Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für diese Empfehlung der Azure Well-Architected Framework-Sicherheitsprüfliste:
| SE:10 | Implementieren Sie eine ganzheitliche Überwachungsstrategie, die auf modernen Bedrohungserkennungsmechanismen basiert, die in die Plattform integriert werden können. Mechanismen sollten zuverlässig alarmieren, um Signale an bestehende SecOps-Prozesse zu senden und zu triagen. |
|---|
In diesem Leitfaden werden die Empfehlungen für die Überwachung und Bedrohungserkennung beschrieben. Die Überwachung ist grundsätzlich ein Prozess zum Abrufen von Informationen zu Ereignissen, die bereits aufgetreten sind. Die Sicherheitsüberwachung ist eine Praxis zum Erfassen von Informationen in unterschiedlichen Höhen der Arbeitsauslastung (Infrastruktur, Anwendung, Betrieb), um verdächtige Aktivitäten zu sensibilisieren. Ziel ist es, Vorfälle vorherzusagen und aus früheren Ereignissen zu lernen. Überwachungsdaten bieten die Grundlage für die Analyse nach dem Vorfall, was aufgetreten ist, um die Reaktion auf Vorfälle und forensische Untersuchungen zu unterstützen.
Die Überwachung ist ein Operational Excellence-Ansatz, der auf allen Well-Architected Rahmenpfeilern angewendet wird. Dieser Leitfaden enthält Empfehlungen nur aus Sicherheitsperspektive. Allgemeine Konzepte der Überwachung, z. B. Codeinstrumentation, Datensammlung und Analyse, liegen in diesem Leitfaden außerhalb des Gültigkeitsbereichs. Informationen zu kernen Überwachungskonzepten finden Sie unter Empfehlungen zum Entwerfen und Erstellen eines Observability-Frameworks.
Definitionen
| Begriff | Definition |
|---|---|
| Überwachungsprotokolle | Eine Aufzeichnung von Aktivitäten in einem System. |
| Sicherheitsinformationen und Ereignisverwaltung (SIEM) | Ein Ansatz, der integrierte Bedrohungserkennungs- und Intelligence-Funktionen verwendet, die auf Daten basieren, die aus mehreren Quellen aggregiert werden. |
| Bedrohungserkennung | Eine Strategie zum Erkennen von Abweichungen von erwarteten Aktionen mithilfe gesammelter, analysierter und korrelierter Daten. |
| Bedrohungsinformationen | Eine Strategie zum Interpretieren von Bedrohungserkennungsdaten zum Erkennen verdächtiger Aktivitäten oder Bedrohungen durch Untersuchen von Mustern. |
| Bedrohungsprävention | Sicherheitskontrollen, die in verschiedenen Höhen in einer Arbeitsauslastung platziert werden, um ihre Ressourcen zu schützen. |
Der Hauptzweck der Sicherheitsüberwachung ist die Bedrohungserkennung. Das Hauptziel besteht darin, potenzielle Sicherheitsverletzungen zu verhindern und eine sichere Umgebung aufrechtzuerhalten. Es ist jedoch ebenso wichtig zu erkennen, dass nicht alle Bedrohungen präventiv blockiert werden können. In solchen Fällen dient die Überwachung auch als Mechanismus, um die Ursache eines Sicherheitsvorfalls zu identifizieren, der trotz der Präventionsbemühungen aufgetreten ist.
Die Überwachung kann aus verschiedenen Blickwinkeln angegangen werden:
Überwachen Sie auf verschiedenen Höhen. Die Beobachtung von verschiedenen Höhen ist der Prozess des Abrufens von Informationen über Benutzerflüsse, Datenzugriff, Identität, Netzwerk und sogar das Betriebssystem. Jeder dieser Bereiche bietet einzigartige Einblicke, die Ihnen helfen können, Abweichungen von erwarteten Verhaltensweisen zu identifizieren, die anhand der Sicherheitsgrundwerte erstellt werden. Umgekehrt kann die kontinuierliche Überwachung eines Systems und anwendungen im Laufe der Zeit dazu beitragen, diesen Basisplan zu etablieren. In der Regel sehen Sie in der Regel etwa 1.000 Anmeldeversuche in Ihrem Identitätssystem pro Stunde. Wenn Ihre Überwachung eine Spitzenanzahl von 50.000 Anmeldeversuchen während eines kurzen Zeitraums erkennt, versucht ein Angreifer möglicherweise, Zugriff auf Ihr System zu erhalten.
