Rejestrowanie i wykrywanie zagrożeń

Rejestrowanie i wykrywanie zagrożeń umożliwia organizacjom identyfikowanie, badanie i reagowanie na zdarzenia zabezpieczeń przed eskalacją do naruszeń na pełną skalę. W przeciwieństwie do tradycyjnych okresowych przeglądów dzienników nowoczesne środowiska chmury wymagają ciągłego monitorowania, analizy behawioralnej i scentralizowanej korelacji między tożsamościami, siecią, danymi i warstwami aplikacji w celu wykrywania ataków wieloetapowych, które wykorzystują szybkie aprowizowanie, zasoby efemeryczne i architektury rozproszone. Organizacje wdrażające kompleksowe funkcje rejestrowania i wykrywania zagrożeń osiągają szybką reakcję na zdarzenia i gotowość na reakcję kryminalistyczną, podczas gdy organizacje zaniedbujące te kontrole napotykają wydłużony czas obecności przeciwników, niewykrytą eskalację uprawnień i niezdolność do odtworzenia przebiegu naruszenia.

Bez kompleksowych możliwości rejestrowania i wykrywania zagrożeń organizacje napotykają niewykryte zagrożenia działające przez dłuższy czas, niekompletne dowody kryminalistyczne uniemożliwiające odbudowę zdarzeń i luki w zgodności z przepisami.

Poniżej przedstawiono trzy podstawowe filary obszaru zabezpieczeń: rejestrowania i wykrywania zagrożeń.

Włącz możliwości wykrywania: Zanim będzie można reagować na zagrożenia, należy najpierw wdrożyć inteligentne systemy wykrywania, które stale monitorują znane wzorce ataków, nietypowe zachowania i wskaźniki naruszenia zabezpieczeń. Natywne usługi wykrywania zagrożeń korzystają z analizy behawioralnej i analizy zagrożeń w celu identyfikowania podejrzanych działań, których nie można zapobiec tradycyjnej kontroli dostępu — od prób wstrzyknięcia kodu SQL i przekazywania złośliwego oprogramowania do nadużyć poświadczeń i eksfiltracji danych. Zaimplementuj wykrywanie we wszystkich krytycznych typach zasobów (obliczenia, dane, tożsamość, sieć), aby upewnić się, że żadna powierzchnia ataku nie pozostaje niemonitorowana.

Powiązane kontrolki:

• LT-1: Włączanie możliwości wykrywania zagrożeń
• LT-2: Włączanie wykrywania zagrożeń na potrzeby zarządzania tożsamościami i dostępem

Włącz kompleksowe rejestrowanie: Zaimplementuj systematyczne rejestrowanie inspekcji we wszystkich warstwach chmury — dzienniki zasobów (operacje płaszczyzny danych), dzienniki aktywności (zmiany płaszczyzny zarządzania), dzienniki tożsamości (zdarzenia uwierzytelniania i autoryzacji) oraz dzienniki sieciowe (przepływy ruchu i decyzje zapory). Kompleksowe rejestrowanie zapewnia dowody kryminalistyczne wymagane do odtworzenia osi czasu ataku, zakresu incydentu i wsparcia wymagań zgodności. Bez kompletnych dzienników inspekcji obejmujących tożsamość, sieć i dostęp do danych, osoby reagujące na incydenty nie mają wglądu, aby określić, co zostało uzyskane, przez kogo, kiedy i skąd, wydłużając okres obecności naruszenia i zwiększając ryzyko związane z regulacjami.

Powiązane kontrolki:

• LT-3: Włączanie rejestrowania na potrzeby badania zabezpieczeń
• LT-4: Włączanie rejestrowania sieci na potrzeby badania zabezpieczeń

Scentralizowanie i analizowanie: Agregowanie dzienników ze wszystkich źródeł do scentralizowanej platformy zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), aby umożliwić korelację, zaawansowaną analizę i automatyczną odpowiedź. Centralizacja przekształca izolowane strumienie dzienników w możliwą do działania analizę zagrożeń, korelując zdarzenia między tożsamościami, siecią i płaszczyznami danych w celu ujawnienia wieloetapowych łańcuchów ataków, których nie można wykryć w ramach monitorowania pojedynczego źródła. Ustanów zasady przechowywania zdyscyplinowane zgodnie z wymaganiami dotyczącymi zgodności i potrzebami biznesowymi oraz zapewnij dokładną synchronizację czasu we wszystkich systemach, aby zachować integralność kryminalistyczną i umożliwić dokładną rekonstrukcję zdarzeń.

Powiązane kontrolki:

• LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza
• LT-6: Konfiguracja retencji dzienników
• LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

LT-1: Włączanie możliwości wykrywania zagrożeń

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: LT-1.

Zasada zabezpieczeń

Włącz możliwości wykrywania zagrożeń w usługach obliczeniowych, magazynowych, baz danych i tożsamości w celu identyfikowania znanych wzorców ataków, nietypowych zachowań i podejrzanych działań. Użyj analizy behawioralnej i analizy zagrożeń, aby wykrywać zagrożenia, których nie można zapobiec tradycyjnym mechanizmom kontroli dostępu.

Ryzyko w celu ograniczenia ryzyka

Przeciwnicy wykorzystują środowiska, w których brakuje natywnego wykrywania zagrożeń w celu przeprowadzania ataków, które pozostają niewidoczne dla tradycyjnych mechanizmów kontroli zabezpieczeń. Bez analizy behawioralnej i monitorowania opartego na inteligencji zagrożeń:

• Niewykryte złośliwe oprogramowanie i luki w zabezpieczeniach: Złośliwe pliki przesłane do przestrzeni magazynowej lub próby ataków na bazy danych pozostają niewykryte, ponieważ zabezpieczenia oparte na podpisach lub warstwie sieciowej pomijają zaawansowane ładunki.
• Dyskretna eksfiltracja danych: Wyodrębnianie danych na dużą skalę, nietypowe wzorce zapytań lub anomalne objętości dostępu unikają wykrycia z powodu braku punktów odniesienia zachowań i mechanizmów wykrywania anomalii w objętości danych.
• Ślepota ruchu bocznego: Osoby atakujące przemieszczają się pomiędzy zasobami (od magazynu do obliczeń, do bazy danych) bez wyzwalania alertów, ponieważ korelacja między usługami i źródła danych wywiadowczych dotyczących zagrożeń nie są zintegrowane.
• Wstrzyknięcie kodu SQL i ataki aplikacji: Próby wykorzystania bazy danych za pośrednictwem złośliwych zapytań lub ataków w warstwie aplikacji są kontynuowane bez analizy zapytań w czasie rzeczywistym i dopasowania wzorca zagrożeń.
• Długi czas przebywania: Osoby atakujące utrzymują stały dostęp przez dłuższy czas (od dni do miesięcy), ponieważ rekonesans, przygotowanie i fazy wykonywania nie generują żadnych alertów — opóźniając reagowanie na incydenty i zwiększając skutki naruszenia.
• Nieprzezroczystość zagrożeń wewnętrznych: Złośliwe lub nieumyślne działania wewnętrzne łączą się z prawidłowymi wzorcami ruchu bez analizy zachowań użytkowników (UBA) i wykrywaniem anomalii specyficznym dla uprzywilejowanego dostępu.

Niepowodzenie wdrażania kompleksowego wykrywania zagrożeń zwiększa średni czas wykrywania (MTTD) od godzin do tygodni, zwiększa koszty naruszeń i umożliwia przeciwnikom ustanowienie głębokiej trwałości w infrastrukturze chmury.

MITRE ATT&CK

• Dostęp początkowy (TA0001): wykorzystanie aplikacji publicznej (T1190) wykorzystującej niewykryte luki w zabezpieczeniach w aplikacjach internetowych lub interfejsach API w celu uzyskania początkowego przyczółku.
• Wykonanie (TA0002): interpreter poleceń i skryptów (T1059) wykonujący złośliwy kod w zasobach obliczeniowych lub zasobach bezserwerowych bez wyzwalania alertów dotyczących zachowań.
• Trwałość (TA0003): manipulowanie kontem (T1098) modyfikowanie zasad usługi lub tworzenie tożsamości tylnym wejściem pozostają niewykryte z powodu braku monitorowania anomalii.
• Uchylanie się od obrony (TA0005): osłabianie ochrony (T1562) wyłączanie rejestrowania, monitorowania agentów lub usług zabezpieczeń do działania w ślepych miejscach.
• Kolekcja (TA0009): dane z magazynu w chmurze (T1530) potajemne zbieranie kontenerów blob lub magazynu obiektów bez wykrywania wolumenu lub wzorca.
• Eksfiltracja (TA0010): eksfiltracja przez serwis internetowy (T1567) przesyłanie danych strumieniowo przez zaufane punkty końcowe API w ilościach lub czasach, które analityka behawioralna uznałaby za podejrzane.
• Wpływ (TA0040): przejęcie zasobów (T1496) poprzez wdrażanie kryptokoparek lub nadużyć obliczeniowych niewykrytych przez analizę anomalii zużycia zasobów.

LT-1.1: Włączanie wykrywania zagrożeń dla usług w chmurze

Wdrażanie natywnych funkcji wykrywania zagrożeń we wszystkich krytycznych usługach w chmurze w celu identyfikowania złośliwych działań, nietypowych zachowań i znanych wzorców ataków za pomocą analizy behawioralnej i analizy zagrożeń. Ta podstawowa warstwa zapewnia pierwszą linię obrony przed zagrożeniami ukierunkowanymi na usługi obliczeniowe, magazynowe, bazy danych i zarządzania kluczami. Zaimplementuj następujące kroki, aby ustanowić kompleksowe pokrycie wykrywania zagrożeń:

• Użyj wykrywania zagrożeń natywnych dla chmury: Wdróż możliwości wykrywania zagrożeń platformy zarządzania stanem zabezpieczeń w chmurze dla usług obliczeniowych, magazynowych, baz danych i tożsamości, zapewniając analizę behawioralną i monitorowanie oparte na inteligencji zagrożeń.

• Włącz kompleksowe pokrycie usług: Aktywuj wykrywanie zagrożeń dla wszystkich krytycznych usług platformy Azure przy użyciu usługi Microsoft Defender for Cloud, obejmującej maszyny wirtualne, konta magazynu, bazy danych, kontenery i wystąpienia usługi Key Vault.

• Przejrzyj możliwości wykrywania: Zapoznaj zespoły ds. zabezpieczeń z dostępnymi funkcjami wykrywania, używając przewodnika referencyjnego dotyczącego alertów usługi Microsoft Defender for Cloud, aby poznać typy alertów, poziomy ważności i wymagania dotyczące odpowiedzi.

• Luki w wykrywaniu zagrożeń: Dla usług bez natywnej możliwości wykrywania zagrożeń, należy zebrać dzienniki płaszczyzny danych i przekazać je do usługi Microsoft Sentinel, aby wykorzystać niestandardowe reguły analizy i wykrywanie zachowań.

• Optymalizowanie jakości alertów: Skonfiguruj reguły filtrowania alertów i analizy, aby zmniejszyć liczbę wyników fałszywie dodatnich i wyodrębnić alerty wysokiej jakości z danych dzienników, dostrajając czułość wykrywania na podstawie krytycznego obciążenia i tolerancji ryzyka.

