Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga / Notatka
Najbardziej aktualny up-tostandard zabezpieczeń platformy Azure jest dostępny tutaj.
Rejestrowanie i wykrywanie zagrożeń obejmuje mechanizmy kontroli wykrywania zagrożeń na platformie Azure oraz włączania, zbierania i przechowywania dzienników inspekcji dla usług platformy Azure. Obejmuje to włączanie procesów wykrywania, badania i korygowania za pomocą kontrolek w celu generowania alertów wysokiej jakości z natywnym wykrywaniem zagrożeń w usługach platformy Azure; Obejmuje ona również zbieranie dzienników za pomocą usługi Azure Monitor, centralizację analizy zabezpieczeń za pomocą usługi Azure Sentinel, synchronizację czasu i przechowywanie dzienników.
Aby wyświetlić odpowiednie wbudowane Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: rejestrowanie i wykrywanie zagrożeń
LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Czołg LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Upewnij się, że monitorujesz różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich, które analitycy muszą sortować. Alerty mogą być pozyskiwane z danych dziennika, agentów lub innych danych.
Użyj usługi Azure Defender, która jest oparta na monitorowaniu danych telemetrycznych usługi platformy Azure i analizowaniu dzienników usługi. Dane są zbierane przy użyciu agenta usługi Log Analytics, który odczytuje różne konfiguracje związane z zabezpieczeniami i dzienniki zdarzeń z systemu i kopiuje dane do obszaru roboczego w celu analizy.
Ponadto użyj usługi Azure Sentinel do tworzenia reguł analizy, które wyszukują zagrożenia zgodne z określonymi kryteriami w całym środowisku. Reguły generują zdarzenia, gdy kryteria są dopasowane, dzięki czemu można zbadać każde zdarzenie. Usługa Azure Sentinel może również importować analizę zagrożeń innych firm w celu zwiększenia możliwości wykrywania zagrożeń.
Przewodnik referencyjny dotyczący alertów zabezpieczeń usługi Azure Security Center
Tworzenie niestandardowych reguł analizy do wykrywania zagrożeń
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
LT-2: Włączanie wykrywania zagrożeń na potrzeby zarządzania tożsamościami i dostępem platformy Azure
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Czołg LT-2 | 6.8 | AU-3, AU-6, AU-12, SI-4 |
Usługa Azure AD udostępnia następujące dzienniki użytkowników, które można wyświetlać w raportowaniu usługi Azure AD lub zintegrować z usługami Azure Monitor, Azure Sentinel lub innymi narzędziami SIEM/monitorowania w celu uzyskania bardziej zaawansowanych przypadków użycia monitorowania i analizy:
Logowania — raport logowania zawiera informacje o użyciu aplikacji zarządzanych i działań logowania użytkowników.
Dzienniki inspekcji — zapewnia możliwość śledzenia za pośrednictwem dzienników dla wszystkich zmian wprowadzanych przez różne funkcje w usłudze Azure AD. Przykłady dzienników inspekcji obejmują zmiany wprowadzone w dowolnych zasobach w usłudze Azure AD, takie jak dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.
Ryzykowne logowania — ryzykowne logowanie jest wskaźnikiem próby logowania, która mogła zostać wykonana przez osobę, która nie jest uprawnionym właścicielem konta użytkownika.
Użytkownicy oflagowani pod kątem ryzyka — ryzykowny użytkownik jest wskaźnikiem dla konta użytkownika, które mogło zostać naruszone.
Usługa Azure Security Center może również otrzymywać alerty dotyczące niektórych podejrzanych działań, takich jak nadmierna liczba nieudanych prób uwierzytelniania i przestarzałe konta w subskrypcji. Oprócz podstawowego monitorowania higieny zabezpieczeń usługa Azure Defender może również zbierać bardziej szczegółowe alerty zabezpieczeń z poszczególnych zasobów obliczeniowych platformy Azure (takich jak maszyny wirtualne, kontenery, usługa App Service), zasobów danych (takich jak baza danych SQL i magazyn) oraz warstwy usług platformy Azure. Ta funkcja umożliwia wyświetlanie anomalii kont wewnątrz poszczególnych zasobów.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
LT-3: Włączanie rejestrowania dla działań sieciowych platformy Azure
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Czołg LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Włączanie i zbieranie dzienników zasobów sieciowej grupy zabezpieczeń (NSG), dzienników przepływu sieciowej grupy zabezpieczeń, dzienników Azure Firewall i dzienników Web Application Firewall (WAF) na potrzeby analizy zabezpieczeń w celu obsługi badań zdarzeń, wyszukiwania zagrożeń i generowania alertów zabezpieczeń. Dzienniki przepływu można wysłać do obszaru roboczego usługi Log Analytics usługi Azure Monitor, a następnie użyć analizy ruchu, aby uzyskać szczegółowe informacje.