Überwachen Sie auf verschiedene Wirkungsbereiche. Es ist wichtig, die Anwendung und die Plattform zu beobachten. Gehen Sie davon aus, dass ein Anwendungsbenutzer versehentlich eskalierte Berechtigungen erhält oder eine Sicherheitsverletzung auftritt. Wenn der Benutzer Aktionen außerhalb seines festgelegten Bereichs ausführt, kann die Auswirkung auf Aktionen beschränkt sein, die andere Benutzer ausführen können.
Wenn jedoch eine interne Entität eine Datenbank kompromittiert, ist das Ausmaß des potenziellen Schadens unsicher.
Wenn eine Kompromittierung auf der Azure-Ressourcenseite auftritt, kann die Auswirkung global sein, was sich auf alle Entitäten auswirkt, die mit der Ressource interagieren.
Je nachdem, welche dieser Szenarien auftreten, kann der Strahlradius oder der Wirkungsbereich erheblich unterschiedlich sein.
Verwenden Sie spezielle Überwachungstools. Es ist wichtig, in spezialisierte Tools zu investieren, die kontinuierlich nach einem anomalien Verhalten suchen können, das auf einen Angriff hinweisen kann. Die meisten dieser Tools verfügen über Funktionen zur Bedrohungserkennung , die basierend auf einer großen Menge an Daten und bekannten Bedrohungen eine Predictive Analysis durchführen können. Die meisten Tools sind nicht zustandslos und enthalten ein tiefes Verständnis der Telemetrie in einem Sicherheitskontext.
Die Tools müssen plattformintegriert oder zumindest plattformfähig sein, um tiefe Signale von der Plattform zu erhalten und Vorhersagen mit hoher Genauigkeit zu erstellen. Sie müssen in der Lage sein, Warnungen rechtzeitig mit ausreichend Informationen zu generieren, um eine ordnungsgemäße Triage durchzuführen. Die Verwendung zu vieler verschiedener Tools kann zu Komplexität führen.
Verwenden Sie die Überwachung für die Reaktion auf Vorfälle. Aggregierte Daten, die in umsetzbare Intelligenz umgewandelt werden, ermöglichen schnelle und effektive Reaktionen auf Vorfälle. Die Überwachung hilft bei Aktivitäten nach dem Vorfall. Ziel ist es, genügend Daten zu sammeln, um zu analysieren und zu verstehen, was passiert ist. Der Prozess der Überwachung erfasst Informationen zu früheren Ereignissen, um reaktive Funktionen zu verbessern und potenzielle zukünftige Vorfälle vorherzusagen.
Die folgenden Abschnitte enthalten empfohlene Methoden, die die vorherigen Überwachungsperspektiven enthalten.
Erfassen von Daten, um einen Überblick über Aktivitäten zu behalten
Ziel ist es, einen umfassenden Prüfpfad von Ereignissen aufrechtzuerhalten, die aus Sicherheitsgründen von Bedeutung sind. Die Protokollierung ist die am häufigsten verwendete Methode zum Erfassen von Zugriffsmustern. Die Protokollierung muss für die Anwendung und die Plattform ausgeführt werden.
Für einen Überwachungspfad müssen Sie festlegen, was, wann und wer mit Aktionen verknüpft ist. Sie müssen die spezifischen Zeitrahmen identifizieren, wenn Aktionen ausgeführt werden. Machen Sie diese Bewertung in Ihrer Bedrohungsmodellierung. Um einer Abstreitungsbedrohung entgegenzuwirken, sollten Sie starke Protokollierungs- und Überwachungssysteme einrichten, die zu einer Aufzeichnung von Aktivitäten und Transaktionen führen.
In den folgenden Abschnitten werden Anwendungsfälle für einige häufige Höhen einer Arbeitsauslastung beschrieben.
Anwendungsbenutzerflüsse
Ihre Anwendung sollte so konzipiert sein, dass die Laufzeitsicht beim Auftreten von Ereignissen bereitgestellt wird. Identifizieren Sie kritische Punkte in Ihrer Anwendung, und richten Sie die Protokollierung für diese Punkte ein. Wenn sich beispielsweise ein Benutzer bei der Anwendung anmeldet, erfassen Sie die Identität, den Quellspeicherort und andere relevante Informationen des Benutzers. Es ist wichtig, jede Eskalation der Benutzerberechtigungen, die vom Benutzer ausgeführten Aktionen und ob der Benutzer auf vertrauliche Informationen in einem sicheren Datenspeicher zugegriffen hat. Verfolgen Sie Aktivitäten für den Benutzer und die Benutzersitzung nach.
