Řízení zabezpečení: Protokolování a monitorování

Poznámka

Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.

Protokolování a monitorování zabezpečení se zaměřuje na aktivity související s povolením, získáváním a ukládáním protokolů auditu pro služby Azure.

2.1: Použití schválených zdrojů synchronizace času

Azure ID	CIS ID	Odpovědnost
2.1	6.1	Microsoft

Microsoft udržuje zdroje času pro prostředky Azure, ale máte možnost spravovat nastavení synchronizace času pro výpočetní prostředky.

• Postup konfigurace synchronizace času pro výpočetní prostředky Azure s Windows

• Postup konfigurace synchronizace času pro výpočetní prostředky Azure s Linuxem

2.2: Konfigurace správy protokolů centrálního zabezpečení

Azure ID	CIS ID	Odpovědnost
2,2	6.5, 6.6	Zákazník

Ingestujte protokoly prostřednictvím Služby Azure Monitor za účelem agregace dat zabezpečení generovaných koncovými zařízeními, síťovými prostředky a dalšími systémy zabezpečení. V rámci Azure Monitoru použijte k dotazování a provádění analýz pracovní prostory Služby Log Analytics a účty úložiště Azure používejte pro dlouhodobé/archivní úložiště.

Případně můžete povolit a připojit data do služby Azure Sentinel nebo siem třetí strany.

• Postup při onboardingu služby Azure Sentinel

• Shromažďování protokolů a metrik platformy pomocí služby Azure Monitor

• Shromažďování protokolů interních hostitelů virtuálních počítačů Azure pomocí služby Azure Monitor

• Jak začít se službou Azure Monitor a integrací SIEM od třetích stran

2.3: Povolení protokolování auditu pro prostředky Azure

Azure ID	CIS ID	Odpovědnost
2.3	6.2, 6.3	Zákazník

Povolte nastavení diagnostiky u prostředků Azure pro přístup k protokolům auditu, zabezpečení a diagnostiky. Protokoly aktivit, které jsou automaticky dostupné, zahrnují zdroj událostí, datum, uživatele, časové razítko, zdrojové adresy, cílové adresy a další užitečné prvky.

• Shromažďování protokolů a metrik platformy pomocí služby Azure Monitor

• Vysvětlení protokolování a různých typů protokolů v Azure

2.4: Shromažďování protokolů zabezpečení z operačních systémů

Azure ID	CIS ID	Odpovědnost
2,4	6.2, 6.3	Zákazník

Pokud výpočetní prostředek vlastní Microsoft, zodpovídá za jeho monitorování Microsoft. Pokud výpočetní prostředek vlastní vaše organizace, je na vás, abyste ho monitorovali. K monitorování operačního systému můžete použít Azure Security Center. Mezi data shromažďovaná službou Security Center z operačního systému patří typ a verze operačního systému, protokoly událostí operačního systému (Windows), spuštěné procesy, název počítače, IP adresy a přihlášený uživatel. Agent Log Analytics také shromažďuje soubory s výpisem stavu systému.

• Shromažďování protokolů interních hostitelů virtuálních počítačů Azure pomocí služby Azure Monitor

• Principy shromažďování dat Azure Security Center

2.5: Konfigurace uchovávání úložiště protokolů zabezpečení

Azure ID	CIS ID	Odpovědnost
2.5	6.4	Zákazník

Ve službě Azure Monitor nastavte dobu uchovávání pracovního prostoru služby Log Analytics podle předpisů vaší organizace o dodržování předpisů. Účty úložiště Azure používejte pro dlouhodobé/archivní úložiště.

• Změna doby uchovávání dat v Log Analytics

• Konfigurace zásad uchovávání informací pro protokoly účtu služby Azure Storage

2.6: Monitorování a kontrola protokolů

Azure ID	CIS ID	Odpovědnost
2,6	6.7	Zákazník

Analyzujte a monitorujte protokoly anomální chování a pravidelně kontrolujte výsledky. Pomocí pracovního prostoru služby Log Analytics služby Azure Monitor můžete kontrolovat protokoly a provádět dotazy na data protokolů.

Případně můžete povolit a připojit data do služby Azure Sentinel nebo siem třetí strany.

• Postup při onboardingu služby Azure Sentinel

• Principy pracovního prostoru služby Log Analytics

• Jak provádět vlastní dotazy ve službě Azure Monitor

2.7: Povolení výstrah pro neobvyklé aktivity

Azure ID	CIS ID	Odpovědnost
2.7	6.8	Zákazník

Pomocí Azure Security Center s pracovním prostorem služby Log Analytics můžete monitorovat a upozorňovat na neobvyklé aktivity zjištěné v protokolech a událostech zabezpečení.

Případně můžete povolit a připojit data do služby Azure Sentinel.

• Postup při onboardingu služby Azure Sentinel

• Správa upozornění v Azure Security Center

• Jak upozorňovat na data protokolů Log Analytics

2.8: Centralizace protokolování antimalwaru

Azure ID	CIS ID	Odpovědnost
2,8	8.6	Zákazník

Povolte shromažďování antimalwarových událostí pro Azure Virtual Machines a Cloud Services.

• Principy Microsoft Antimalware

2.9: Povolení protokolování dotazů DNS

Azure ID	CIS ID	Odpovědnost
2.9	8.7	Zákazník

Implementujte řešení třetí strany z Azure Marketplace pro protokolování DNS podle potřeb vaší organizace.

2.10: Povolení protokolování auditu příkazového řádku

Azure ID	CIS ID	Odpovědnost
2.10	8.8	Zákazník

Pomocí agenta Microsoft Monitoring Agent na všech podporovaných virtuálních počítačích Azure s Windows za protokolujte událost vytvoření procesu a pole Příkazového řádku. U podporovaných virtuálních počítačů Azure s Linuxem můžete ručně nakonfigurovat protokolování konzoly pro jednotlivé uzly a k ukládání dat použít Syslog. Pracovní prostor služby Log Analytics služby Azure Monitor můžete také použít ke kontrole protokolů a provádění dotazů na data zaprotokolovaná z virtuálních počítačů Azure.

• Shromažďování dat v Azure Security Center

• Provádění vlastních dotazů ve službě Azure Monitor

• Zdroje dat Syslogu ve službě Azure Monitor

Další kroky

• Podívejte se na další ovládací prvek zabezpečení: Identita a Access Control