для сопоставления других сетевых данных.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-5: централизованные управление журналом безопасности и анализ

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
8.9, 8.11, 13.1 AU-3, AU-6, AU-12, SI-4 Не применимо

Принцип безопасности: Централизация хранилища журналов и анализа для обеспечения корреляции между данными журнала. Для каждого источника журнала убедитесь, что назначен владелец данных, разработано руководство по доступу, есть место хранения, определено, какие средства используются для обработки данных и доступа к ним, и установлены требования к хранению данных.

Руководство по Azure: Убедитесь, что вы интегрируете журналы действий Azure в централизованную рабочую область Log Analytics. Используйте Azure Monitor для запроса и выполнения анализа и создания правил генерации оповещений на основе журналов, собранных из служб Azure, с конечных устройств, из сетевых ресурсов и других систем безопасности.

Кроме того, включите и интегрируйте данные в Azure Sentinel, которое обеспечивает управление событиями безопасности (SIEM) и автоматическое реагирование системы безопасности (SOAR).

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-6: Настройка хранения журналов

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
8.3, 8.10 AU-11 10.5, 10.7

Принцип безопасности: Запланируйте стратегию хранения журналов в соответствии с вашими требованиями к соответствию, нормативным требованиям и бизнес-требованиям. Настройте политику хранения журналов для отдельных служб ведения журналов, чтобы обеспечить надлежащее архивирование журналов.

Руководство по Azure: Журналы, такие как события журналов действий Azure, сохраняются в течение 90 дней, а затем удаляются. Необходимо создать параметр диагностики и перенаправить записи журнала в другое расположение (например, рабочую область Azure Monitor Log Analytics, Центры событий или службу хранилища Azure) в зависимости от ваших потребностей. Эта стратегия также применяется к другим журналам ресурсов и ресурсам, управляемым самостоятельно, например журналам в операционных системах и приложениях на виртуальных машинах.

У вас есть параметр хранения журналов, как показано ниже:

  • Используйте рабочую область Azure Monitor Log Analytics для периода хранения журналов до 1 года или в соответствии с требованиями группы реагирования.
  • Используйте службу хранилища Azure, Data Explorer или Data Lake для долгосрочного и архивного хранилища в течение более 1 года и для соответствия требованиям к обеспечению безопасности.
  • Используйте Центры событий Azure для пересылки журналов за пределами Azure.

Примечание. Azure Sentinel использует рабочую область Log Analytics в качестве серверной части для хранения журналов. Если вы планируете хранить журналы SIEM в течение длительного времени, следует рассмотреть стратегию долгосрочного хранения.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

LT-7. Использование утвержденных источников синхронизации времени

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
8.4 АУ-8 10.4

Принцип безопасности: Используйте утвержденные источники синхронизации времени для метки времени ведения журнала, включающую сведения о дате, времени и часовом поясе.

Руководство по Azure: Корпорация Майкрософт поддерживает источники времени для большинства служб PaaS и SaaS Azure. Для операционных систем вычислительных ресурсов используйте сервер NTP по умолчанию Майкрософт для синхронизации времени, если у вас нет определенного требования. Если вам нужно настроить собственный сервер протокола сетевого времени (NTP), убедитесь, что вы защищаете UDP-порт 123.

Все журналы, созданные ресурсами в Azure, предоставляют метки времени с часовыми поясами, указанными по умолчанию.

Реализация и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):