LT-1.2: Włączanie zaawansowanego wykrywania zagrożeń i analizy

Ulepszanie podstawowego wykrywania zagrożeń przez scentralizowanie telemetrii zabezpieczeń, wdrażanie platform ujednoliconego wykrywania rozszerzonego i reagowania (XDR) oraz wzbogacanie alertów za pomocą analizy zagrożeń. Ta zaawansowana warstwa umożliwia korelację zagrożeń w wielu domenach, wykrywanie niestandardowe dla wzorców ataków specyficznych dla organizacji oraz alerty bogate w kontekst, które przyspieszają badanie i reagowanie. Utwórz tę zaawansowaną funkcję wykrywania, wykonując następujące kroki:

• Scentralizowanie telemetrii zabezpieczeń: Agregowanie alertów i danych dzienników z platform zabezpieczeń w chmurze, ochrony punktu końcowego, systemów tożsamości i usług aplikacji do usługi Azure Monitor lub Microsoft Sentinel w celu ujednoliconej analizy i korelacji.

• Wdróż ujednoliconą platformę XDR: Włącz usługę Microsoft Defender XDR, aby umożliwić korelację wykrywania zagrożeń w ramach usługi Microsoft 365 Defender (punkty końcowe, poczta e-mail, współpraca), Microsoft Defender for Cloud (infrastruktura Azure) oraz Microsoft Entra ID (tożsamość) z grupowaniem incydentów między domenami i zautomatyzowanymi przepływami pracy śledztw.

• Tworzenie niestandardowych reguł wykrywania: Tworzenie niestandardowych reguł analitycznych pasujących do wzorców zagrożeń specyficznych dla organizacji, wskaźników ataków i naruszeń logiki biznesowej, które wstępnie utworzone wykrycia nie mogą rozwiązać problemu.

• Wzbogacanie o analizę zagrożeń: Zintegruj usługę Microsoft Defender Threat Intelligence , aby wzbogacić alerty o przypisanie aktora zagrożeń, reputację infrastruktury, analizę wykorzystania luk w zabezpieczeniach i korelację wskaźnika z naruszonymi zabezpieczeniami.

• Wykorzystanie wskaźników zagrożeń: Zaimplementuj wskaźniki analizy zagrożeń w usłudze Microsoft Sentinel w celu automatycznego dopasowywania obserwowanych (adresów IP, domen, skrótów plików, adresów URL) względem znanych kampanii złośliwej infrastruktury i aktorów zagrożeń.

Przykład implementacji

Globalna organizacja produkcyjna wprowadziła kompleksowe wykrywanie zagrożeń w ponad 300 zasobach platformy Azure, takich jak konta magazynu, bazy danych SQL, wystąpienia usługi Cosmos DB i systemy produkcyjne IoT, w celu skrócenia średniego czasu wykrywania zaawansowanych ataków (MTTD).

Wyzwanie: Tradycyjne monitorowanie zabezpieczeń polegało na alertach specyficznych dla usługi izolowanej bez korelacji między magazynami, bazami danych, tożsamościami i systemami poczty e-mail. Zespół ds. zabezpieczeń nie miał ujednoliconej widoczności w celu wykrywania ataków wieloetapowych obejmujących kampanie wyłudzające informacje, naruszenie poświadczeń i eksfiltrację danych. Średni czas wykrywania zaawansowanych zagrożeń przekroczył 30 dni.

Podejście do rozwiązania:

• Kompleksowe wykrywanie zagrożeń w chmurze: Usługi Microsoft Defender for Cloud uruchomione na ponad 150 kontach magazynu, 40 instancjach baz danych SQL, 12 kontach Cosmos DB i bazach danych PostgreSQL oferują analizę behawioralną i wykrywanie zagrożeń wspierane inteligencją zagrożeń dla operacji płaszczyzny danych.
• Ujednolicona platforma XDR: Wdrożono platformę Microsoft Defender XDR, korelującą wykrywanie zagrożeń w ramach Microsoft 365 Defender (punkty końcowe, poczta e-mail, współpraca), Microsoft Defender for Cloud (infrastruktura platformy Azure) oraz Microsoft Entra ID (tożsamość) z automatyczną korelacją incydentów między domenami.
• Niestandardowe reguły analizy: Utworzono reguły analizy usługi Sentinel wykrywające ataki wieloetapowe, w tym anomalie dostępu do magazynu, wyliczenie schematu bazy danych SQL, wzorce wyodrębniania zbiorczego usługi Cosmos DB i kampanie sprayu poświadczeń w usługach.
• Wzbogacanie analizy zagrożeń: Zintegrowana analiza zagrożeń w usłudze Microsoft Defender w celu wzbogacania alertów o przypisanie aktora zagrożeń, znanej infrastruktury ataków i kontekstu wykorzystywania luk w zabezpieczeniach.

Wynik: Usługa Defender XDR wykryła i zawierała łańcuch ataków polegających na wyłudzaniu informacji do eksfiltracji wkrótce po wdrożeniu, a analiza zagrożeń identyfikuje infrastrukturę zgodną ze znanym rozwiązaniem APT ukierunkowanym na własność intelektualną produkcji. Zautomatyzowane korelacje zdarzeń między domenami umożliwiły zespołom ds. zabezpieczeń szybkie badanie i reagowanie na ataki wieloetapowe, które wcześniej pozostały niewykryte przez dłuższy czas.

Poziom krytyczny

Niezbędny

Mapowanie kontrolek

• NIST SP 800-53 Rev.5: SI-4(1), SI-4(2), SI-4(5), SI-4(12), SI-4(23), AU-6(1), AU-6(3)
• PCI-DSS 4: 10.6.1, 10.6.2, 10.6.3, 10.8.1, 11.5.1
• Kontrolki CIS w wersji 8.1: 8.11, 13.1, 13.2
• NIST CSF v2.0: DE. CM-1, DE. CM-4, DE. CM-7
• ISO 27001:2022: A.8.16, A.5.24
• SOC 2: CC7.2, CC7.3

LT-2: Włączanie wykrywania zagrożeń na potrzeby zarządzania tożsamościami i dostępem

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: LT-2.

Zasada zabezpieczeń

Monitorowanie wydarzeń uwierzytelniania i autoryzacji w celu wykrywania naruszenia poświadczeń, anomalnych wzorców logowania i nadużyć dotyczących konta. Zidentyfikuj anomalie behawioralne, w tym nadmierne błędy uwierzytelniania, niemożliwe podróże, przestarzałe użycie konta i nieautoryzowane eskalacje uprawnień.

Ryzyko w celu ograniczenia ryzyka

Ataki oparte na tożsamościach pozostają podstawowym wektorem dostępu początkowego w przypadku naruszeń chmury, ale wiele organizacji nie ma monitorowania zachowań w celu wykrywania nadużyć poświadczeń i nietypowych wzorców dostępu. Bez wykrywania zagrożeń skoncentrowanego na tożsamości:

• Ślepość naruszenia zabezpieczeń poświadczeń: Skradzione, ujawnione lub wymuszone poświadczenia są używane przez dłuższy czas (od tygodni do miesięcy) bez wykrycia, ponieważ nie ma anomalii logowania i oceniania ryzyka.
• Niemożliwa podróż niewykryta: Pomyślne uwierzytelnienia z odległych geograficznie lokalizacji w nierealnych przedziałach czasu mogą wskazywać na udostępnianie lub naruszenie poświadczeń, ale trwają nadal bez monitorowania i analizy porównawczej.
• Wykorzystywanie przestarzałych kont: Osierocone konta, byli pracownicy lub nieużywane pryncypały usługowe zapewniają trwałe przyczółki, które atakujący wykorzystują, aby uniknąć kontroli zachowania użytkowników.
• Milczenie eskalacji uprawnień: Osoby atakujące dodają się do ról administracyjnych, tworzą nowe tożsamości uprzywilejowane lub modyfikują członkostwa w grupach bez wyzwalania alertów inspekcji lub wykrywania anomalii.
• Powodzenie ataku typu password spray: Niska częstotliwość ataków zgadywania haseł pozwala uniknąć progów blokady konta i uniknąć wykrycia w przypadku braku zagregowanej analizy niepowodzeń uwierzytelniania w całej dzierżawie.
• Techniki obejścia uwierzytelniania wieloskładnikowego: Przeciwnicy wykorzystują starsze protokoły uwierzytelniania, odtworzenie sesji lub ataki związane z przeciążeniem MFA, które powodują sukces, ponieważ ryzykowne zachowania podczas logowania nie zostają rozpoznane ani zablokowane.
• Nieprzezroczystość zagrożeń wewnętrznych: Złośliwi insiderzy z uzasadnionymi poświadczeniami eksfiltrują dane lub nadużywają uprzywilejowanego dostępu, wtapiając się w normalne wzorce aktywności, przy braku analizy zachowań użytkowników (UBA).

Niepowodzenie monitorowania anomalii tożsamości i dostępu umożliwia osobom atakującym działanie przy użyciu prawidłowych poświadczeń, pomijanie kontroli sieci i punktów końcowych przy zachowaniu profilów wykrywania niskiego poziomu.

MITRE ATT&CK

• Dostęp początkowy (TA0001): prawidłowe konta (T1078) wykorzystujące naruszone poświadczenia do uzyskania początkowego dostępu, co wydaje się być wiarygodnym uwierzytelnieniem.
• Dostęp do poświadczeń (TA0006): brute force (T1110), obejmujący ataki typu password spray lub credential stuffing na konta użytkowników i konta usług.
• Dostęp poświadczeń (TA0006): niezabezpieczone poświadczenia (T1552) zbierające wyciekły poświadczenia z baz danych zabezpieczeń publicznych lub ciemnych źródeł internetowych.
• Trwałość (TA0003): manipulacja kontem (T1098) tworzenie kont z tylnymi drzwiami, dodawanie do grup uprzywilejowanych lub modyfikacja metod uwierzytelniania.
• Eskalacja uprawnień (TA0004): prawidłowe konta (T1078.004) nadużywane do nadużywania kont w chmurze w celu eskalacji uprawnień lub przyjmowania ról uprzywilejowanych.
• Uchylanie się od obrony (TA0005): użyj alternatywnego materiału uwierzytelniania (T1550) wykorzystując tokeny, pliki cookie lub artefakty sesji, aby pominąć wymagania uwierzytelniania wieloskładnikowego.
• Ruch poprzeczny (TA0008): użyj alternatywnego materiału uwierzytelniania (T1550.001) przekazując tokeny lub poświadczenia sesji, aby uzyskać dostęp do dodatkowych zasobów w chmurze.

LT-2.1: Włącz wykrywanie i monitorowanie zagrożeń Microsoft Entra ID

Ustanów kompleksowy wgląd w działania związane z tożsamościami i uwierzytelnianiem, włączając rejestrowanie inspekcji i monitorowanie logowania dla wszystkich zasobów tożsamości. Ta podstawowa telemetria umożliwia wykrywanie podejrzanych wzorców uwierzytelniania, nieautoryzowanych zmian konfiguracji tożsamości i potencjalnych wskaźników naruszenia zabezpieczeń konta. Skonfiguruj następujące możliwości monitorowania:

• Włącz kompleksowe rejestrowanie inspekcji: Aktywuj dzienniki inspekcji firmy Microsoft Entra , aby zapewnić pełną możliwość śledzenia wszystkich zmian wprowadzonych w zasobach tożsamości, w tym zarządzania użytkownikami i grupami, przypisań ról, rejestracji aplikacji i modyfikacji zasad.