Um diese Nachverfolgung zu erleichtern, sollte der Code über die strukturierte Protokollierung instrumentiert werden. Dies ermöglicht eine einfache und einheitliche Abfrage und Filterung der Protokolle.
Von Bedeutung
Sie müssen die verantwortungsvolle Protokollierung erzwingen, um die Vertraulichkeit und Integrität Ihres Systems aufrechtzuerhalten. Geheime und vertrauliche Daten dürfen nicht in Protokollen angezeigt werden. Achten Sie darauf, dass personenbezogene Daten und andere Complianceanforderungen beim Erfassen dieser Protokolldaten verloren gehen.
Identitäts- und Zugriffsüberwachung
Verwalten Sie eine gründliche Aufzeichnung der Zugriffsmuster für die Anwendung und Änderungen an Plattformressourcen. Verfügen Sie über robuste Aktivitätsprotokolle und Bedrohungserkennungsmechanismen, insbesondere für identitätsbezogene Aktivitäten, da Angreifer häufig versuchen, Identitäten zu manipulieren, um nicht autorisierten Zugriff zu erhalten.
Implementieren Sie umfassende Protokollierung mithilfe aller verfügbaren Datenpunkte. Schließen Sie beispielsweise die Client-IP-Adresse ein, um zwischen normalen Benutzeraktivitäten und potenziellen Bedrohungen von unerwarteten Standorten zu unterscheiden. Alle Protokollierungsereignisse sollten vom Server zeitstempelt werden.
Zeichnen Sie alle Ressourcenzugriffsaktivitäten auf, und erfassen Sie, wer was tut, und wann sie dies tun. Instanzen der Berechtigungseskalation sind ein wichtiger Datenpunkt, der protokolliert werden sollte. Aktionen im Zusammenhang mit der Kontoerstellung oder -löschung durch die Anwendung müssen ebenfalls aufgezeichnet werden. Diese Empfehlung erstreckt sich auf Anwendungsgeheimnisse. Überwachen Sie, wer auf geheime Schlüssel zugreift und wann sie gedreht werden.
Obwohl die Protokollierung erfolgreicher Aktionen wichtig ist, ist das Aufzeichnen von Fehlern aus Sicherheitsgründen erforderlich. Dokumentieren Sie alle Verstöße, z. B. einen Benutzer, der eine Aktion versucht, aber auf einen Autorisierungsfehler stößt, Zugriffsversuche für nicht vorhandene Ressourcen und andere Aktionen, die verdächtig erscheinen.
Netzwerküberwachung
Durch die Überwachung von Netzwerkpaketen und deren Quellen, Zielen und Strukturen erhalten Sie Einblicke in Zugriffsmuster auf Netzwerkebene.
Ihr Segmentierungsdesign sollte Beobachtungspunkte an den Grenzen ermöglichen , um zu überwachen, was sie überschreitet, und diese Daten protokollieren. Überwachen Sie z. B. Subnetze mit Netzwerksicherheitsgruppen, die Ablaufprotokolle generieren. Überwachen Sie außerdem Firewallprotokolle, die die zulässigen oder verweigerten Flüsse anzeigen.
Es gibt Zugriffsprotokolle für eingehende Verbindungsanforderungen. Diese Protokolle notieren die Quell-IP-Adressen, die die Anforderungen initiieren, den Typ der Anforderung (GET, POST) und alle anderen Informationen, die Teil der Anforderungen sind.
Die Erfassung von DNS-Flüssen ist eine wichtige Anforderung für viele Organisationen. Beispielsweise können DNS-Protokolle helfen, zu identifizieren, welcher Benutzer oder Gerät eine bestimmte DNS-Abfrage initiiert hat. Indem Sie DNS-Aktivitäten mit Benutzer-/Geräteauthentifizierungsprotokollen korrelieren, können Sie Aktivitäten auf einzelne Clients nachverfolgen. Diese Verantwortung erstreckt sich häufig auf das Workloadteam, insbesondere, wenn sie etwas bereitstellen, das DNS-Anforderungen zu einem Teil ihres Vorgangs macht. DIE DNS-Datenverkehrsanalyse ist ein wichtiger Aspekt der Plattformsicherheitsbeobachtbarkeit.
