Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Le benchmark de sécurité Azure le plus à jour up-toest disponible ici.
La journalisation et la détection des menaces couvrent les contrôles de détection des menaces sur Azure et l’activation, la collecte et le stockage des journaux d’audit pour les services Azure. Cela inclut l’activation des processus de détection, d’investigation et de correction avec des contrôles pour générer des alertes de haute qualité avec la détection des menaces native dans les services Azure ; il inclut également la collecte des journaux avec Azure Monitor, la centralisation de l’analyse de sécurité avec Azure Sentinel, la synchronisation de temps et la rétention des journaux.
Pour voir l’initiative intégrée de conformité réglementaire Azure Benchmark applicable dans Azure Policy, consultez les détails de l’initiative intégrée conformité réglementaire du benchmark de sécurité Azure : journalisation et détection des menaces
LT-1 : Activer la détection des menaces pour les ressources Azure
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Vérifiez que vous surveillez différents types de ressources Azure pour détecter les menaces et anomalies potentielles. Concentrez-vous sur l’obtention d’alertes de haute qualité pour réduire les faux positifs que les analystes doivent trier. Les alertes peuvent provenir de données de journal, d’agents ou d’autres données.
Utilisez Azure Defender, qui est basé sur la surveillance des données de télémétrie du service Azure et l’analyse des journaux de service. Les données sont collectées à l’aide de l’agent Log Analytics, qui lit diverses configurations liées à la sécurité et les journaux des événements du système et copie les données dans votre espace de travail à des fins d’analyse.
En outre, utilisez Azure Sentinel pour créer des règles d’analyse, qui chassent les menaces qui correspondent à des critères spécifiques dans votre environnement. Les règles génèrent des incidents lorsque les critères sont mis en correspondance, afin que vous puissiez examiner chaque incident. Azure Sentinel peut également importer des informations sur les menaces tierces pour améliorer sa fonctionnalité de détection des menaces.
Guide de référence des alertes de sécurité Azure Security Center
Créer des règles d’analyse personnalisées pour détecter les menaces
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-2 | 6.8 | AU-3, AU-6, AU-12, SI-4 |
Azure AD fournit les journaux d’activité utilisateur suivants qui peuvent être consultés dans les rapports Azure AD ou intégrés à Azure Monitor, Azure Sentinel ou à d’autres outils SIEM/monitoring pour des cas d’usage de surveillance et d’analytique plus sophistiqués :
Connexions : le rapport des connexions fournit des informations sur l’utilisation des applications managées et des activités de connexion utilisateur.
Journaux d’audit : fournit la traçabilité des modifications grâce aux journaux pour toutes les modifications effectuées par les différentes fonctionnalités d'Azure AD. Par exemple, les journaux d’audit incluent des modifications apportées à toutes les ressources dans Azure AD, telles que l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles et de stratégies.
Connexions risquées : une connexion risquée est un indicateur pour une tentative de connexion qui a pu être effectuée par une personne qui n’est pas le propriétaire légitime d’un compte d’utilisateur.
Utilisateurs marqués pour les risques : un utilisateur à risque est un indicateur pour un compte d’utilisateur qui a pu être compromis.
Azure Security Center peut également alerter sur certaines activités suspectes, telles qu’un nombre excessif de tentatives d’authentification ayant échoué et des comptes déconseillés dans l’abonnement. Outre la surveillance d’hygiène de sécurité de base, Azure Defender peut également collecter des alertes de sécurité plus approfondies à partir de ressources de calcul Azure individuelles (telles que des machines virtuelles, des conteneurs, app service), des ressources de données (telles que SQL DB et stockage) et des couches de service Azure. Cette fonctionnalité vous permet de voir les anomalies de compte à l’intérieur des ressources individuelles.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
LT-3 : Activer la journalisation pour les activités réseau Azure
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Activez et collectez des journaux de ressources des groupes de sécurité réseau (NSG), des journaux de flux NSG, des journaux du Pare-feu Azure et des journaux du Pare-feu d'Application Web (WAF) pour l’analyse de la sécurité afin de prendre en charge les enquêtes sur les incidents, la recherche des menaces et la génération d’alertes de sécurité. Vous pouvez envoyer les journaux de flux à un espace de travail Log Analytics d'Azure Monitor, puis utiliser Traffic Analytics pour obtenir des analyses.
