Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Das aktuellste up-to-Update des Azure Security Benchmark ist hier verfügbar.
Protokollierung und Bedrohungserkennung umfasst Steuerelemente zum Erkennen von Bedrohungen in Azure und das Aktivieren, Sammeln und Speichern von Überwachungsprotokollen für Azure-Dienste. Dazu gehört die Aktivierung von Erkennungs-, Untersuchungs- und Wartungsprozessen mit Kontrollen, um qualitativ hochwertige Warnungen mit systemeigener Bedrohungserkennung in Azure-Diensten zu generieren; sie umfasst auch das Sammeln von Protokollen mit Azure Monitor, die zentrale Sicherheitsanalyse mit Azure Sentinel, Zeitsynchronisierung und Protokollaufbewahrung.
Informationen zur integrierten Azure-Richtlinie finden Sie in den Details der integrierten Azure Security Benchmark Compliance-Initiative: Protokollierung und Bedrohungserkennung
LT-1: Aktivieren der Bedrohungserkennung für Azure-Ressourcen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Stellen Sie sicher, dass Sie verschiedene Arten von Azure-Ressourcen auf potenzielle Bedrohungen und Anomalien überwachen. Konzentrieren Sie sich darauf, qualitativ hochwertige Warnungen zu erhalten, um Analysten dabei zu helfen, Fehlalarme zu reduzieren. Die Quellen von Warnungen können Protokolldaten, Agents oder andere Daten darstellen.
Verwenden Sie Azure Defender, der auf der Überwachung der Azure-Diensttelemetrie und der Analyse von Dienstprotokollen basiert. Daten werden mithilfe des Log Analytics-Agents gesammelt, der verschiedene sicherheitsbezogene Konfigurationen und Ereignisprotokolle aus dem System liest und die Daten zur Analyse in Ihren Arbeitsbereich kopiert.
Verwenden Sie außerdem Azure Sentinel, um Analyseregeln zu erstellen, die Bedrohungen suchen, die bestimmten Kriterien in Ihrer Umgebung entsprechen. Die Regeln generieren Vorfälle, wenn die Kriterien übereinstimmen, damit Sie jeden Vorfall untersuchen können. Azure Sentinel kann auch Bedrohungserkennung von Drittanbietern importieren, um seine Bedrohungserkennungsfunktion zu verbessern.
Referenzhandbuch zu Sicherheitswarnungen im Azure Security Center
Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
LT-2: Aktivieren der Bedrohungserkennung für Azure-Identitäts- und Zugriffsverwaltung
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-2 | 6.8 | AU-3, AU-6, AU-12, SI-4 |
Azure AD stellt die folgenden Benutzerprotokolle bereit, die in Azure AD-Berichten angezeigt oder in Azure Monitor, Azure Sentinel oder andere SIEM/Monitoring-Tools für anspruchsvollere Überwachungs- und Analyseanwendungsfälle integriert werden können:
Anmeldungen – Der Anmeldebericht enthält Informationen zur Verwendung von verwalteten Anwendungen und Benutzeranmeldungsaktivitäten.
Überwachungsprotokolle – Bietet Rückverfolgbarkeit über Protokolle für alle Änderungen, die von verschiedenen Features in Azure AD vorgenommen werden. Beispiele für Überwachungsprotokolle sind Änderungen, die an allen Ressourcen in Azure AD vorgenommen wurden, z. B. Das Hinzufügen oder Entfernen von Benutzern, Apps, Gruppen, Rollen und Richtlinien.
Riskante Anmeldungen – Eine riskante Anmeldung ist ein Indikator für einen Anmeldeversuch, der möglicherweise von jemandem ausgeführt wurde, der nicht der legitime Besitzer eines Benutzerkontos ist.
Benutzer, die für Risiken gekennzeichnet sind – ein riskanter Benutzer ist ein Indikator für ein Benutzerkonto, das möglicherweise kompromittiert wurde.
Das Azure Security Center kann auch auf bestimmte verdächtige Aktivitäten aufmerksam machen, z. B. eine übermäßige Anzahl fehlgeschlagener Authentifizierungsversuche und veraltete Konten im Abonnement. Zusätzlich zur grundlegenden Sicherheitshygieneüberwachung kann Azure Defender auch detailliertere Sicherheitswarnungen aus einzelnen Azure-Computeressourcen (z. B. virtuelle Computer, Container, App-Dienst), Datenressourcen (z. B. SQL DB und Speicher) und Azure-Dienstebenen sammeln. Mit dieser Funktion können Sie Kontoanomalien innerhalb der einzelnen Ressourcen anzeigen.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
LT-3: Aktivieren der Protokollierung für Azure-Netzwerkaktivitäten
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Aktivieren und sammeln Sie Ressourcenprotokolle der Netzwerksicherheitsgruppe (Network Security Group, NSG), NSG-Flussprotokolle, Azure Firewall-Protokolle und WAF-Protokolle (Web Application Firewall), um Sicherheitsanalysen zur Unterstützung von Vorfalluntersuchungen, Bedrohungssuche und Sicherheitswarnungsgenerierung zu unterstützen. Sie können die Ablaufprotokolle an einen Azure Monitor Log Analytics-Arbeitsbereich senden und dann Traffic Analytics verwenden, um Einblicke zu liefern.