Es ist wichtig, unerwartete DNS-Anforderungen oder DNS-Anforderungen zu überwachen, die an bekannte Befehls- und Kontrollendpunkte gerichtet sind.
Tradeoff: Die Protokollierung aller Netzwerkaktivitäten kann zu einer großen Datenmenge führen. Jede Anforderung von Ebene 3 kann in einem Flussprotokoll aufgezeichnet werden, einschließlich jeder Transaktion, die eine Subnetzgrenze überschreitet. Leider ist es nicht möglich, nur unerwünschte Ereignisse zu erfassen, da sie erst nach dem Auftreten identifiziert werden können. Treffen Sie strategische Entscheidungen über die Art von Ereignissen, die erfasst werden sollen, und wie lange sie gespeichert werden sollen. Wenn Sie nicht vorsichtig sind, kann die Verwaltung der Daten überwältigend sein. Es gibt auch einen Kompromiss bei den Kosten für das Speichern dieser Daten.
Aufgrund der Kompromisse sollten Sie überlegen, ob der Vorteil der Netzwerküberwachung Ihrer Workload ausreicht, um die Kosten zu rechtfertigen. Wenn Sie über eine Webanwendungslösung mit einem hohen Anforderungsvolumen verfügen und Ihr System verwaltete Azure-Ressourcen umfassend nutzt, können die Kosten die Vorteile überwiegen. Wenn Sie dagegen über eine Lösung verfügen, die für die Verwendung virtueller Computer mit verschiedenen Ports und Anwendungen entwickelt wurde, kann es wichtig sein, Netzwerkprotokolle zu erfassen und zu analysieren.
Erfassen von Systemänderungen
Um die Integrität Ihres Systems aufrechtzuerhalten, sollten Sie über einen genauen und up-to-Datumsdatensatz des Systemzustands verfügen. Wenn Änderungen vorhanden sind, können Sie diesen Datensatz verwenden, um probleme zu beheben, die auftreten.
Buildprozesse sollten auch Telemetrie ausgeben. Das Verständnis des Sicherheitskontexts von Ereignissen ist der Schlüssel. Wenn Sie wissen, was den Buildprozess ausgelöst hat, wer ihn ausgelöst hat und wann er ausgelöst wurde, können wertvolle Erkenntnisse liefern.
Verfolgen Sie , wann Ressourcen erstellt werden und wann sie außer Betrieb genommen werden. Diese Informationen müssen aus der Plattform extrahiert werden. Diese Informationen bieten wertvolle Einblicke für ressourcenmanagement und rechenschaftspflichtig.
Überwachen der Drift in der Ressourcenkonfiguration. Dokumentieren Sie alle Änderungen an einer vorhandenen Ressource. Verfolgen Sie auch Änderungen, die im Rahmen eines Rollouts für eine Ressourcenflotte nicht abgeschlossen sind. Protokolle müssen die Einzelheiten der Änderung und die genaue Uhrzeit erfassen, zu der sie aufgetreten ist.
Haben Sie eine umfassende Ansicht, aus sicht des Patchings, ob das System up-to-datum und sicher ist. Überwachen Sie Routineaktualisierungsprozesse , um sicherzustellen, dass sie wie geplant abgeschlossen sind. Ein Nicht abgeschlossener Sicherheitspatchingprozess sollte als Sicherheitsanfälligkeit betrachtet werden. Sie sollten auch einen Bestand verwalten, in dem die Patchebenen und alle anderen erforderlichen Details aufgezeichnet werden.
Die Änderungserkennung gilt auch für das Betriebssystem. Dies umfasst das Nachverfolgen, ob Dienste hinzugefügt oder deaktiviert werden. Es umfasst auch die Überwachung der Hinzufügung neuer Benutzer zum System. Es gibt Tools, die für ein Betriebssystem konzipiert sind. Sie helfen bei kontextloser Überwachung im Sinne, dass sie nicht auf die Funktionalität der Workload abzielen. Die Dateiintegritätsüberwachung ist beispielsweise ein wichtiges Tool, mit dem Sie Änderungen in Systemdateien nachverfolgen können.
Sie sollten Warnungen für diese Änderungen einrichten, insbesondere, wenn Sie nicht erwarten, dass sie häufig auftreten.