• Monitorowanie działań uwierzytelniania: Śledzenie raportów logowania w celu przechwytywania wszystkich zdarzeń uwierzytelniania dla zarządzanych aplikacji i kont użytkowników, ustanawiania punktów odniesienia dla normalnych wzorców dostępu i identyfikowania anomalii.

• Wykrywanie ryzykownych wzorców logowania: Włącz monitorowanie ryzykownych logów w celu flagowania prób uwierzytelniania z podejrzanych źródeł, niemożliwych scenariuszy podróży, nieznanych lokalizacji lub wycieku użycia poświadczeń wskazujących potencjalne naruszenie zabezpieczeń konta.

• Identyfikacja kont z naruszonym bezpieczeństwem: Monitoruj użytkowników oflagowanych pod kątem ryzyka, aby wykrywać konta wykazujące wiele wskaźników ryzyka, które wymagają natychmiastowego śledztwa i naprawy za pomocą zautomatyzowanych lub ręcznych procesów przeglądu.

• Integracja z platformami SIEM: Przekierowywanie dzienników Microsoft Entra ID do Azure Monitor, Microsoft Sentinel lub zewnętrznych platform SIEM w celu uzyskania zaawansowanej korelacji, długoterminowego przechowywania i analizy zagrożeń między domenami.

LT-2.2: Implementowanie ochrony tożsamości i mechanizmów kontroli opartych na ryzyku

Ulepszanie monitorowania tożsamości dzięki zaawansowanym funkcjom wykrywania ryzyka, adaptacyjnym mechanizmom kontroli dostępu i możliwościom badania opartego na sztucznej inteligencji. Ta zaawansowana warstwa stosuje uczenie maszynowe do wykrywania zaawansowanych ataków związanych z tożsamościami, automatyzowania wymuszania uwierzytelniania opartego na ryzyku oraz rozszerzania ochrony na środowiska hybrydowe pomostowe w chmurze i infrastrukturze lokalnej. Zaimplementuj te zaawansowane możliwości:

• Wdrażanie wykrywania ryzyka tożsamości: Włącz usługę Microsoft Entra ID Protection , aby wykrywać i korygować zagrożenia związane z tożsamościami, w tym wyciekiem poświadczeń, logowania z anonimowych adresów IP, źródeł połączonych ze złośliwym oprogramowaniem i ataków sprayu haseł przy użyciu uczenia maszynowego i analizy zagrożeń.

• Zaimplementuj mechanizmy kontroli dostępu oparte na ryzyku: Skonfiguruj zasady usługi Identity Protection, aby wymusić wymagania dotyczące uwierzytelniania adaptacyjnego za pośrednictwem usługi Microsoft Entra Conditional Access, wymagając uwierzytelniania wieloskładnikowego dla logowań o średnim ryzyku i blokowania prób uwierzytelniania wysokiego ryzyka do momentu skorygowania.

• Monitorowanie zagrożeń tożsamości infrastruktury w chmurze: Włącz ochronę obciążeń w usłudze Microsoft Defender dla Chmury, aby wykrywać podejrzane działania związane z tożsamościami, w tym przestarzałe użycie konta, nadmierne nieudane próby uwierzytelniania i nietypowe zachowania głównego użytkownika aplikacji.

Rozszerzanie na środowiska hybrydowe: W przypadku organizacji z lokalną usługą Active Directory wdróż usługę Microsoft Defender for Identity , aby monitorować kontrolery domeny, wykrywać zaawansowane zagrożenia, identyfikować tożsamości z naruszonymi zabezpieczeniami i badać złośliwe akcje niejawne obejmujące infrastrukturę hybrydową.

Przyspiesz dochodzenia za pomocą sztucznej inteligencji: Skorzystaj z rozwiązania Microsoft Security Copilot, aby skrócić czas dochodzeń dzięki zapytaniom języka naturalnego, zautomatyzowanej analizy zagrożeń, przewodnikowanych przepływów pracy korygowania oraz korelacji sygnałów tożsamości wspomaganej AI w usługach Microsoft Defender XDR, Sentinel i Entra ID Protection.

Przykład implementacji

Organizacja usług finansowych z 8000 pracownikami wdrożyła kompleksowe wykrywanie zagrożeń związanych z tożsamościami w celu zwalczania ataków opartych na poświadczeniach przeznaczonych dla aplikacji bankowych w chmurze i repozytoriów danych klientów.

Wyzwanie: Tradycyjne monitorowanie uwierzytelniania nie miało analizy behawioralnej w celu wykrywania ataków opartych na poświadczeniach, w tym związanych z niemożliwymi podróżami, kampanii z użyciem sprayu haseł i wykorzystania uśpionych kont. Zespół ds. zabezpieczeń polegał na ręcznych przeglądach dzienników wykrywających naruszenia bezpieczeństwa tylko po zdarzeniach oszustw lub skargach klientów. Średni czas wykrywania ataków opartych na tożsamościach przekroczył 30 dni.

Podejście do rozwiązania:

• Wykrywanie i ochrona przed ryzykiem tożsamości: Wdrożono usługę Microsoft Entra ID Protection z zasadami dostępu warunkowego opartego na ryzyku blokującymi logowania o wysokim ryzyku, co wymaga uwierzytelniania wieloskładnikowego w przypadku prób uwierzytelniania o średnim ryzyku i automatycznego wymuszania resetowania haseł w celu wykrycia wycieku poświadczeń.
• Zaawansowana analiza SIEM: Utworzono reguły analizy w usłudze Sentinel, które wykrywają niemożliwe wzorce podróży, ataki Password Spray (50+ nieudane próby logowania na 10+ kontach z jednego źródła), eskalację uprawnień poza oknami zmian i reaktywację nieaktywnego konta.
• Monitorowanie środowiska hybrydowego: Wdrożono usługę Defender for Identity na 12 lokalnych kontrolerach domeny w celu monitorowania sygnałów usługi Active Directory i korelowania z wzorcami uwierzytelniania w chmurze w celu uzyskania pełnej widoczności.
• Badanie oparte na sztucznej inteligencji: Zintegrowane rozwiązanie Microsoft Security Copilot umożliwia wykonywanie zapytań dotyczących incydentów w języku naturalnym, automatyczne wzbogacanie kontekstu zagrożeń, ukierunkowane przepływy pracy w celu eliminacji zagrożeń oraz korelację między naruszeniem tożsamości a dostępem do zasobów.

Wynik: Ochrona tożsamości oflagowała naruszone konta wkrótce po wdrożeniu, usługa Sentinel wykryła i powstrzymała ataki typu credential stuffing w ciągu kilku minut, a Security Copilot umożliwił zespołom ds. zabezpieczeń szybkie badanie zagrożeń opartych na tożsamości przy użyciu zapytań w języku naturalnym. Organizacja osiągnęła znacznie szybsze wykrywanie i reagowanie na ataki oparte na tożsamościach, które wcześniej pozostały niewykryte przez dłuższy czas.

Poziom krytyczny

Niezbędny

Mapowanie kontrolek

• NIST SP 800-53 Rev.5: AU-2(1), AU-6(1), AU-6(3), IA-4(4), SI-4(1), SI-4(12)
• PCI-DSS 4: 8.2.8, 10.2.1, 10.2.2, 10.6.1
• Kontrole CIS w wersji 8.1: 6.2, 8.5, 8.11
• NIST CSF v2.0: DE.CM-1, PR.AC-4, PR.IP-8
• ISO 27001:2022: A.5.16, A.8.15, A.8.16
• SOC 2: CC6.1, CC7.2, CC7.3

LT-3: Włączanie rejestrowania na potrzeby badania zabezpieczeń

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: LT-3.

Zasada zabezpieczeń

Włącz rejestrowanie inspekcji między operacjami płaszczyzny danych, działaniami płaszczyzny sterowania i zdarzeniami tożsamości, aby obsługiwać badanie zdarzeń, analizę kryminalistyczną i walidację zgodności. Kompleksowe rejestrowanie zapewnia ślad dowodowy wymagany do odtworzenia zdarzeń zabezpieczeń i określenia zakresu naruszenia.

Ryzyko w celu ograniczenia ryzyka

Kompleksowe rejestrowanie inspekcji we wszystkich warstwach chmury zapewnia podstawę kryminalistyczną do badania zdarzeń, rekonstrukcji naruszeń i weryfikacji zgodności. Bez systematycznego rejestrowania zdarzeń zasobów, działań i tożsamości:

• Kryminalistyczne martwe plamy: Osoby reagujące na zdarzenia nie mogą określić, do czego dostęp był uzyskiwany, modyfikowany lub usuwany podczas naruszenia, ponieważ operacje płaszczyzny danych na poziomie zasobu (dostęp do magazynu kluczy, zapytania bazy danych, odczyty magazynu) nie są rejestrowane.
• Nieprzezroczystość płaszczyzny zarządzania: Zmiany infrastruktury (przypisania ról, modyfikacje reguły zapory, usuwanie zasobów) są kontynuowane bez śladów inspekcji, uniemożliwiając przypisywanie złośliwych lub niedbalnych akcji administracyjnych.
• Niemożliwe przypisanie: Zespoły ds. zabezpieczeń nie mogą zidentyfikować, która tożsamość wykonała podejrzane działania, z jakiego adresu IP, o jakim czasie lub przy użyciu której metody uwierzytelniania, bez kompleksowych dzienników Microsoft Entra ID.
• Niewidoczność ruchu bocznego: Atakujący przemieszczają się pomiędzy zasobami (od maszyny wirtualnej przez magazyn do bazy danych) bez pozostawiania zbadalnych śladów, ponieważ brak danych audytowych do korelacji aktywności między usługami.
• Niepowodzenie zgodności: Ramy regulacyjne (PCI-DSS, HIPAA, SOC 2) nakazują szczegółowe dzienniki inspekcji dla wszystkich akcji związanych z dostępem do danych i działaniami administracyjnymi — nieobecne rejestrowanie tworzy demonstrowalne luki w zakresie zgodności i wyniki inspekcji.
• Dłuższy czas zamieszkania: Bez kompleksowych dzienników zespoły ds. zabezpieczeń wykrywają naruszenia tylko po powiadomieniach zewnętrznych (skargach klientów, ujawnieniu przepisów), a nie przez wewnętrzne monitorowanie — zwiększając średni czas zamieszkania od dni do miesięcy.
• Niejednoznaczność przyczyny źródłowej: Przeglądy po zdarzeniu nie mogą określić początkowego wektora dostępu, ścieżki eskalacji uprawnień lub sekwencji ruchu lateralnego bez pełnych ścieżek audytu obejmujących tożsamość, sieć i płaszczyzny danych.

Nieodpowiednie rejestrowanie przekształca każde zdarzenie zabezpieczeń w długotrwałe, kosztowne dochodzenie z niekompletnymi dowodami kryminalistycznymi i niepewnym zakresem.

