備註
您可以 在這裡取得最 up-to日期的 Azure 安全性效能評定。
記錄和威脅偵測涵蓋在 Azure 上偵測威脅的控件,以及啟用、收集及儲存 Azure 服務的稽核記錄。 這包括啟用具有控件的偵測、調查和補救程式,以在 Azure 服務中產生具有原生威脅偵測的高品質警示:它也包含使用 Azure 監視器收集記錄、使用 Azure Sentinel 集中處理安全性分析、時間同步處理和記錄保留。
若要查看適用的內建 Azure 原則,請參閱 Azure 安全性效能評定法規合規性內建方案的詳細數據:記錄和威脅偵測
LT-1:啟用 Azure 資源的威脅偵測
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| LT-1 | 6.7 | AU-3、AU-6、AU-12、SI-4 |
請確保您正在監控不同類型的 Azure 資產,以識別潛在的威脅和異常。 專注於獲取高品質的警報,以減少分析人員需要處理的誤判。 警示可以來自記錄數據、代理程式或其他數據。
使用以監視 Azure 服務遙測和分析服務記錄為基礎的 Azure Defender。 系統會使用 Log Analytics 代理程式收集數據,其會從系統讀取各種安全性相關組態和事件記錄,並將數據複製到您的工作區進行分析。
此外,使用 Azure Sentinel 來建置分析規則,以搜捕符合您環境中特定準則的威脅。 規則會在符合準則時產生事件,讓您可以調查每個事件。 Azure Sentinel 也可以匯入第三方威脅情報,以增強其威脅偵測功能。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
LT-2:啟用 Azure 身分識別和存取管理的威脅偵測
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| LT-2 | 6.8 | AU-3、AU-6、AU-12、SI-4 |
Azure AD 提供下列用戶記錄,可在 Azure AD 報告中檢視,或與 Azure 監視器、Azure Sentinel 或其他 SIEM/監視工具整合,以取得更複雜的監視和分析使用案例:
登入 – 登入報告提供受控應用程式和使用者登入活動使用方式的相關信息。
稽核記錄 - 針對 Azure AD 內各種功能所做的所有變更,提供記錄的可追蹤性。 稽核記錄的範例包括對 Azure AD 內任何資源的變更,例如新增或移除使用者、應用程式、群組、角色和原則。
具風險的登入 - 具風險的登入是一個指標,表明登入嘗試可能不是由用戶帳戶的合法擁有者執行。
標示為高風險的使用者 - 高風險的使用者顯示該用戶帳戶可能已遭到入侵。
Azure 資訊安全中心也可以針對某些可疑活動發出警示,例如過多失敗的驗證嘗試,以及訂用帳戶中已被取代的帳戶。 除了基本的安全性衛生監視之外,Azure Defender 也可以從個別 Azure 計算資源收集更深入的安全性警示(例如虛擬機、容器、應用程式服務)、數據資源(例如 SQL DB 和記憶體),以及 Azure 服務層級。 這項功能可讓您查看個別資源內的帳戶異常狀況。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
LT-3:啟用 Azure 網路活動的記錄功能
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3、AU-6、AU-12、SI-4 |
啟用及收集網路安全組 (NSG) 資源記錄、NSG 流量記錄、Azure 防火牆記錄和 Web 應用程式防火牆 (WAF) 記錄,以支援事件調查、威脅搜捕和安全性警示產生。 您可以將流量記錄傳送至 Azure 監視器 Log Analytics 工作區,然後使用流量分析來提供見解。
請確定您正在收集 DNS 查詢記錄,以協助將其他網路數據相互關聯。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
LT-4:啟用 Azure 資源的記錄
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| LT-4 系列 | 6.2, 6.3, 8.8 | AU-3、AU-12 |
啟用 Azure 資源的記錄,以符合合規性、威脅偵測、搜捕和事件調查的需求。
您可以使用 Azure 資訊安全中心和 Azure 原則,在 Azure 資源上啟用資源記錄和記錄數據收集,以存取稽核、安全性和資源記錄。 自動可用的活動記錄包括事件來源、日期、用戶、時間戳、來源位址、目的地位址和其他實用元素。
責任:共用
客戶安全性項目關係人 (深入瞭解):
基礎結構和端點安全性
LT-5: 集中化安全性記錄管理與分析
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| LT-5型 | 6.5, 6.6 | AU-3、SI-4 |
集中記錄記憶體和分析,以啟用相互關聯。 針對每個記錄來源,請確定您已指派資料擁有者、存取指引、儲存位置、用來處理和存取資料的工具,以及資料保留需求。
請確定您將 Azure 活動記錄整合到集中記錄。 透過 Azure 監視器擷取記錄,以匯總端點裝置、網路資源和其他安全性系統所產生的安全性資料。 在 Azure 監視器中,使用 Log Analytics 工作區以查詢和執行分析,並使用 Azure 儲存帳戶進行長期及歸檔存儲。
此外,啟用數據並將其上線至 Azure Sentinel 或第三方 SIEM。
許多組織選擇將 Azure Sentinel 用於經常使用的「熱資料」,而 Azure 儲存體則用於較不常使用的「冷資料」。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
LT-6: 設定記錄儲存保留
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| LT-6 | 6.4 | AU-3、AU-11 |
根據您的合規性、法規和商務需求來設定記錄保留期。
在 Azure 監視器中,您可以根據組織的合規性法規來設定 Log Analytics 工作區保留期限。 使用 Azure 儲存體、Data Lake 或 Log Analytics 工作區帳戶來進行長期和封存儲存。
責任:客戶
客戶安全性項目關係人 (深入瞭解):
LT-7:使用核准的時間同步處理來源
| Azure 識別碼 | CIS 控制項 v7.1 識別碼 | NIST SP 800-53 r4 識別碼 |
|---|---|---|
| LT-7 型 | 6.1 | AU-8 |
Microsoft 維護大多數 Azure PaaS 和 SaaS 服務的時間來源。 針對您的虛擬機,除非您有特定需求,否則請使用Microsoft預設NTP伺服器進行時間同步處理。 如果您需要架起自己的網路時間通訊協定 (NTP) 伺服器,請確定您保護 UDP 服務埠 123。
Azure 內資源所產生的所有記錄都會提供時間戳,以及預設指定的時區。
責任:共用
客戶安全性項目關係人 (深入瞭解):