Upewnij się, że zbierasz dzienniki zapytań DNS, aby pomóc w skorelowaniu innych danych sieciowych.
Jak włączyć dzienniki przepływu grupy zabezpieczeń sieciowych
Rozwiązania do monitorowania sieci platformy Azure w usłudze Azure Monitor
Zbieranie szczegółowych informacji o infrastrukturze DNS przy użyciu rozwiązania DNS Analytics
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
LT-4: Włączanie rejestrowania dla zasobów platformy Azure
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Czołg LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Włącz rejestrowanie zasobów platformy Azure, aby spełnić wymagania dotyczące zgodności, wykrywania zagrożeń, wyszukiwania zagrożeń i badania zdarzeń.
Za pomocą Azure Security Center i Azure Policy można włączyć dzienniki zasobów i zbieranie danych dzienników w zasobach platformy Azure w celu uzyskania dostępu do dzienników inspekcji, zabezpieczeń i zasobów. Dzienniki aktywności, które są dostępne automatycznie, obejmują źródło zdarzeń, datę, użytkownika, sygnaturę czasową, adresy źródłowe, adresy docelowe i inne przydatne elementy.
Odpowiedzialność: wspólna
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
Zabezpieczenia infrastruktury i punktu końcowego
LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Czołg LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Scentralizuj rejestrowanie, przechowywanie i analizę, aby umożliwić korelację. Dla każdego źródła dziennika upewnij się, że przypisano właściciela danych, wskazówki dotyczące dostępu, lokalizację przechowywania, narzędzia używane do przetwarzania i uzyskiwania dostępu do danych oraz wymagania dotyczące przechowywania danych.
Upewnij się, że integrujesz dzienniki aktywności platformy Azure z rejestrowaniem centralnym. Przyjmowanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia końcowe, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics do wykonywania zapytań i wykonywania analiz oraz używaj kont usługi Azure Storage do długoterminowego i archiwalnego magazynowania.
Ponadto włącz i dołącz dane do usługi Azure Sentinel lub rozwiązania SIEM innej firmy.
Wiele organizacji decyduje się na używanie usługi Azure Sentinel dla "gorących" danych, które są często używane, i usługi Azure Storage dla "zimnych" danych, które są używane rzadziej.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
LT-6: Konfigurowanie przechowywania magazynu dzienników
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Czołg LT-6 | 6.4 | AU-3, AU-11 |
Skonfiguruj przechowywanie dzienników zgodnie ze zgodnością, przepisami i wymaganiami biznesowymi.
W usłudze Azure Monitor możesz ustawić okres przechowywania obszaru roboczego usługi Log Analytics zgodnie z przepisami dotyczącymi zgodności organizacji. Użyj kont obszaru roboczego usługi Azure Storage, Data Lake lub usługi Log Analytics do przechowywania długoterminowego i archiwalnego.
Zmienianie okresu przechowywania danych w usłudze Log Analytics
Jak skonfigurować zasady przechowywania dla dzienników konta usługi Azure Storage
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu
| Identyfikator Azure | Identyfikator(y) Kontroli CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| Czołg LT-7 | 6.1 | AU-8 (jednostka AU-8) |
Firma Microsoft utrzymuje źródła czasu dla większości usług Azure PaaS i SaaS. W przypadku maszyn wirtualnych użyj domyślnego serwera NTP firmy Microsoft do synchronizacji czasu, chyba że masz określone wymaganie. Jeśli musisz utworzyć własny serwer protokołu czasu sieciowego (NTP), upewnij się, że zabezpieczysz port usługi UDP 123.
Wszystkie dzienniki generowane przez zasoby na platformie Azure zapewniają sygnatury czasowe ze strefą czasową określoną domyślnie.
Jak skonfigurować synchronizację czasu dla zasobów obliczeniowych platformy Azure z systemem Windows
Jak skonfigurować synchronizację czasu dla zasobów obliczeniowych platformy Azure z systemem Linux
Jak wyłączyć przychodzący protokół UDP dla usług platformy Azure
Odpowiedzialność: wspólna
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):