Von Bedeutung
Achten Sie beim Rollout in der Produktion darauf, dass Warnungen so konfiguriert sind, dass anomale Aktivitäten erfasst werden, die für die Anwendungsressourcen und den Erstellungsprozess erkannt werden.
Schließen Sie in Ihren Testplänen die Überprüfung der Protokollierung und Benachrichtigung als priorisierte Testfälle ein.
Speichern, Aggregieren und Analysieren von Daten
Daten, die aus diesen Überwachungsaktivitäten gesammelt werden, müssen in Datensenken gespeichert werden, wo sie gründlich untersucht, normalisiert und korreliert werden können. Sicherheitsdaten sollten außerhalb der eigenen Datenspeicher des Systems gespeichert werden. Überwachungssenken, unabhängig davon, ob sie lokalisiert oder zentral sind, müssen die Datenquellen überleben. Die Senken können nicht kurzlebig sein , da Senken die Quelle für Angriffserkennungssysteme sind.
Netzwerkprotokolle können ausführlich sein und Speicherplatz belegen. Erkunden Sie verschiedene Ebenen in Speichersystemen. Protokolle können im Laufe der Zeit natürlich auf kälteren Speicher umsteigen. Dieser Ansatz ist vorteilhaft, da ältere Ablaufprotokolle in der Regel nicht aktiv verwendet werden und nur bei Bedarf benötigt werden. Mit dieser Methode wird eine effiziente Speicherverwaltung sichergestellt und gleichzeitig sichergestellt, dass Sie bei Bedarf auf historische Daten zugreifen können.
Die Flüsse Ihrer Workload sind in der Regel eine Kombination aus mehreren Protokollierungsquellen. Überwachungsdaten müssen intelligent in allen diesen Quellen analysiert werden. Ihre Firewall blockiert beispielsweise nur den Datenverkehr, der sie erreicht. Wenn Sie über eine Netzwerksicherheitsgruppe verfügen, die bereits bestimmten Datenverkehr blockiert hat, ist dieser Datenverkehr für die Firewall nicht sichtbar. Um die Abfolge von Ereignissen zu rekonstruieren, müssen Sie Daten aus allen Komponenten aggregieren, die sich im Fluss befinden, und dann Daten aus allen Flüssen aggregieren. Diese Daten sind besonders hilfreich in einem Szenario für die Reaktion auf Vorfälle, wenn Sie versuchen, zu verstehen, was passiert ist. Eine genaue Zeiterfassung ist unerlässlich. Für Sicherheitszwecke müssen alle Systeme eine Netzwerkzeitquelle verwenden, damit sie immer synchronisiert sind.
Zentrale Bedrohungserkennung mit korrelierten Protokollen
Sie können ein System wie Sicherheitsinformations- und Ereignisverwaltung (SIEM) verwenden, um Sicherheitsdaten an einem zentralen Ort zu konsolidieren , an dem es über verschiedene Dienste hinweg korreliert werden kann. Diese Systeme verfügen über integrierte Mechanismen zur Bedrohungserkennung . Sie können eine Verbindung mit externen Feeds herstellen , um Bedrohungserkennungsdaten abzurufen. Microsoft veröffentlicht beispielsweise Threat Intelligence-Daten, die Sie verwenden können. Sie können auch Bedrohungserkennungsfeeds von anderen Anbietern wie Anomali und FireEye kaufen. Diese Feeds können wertvolle Einblicke liefern und Ihren Sicherheitsstatus verbessern. Informationen zu Bedrohungserkenntnissen von Microsoft finden Sie unter Security Insider.
Ein SIEM-System kann Warnungen basierend auf korrelierten und normalisierten Daten generieren. Diese Warnungen sind eine wichtige Ressource während eines Vorfallreaktionsprozesses.
SIEM-Systeme werden in der Regel von den zentralen Teams einer Organisation verwaltet. Wenn Ihre Organisation keins hat, erwägen Sie, dafür zu werben. Sie könnte die Last der manuellen Protokollanalyse und -korrelation verringern, um ein effizienteres und effektiveres Sicherheitsmanagement zu ermöglichen.
Einige kostengünstige Optionen werden von Microsoft bereitgestellt. Viele Microsoft Defender-Produkte bieten die Warnfunktion eines SIEM-Systems, jedoch ohne Datenaggregation.