MITRE ATT&CK

• Unikanie obrony (TA0005): osłabienie zabezpieczeń (T1562.008) wyłączanie lub modyfikowanie konfiguracji rejestrowania w celu operowania w niekontrolowanych obszarach monitoringu.
• Uchylanie się od obrony (TA0005): usuwanie wskaźnika (T1070) usuwanie lub manipulowanie dziennikami w celu usunięcia dowodów złośliwej aktywności.
• Odnajdywanie (TA0007): odnajdywanie infrastruktury w chmurze (T1580) wyliczanie zasobów, uprawnień i konfiguracji do mapowania środowiska.
• Kolekcja (TA0009): dane pochodzące z magazynu w chmurze (T1530) uzyskujące dostęp do danych poufnych bez logowania płaszczyzny danych w celu śledzenia odczytów, pobierania lub transferów.
• Eksfiltracja (TA0010): eksfiltracja przez usługę internetową (T1567) polegająca na wyodrębnianiu danych przez API chmury, gdzie rejestrowanie transakcji jest wyłączone lub niekompletne.

LT-3.1: Włączanie rejestrowania infrastruktury i tożsamości

Ustanów podstawową ścieżkę audytu, rejestrując wszystkie operacje warstwy zarządzania i zdarzenia tożsamości w środowisku cloudowym. Ta warstwa zapewnia wgląd w to, kto wprowadza zmiany w infrastrukturze, kiedy te zmiany wystąpią i jak są używane tożsamości — niezbędne do wykrywania nieautoryzowanych modyfikacji, nadużyć uprawnień i naruszeń zgodności. Włącz te podstawowe możliwości rejestrowania:

• Włącz dzienniki aktywności dla operacji płaszczyzny zarządzania: Aktywowanie dzienników aktywności platformy Azure dla wszystkich subskrypcji w celu przechwytywania operacji płaszczyzny zarządzania, w tym tworzenia zasobów, modyfikowania, usuwania (PUT, POST, DELETE), przypisań ról, zmian zasad i akcji administracyjnych.

• Scentralizowane zbieranie dzienników aktywności: Skonfiguruj ustawienia diagnostyczne na poziomie grupy zarządzania lub subskrypcji, aby kierować dzienniki aktywności do scentralizowanego obszaru roboczego usługi Log Analytics na potrzeby długoterminowego przechowywania, analizy korelacji i raportowania zgodności.

• Wymuszaj spójne pokrycie rejestrowania: Wdróż usługę Azure Policy , aby wymusić ustawienia diagnostyczne we wszystkich subskrypcjach zapewniających spójne zbieranie dzienników aktywności i zapobieganie dryfowaniu konfiguracji podczas tworzenia nowych subskrypcji.

• Przechwytywanie zdarzeń uwierzytelniania: Włącz dzienniki logowania w usłudze Microsoft Entra , aby przechwycić wszystkie zdarzenia uwierzytelniania użytkownika i jednostki usługi, w tym logowania interakcyjne, logowania nieinterakcyjne, logowania jednostki usługi i uwierzytelniania tożsamości zarządzanej.

• Śledzenie zmian tożsamości: Włącz dzienniki inspekcji firmy Microsoft Entra , aby śledzić wszystkie zmiany wprowadzone w identyfikatorze Entra firmy Microsoft, w tym zarządzanie użytkownikami/grupami, przypisania ról, rejestracje aplikacji, modyfikacje zasad dostępu warunkowego i zmiany jednostek administracyjnych.

• Rozszerzenie okresu przechowywania dzienników tożsamości: Skonfiguruj ustawienia diagnostyczne Microsoft Entra, aby kierować dzienniki logowania i inspekcji do obszaru roboczego Log Analytics lub Event Hub w celu uzyskania rozszerzonego przechowywania ponad domyślny, 30-dniowy okres przechowywania centrum administracyjnego Microsoft Entra.

• Monitorowanie hybrydowej infrastruktury tożsamości: W przypadku środowisk hybrydowych należy zintegrować dzienniki programu Microsoft Entra Connect Health , aby monitorować zdarzenia synchronizacji, błędy uwierzytelniania i lokalną kondycję integracji usługi Active Directory.

• Skoreluj ze zdarzeniami sieciowymi: Włącz dzienniki infrastruktury sieci zgodnie z opisem w LT-4 (dzienniki przepływu grupy zabezpieczeń sieciowych, dzienniki usługi Azure Firewall, diagnostyka usługi VPN Gateway, dzienniki usługi Application Gateway), aby dostarczyć kontekst sieciowy do badań zabezpieczeń korelujących zdarzenia tożsamości i zdarzenia w płaszczyźnie kontrolnej przy użyciu wzorców ruchu sieciowego.

LT-3.2: Włączanie rejestrowania platformy i usługi danych

Rozszerzanie zakresu inspekcji na operacje płaszczyzny danych, w których znajdują się poufne dane biznesowe i do których uzyskuje się dostęp. Dzienniki usług platformy przechwytują szczegóły "tego, do czego uzyskano dostęp" i "przez kogo", niezbędne do badania naruszeń danych, zagrożeń wewnętrznych i naruszeń zgodności — obejmując magazyn, bazy danych, zarządzanie tajemnicami, kontenery i platformy NoSQL. Skonfiguruj rejestrowanie w następującej płaszczyźnie danych:

• Włącz dzienniki płaszczyzny danych na poziomie zasobu: Aktywowanie dzienników zasobów platformy Azure dla operacji płaszczyzny danych wykonywanych w ramach usług platformy Azure, w tym operacji odczytu, zapisu i usuwania danych i konfiguracji we wszystkich usługach platformy.

• Operacje magazynowania dzienników: Włącz dzienniki diagnostyczne Azure Storage w celu przechwytywania wszystkich operacji na obiektach blob, plikach, kolejkach i tabelach, w tym zdarzenia StorageRead, StorageWrite, StorageDelete wraz z tożsamością wywołującego, adresem IP źródła i opóźnieniem operacji, na potrzeby analizy kryminalistycznej.

• Inspekcja działań bazy danych: Skonfiguruj inspekcję usługi Azure SQL Database , aby rejestrować wszystkie zapytania bazy danych, zmiany schematu, udzielać uprawnień, próby uwierzytelniania i operacje administracyjne — kierować dzienniki inspekcji do obszaru roboczego usługi Log Analytics lub konta magazynu w celu zapewnienia zgodności i monitorowania zabezpieczeń.

• Monitorowanie dostępu do tajemnic: Włącz dzienniki diagnostyczne usługi Azure Key Vault, aby przechwycić wszystkie operacje dostępu do kluczy, tajemnic i certyfikatów, w tym pobieranie, rotację, usuwanie i zmiany uprawnień z pełnym kontekstem inspekcji na potrzeby śledzenia poufnych zasobów.

• Śledzenie operacji NoSQL: Skonfiguruj dzienniki diagnostyczne usługi Azure Cosmos DB w celu przechwytywania operacji płaszczyzny danych, wydajności zapytań, wzorców dostępu klucza partycji i zdarzeń ograniczania przepustowości na potrzeby badań dotyczących zabezpieczeń i wydajności.

• Włącz dodatkowe platformy danych: Włącz rejestrowanie diagnostyczne dla innych usług danych, takich jak Azure Data Lake Storage, Azure Synapse Analytics, Azure Database for PostgreSQL/MySQL i Azure Cache for Redis, aby przechwytywać dostęp do danych oraz operacje administracyjne.

0 — Dziennik płaszczyzny sterowania Kubernetes: Włącz diagnostykę usługi Azure Kubernetes Service (AKS) w celu przechwytywania dzienników płaszczyzny sterowania, w tym kube-apiserver (wszystkie żądania interfejsu API), kube-audit (dziennik inspekcji zabezpieczeń), kube-controller-manager, kube-scheduler oraz dzienników autoskalera klastra.

• Monitorowanie środowiska uruchomieniowego kontenera: Skonfiguruj usługę Container Insights , aby zbierać metryki na poziomie kontenera, dzienniki i dane wydajności z klastrów usługi AKS, usługi Azure Container Instances i klastrów Kubernetes z włączoną usługą Azure Arc, w tym zdarzenia cyklu życia zasobnika i wykorzystanie zasobów.

• Śledzenie obrazów kontenerów: Włącz diagnostykę usługi Azure Container Registry , aby rejestrować operacje wypychania/ściągania obrazu, dostęp do repozytorium, zdarzenia uwierzytelniania, wywołania elementów webhook i wyniki skanowania luk w zabezpieczeniach.

• Automatyzowanie włączania rejestrowania platformy: Użyj Microsoft Defender for Cloud, aby automatycznie włączać i konfigurować logi zasobów dla obsługiwanych usług platformy Azure w ramach subskrypcji, zmniejszając obciążenie związane z konfiguracją ręczną.

• Wymuszaj spójne pokrycie: Wdróż usługę Azure Policy w celu wymuszenia ustawień diagnostycznych dla usług danych zapewniających spójne zbieranie dzienników, zapobieganie dryfowi konfiguracji i automatyczne korygowanie niezgodnych zasobów.

LT-3.3: Włączanie rejestrowania aplikacji i obciążeń

Zapewnij pełne pokrycie audytu, przechwytując aktywności na warstwie aplikacji, niestandardowe operacje robocze oraz wykonywanie logiki biznesowej. Dzienniki aplikacji zapewniają najgłębszy wgląd w sposób, w jaki użytkownicy wchodzą w interakcje z systemami, do jakich danych biznesowych uzyskują dostęp, oraz jakie ataki w warstwie aplikacji są podejmowane — niezbędne do wykrywania zagrożeń poufnych, nadużyć aplikacji i zaawansowanych ataków, które pomijają mechanizmy kontroli infrastruktury. Implementowanie kompleksowego rejestrowania aplikacji:

• Rejestrowanie działań aplikacji internetowej: Włącz diagnostykę usługi Azure App Service , aby przechwycić dzienniki aplikacji, dzienniki serwera internetowego (IIS/HTTP.sys dzienniki), szczegółowe komunikaty o błędach, śledzenie żądań nieudanych i dzienniki wdrażania dla aplikacji internetowych i interfejsów API.

• Monitorowanie operacji bramy interfejsu API: Konfigurowanie diagnostyki usługi Azure API Management w celu rejestrowania żądań interfejsu API, odpowiedzi, niepowodzeń uwierzytelniania, naruszeń limitu szybkości, szczegółów wykonywania zasad, błędów usługi zaplecza i zdarzeń zarządzania subskrypcjami.

• Śledzenie wykonywania funkcji bezserwerowych: Włącz monitorowanie usługi Azure Functions za pomocą integracji usługi Application Insights, aby przechwytywać wykonania funkcji, zależności, wyjątki, metryki wydajności i niestandardowe zdarzenia zabezpieczeń, w tym decyzje dotyczące autoryzacji i inspekcje operacji poufnych.

• Dzienniki przepływów pracy procesów biznesowych: W przypadku usługi Azure Logic Apps włącz diagnostykę, aby rejestrować wykonywanie przepływów pracy, zdarzenia wyzwalające, wyniki działań oraz awarie integracji, wspierając analizy zabezpieczeń procesów biznesowych.

• Wdrażanie agentów monitorowania maszyn wirtualnych: Wdróż agenta usługi Azure Monitor na maszynach wirtualnych z systemem Windows i Linux, aby zbierać dzienniki zdarzeń zabezpieczeń, dzienniki systemu, liczniki wydajności i niestandardowe pliki dziennika.

