Controle de segurança V2: Registro em log e detecção de ameaças

O registro de logs e a detecção de ameaças inclui controles para detectar ameaças no Azure e habilitar, coletar e armazenar logs de auditoria para os serviços do Azure. Isso inclui habilitar processos de detecção, investigação e correção com controles para gerar alertas de alta qualidade com detecção de ameaças nativas nos serviços do Azure; ele também inclui coletar logs com o Azure Monitor, centralizar a análise de segurança com o Azure Sentinel, a sincronização de tempo e a retenção de log.

Para ver a Política do Azure integrada aplicável, consulte Detalhes da iniciativa integrada de Conformidade Regulatória do Azure Security Benchmark: Registro em log e detecção de ameaças

LT-1: habilitar a detecção de ameaças para recursos do Azure

Verifique se você está monitorando diferentes tipos de ativos do Azure para possíveis ameaças e anomalias. Concentre-se em obter alertas de alta qualidade para reduzir falsos positivos para os analistas classificarem. Os alertas podem ser originados de dados de log, agentes ou outros dados.

Use o Azure Defender, que se baseia no monitoramento da telemetria do serviço do Azure e na análise de logs de serviço. Os dados são coletados usando o agente do Log Analytics, que lê várias configurações relacionadas à segurança e logs de eventos do sistema e copia os dados para seu workspace para análise.

Além disso, use o Azure Sentinel para criar regras de análise, que caçam ameaças que correspondem a critérios específicos em seu ambiente. As regras geram incidentes quando os critérios são correspondidos, para que você possa investigar cada incidente. O Azure Sentinel também pode importar inteligência contra ameaças de terceiros para aprimorar sua capacidade de detecção de ameaças.

• Azure Defender

• Guia de referência de alertas de segurança da Central de Segurança do Azure

• Criar regras de análise personalizadas para detectar ameaças

• Inteligência contra ameaças cibernéticas com o Azure Sentinel

Responsabilidade: Cliente

Partes Interessadas em Segurança do Cliente (Saiba mais):

• Infraestrutura e segurança de terminais

• operações de segurança

• Gerenciamento de postura

• Segurança de Aplicações e DevOps

• Informações sobre ameaças

LT-2: habilitar a detecção de ameaças para o gerenciamento de identidades e acesso do Azure

O Azure AD fornece os seguintes logs de usuário que podem ser exibidos no relatório do Azure AD ou integrados ao Azure Monitor, ao Azure Sentinel ou a outras ferramentas de SIEM/monitoramento para casos de uso de monitoramento e análise mais sofisticados:

• Entradas – O relatório de entradas fornece informações sobre o uso de aplicativos gerenciados e atividades de entrada do usuário.

• Registros de auditoria – Oferece rastreamento através de registros para todas as alterações realizadas por várias funcionalidades dentro do Azure AD. Exemplos de logs de auditoria incluem alterações feitas em qualquer recurso no Azure AD, como adicionar ou remover usuários, aplicativos, grupos, funções e políticas.

• Entradas arriscadas – Uma entrada arriscada é um indicador para uma tentativa de entrada que pode ter sido executada por alguém que não é o proprietário legítimo de uma conta de usuário.

• Usuários sinalizados para risco – um usuário arriscado é um indicador para uma conta de usuário que pode ter sido comprometida.

A Central de Segurança do Azure também pode alertar sobre determinadas atividades suspeitas, como um número excessivo de tentativas de autenticação com falha e contas preteridas na assinatura. Além do monitoramento básico de higiene de segurança, o Azure Defender também pode coletar alertas de segurança mais aprofundados de recursos de computação individuais do Azure (como máquinas virtuais, contêineres, serviço de aplicativo), recursos de dados (como banco de dados SQL e armazenamento) e camadas de serviço do Azure. Essa funcionalidade permite que você veja anomalias de conta dentro dos recursos individuais.

• Relatórios de atividade de auditoria no Azure AD

• Habilitar o Azure Identity Protection

• Azure Defender

Responsabilidade: Cliente

Partes Interessadas em Segurança do Cliente (Saiba mais):

• Infraestrutura e segurança de terminais

• operações de segurança

• Gerenciamento de postura

• Segurança de Aplicações e DevOps

• Informações sobre ameaças

LT-3: Habilitar o registro em log para atividades de rede do Azure

Habilite e colete logs de recursos do NSG (grupo de segurança de rede), logs de fluxo NSG, logs do Firewall do Azure e logs do WAF (Firewall de Aplicativo Web) para análise de segurança, suportando investigações de incidentes, caça a ameaças e geração de alertas de segurança. Você pode enviar os logs de fluxo para um workspace do Log Analytics do Azure Monitor e, em seguida, usar a Análise de Tráfego para fornecer insights.