Durch die Kombination mehrerer kleinerer Tools können Sie einige Funktionen eines SIEM-Systems emulieren. Sie müssen jedoch wissen, dass diese Verschiebungslösungen möglicherweise keine Korrelationsanalyse durchführen können. Diese Alternativen können nützlich sein, aber sie ersetzen möglicherweise nicht vollständig die Funktionalität eines dedizierten SIEM-Systems.
Erkennen von Missbrauch
Seien Sie proaktiv bei der Bedrohungserkennung und achten Sie auf Anzeichen von Missbrauch, z. B. Identitäts-Brute-Force-Angriffe auf eine SSH-Komponente oder einen RDP-Endpunkt. Auch wenn externe Bedrohungen viel Lärm verursachen könnten, insbesondere wenn die Anwendung dem Internet ausgesetzt ist, sind interne Bedrohungen häufig ein größeres Problem. Ein unerwarteter Brute-Force-Angriff von einer vertrauenswürdigen Netzwerkquelle oder einer versehentlichen fehlkonfigurierten Konfiguration sollte z. B. sofort untersucht werden.
Halten Sie mit Ihren Härtepraktiken schritt. Die Überwachung ist kein Ersatz für die proaktive Härtung Ihrer Umgebung. Ein größerer Oberflächenbereich ist anfällig für mehr Angriffe. Engere Kontrollen so viel wie die Praxis. Erkennen und deaktivieren Sie nicht verwendete Konten, entfernen Sie nicht verwendete Ports, und verwenden Sie beispielsweise eine Webanwendungsfirewall. Weitere Informationen zu Härtungstechniken finden Sie unter Empfehlungen zur Sicherheitshärtung.
Die signaturbasierte Erkennung kann ein System detailliert prüfen. Es umfasst die Suche nach Zeichen oder Korrelationen zwischen Aktivitäten, die auf einen potenziellen Angriff hinweisen können. Ein Erkennungsmechanismus kann bestimmte Merkmale identifizieren, die auf einen bestimmten Angriffstyp hinweisen. Möglicherweise ist es nicht immer möglich, den Befehls- und Kontrollmechanismus eines Angriffs direkt zu erkennen. Es gibt jedoch häufig Hinweise oder Muster, die einem bestimmten Befehls- und Steuerungsprozess zugeordnet sind. Beispielsweise kann ein Angriff durch eine bestimmte Flussrate aus Anforderungsperspektive angegeben werden, oder er greift häufig auf Domänen zu, die bestimmte Endungen aufweisen.
Erkennen Sie anomale Benutzerzugriffsmuster , damit Sie Abweichungen von erwarteten Mustern identifizieren und untersuchen können. Dies umfasst den Vergleich des aktuellen Benutzerverhaltens mit dem bisherigen Verhalten, um Anomalien zu erkennen. Obwohl es möglicherweise nicht möglich ist, diese Aufgabe manuell auszuführen, können Sie bedrohungsintelligenz-Tools verwenden, um sie zu erledigen. Investieren Sie in Tools für Benutzer- und Entitätsverhaltensanalysen (User and Entity Behavior Analytics, UEBA), die das Benutzerverhalten aus der Überwachung von Daten sammeln und analysieren. Diese Tools können häufig prädiktive Analysen durchführen, die verdächtige Verhaltensweisen potenziellen Angriffstypen ordnet.
Erkennen von Bedrohungen während der Vorbereitstellung und nach der Bereitstellung. Integrieren Sie während der Phase vor der Bereitstellung Sicherheitsrisiken in Pipelines und ergreifen Sie erforderliche Maßnahmen basierend auf den Ergebnissen. Nach der Bereitstellung führen Sie weiterhin Sicherheitsrisikoüberprüfungen durch. Sie können Tools wie Microsoft Defender für Container verwenden, die Containerimages überprüft. Schließen Sie die Ergebnisse in die gesammelten Daten ein. Informationen zu sicheren Entwicklungspraktiken finden Sie unter Empfehlungen für die Verwendung sicherer Bereitstellungsmethoden.
Nutzen Sie plattformgestützte Erkennungsmechanismen und -maßnahmen. Beispielsweise kann Azure Firewall Datenverkehr analysieren und Verbindungen zu nicht vertrauenswürdigen Zielen blockieren. Azure bietet außerdem Möglichkeiten, verteilte Denial-of-Service-Angriffe (DDoS) zu erkennen und zu schützen.
