Controle de Segurança V2: Registro e Deteção de Ameaças

O Registo e Deteção de Ameaças abrange controlos para detetar ameaças no Azure e ativar, recolher e armazenar registos de auditoria para serviços do Azure. Isso inclui habilitar processos de deteção, investigação e correção com controles para gerar alertas de alta qualidade com deteção de ameaças nativas nos serviços do Azure; também inclui a recolha de registos com o Azure Monitor, a centralização da análise de segurança com o Azure Sentinel, a sincronização de horas e a retenção de registos.

Para ver a Política do Azure interna aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Registro em log e deteção de ameaças

LT-1: Habilitar a deteção de ameaças para recursos do Azure

Certifique-se de que está a monitorizar diferentes tipos de ativos do Azure em busca de potenciais ameaças e anomalias. Concentre-se em obter alertas de alta qualidade para reduzir os falsos positivos para os analistas classificarem. Os alertas podem ser obtidos a partir de dados de log, agentes ou outros dados.

Use o Azure Defender, que se baseia no monitoramento da telemetria de serviço do Azure e na análise de logs de serviço. Os dados são coletados usando o agente do Log Analytics, que lê várias configurações relacionadas à segurança e logs de eventos do sistema e copia os dados para seu espaço de trabalho para análise.

Além disso, use o Azure Sentinel para criar regras de análise, que caçam ameaças que correspondem a critérios específicos em seu ambiente. As regras geram incidentes quando os critérios são correspondidos, para que você possa investigar cada incidente. O Azure Sentinel também pode importar informações sobre ameaças de terceiros para melhorar a sua capacidade de deteção de ameaças.

• Azure Defender

• Guia de referência de alertas de segurança da Central de Segurança do Azure

• Crie regras de análise personalizadas para detetar ameaças

• Informações sobre ameaças cibernéticas com o Azure Sentinel

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Segurança de infraestruturas e terminais

• Operações de segurança

• Gestão postural

• Segurança de aplicativos e DevOps

• Informações sobre ameaças

LT-2: Habilitar a deteção de ameaças para o gerenciamento de identidade e acesso do Azure

O Azure AD fornece os seguintes logs de usuário que podem ser exibidos nos relatórios do Azure AD ou integrados ao Azure Monitor, Azure Sentinel ou outras ferramentas de SIEM/monitoramento para casos de uso de monitoramento e análise mais sofisticados:

• Entradas – O relatório de entradas fornece informações sobre o uso de aplicativos gerenciados e atividades de entrada do usuário.

• Logs de auditoria - Fornece rastreabilidade por meio de logs para todas as alterações feitas por vários recursos no Azure AD. Exemplos de logs de auditoria incluem alterações feitas em quaisquer recursos no Azure AD, como adicionar ou remover usuários, aplicativos, grupos, funções e políticas.

• Entradas arriscadas - Um início de sessão arriscado é um indicador de uma tentativa de início de sessão que pode ter sido realizada por alguém que não é o proprietário legítimo de uma conta de utilizador.

• Usuários sinalizados para risco - Um usuário arriscado é um indicador para uma conta de usuário que pode ter sido comprometida.

A Central de Segurança do Azure também pode alertar sobre determinadas atividades suspeitas, como um número excessivo de tentativas de autenticação com falha e contas preteridas na assinatura. Além do monitoramento básico de higiene de segurança, o Azure Defender também pode coletar alertas de segurança mais detalhados de recursos de computação individuais do Azure (como máquinas virtuais, contêineres, serviço de aplicativo), recursos de dados (como Banco de Dados SQL e armazenamento) e camadas de serviço do Azure. Esse recurso permite que você veja anomalias de conta dentro dos recursos individuais.

• Relatórios de atividade de auditoria no Azure AD

• Habilitar o Azure Identity Protection

• Azure Defender

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Segurança de infraestruturas e terminais

• Operações de segurança

• Gestão postural

• Segurança de aplicativos e DevOps

• Informações sobre ameaças

LT-3: Habilitar o log para atividades de rede do Azure

Ative e colete logs de recursos do NSG (grupo de segurança de rede), logs de fluxo do NSG, logs do Firewall do Azure e logs do WAF (Firewall de Aplicações Web) para apoio a investigações de incidentes, deteção de ameaças e gerar alertas de segurança. Você pode enviar os logs de fluxo para um espaço de trabalho do Azure Monitor Log Analytics e, em seguida, usar a Análise de Tráfego para fornecer informações.