• Zbieranie zdarzeń zabezpieczeń systemu Windows: Skonfiguruj zbieranie dzienników zdarzeń systemu Windows pod kątem zdarzeń związanych z zabezpieczeniami, w tym próby uwierzytelniania (zdarzenie o identyfikatorze 4624, 4625), eskalację uprawnień (4672, 4673), zarządzanie kontami (4720, 4726, 4738) i zmiany zasad inspekcji (4719).

• Zbierz dzienniki systemu Linux: Skonfiguruj zbieranie dzienników syslogu systemu Linux pod kątem dzienników uwierzytelniania (/var/log/auth.log, /var/log/secure), dzienników systemowych (/var/log/syslog, /var/log/messages) i dzienników zabezpieczeń specyficznych dla aplikacji.

• Monitorowanie ochrony punktu końcowego: Włącz monitorowanie ochrony przed złośliwym oprogramowaniem dla maszyn wirtualnych z systemem Windows w celu rejestrowania zdarzeń wykrywania złośliwego oprogramowania, wyników skanowania, aktualizacji podpisów i naruszeń zasad.

• Implementowanie rejestrowania strukturalnego: Zaimplementuj rejestrowanie aplikacji ustrukturyzowanych przy użyciu kontekstu zabezpieczeń, w tym tożsamości użytkownika, źródłowego adresu IP, identyfikatora żądania, typu operacji, etykiet klasyfikacji danych, decyzji autoryzacji i identyfikatorów transakcji biznesowych w celu obsługi korelacji i analizy śledczej.

• Włącz telemetrię APM: Włącz usługę Application Insights lub równoważne rozwiązania do monitorowania wydajności aplikacji (APM) w celu zbierania danych telemetrycznych, wyjątków, niestandardowych zdarzeń zabezpieczeń, śledzenia rozproszonego dla mikrousług i śledzenia zależności.

• Rejestrowanie zdarzeń zabezpieczeń aplikacji: Skonfiguruj rejestrowanie zdarzeń zabezpieczeń warstwy aplikacji, w tym próby uwierzytelniania, niepowodzenia autoryzacji, niepowodzenia walidacji danych wejściowych, eskalacje przywilejów, dostęp do poufnych danych i naruszenia zabezpieczeń logiki biznesowej.

• Monitorowanie ataków aplikacji internetowych: Dla aplikacji internetowych i interfejsów API rejestruj nagłówki zabezpieczeń HTTP, naruszenia zasad zabezpieczeń treści, egzekwowanie polityki CORS i zdarzenia zarządzania sesjami, aby wykrywać ataki na warstwę aplikacji.

• Przechwyć próby ataku warstwy 7: Włącz rejestrowanie na bramach interfejsu API i zaporach aplikacji internetowych, aby przechwytywać ataki na warstwę 7, w tym próby ataków iniekcyjnych SQL, cross-site scripting (XSS), zdalnych prób wykonania kodu, lokalnych dołączeń plików, ataków zewnętrznych encji XML (XXE) oraz schematów nadużywania logiki biznesowej.

• Śledzenie nadużyć API: Skonfiguruj rejestrowanie dla ograniczania liczby zapytań, błędów uwierzytelniania, wykrywania botów i wzorców nadużyć API wspierających wykrywanie zagrożeń i reagowanie na incydenty.

Przykład implementacji

Dostawca opieki zdrowotnej SaaS włączył kompleksowe rejestrowanie trójwarstwowe (infrastrukturę/tożsamość, usługi platformy/danych, aplikacji/obciążenia) w celu spełnienia wymagań inspekcji HIPAA i wsparcia badań bezpieczeństwa dla systemów elektronicznych rejestrów zdrowia (EHR) obsługujących ponad 200 klientów szpitalnych.

Wyzwanie: Pofragmentowane rejestrowanie w odizolowanych usługach uniemożliwiło korelację ataków wieloetapowych. Zespół ds. zabezpieczeń nie ma pełnych śladów inspekcji zgodności z przepisami HIPAA i nie mógł odtworzyć osi czasu zdarzeń obejmujących zmiany infrastruktury, dostęp do danych i nadużycie aplikacji. Średni czas badania zdarzeń przekroczył 2 tygodnie z powodu ręcznej agregacji dzienników w ponad 120 usługach.

Podejście do rozwiązania:

• Rejestrowanie infrastruktury i tożsamości: Skonfigurowano scentralizowane dzienniki aktywności i dzienniki Microsoft Entra ID (logowania, audyt) na poziomie grupy zarządzania obejmującym 5 subskrypcji, przechwytywane 1,5 mln codziennych zdarzeń uwierzytelniania i 50 000 działań zarządczych, przechowywane przez 2 lata na potrzeby zgodności.
• Rejestrowanie usług platformy i danych: Włączone dzienniki diagnostyczne dla 120+ kont magazynu, 12 baz danych SQL, 15 magazynów kluczy, instancji Cosmos DB i klastrów AKS (kube-audit, Container Insights) przechwytujących operacje w płaszczyźnie danych, wydajność zapytań i zdarzenia zabezpieczeń kontenera, generujące ponad 2M codziennych zdarzeń inspekcji.
• Rejestrowanie aplikacji i obciążeń: Wdrożono agenta usługi Azure Monitor na 150 maszynach wirtualnych, włączono diagnostykę usługi App Service dla 8 aplikacji internetowych, skonfigurowano rejestrowanie usługi API Management dla 3 interfejsów API integracji opieki zdrowotnej i zaimplementowano usługę Application Insights do śledzenia rozproszonego za pomocą rejestrowania kontekstowego zabezpieczeń ze strukturą.
• Scentralizowana korelacja: Wdrożone reguły analizy usługi Microsoft Sentinel korelujące zdarzenia we wszystkich trzech warstwach z zasadami przechowywania warstwowego (2 lata objęte regulacją HIPAA, działaniem 1 roku, wydajnością 90 dni) i mechanizmami kontroli dostępu RBAC platformy Azure.

Wynik: Korelacja dzienników między warstwami umożliwia szybkie wykrywanie zaawansowanych ataków wieloetapowych obejmujących przypisania ról, dostęp do usługi Key Vault i eksfiltrację magazynu. Organizacja osiągnęła kompletną zgodność dziennika inspekcji HIPAA i znacznie skróciła czas badania zdarzeń dzięki scentralizowanej analizie dzienników między warstwami infrastruktury, platformy i aplikacji.

Poziom krytyczny

Niezbędny

Mapowanie kontrolek

• NIST SP 800-53 Rev.5: AU-2(1), AU-3(1), AU-6(1), AU-6(3), AU-12(1), SI-4(2)
• PCI-DSS 4: 10.2.1, 10.2.2, 10.3.1, 10.3.2, 10.3.3
• Kontrolki CIS w wersji 8.1: 8.2, 8.3, 8.5, 8.12
• NIST CSF v2.0: DE.AE-3, DE.CM-1, DE.CM-6, PR.PT-1
• ISO 27001:2022: A.8.15, A.8.16, A.8.17
• SOC 2: CC4.1, CC7.2, CC7.3

LT-4: Włączanie rejestrowania sieci na potrzeby badania zabezpieczeń

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: LT-4.

Zasada zabezpieczeń

Włącz rejestrowanie ruchu sieciowego, w tym dzienniki przepływu, dzienniki decyzji zapory, zdarzenia zapory aplikacji internetowej i zapytania DNS, aby wspierać analizę incydentów i wykrywanie zagrożeń. Dzienniki sieci zapewniają dowody śledcze dotyczące ruchu lateralnego, komunikacji dowodzenia i kontroli, eksfiltracji danych i naruszeń polityki.

Ryzyko w celu ograniczenia ryzyka

Dzienniki ruchu sieciowego zawierają krytyczne dowody śledcze na potrzeby badania ruchu bocznego, eksfiltracji danych, komunikacji poleceń i kontroli oraz ataków warstwy aplikacji. Bez kompleksowego rejestrowania sieci:

• Niewidzialność ruchu bocznego: Osoby atakujące przemieszczają się między podsieciami, między maszynami wirtualnymi lub z zasobów obliczeniowych do usług danych bez pozostawiania śladów przepływu sieci — uniemożliwiając identyfikację anomalii w ruchu wschód-zachód.
• Nieprzezroczystość ścieżki eksfiltracji: Transfery danych na dużą skalę do zewnętrznych miejsc docelowych, nietypowe wzorce ruchu wychodzącego lub tunelowanie DNS odbywają się bez wykrycia, ponieważ brak dzienników przepływu i analizy ruchu zapory.
• Niewidoczne ataki w warstwie aplikacji: Próby wstrzyknięcia SQL, przekazywanie powłoki internetowej, nadużycie interfejsu API lub manipulacja protokołem, aby ominąć wykrywanie, gdy dzienniki WAF, dzienniki bramy aplikacji i inspekcja warstwy 7 są wyłączone.
• Niewykryta komunikacja C2: Sygnalizacja poleceń i kontroli, wzorce wywołań zwrotnych lub tunelowane protokoły unikają wykrywania bez dzienników zapytań DNS i danych odniesienia połączeń sieciowych.
• Niewidoczność naruszenia polityki: Ruch, który narusza segmentację sieci, uzyskuje dostęp do nieautoryzowanych portów/protokołów lub pomija reguły zapory ogniowej, przebiega bez nadzoru, co prowadzi do erozji granic zerowego zaufania.
• Luki w zgodności: Standardy regulacyjne (PCI-DSS 10.8, NIST AU-12) nakazują rejestrowanie i monitorowanie działań sieciowych — nieobecne dzienniki tworzą wyniki inspekcji i ryzyka certyfikacji.
• Niepowodzenie rekonstrukcji incydentu: Analiza porealizacyjna po naruszeniu zabezpieczeń nie może określić źródłowego adresu IP, ścieżek ruchu lateralnego ani tras eksfiltracji danych bez kompleksowych danych przepływu sieci i dzienników decyzji zapory ogniowej.

MITRE ATT&CK

• Command & Control (TA0011): protokół warstwy aplikacji (T1071) przy użyciu protokołu HTTP/HTTPS lub innych standardowych protokołów w celu połączenia ruchu C2 z legalną komunikacją.
• Command &Control (TA0011): DNS (T1071.004) wykorzystujące zapytania DNS dla kanałów C2 lub tuneli eksfiltracji danych.
• Ruch poprzeczny (TA0008): usługi zdalne (T1021) przenoszone między systemami przy użyciu protokołów RDP, SSH lub zarządzania chmurą.
• Eksfiltracja (TA0010): eksfiltracja przez kanał C2 (T1041) strumieniowe przesyłanie skradzionych danych poprzez ustanowione połączenia typu command-and-control.
• Eksfiltracja (TA0010): eksfiltracja za pośrednictwem protokołu alternatywnego (T1048) przy użyciu niestandardowych portów lub protokołów w celu uniknięcia monitorowania ruchu wychodzącego.
• Uchylanie się od obrony (TA0005): tunelowanie protokołów (T1572) hermetyzuje złośliwy ruch w ramach legalnych protokołów (DNS, HTTPS) w celu obejścia inspekcji.