Verifique se você está coletando logs de consulta DNS para ajudar a correlacionar outros dados de rede.

• Como ativar os logs de fluxo de grupos de segurança de rede

• Logs e métricas do Firewall do Azure

• Como habilitar e usar a Análise de Tráfego

• Monitoramento com o Observador de Rede

• Soluções de monitoramento de rede do Azure no Azure Monitor

• Reunir insights sobre sua infraestrutura DNS com a solução de Análise de DNS

Responsabilidade: Cliente

Partes Interessadas em Segurança do Cliente (Saiba mais):

• Infraestrutura e segurança de terminais

• operações de segurança

• Gerenciamento de postura

• Segurança de Aplicações e DevOps

• Informações sobre ameaças

LT-4: habilitar o registro em log para recursos do Azure

Habilite o registro em log para recursos do Azure para atender aos requisitos de conformidade, detecção de ameaças, busca e investigação de incidentes.

Você pode usar a Central de Segurança do Azure e a Central de Políticas do Azure para habilitar a coleta de dados de logs e logs de recursos em recursos do Azure, facilitando o acesso aos logs de auditoria, segurança e de recursos. Os registos de atividades, que estão disponíveis automaticamente, incluem origem do evento, data, utilizador, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis.

• Compreenda o registro de logs e diferentes tipos de log no Azure

• Entender a coleta de dados da Central de Segurança do Azure

Responsabilidade: Compartilhado

Partes Interessadas em Segurança do Cliente (Saiba mais):

• operações de segurança

Infraestrutura e segurança de endpoints

• Segurança do aplicativo e DevOps

• Informações sobre ameaças

LT-5: centralizar o gerenciamento e a análise do log de segurança

Centralize o armazenamento e a análise de log para habilitar a correlação. Para cada fonte de log, verifique se você atribuiu um proprietário de dados, diretrizes de acesso, local de armazenamento, quais ferramentas são usadas para processar e acessar os dados e requisitos de retenção de dados.

Certifique-se de integrar logs de atividades do Azure ao registro central de logs. Capturar logs via Azure Monitor para reunir dados de segurança gerados por dispositivos endpoint, recursos de rede e outros sistemas de segurança. No Azure Monitor, use os workspaces do Log Analytics para consultas e análises, e use as contas de Armazenamento do Azure para armazenamento de longo prazo e arquivamento.

Além disso, habilite e integre dados ao Azure Sentinel ou a um SIEM de terceiros.

Muitas organizações optam por usar o Azure Sentinel para dados "frequentes" usados com frequência e o Armazenamento do Azure para dados "frios" usados com menos frequência.

• Como coletar logs e métricas da plataforma com o Azure Monitor

• Como integrar o Azure Sentinel

Responsabilidade: Cliente

Partes Interessadas em Segurança do Cliente (Saiba mais):

• arquitetura de segurança

• Segurança de Aplicações e DevOps

• Infraestrutura e segurança de terminais

LT-6: configurar a retenção do armazenamento de log

Configure sua retenção de log de acordo com seus requisitos de conformidade, regulamentação e necessidades empresariais.

No Azure Monitor, você pode definir o período de retenção do workspace do Log Analytics de acordo com os regulamentos de conformidade da sua organização. Use contas do Armazenamento do Azure, Data Lake ou Log Analytics para armazenamento de longo prazo e arquivamento.

• Alterar o período de retenção de dados no Log Analytics

• Como configurar a política de retenção para os logs da conta do Azure Storage

• Exportação de alertas e recomendações da Central de Segurança do Azure

Responsabilidade: Cliente

Partes Interessadas em Segurança do Cliente (Saiba mais):

• arquitetura de segurança

• Segurança de Aplicações e DevOps

• operações de segurança

• Gerenciamento de conformidade de segurança

LT-7: Usar fontes de sincronização de tempo aprovadas

A Microsoft mantém fontes de tempo para a maioria dos serviços de PaaS e SaaS do Azure. Para suas máquinas virtuais, use o servidor NTP padrão da Microsoft para sincronização de tempo, a menos que você tenha um requisito específico. Se você precisar manter seu próprio servidor NTP (protocolo de tempo de rede), certifique-se de proteger a porta de serviço UDP 123.

Todos os logs gerados por recursos dentro do Azure fornecem carimbos de data/hora com o fuso horário definido por padrão.

• Como configurar a sincronização de tempo para recursos de computação do Windows do Azure

• Como configurar a sincronização de tempo para recursos de computação do Linux do Azure

• Como desabilitar o UDP de entrada para serviços do Azure

Responsabilidade: Compartilhado

Partes Interessadas em Segurança do Cliente (Saiba mais):

• Política e padrões

• Segurança de Aplicações e DevOps

• Infraestrutura e segurança de terminais