Azure-Erleichterung
Azure Monitor bietet Observability in Ihrer gesamten Umgebung. Ohne Konfiguration erhalten Sie automatisch Plattformmetriken, Aktivitätsprotokolle und Diagnoseprotokolle aus den meisten Ihrer Azure-Ressourcen. Die Aktivitätsprotokolle enthalten detaillierte Diagnose- und Überwachungsinformationen.
Hinweis
Plattformprotokolle sind nicht unbegrenzt verfügbar. Sie müssen sie beibehalten, damit Sie sie später für Überwachungszwecke oder Offlineanalysen überprüfen können. Verwenden Sie Azure-Speicherkonten für den langfristigen/archivierungsbasierten Speicher. Geben Sie in Azure Monitor einen Aufbewahrungszeitraum an, wenn Sie Diagnoseeinstellungen für Ihre Ressourcen aktivieren.
Richten Sie Warnungen basierend auf vordefinierten oder benutzerdefinierten Metriken und Protokollen ein, um Benachrichtigungen zu erhalten, wenn bestimmte sicherheitsbezogene Ereignisse oder Anomalien erkannt werden.
Weitere Informationen finden Sie in der Dokumentation zu Azure Monitor.
Microsoft Defender für Cloud bietet integrierte Funktionen für die Bedrohungserkennung. Sie arbeitet auf gesammelten Daten und analysiert Protokolle. Da die Typen der generierten Protokolle bekannt sind, können integrierte Regeln verwendet werden, um fundierte Entscheidungen zu treffen. So werden beispielsweise Listen mit potenziell kompromittierten IP-Adressen überprüft und Warnungen generiert.
Aktivieren Sie integrierte Bedrohungsschutzdienste für Azure-Ressourcen. Aktivieren Sie beispielsweise Microsoft Defender für Azure-Ressourcen wie virtuelle Computer, Datenbanken und Container, um bekannte Bedrohungen zu erkennen und zu schützen.
Defender für Cloud bietet CWPP-Funktionen (Cloud Workload Protection Platform) für die Bedrohungserkennung aller Workloadressourcen.
Weitere Informationen finden Sie unter Was ist Microsoft Defender für Cloud?.
Warnungen, die von Defender generiert werden, können auch in SIEM-Systeme eingespeist werden. Microsoft Sentinel ist das native Angebot. Es verwendet KI und maschinelles Lernen, um Sicherheitsbedrohungen in Echtzeit zu erkennen und darauf zu reagieren. Sie bietet eine zentrale Ansicht der Sicherheitsdaten und erleichtert proaktive Bedrohungssuche und -untersuchung.
Weitere Informationen finden Sie unter Was ist Microsoft Sentinel?.
Microsoft Sentinel kann auch Bedrohungserkennungsfeeds aus verschiedenen Quellen verwenden. Weitere Informationen finden Sie unter Threat Intelligence Integration in Microsoft Sentinel.
Microsoft Sentinel kann das Benutzerverhalten aus Überwachungsdaten analysieren. Weitere Informationen finden Sie unter Identifizieren erweiterter Bedrohungen mit User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel.
Defender und Microsoft Sentinel arbeiten trotz einiger Überlappungen in der Funktionalität zusammen. Diese Zusammenarbeit verbessert Ihren gesamten Sicherheitsstatus, indem sie eine umfassende Bedrohungserkennung und -reaktion sicherstellen.
Nutzen Sie Das Azure Business Continuity Center , um Lücken in Ihrem Geschäftskontinuitätsbestand zu identifizieren und vor Bedrohungen wie Ransomware-Angriffen, böswilligen Aktivitäten und Fälschungsadministratorvorfällen zu schützen. Weitere Informationen finden Sie unter Was ist Azure Business Continuity Center?.
Vernetzung
Überprüfen Sie alle Protokolle, einschließlich unformatiertem Datenverkehr, von Ihren Netzwerkgeräten.
Protokolle des virtuellen Netzwerkflusses. Überprüfen Sie Ablaufprotokolle und Diagnoseprotokolle.
Azure Network Watcher. Nutzen Sie das Paketerfassungsfeature , um Warnungen festzulegen und Zugriff auf Echtzeitleistungsinformationen auf Paketebene zu erhalten.