LT-4.1: Włączanie rejestrowania i monitorowania zabezpieczeń sieci

Przechwyć kompleksową telemetrię ruchu sieciowego w celu wykrywania ruchu bocznego, eksfiltracji danych, komunikacji typu command-and-control oraz ataków na warstwę aplikacji. Dzienniki sieciowe zawierają ślad dowodowy dotyczący sposobu, w jaki osoby atakujące przechodzą między systemami, z którymi kontaktują się lokalizacje docelowe, oraz jakie techniki ataków stosują — niezbędne do badania zaawansowanych naruszeń wieloetapowych. Włącz następujące możliwości rejestrowania sieci:

• Przechwyć dzienniki przepływu sieci: Włącz dzienniki przepływu sieciowej grupy zabezpieczeń w celu przechwytywania informacji o ruchu IP przepływającym przez sieciowe grupy zabezpieczeń, w tym źródłowych/docelowych adresów IP, portów, protokołów i decyzji dotyczących akceptacji/odrzucenia na potrzeby wykrywania ruchu bocznego.

• Monitorowanie działań zapory: Włącz dzienniki i metryki usługi Azure Firewall , aby monitorować aktywność zapory, przetwarzanie reguł, trafienia analizy zagrożeń i dzienniki serwera proxy DNS na potrzeby scentralizowanego monitorowania ruchu wychodzącego i wykrywania zagrożeń.

• Dziennik ataków na warstwę aplikacji: Włącz dzienniki zapory aplikacji sieciowych (WAF) w celu przechwytywania prób ataku na warstwę aplikacji, w tym iniekcji SQL, cross-site scripting i naruszeń z listy OWASP Top 10 ze szczegółami żądania i decyzji o blokowaniu.

• Zbieranie danych zapytań DNS: Zbierz dzienniki zapytań DNS , aby pomóc w korelowaniu danych sieciowych i wykrywaniu ataków opartych na systemie DNS, takich jak tunelowanie, domeny DGA i komunikacja poleceń i kontroli.

• Wdrażanie kompleksowego monitorowania: Użyj rozwiązań do monitorowania sieci platformy Azure w usłudze Azure Monitor, aby uzyskać kompleksową widoczność sieci i scentralizowaną korelację dzienników.

• Włącz analizę ruchu: Wysyłanie dzienników przepływu do obszaru roboczego usługi Log Analytics usługi Azure Monitor i używanie analizy ruchu w celu zapewnienia szczegółowych informacji na temat wzorców ruchu sieciowego, zagrożeń bezpieczeństwa, zużycia przepustowości i naruszeń zasad.

Przykład implementacji

Wyzwanie: Globalna platforma handlu elektronicznego musiała wykrywać ruch lateralny, eksfiltrację danych i ataki na warstwę aplikacji w infrastrukturze wieloregionowej chroniącej systemy przetwarzania płatności i dane klientów.

Podejście do rozwiązania: Włączono kompleksowe rejestrowanie sieci poprzez wdrożenie dzienników przepływu grup zabezpieczeń sieciowych za pomocą Traffic Analytics w ponad 200 grupach zabezpieczeń sieciowych. Skonfigurowano dzienniki diagnostyczne usługi Azure Firewall oraz zapór aplikacyjnych w scentralizowanych punktach ruchu wychodzącego i bramach aplikacyjnych. Zaimplementowano analizę DNS do wykrywania C2. Zintegrowaliśmy wszystkie dzienniki sieciowe z SIEM w celu korelacji z sygnałami dotyczącymi tożsamości i aktywności zasobów.

Wynik: Analiza ruchu sieciowego zidentyfikowała naruszenia zasad (uwidocznione porty zarządzania). Dzienniki zapory aplikacji internetowej wykryły i zablokowały kampanie iniekcyjne SQL. Analiza DNS zidentyfikowała wzorce DGA, co umożliwiło szybką izolację maszyn wirtualnych. Rejestrowanie sieci umożliwiało wykrycie wzorców ruchu bocznego i prób eksfiltracji danych, które byłyby niewidoczne bez kompleksowej analizy przepływów sieciowych i dzienników zapory ogniowej.

Poziom krytyczny

Niezbędny

Mapowanie kontrolek

• NIST SP 800-53 Rev.5: AU-2(1), AU-3(1), AU-6(1), AU-12(1), SI-4(2), SI-4(4), SI-4(5), SI-4(12)
• PCI-DSS 4: 10.2.1, 10.2.2, 10.3.1, 10.3.2, 11.4.1, 11.4.2
• Kontrole CIS w wersji 8.1: 8.2, 8.5, 8.6, 8.11, 13.6
• NIST CSF v2.0: DE. AE-3, DE. CM-1, DE. CM-4, DE. CM-6, DE. CM-7
• ISO 27001:2022: A.8.15, A.8.16
• SOC 2: CC7.2

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: LT-5.

Zasada zabezpieczeń

Scentralizowanie dzienników zabezpieczeń ze wszystkich usług w chmurze, systemów tożsamości i infrastruktury sieci w ujednoliconą platformę do korelacji i analizy. Scentralizowana agregacja umożliwia wykrywanie ataków wieloetapowych obejmujących wiele usług, których nie mogą ujawnić izolowane źródła dzienników.

Ryzyko w celu ograniczenia ryzyka

Rozproszone dzienniki przechowywane w różnych usługach i regionach uniemożliwiają korelację wieloetapowych ataków oraz powodują opóźnienia w wykrywaniu zdarzeń. Bez scentralizowanej agregacji dzienników i możliwości rozwiązania SIEM:

• Niewidoczność wieloetapowego ataku: Zaawansowane łańcuchy ataku obejmujące tożsamość (Microsoft Entra ID), sieć (przepływy NSG) i dane (dostęp do magazynu) pozostają niewykryte, ponieważ odizolowane silosy dzienników uniemożliwiają korelację między usługami i rekonstrukcję chronologii zdarzeń.
• Zmęczenie alertami i hałas: Zespoły ds. zabezpieczeń toną w nieskorelowanych alertach z kilkudziesięciu pojedynczych usług, przeoczają krytyczne wzorce—incydenty o wysokim priorytecie znikają wśród tysięcy fałszywie dodatnich wyników pozbawionych kontekstu i priorytetyzacji.
• Wykrywanie opóźnione: Ręczna agregacja dzienników i analiza wydłuża średni czas wykrywania (MTTD) od minut do dni — atakujący kończą pełne cykle ataków (rekonesans → wykonanie → eksfiltracja), zanim obrońcy skorelują dowody.
• Niekompletne wyszukiwanie zagrożeń: Analitycy zabezpieczeń nie mogą wykonywać proaktywnych zapytań dotyczących wyszukiwania zagrożeń obejmujących wiele usług, zakresów czasu i wskaźników ataków, gdy dzienniki pozostają rozproszone w interfejsach specyficznych dla usługi.
• Błędy inspekcji zgodności: Wymagania prawne nakazują scentralizowane monitorowanie i raportowanie zabezpieczeń — rozproszone dzienniki tworzą wyraźne luki w dojrzałości operacji zabezpieczeń i gotowości inspekcji.
• Nieefektywna odpowiedź na zdarzenia: Zespoły IR tracą krytyczne godziny ręcznie przełączając się między Portal Azure, usługą Log Analytics, dziennikami specyficznymi dla konkretnej usługi i narzędziami innych firm zamiast spójnych przepływów pracy śledczych.
• Utracone przechowywanie i nadzór: Niespójne zasady przechowywania w usługach powodują, że krytyczne dowody kryminalistyczne wygasają przed zakończeniem badań, a brak scentralizowanych kontroli dostępu uwidacznia poufne dzienniki nieautoryzowanemu wyświetlaniu.

Brak scentralizowanego rozwiązania SIEM/SOAR, organizacje działają reaktywnie z fragmentowaną widocznością, długotrwałymi czasami odpowiedzi i brakiem możliwości wykrywania skoordynowanych ataków.

MITRE ATT&CK

• Unikanie obrony (TA0005): osłabianie zabezpieczeń (T1562) poprzez wykorzystanie fragmentacji dzienników w celu uniknięcia wykrywania opartego na korelacji między granicami usług.
• Wykrywanie (TA0007): odkrywanie infrastruktury w chmurze (T1580) poprzez systematyczne wyliczanie zasobów w wielu usługach — wzorce widoczne tylko za pośrednictwem scentralizowanej analizy.
• Ruch poprzeczny (TA0008): użyj alternatywnego materiału uwierzytelniania (T1550) przestawnego między usługami przy użyciu tokenów lub poświadczeń — możliwość śledzenia ruchu tylko za pośrednictwem korelacji dziennika między usługami.
• Kolekcja (TA0009): dane etapowe (T1074.002) agregujące dane z wielu źródeł przed eksfiltracją — wzorce przejściowe wykrywalne za pośrednictwem analizy anomalii w wielu usługach.
• Eksfiltracja (TA0010): automatyczna eksfiltracja (T1020) przy użyciu wyodrębniania rozproszonego w wielu usługach w celu uniknięcia pojedynczych progów woluminów usług — wykrywalna tylko za pomocą zagregowanej analizy.

LT-5.1: Zaimplementować scentralizowaną agregację dzienników

Przekształć pofragmentowane dzienniki rozproszone między usługami w ujednolicony wgląd, rozsyłając wszystkie dane telemetryczne zabezpieczeń na centralną platformę. Agregacja dzienników stanowi podstawę korelacji między usługami, umożliwiając wykrywanie wzorców ataków obejmujących granice infrastruktury — od początkowego naruszenia zabezpieczeń przez przenoszenie poprzeczne do eksfiltracji danych. Ustal scentralizowane zbieranie dzienników:

• Centralne agregowanie dzienników: Zintegruj dzienniki aktywności platformy Azure ze scentralizowanym obszarem roboczym usługi Log Analytics wraz z dziennikami diagnostycznymi zasobów ze wszystkich usług, aby umożliwić korelację między zasobami i ujednolicone przepływy pracy badania.

• Zapytania dotyczące zagregowanych dzienników: Użyj usługi Azure Monitor z zapytaniami KQL, aby przeprowadzić analizę zagregowanych dzienników z usług platformy Azure, urządzeń punktów końcowych, zasobów sieciowych i innych systemów zabezpieczeń na potrzeby wykrywania i badania wzorców.

• Konfigurowanie alertów: Utwórz reguły alertów przy użyciu dzienników zagregowanych z wielu źródeł, aby wykrywać zagrożenia bezpieczeństwa i problemy operacyjne za pośrednictwem logiki korelacji obejmującej wiele źródeł dzienników.

• Ustanów zarządzanie danymi: Zdefiniuj własność danych, zaimplementuj kontrole dostępu oparte na rolach do dzienników, określ lokalizacje magazynowania zgodnie z wymogami zgodności, i ustal zasady przechowywania, które równoważą potrzeby śledcze z kosztami i zobowiązaniami regulacyjnymi.