Stellen Sie sicher, dass Sie DNS-Abfrageprotokolle sammeln, um andere Netzwerkdaten zu korrelieren.
Aktivieren von Datenflussprotokollen für Netzwerksicherheitsgruppen
Sammeln von Erkenntnissen über Ihre DNS-Infrastruktur mit der DNS Analytics-Lösung
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
LT-4: Aktivieren der Protokollierung für Azure-Ressourcen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Aktivieren Sie die Protokollierung für Azure-Ressourcen, um die Anforderungen für Compliance, Bedrohungserkennung, Bedrohungssuche und Vorfalluntersuchung zu erfüllen.
Sie können Azure Security Center und Azure-Richtlinie verwenden, um Ressourcenprotokolle und Protokolldatensammlungen in Azure-Ressourcen für den Zugriff auf Überwachungs-, Sicherheits- und Ressourcenprotokolle zu aktivieren. Aktivitätsprotokolle, die automatisch verfügbar sind, enthalten Ereignisquelle, Datum, Benutzer, Zeitstempel, Quelladressen, Zieladressen und andere nützliche Elemente.
Verantwortung: Geteilt
Kundensicherheitsbeteiligte (Weitere Informationen):
Infrastruktur- und Endpunktsicherheit
LT-5: Zentralisieren der Verwaltung und Analyse von Sicherheitsprotokollen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Zentralisieren Sie den Protokollierungsspeicher und die Analyse, um die Korrelation zu ermöglichen. Stellen Sie sicher, dass jeder Protokollquelle ein Datenbesitzer, eine Zugriffsanleitung, ein Speicherort, die für die Verarbeitung und den Zugriff verwendeten Tools sowie Anforderungen zur Datenaufbewahrung zugewiesen werden.
Stellen Sie sicher, dass Sie Azure-Aktivitätsprotokolle in Ihre zentrale Protokollierung integrieren. Sie können Protokolle über Azure Monitor erfassen, um Sicherheitsdaten zu aggregieren, die von Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen generiert werden. Verwenden Sie in Azure Monitor Log Analytics-Arbeitsbereiche, um Analysen abzufragen und durchzuführen, und verwenden Sie Azure Storage-Konten für einen langfristigen und archivierten Speicher.
Aktivieren und integrieren Sie außerdem Daten in Azure Sentinel oder ein SIEM eines Drittanbieters.
Viele Organisationen entscheiden sich dafür, Azure Sentinel für "heiße" Daten zu verwenden, die häufig verwendet werden, und Azure Storage für "kalte" Daten, die weniger häufig verwendet werden.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
LT-6: Konfigurieren der Aufbewahrungsdauer von Protokollen im Speicher
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-6 | 6.4 | AU-3, AU-11 |
Konfigurieren Sie Ihre Protokollaufbewahrung entsprechend Ihren Compliance-, Regulierungs- und Geschäftsanforderungen.
In Azure Monitor können Sie ihren Aufbewahrungszeitraum für Log Analytics-Arbeitsbereiche gemäß den Compliancebestimmungen Ihrer Organisation festlegen. Verwenden Sie Azure Storage-, Data Lake- oder Log Analytics-Arbeitsbereichskonten für einen langfristigen und archivierungsbasierten Speicher.
Verantwortung: Kunde
Kundensicherheitsbeteiligte (Weitere Informationen):
LT-7: Verwenden genehmigter Zeitsynchronisierungsquellen
| Azure-ID | CIS-Kontrollen v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-7 | 6.1 | AU-8 |
Microsoft verwaltet Zeitquellen für die meisten Azure PaaS- und SaaS-Dienste. Verwenden Sie für Ihre virtuellen Computer den Microsoft-Standard-NTP-Server für die Zeitsynchronisierung, es sei denn, Sie haben eine bestimmte Anforderung. Wenn Sie Ihren eigenen NTP-Server (Network Time Protocol) einrichten müssen, stellen Sie sicher, dass Sie den UDP-Dienstport 123 sichern.
Alle protokolle, die von Ressourcen in Azure generiert werden, stellen Zeitstempel mit der standardmäßig angegebenen Zeitzone bereit.
Konfigurieren der Zeitsynchronisierung für Azure Windows-Computeressourcen
Konfigurieren der Zeitsynchronisierung für Azure Linux-Computeressourcen
Verantwortung: Geteilt
Kundensicherheitsbeteiligte (Weitere Informationen):