Vérifiez que vous collectez des journaux de requête DNS pour faciliter la corrélation d’autres données réseau.
Comment activer les journaux d’activité de flux de groupe de sécurité réseau
recueillir des informations sur votre infrastructure DNS avec la solution DNS Analytics
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
LT-4 : Activer la journalisation pour les ressources Azure
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Activez la journalisation des ressources Azure pour répondre aux exigences de conformité, de détection des menaces, de repérage et d’investigation des incidents.
Vous pouvez utiliser Azure Security Center et Azure Policy pour activer les journaux de ressources et les données de journalisation collectées sur les ressources Azure pour accéder aux journaux d’audit, de sécurité et de ressources. Les journaux d’activité, qui sont automatiquement disponibles, incluent la source de l’événement, la date, l’utilisateur, l’horodatage, les adresses sources, les adresses de destination et d’autres éléments utiles.
Responsabilité : Partagé
Parties prenantes de la sécurité des clients (en savoir plus) :
Sécurité de l’infrastructure et du point de terminaison
LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Centraliser le stockage et l’analyse de journalisation pour activer la corrélation. Pour chaque source de journal, assurez-vous que vous avez affecté un propriétaire de données, des conseils d’accès, un emplacement de stockage, les outils utilisés pour traiter et accéder aux données et aux exigences de rétention des données.
Vérifiez que vous intégrez les journaux d’activité Azure à votre journalisation centrale. Collecter des journaux via Azure Monitor pour agréger les données de sécurité générées par les appareils terminaux, les ressources réseau et d’autres systèmes de sécurité. Dans Azure Monitor, utilisez des espaces de travail Log Analytics pour interroger et effectuer des analyses et utiliser des comptes de stockage Azure pour le stockage à long terme et l’archivage.
En outre, activez et intégrez des données à Azure Sentinel ou à un SIEM tiers.
De nombreuses organisations choisissent d’utiliser Azure Sentinel pour les données « chaudes » fréquemment utilisées et stockage Azure pour les données « froides » qui sont utilisées moins fréquemment.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
LT-6 : Configurer la rétention du stockage des journaux
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-6 | 6.4 | AU-3, AU-11 |
Configurez la conservation de vos journaux en fonction de vos exigences de conformité, de réglementation et commerciales.
Dans Azure Monitor, vous pouvez définir la période de rétention de votre espace de travail Log Analytics en fonction des réglementations de conformité de votre organisation. Utilisez des comptes d’espace de travail Azure Storage, Data Lake ou Log Analytics pour le stockage à long terme et à l’archivage.
Modifier la période de rétention des données dans Log Analytics
Comment configurer la stratégie de rétention pour les journaux de compte de stockage Azure
Exportation des alertes et des recommandations Azure Security Center
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
LT-7 : Utiliser les sources de synchronisation de temps approuvées
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| LT-7 | 6.1 | AU-8 |
Microsoft gère les sources de temps pour la plupart des services PaaS et SaaS Azure. Pour vos machines virtuelles, utilisez le serveur NTP par défaut Microsoft pour la synchronisation de temps, sauf si vous avez une exigence spécifique. Si vous devez maintenir votre propre serveur NTP (Network Time Protocol), assurez-vous de sécuriser le port de service UDP 123.
Tous les journaux générés par les ressources dans Azure fournissent des horodatages avec le fuseau horaire spécifié par défaut.
Guide pratique pour configurer la synchronisation de temps pour les ressources de calcul Linux Azure
Responsabilité : Partagé
Parties prenantes de la sécurité des clients (en savoir plus) :