LT-5.2: Wdrażanie funkcji SIEM i SOAR

Podnieś poziom agregacji dzienników do proaktywnych operacji zabezpieczeń, wdrażając informacje o zabezpieczeniach i zarządzanie zdarzeniami (SIEM) za pomocą funkcji automatycznej odpowiedzi. Rozwiązanie SIEM przekształca nieprzetworzone dzienniki w analizę umożliwiającą podejmowanie działań dzięki regułom korelacji, analizie zagrożeń i zautomatyzowanym przepływom pracy zdarzeń — umożliwiając zespołom zabezpieczeń wykrywanie zagrożeń i reagowanie na nie z szybkością maszyny, a nie ręcznym tempem badania. Utwórz platformę SIEM/SOAR:

• Wdrażanie platformy SIEM:dołączanie usługi Microsoft Sentinel w celu zapewnienia funkcji automatycznego reagowania na zdarzenia zabezpieczeń (SIEM) i orkiestracji zabezpieczeń na potrzeby scentralizowanej analizy zabezpieczeń i reagowania na zdarzenia.

• Łączenie źródeł danych: Połącz źródła danych z usługą Microsoft Sentinel, w tym z usługami platformy Azure, rozwiązaniami microsoft 365, rozwiązaniami zabezpieczeń innych firm i systemami lokalnymi w celu zapewnienia kompleksowej widoczności zabezpieczeń.

• Konfigurowanie reguł analizy: Utwórz reguły wykrywania w usłudze Sentinel, aby identyfikować zagrożenia i automatycznie tworzyć zdarzenia na podstawie skorelowanych zdarzeń zabezpieczeń obejmujących wiele źródeł dzienników i okresów.

• Automatyzacja działań odpowiedzi: Zaimplementuj zautomatyzowane scenariusze odpowiedzi przy użyciu usługi Logic Apps w celu koordynowania działań reagowania na incydenty, w tym działań obejmujących ograniczanie, powiadamianie i korygowanie.

• Włącz pulpity nawigacyjne monitorowania: Wdróż skoroszyty i pulpity nawigacyjne usługi Sentinel na potrzeby monitoringu zabezpieczeń, wyszukiwania zagrożeń, raportowania zgodności i widoczności stanu zabezpieczeń na poziomie kierownictwa.

• Integrowanie analizy opartej na sztucznej inteligencji: Włącz integrację rozwiązania Microsoft Security Copilot z usługą Sentinel , aby zapewnić oparte na sztucznej inteligencji badanie zdarzeń, wyszukiwanie zagrożeń i zalecenia dotyczące odpowiedzi z przewodnikiem przy użyciu zapytań języka naturalnego w scentralizowanych dziennikach zabezpieczeń.

Przykład implementacji

Wyzwanie: Międzynarodowa firma ubezpieczeniowa potrzebowała ujednoliconych możliwości wykrywania zagrożeń i badania w ramach 12 subskrypcji platformy Azure, 500+ zasobów i 4 regionów geograficznych przetwarzających dane osobowe i dane roszczeń posiadacza polisy.

Podejście do rozwiązania: Wdrożono scentralizowany obszar roboczy usługi Log Analytics z ustawieniami diagnostycznymi na poziomie zarządzania routingiem wszystkich dzienników aktywności platformy Azure, telemetrii tożsamości i krytycznych dzienników zasobów (Storage, SQL, Key Vault, Firewall). Włączono usługę Microsoft Sentinel SIEM z łącznikami danych dla usługi Defender for Cloud, Entra ID Protection, Microsoft 365 Defender i Defender Threat Intelligence. Skonfigurowane reguły analizy dla zagrożeń specyficznych dla ubezpieczeń (eksport masowych zgłoszeń roszczeń, anomalie dostępu uprzywilejowanego, ataki wieloetapowe), zautomatyzowane podręczniki reakcji dla przepływów pracy związanych z ograniczaniem oraz zintegrowane narzędzie Security Copilot dla możliwości badania w języku naturalnym. Ustanowiono skoroszyty zgodności, w których wymagania HIPAA, PCI-DSS i SOC 2 są mapowane na dane telemetryczne platformy Sentinel.

Wynik: Usługa Sentinel wykryła kampanie wypychania poświadczeń za pośrednictwem korelacji między subskrypcjami i zidentyfikowała ruch poprzeczny między regionami geograficznymi w ciągu kilku minut. Dzięki Security Copilot analitycy warstwy pierwszego poziomu mogą przeprowadzać skomplikowane dochodzenia przy użyciu zapytań języka naturalnego, bez konieczności posiadania zaawansowanej wiedzy na temat języka zapytań. Scentralizowany system SIEM znacznie skrócił średni czas wykrywania i badania zdarzeń zabezpieczeń w całej globalnej infrastrukturze.

Poziom krytyczny

Niezbędny

Mapowanie kontrolek

• NIST SP 800-53 Rev.5: AU-2(1), AU-3(1), AU-6(1), AU-6(3), AU-6(5), AU-7(1), AU-12(1), SI-4(1), SI-4(2), SI-4(5), SI-4(12)
• PCI-DSS 4: 10.4.1, 10.4.2, 10.4.3, 10.7.1, 10.7.2, 10.7.7.3
• Kontrole CIS w wersji 8.1: 8.9, 8.11, 13.1, 13.3, 13.4, 17.1
• NIST CSF v2.0: DE.AE-2, DE.AE-3, DE.CM-1, DE.CM-4, DE.CM-6, DE.CM-7, RS.AN-1
• ISO 27001:2022: A.8.15, A.8.16, A.5.25
• SOC 2: CC7.2, CC7.3

LT-6: Konfigurowanie przechowywania magazynu dzienników

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: LT-6.

Zasada zabezpieczeń

Skonfiguruj okresy przechowywania dzienników zgodne z wymaganiami prawnymi, mandatami dotyczącymi zgodności i osiami czasu badania. Zrównoważ wymagania dotyczące zachowania dowodów kryminalistycznych względem kosztów magazynowania za pomocą strategii przechowywania warstwowego.

Ryzyko w celu ograniczenia ryzyka

Niewystarczające lub niespójne zasady przechowywania dzienników niszczą dowody kryminalistyczne przed ukończeniem badań i utworzeniem luk w zgodności. Bez zdyscyplinowanego przechowywania zgodnego z wymaganiami prawnymi i operacyjnymi:

• Wygaśnięcie dowodów: Krytyczne dane śledcze (dzienniki uwierzytelniania, wzorce dostępu, przepływy sieciowe) wygasają przed wykryciem naruszeń przez zespoły ds. zabezpieczeń — średni czas zamieszkania wynoszący 200 dni oznacza, że dzienniki muszą utrzymywać się wystarczająco długo, aby zbadać zabezpieczenia historyczne.
• Naruszenia zgodności: Mandaty regulacyjne (PCI-DSS 10,7: 1 rok, RODO: różni się w zależności od jurysdykcji, HIPAA: 6 lat) wymagają określonych okresów przechowywania — nieodpowiednie przechowywanie tworzy ustalenia inspekcji, niepowodzenia certyfikacji i kary regulacyjne.
• Niekompletna rekonstrukcja incydentu: Historyczna korelacja wskaźników na rozszerzonych osiach czasu naruszeń staje się niemożliwa, gdy dzienniki wygasną przedwcześnie — zapobieganie pełnej analizie łańcucha zabić i określaniu głównej przyczyny.
• Luki w odkrywkach prawnych: Spory sądowe, dochodzenia regulacyjne i wewnętrzne inspekcje wymagają tworzenia historycznych logów bezpieczeństwa — brakujące logi tworzą ekspozycję prawną i niezdolność do obrony praktyk organizacyjnych.
• Ślepota analizy wzorców: Modele uczenia maszynowego i behawioralne plany bazowe wymagają historycznych danych treningowych — krótki okres przechowywania uniemożliwia wykrywanie ataków typu wolne spalanie, sezonowych wzorców lub długoterminowej analizy trendów.
• Przekroczenia kosztów: Brak strategii warstwowania przechowywania (gorące i zimne archiwizowanie) prowadzi do kosztownego przechowywania w usłudze Log Analytics w przypadku długoterminowych potrzeb archiwalnych, które lepiej obsługiwane byłyby przez usługę Azure Storage — niepotrzebnie zawyżają koszty operacyjne.
• Odchylenie zasad przechowywania: Niespójne przechowywanie w usługach (90 dni dla dzienników aktywności, 30 dni dla dzienników zasobów, nieokreślony dla niektórych usług) tworzy ślepe punkty w dochodzeniach i nieprzewidywalne pokrycie śledcze.

Nieodpowiednie przechowywanie przekształca długotrwałe naruszenia w incydenty niepoddające się dochodzeniu, jednocześnie tworząc ryzyko regulacyjne i prawne.

MITRE ATT&CK

• Uchylanie się od obrony (TA0005): osoby atakujące usuwające wskaźnik (T1070) wykorzystujące okna przechowywania krótkiego w celu zapewnienia, że dowody wygasają naturalnie bez konieczności aktywnego usuwania dziennika.
• Trwałość (TA0003): manipulowanie kontem (T1098) ustanawianie długoterminowego dostępu backdoor z ufnością, że początkowe dowody naruszenia zabezpieczeń zestarzeją się, zanim zostaną wykryte.

LT-6.1: Implementowanie strategii przechowywania dzienników

Zrównoważenie potrzeb związanych z zachowaniem dowodów śledczych z kosztami przechowywania poprzez wdrożenie strategii przechowywania warstwowego dostosowanych do wymogów regulacyjnych i harmonogramów śledztwa. Różne typy dzienników wymagają różnych okresów przechowywania — magazynu gorącego na potrzeby aktywnych badań, ciepłego magazynu dla najnowszej historii i zimnej archiwizacji w celu zapewnienia długoterminowej zgodności — optymalizacji zarówno możliwości śledczej, jak i kosztów operacyjnych. Skonfiguruj następującą strategię przechowywania:

• Kierowanie dzienników do odpowiedniego magazynu: Utwórz ustawienia diagnostyczne, aby skierować dzienniki aktywności platformy Azure i inne dzienniki zasobów do odpowiednich lokalizacji magazynu zgodnie z wymaganiami przechowywania, nakazami zgodności i harmonogramami dochodzeń, równoważąc koszty magazynowania ciepłego i zimnego.

• Konfiguracja przechowywania krótkoterminowego do średnioterminowego: Użyj obszaru roboczego Azure Monitor Log Analytics, aby przechowywać dzienniki do 1–2 lat na potrzeby aktywnego badania, wyszukiwania zagrożeń i analizy operacyjnej za pomocą funkcji zapytań KQL.

• Zaimplementuj długoterminowy magazyn archiwalny: Użyj usługi Azure Storage, Azure Data Explorer lub usługi Data Lake w celu przechowywania długoterminowego i archiwalnego na okres dłuższy niż 1–2 lata, aby spełnić wymagania dotyczące zgodności (PCI-DSS, SEC 17a-4, HIPAA) ze znacznym obniżeniem kosztów dzięki warstwom zimnej/archiwalnej.

• Przekazywanie dzienników zewnętrznie: Usługa Azure Event Hubs umożliwia przekazywanie dzienników do zewnętrznych systemów zabezpieczeń SIEM, data lake lub innych firm spoza platformy Azure, jeśli jest to wymagane w przypadku widoczności wielu chmur lub starszych integracji.

• Konfiguracja retencji konta magazynu: Skonfiguruj zasady retencji dzienników dla konta Azure Storage zgodnie z wymaganiami zgodności, wdrażając zarządzanie cyklem życia do automatycznego przechodzenia między warstwami i usuwania danych.