Certifique-se de que está a recolher registos de consulta DNS para ajudar a correlacionar outros dados da rede.

• Como ativar os logs de fluxo do grupo de segurança de rede

• Logs e métricas do Firewall do Azure

• Como ativar e usar a Análise de Tráfego

• Monitoramento com o Network Watcher

• soluções de monitoramento de rede do Azure no Azure Monitor

• Reúna informações sobre sua infraestrutura de DNS com a solução DNS Analytics

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Segurança de infraestruturas e terminais

• Operações de segurança

• Gestão postural

• Segurança de aplicativos e DevOps

• Informações sobre ameaças

LT-4: Habilitar o log para recursos do Azure

Habilite o registro em log para recursos do Azure para atender aos requisitos de conformidade, deteção de ameaças, caça e investigação de incidentes.

Você pode usar o Centro de Segurança do Azure e a Política do Azure para habilitar a coleta de dados de log em recursos do Azure, permitindo o acesso a logs de auditoria, segurança e recursos. Os logs de atividades, que estão disponíveis automaticamente, incluem a origem do evento, data, usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis.

• Compreender os registos e os diferentes tipos de registo no Azure

• Compreender a recolha de dados do Centro de Segurança do Azure

Responsabilidade: Partilhada

Partes interessadas na segurança do cliente (Saiba mais):

• Operações de segurança

Segurança de infraestruturas e terminais

• Segurança de aplicativos e DevOps

• Informações sobre ameaças

LT-5: Centralize o gerenciamento e a análise de logs de segurança

Centralize o armazenamento e a análise de logs para permitir a correlação. Para cada fonte de log, certifique-se de ter atribuído um proprietário de dados, orientação de acesso, local de armazenamento, quais ferramentas são usadas para processar e acessar os dados e requisitos de retenção de dados.

Certifique-se de que está a integrar os registos de atividade do Azure no seu registo central. Importar logs utilizando o Azure Monitor para agregar dados de segurança gerados por dispositivos de terminação, recursos de rede e outros sistemas de segurança. No Azure Monitor, use espaços de trabalho do Log Analytics para consultar e executar análises e use contas de Armazenamento do Azure para armazenamento de longo prazo e arquivamento.

Além disso, habilite e integre dados ao Azure Sentinel ou a um SIEM de terceiros.

Muitas organizações optam por usar o Azure Sentinel para dados "quentes" que são usados com frequência e o Armazenamento do Azure para dados "frios" que são usados com menos frequência.

• Como coletar logs e métricas da plataforma com o Azure Monitor

• Como integrar o Azure Sentinel

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Arquitetura de segurança

• Segurança de aplicativos e DevOps

• Segurança de infraestruturas e terminais

LT-6: Configurar a retenção de armazenamento de log

Configure sua retenção de logs de acordo com seus requisitos de conformidade, regulamentação e negócios.

No Azure Monitor, você pode definir o período de retenção do espaço de trabalho do Log Analytics de acordo com os regulamentos de conformidade da sua organização. Use as contas de espaço de trabalho do Armazenamento do Azure, Data Lake ou Log Analytics para armazenamento de longo prazo e arquivamento.

• Alterar o período de retenção de dados no Log Analytics

• Como configurar a política de retenção para os logs da conta de Armazenamento do Azure

• Exportação de alertas e recomendações da Central de Segurança do Azure

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Arquitetura de segurança

• Segurança de aplicativos e DevOps

• Operações de segurança

• Gerenciamento de conformidade de segurança

LT-7: Usar fontes de sincronização de tempo aprovadas

A Microsoft mantém fontes de tempo para a maioria dos serviços PaaS e SaaS do Azure. Para suas máquinas virtuais, use o servidor NTP padrão da Microsoft para sincronização de tempo, a menos que você tenha um requisito específico. Se você precisar manter seu próprio servidor NTP (Network Time Protocol), certifique-se de proteger a porta de serviço UDP 123.

Todos os logs gerados por recursos no Azure fornecem carimbos de data/hora com o fuso horário especificado por padrão.

• Como configurar a sincronização de tempo para recursos de computação do Windows do Azure

• Como configurar a sincronização de tempo para recursos de computação do Azure Linux

• Como desabilitar UDP de entrada para serviços do Azure

Responsabilidade: Partilhada

Partes interessadas na segurança do cliente (Saiba mais):

• Política e normas

• Segurança de aplicativos e DevOps

• Segurança de infraestruturas e terminais