Die Paketerfassung verfolgt den Datenverkehr in und aus virtuellen Computern. Sie können diese verwenden, um proaktive Erfassungen basierend auf definierten Netzwerkanomalien auszuführen, einschließlich Informationen zu Netzwerkangriffen.
Ein Beispiel finden Sie unter "Proaktives Überwachen von Netzwerken mit Warnungen und Azure-Funktionen mithilfe der Paketerfassung".
Verwenden Sie Datenverkehrsanalysen , um Protokolle des virtuellen Netzwerkflusses zu analysieren und zu bereichern und Einblicke in den Datenverkehrsfluss zu erhalten. Mit integrierten Abfragen erhalten Sie Einblicke in blockierten Datenverkehr, böswillige Flüsse und aktive Ports, die dem Internet in Ihrer Azure-Infrastruktur zur Verfügung gestellt werden. Verwenden Sie Datenverkehrsanalysen, um Zero Trust-Sicherheit zu unterstützen, indem Sie Segmentierung, Sichtbarkeit von Datenverkehrsflüssen und Erkennung von anomalien oder nicht autorisierten Aktivitäten ermöglichen.
Verwenden Sie KI-gestützte Sicherheitsfunktionen, um die Bedrohungserkennung zu verbessern. Die Integration der Azure-Webanwendungsfirewall in Microsoft Security Copilot bietet KI-gestützte Bedrohungsanalyse- und Antwortfunktionen für Webanwendungsfirewall-Ereignisse sowohl von Azure Front Door als auch vom Azure-Anwendungsgateway. Azure Firewall ist auch in Security Copilot integriert , um bösartigen Datenverkehr zu untersuchen, der von der IdPS-Funktion (Intrusion Detection and Prevention System) abgefangen wird.|
Identität
Überwachen Sie identitätsbezogene Risikoereignisse auf potenziell kompromittierte Identitäten, und beheben Sie diese Risiken. Überprüfen Sie die gemeldeten Risikoereignisse auf folgende Weise:
Verwenden Sie die Microsoft Entra-ID-Berichterstellung. Weitere Informationen finden Sie unter "Was ist Identitätsschutz? und Identitätsschutz".
Verwenden Sie die Api-Mitglieder der Identitätsschutz-Risikoerkennung, um programmgesteuerten Zugriff auf Sicherheitserkennungen über Microsoft Graph zu erhalten. Weitere Informationen finden Sie unter riskDetection und riskyUser.
Microsoft Entra ID verwendet adaptive Machine Learning-Algorithmen, Heuristiken und bekannte kompromittierte Anmeldeinformationen (Benutzername und Kennwortpaare), um verdächtige Aktionen zu erkennen, die sich auf Ihre Benutzerkonten beziehen. Diese Benutzernamen- und Kennwortpaare werden durch Die Überwachung des öffentlichen und dunklen Webs und durch die Zusammenarbeit mit Sicherheitsforschern, Strafverfolgungsbehörden, Sicherheitsteams bei Microsoft und anderen angezeigt.
Azure-Pipelines
DevOps befürwortet die Änderungsverwaltung von Workloads über kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD). Achten Sie darauf, die Sicherheitsüberprüfung in den Pipelines hinzuzufügen. Befolgen Sie die unter Sicherung von Azure-Pipelines beschriebenen Anleitungen.
Verwandte Links
- Empfehlungen für das Entwerfen und Erstellen eines Observability-Frameworks
- Sicherheits-Insider
- Empfehlungen für die Härtung von Ressourcen
- Empfehlungen für die Verwendung sicherer Bereitstellungsmethoden
- Azure Monitor-Dokumentation
- Was ist Microsoft Defender für Cloud?
- Was ist Microsoft Sentinel?
- Integration der Bedrohungserkennung in Microsoft Sentinel
- Identifizieren erweiterter Bedrohungen mit User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel
- Lernprogramm: Protokollieren von Netzwerkdatenverkehr zu und von einem virtuellen Computer über das Azure-Portal
- Paketerfassung
- Proaktives Überwachen von Netzwerken mit Warnungen und Azure-Funktionen mithilfe der Paketerfassung
- Was ist Identity Protection?
- Identitätsschutz
- riskDetection
- riskyUser
- Erfahren Sie, wie Sie Ihrer CI/CD-Pipeline eine kontinuierliche Sicherheitsüberprüfung hinzufügen.
Sicherheitsprüfliste
Lesen Sie den vollständigen Satz von Empfehlungen.