• Planowanie przechowywania dzienników usługi Sentinel: Zaimplementuj długoterminową strategię magazynowania dla dzienników usługi Microsoft Sentinel, ponieważ usługa Sentinel używa obszaru roboczego usługi Log Analytics jako zaplecza, co wymaga jawnej konfiguracji archiwalnej na potrzeby rozszerzonego przechowywania poza limitami obszarów roboczych.

• Archiwizowanie alertów zabezpieczeń: Skonfiguruj eksport ciągły dla alertów i zaleceń usługi Microsoft Defender for Cloud , aby spełnić wymagania dotyczące przechowywania, ponieważ dane usługi Defender for Cloud mają ograniczone przechowywanie w natywnym portalu.

Przykład implementacji

Wyzwanie: Regulowana organizacja usług finansowych musiała spełnić różne wymagania dotyczące retencji danych (PCI-DSS: 1 rok, SEC 17a-4: 7 lat) podczas efektywnego kosztowo zarządzania 80 TB danych z rocznych dzienników zabezpieczeń.

Podejście do rozwiązania: Zaimplementowano strategię przechowywania dzienników warstwowych przez skonfigurowanie obszaru roboczego usługi Log Analytics z 1-letnim domyślnym przechowywaniem i przesłonięciami na poziomie tabeli (dzienniki tożsamości: 2 lata, przepływy sieciowe: 90 dni), eksportowanie wszystkich dzienników do kont usługi Azure Storage przy użyciu zasad zarządzania cyklem życia (gorąca→cool na poziomie 90 dni, chłodna→archiwność na 1 rok) i konfigurowanie niezmiennego magazynu (WORM) na kontach krytycznych pod względem zgodności. Wdrożono usługę Azure Policy wymuszającą ustawienia diagnostyczne i spójność konfiguracji przechowywania, utworzono pakiety zapytań usługi Log Analytics na potrzeby automatycznego raportowania zgodności i ustanowiono proces archiwizacji ze względów prawnych na potrzeby zachowywania danych kryminalistycznych podczas aktywnych zdarzeń.

Wynik: Osiągnięto kompletną zgodność dziennika inspekcji dla wymagań dotyczących PCI-DSS i SEC 17a-4, a jednocześnie znacznie obniżając koszty magazynowania dzienników za pomocą strategii magazynowania warstwowego. Pomyślnie zbadano historyczne zdarzenia zabezpieczeń przy użyciu zarchiwizowanych dzienników poza poprzednimi możliwościami przechowywania i usprawniliśmy kwartalne inspekcje zgodności za pomocą zautomatyzowanych zapytań dotyczących zbierania dowodów i weryfikacji przechowywania.

Poziom krytyczny

Powinien mieć.

Mapowanie kontrolek

• NIST SP 800-53 Rev.5: AU-11(1), SI-12
• PCI-DSS 4: 10.5.1, 10.7.1, 10.7.2, 10.7.3
• Kontrolki CIS w wersji 8.1: 8.3, 8.10
• NIST CSF v2.0: PR. PT-1, DE. CM-1
• ISO 27001:2022: A.8.15
• SOC 2: CC7.2

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Zasada zabezpieczeń

Zsynchronizuj wszystkie systemy z autorytatywnymi źródłami czasu, aby zachować dokładne znaczniki czasu w dziennikach zabezpieczeń. Spójna synchronizacja czasu umożliwia niezawodną korelację dziennika, rekonstrukcję osi czasu zdarzenia i analizę kryminalistyczną.

Ryzyko w celu ograniczenia ryzyka

Dokładny i zsynchronizowany czas we wszystkich systemach ma podstawowe znaczenie dla korelacji dzienników, analizy śledczej i rekonstrukcji chronologii zdarzeń. Bez spójnej synchronizacji czasu:

• Uszkodzenie osi czasu śledczego: Rekonstrukcja zdarzeń staje się niemożliwa, gdy dzienniki z różnych źródeł pokazują sprzeczne znaczniki czasu — śledczy nie mogą określić sekwencji ataków ani skorelować zdarzeń między systemami (dzienniki maszyn wirtualnych pokazujące atak o godzinie 10:00, dzienniki zapory pokazujące to samo zdarzenie o godzinie 9:45).
• Błąd korelacji rozwiązania SIEM: Analiza zabezpieczeń i reguły korelacji kończą się niepowodzeniem, gdy dryf czasu powoduje, że zdarzenia docierają w niechronologicznej kolejności — brak wykryć, ponieważ logika reguły zakłada chronologiczną sekwencję zdarzeń.
• Możliwości obejścia uwierzytelniania: Mechanizmy uwierzytelniania opartego na czasie (bilety Kerberos, tokeny JWT, kody OTP) stają się podatne na wykorzystanie, gdy rozbieżności czasu umożliwiają ataki powtarzania lub rozszerzają okna ważności tokenów.
• Błędy inspekcji zgodności: Ramy regulacyjne (PCI-DSS 10.4, SOC 2, HIPAA) nakazują dokładną synchronizację czasu integralności dziennika inspekcji — dryf czasu tworzy wyniki inspekcji i pytania dotyczące niezawodności dowodów.
• Alerty fałszywie dodatnie/ujemne: Wykrywanie anomalii i analiza behawioralna generują nieprawidłowe alerty, gdy dryf czasu powoduje, że normalne działania pojawiają się poza oczekiwanymi oknami czasu lub podejrzanymi wzorcami, które wydają się łagodne.
• Błędy weryfikacji certyfikatu: Sprawdzanie ważności certyfikatu SSL/TLS kończy się niepowodzeniem lub błędnym zatwierdzeniem, gdy zegary systemowe dryfują poza ramy czasowe określone przez NotBefore/NotAfter — powodując przerwy w działaniu usługi lub obejście zabezpieczeń.
• Błędy przechowywania dzienników: Zasady przechowywania oparte na ocenie sygnatury czasowej (usuwanie dzienników starszych niż 365 dni) są wykonywane niepoprawnie z dryfem czasu — przedwczesne usunięcie dowodów lub zachowanie dzienników poza limitami zasad.

Błędy synchronizacji czasu podważają integralność dowodową wszystkich funkcji rejestrowania i monitorowania zabezpieczeń, co sprawia, że analiza kryminalistyczna jest niejednoznaczna i zawodna.

MITRE ATT&CK

• Uchylanie się od obrony (TA0005): usunięcie wskaźnika (T1070) manipulowanie znacznikami czasu w celu ukrycia złośliwych działań w uzasadnionych oknach czasowych lub przedstawienia dowodów poza zakresem dochodzenia.

LT-7.1: Konfigurowanie synchronizacji bezpiecznego czasu

Upewnij się, że dokładne i spójne znaczniki czasu we wszystkich systemach umożliwiają niezawodną korelację dziennika i rekonstrukcję osi czasu zdarzenia. Synchronizacja czasu jest podstawą spójności kryminalistycznej — nawet mały dryf zegara może uszkodzić linie czasowe dochodzenia, spowodować niepowodzenie korelacji w systemach SIEM i utworzyć wyniki audytów zgodności. Skonfiguruj wszystkie systemy do używania zaufanych źródeł czasu i monitorowania dryfu przez cały czas. Zaimplementuj następujące rozwiązania synchronizacji czasu:

• Konfiguracja synchronizacji czasu systemu Windows: Użyj domyślnych serwerów NTP firmy Microsoft do synchronizacji czasu na zasobach obliczeniowych w systemie Windows hostowanych na platformie Azure, korzystając ze źródeł czasu hosta Azure poprzez usługi integracji wirtualizacji, chyba że wymagania specyficzne nakazują inaczej.

• Konfigurowanie synchronizacji czasu systemu Linux: Skonfiguruj synchronizację czasu dla zasobów obliczeniowych platformy Azure z systemem Linux przy użyciu chrony lub ntpd ze źródłami NTP udostępnianymi przez platformę Azure lub odpowiednimi zewnętrznymi serwerami NTP.

• Zabezpieczanie niestandardowych serwerów NTP: W przypadku wdrażania niestandardowych serwerów protokołu czasu sieciowego (NTP), zabezpiecz port usługi UDP 123 i zaimplementuj mechanizmy kontroli dostępu ograniczające zapytania usługi czasowej tylko autoryzowanym klientom.

• Zweryfikuj formaty znacznika czasu: Sprawdź, czy wszystkie dzienniki generowane przez zasoby platformy Azure obejmują znaczniki czasu z informacjami o strefie czasowej (najlepiej UTC) domyślnie, aby umożliwić jednoznaczne odtworzenie osi czasu we wdrożeniach globalnych.

• Monitorowanie dryfu czasu: Zaimplementuj ciągłe monitorowanie dryfu czasu w systemach i skonfiguruj alerty pod kątem znaczących problemów z synchronizacją (>5 sekund), które mogą mieć wpływ na korelację dzienników, analizę kryminalistyczną i mechanizmy uwierzytelniania oparte na czasie.

Przykład implementacji

Wyzwanie: Globalna sieć handlu detalicznego potrzebowała integralności osi czasu kryminalistycznej w ramach infrastruktury hybrydowej (lokalnych systemów punktów sprzedaży, zaplecza usługi Azure Cloud POS, przetwarzania płatności) obejmującego 2500 sklepów dla zgodności z PCI-DSS oraz do badania przypadków oszustw.

Podejście do rozwiązania: Skonfigurowano kompleksową synchronizację czasu, weryfikując automatyczną synchronizację NTP usług Azure PaaS, konfigurując maszyny wirtualne platformy Azure (Windows/Linux) do korzystania ze źródeł czasu hosta platformy Azure i implementując alerty usługi Azure Monitor pod kątem dryfu >czasu 5 sekund. Wdrożone zapytania usługi Log Analytics wykrywające anomalie znaczników czasowych w skorelowanych źródłach dzienników i zautomatyzowanych Runbookach naprawy, wymuszających ponowną synchronizację czasu na dotkniętych maszynach wirtualnych. Ustanowiono kwartalne audyty synchronizacji czasu, które weryfikują konfigurację NTP oraz spójność sygnatur czasowych w dziennikach aplikacji, tożsamości i sieci.

Wynik: Uzyskano zgodność z wymaganiami PCI-DSS dotyczącymi synchronizacji czasu i pomyślnie skorelowano śledztwa dotyczące oszustw w źródłach dzienników hybrydowych ze spójną dokładnością znacznika czasu, co umożliwia precyzyjną rekonstrukcję incydentu. Zautomatyzowane monitorowanie dryfu czasu i jego korygowanie wyeliminowało fałszywie dodatnie alerty zabezpieczeń spowodowane zdarzeniami poza kolejnością i zapewniło integralność osi czasu wykorzystywanej w dochodzeniach w globalnej, rozproszonej infrastrukturze.

Poziom krytyczny

Powinien mieć.

Mapowanie kontrolek

• NIST SP 800-53 Rev.5: AU-8(1), AU-8(2)
• PCI-DSS 4: 10.6.1, 10.6.2, 10.6.3
• Kontrole CIS w wersji 8.1: 8.4
• NIST CSF v2.0: DE.CM-1, PR.PT-1
• ISO 27001:2022: A.8.15
• SOC 2: CC7.2