Nastavení standardních hodnot pro protokolování a monitorování

  • 5 min

Protokolování a monitorování jsou důležité požadavky při pokusu o identifikaci, detekci a zmírnění bezpečnostních hrozeb. Správná zásada protokolování umožňuje určit, kdy došlo k narušení zabezpečení. Zásady také můžou potenciálně identifikovat, kdo je zodpovědný. Protokoly aktivit Azure poskytují data o externím přístupu k prostředku a poskytují diagnostické protokoly, takže máte informace o provozu konkrétního prostředku.

Poznámka:

Protokol aktivit Azure je protokol předplatného, který poskytuje přehled o událostech na úrovni předplatného, ke kterým došlo v Azure. Pomocí protokolu aktivit můžete určit, kdo a kdy pro všechny operace zápisu, ke kterým došlo u prostředků ve vašem předplatném.

Doporučení k zásadám přihlašování

Následující části popisují doporučení zabezpečení v srovnávacím testu zabezpečení CIS Microsoft Azure Foundations v. 3.0.0 k nastavení zásad protokolování a monitorování pro vaše předplatná Azure. Součástí každého doporučení jsou základní kroky, které je potřeba provést na webu Azure Portal. Tyto kroky byste měli provést pro vlastní předplatné a pomocí vlastních prostředků ověřit každé doporučení zabezpečení. Mějte na paměti, že možnosti na úrovni 2 můžou omezovat některé funkce nebo aktivity, takže pečlivě zvažte, které možnosti zabezpečení budete nakonec vynucovat.

Ujistěte se, že existuje nastavení diagnostiky – úroveň 1.

Protokol aktivit Azure poskytuje přehled o událostech na úrovni předplatného, ke kterým došlo v Azure. Tento protokol zahrnuje celou řadu dat, od provozních dat Azure Resource Manageru až po aktualizace událostí služby Azure Service Health. Protokol aktivit se dříve označoval jako protokol auditu nebo provozní protokol. Kategorie Správa hlásí události roviny řízení pro vaše předplatná.

Každé předplatné Azure má jeden protokol aktivit. Protokol poskytuje data o operacích prostředků, které pocházejí mimo Azure.

Diagnostické protokoly jsou generovány prostředkem. Diagnostické protokoly poskytují informace o provozu prostředku. U každého prostředku musíte povolit nastavení diagnostiky.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Sledovat.

  2. V nabídce vlevo vyberte protokol aktivit.

  3. V řádku nabídek protokolu aktivit vyberte Exportovat protokoly aktivit.

  4. Pokud se nezobrazují žádná nastavení, vyberte své předplatné a pak vyberte Přidat nastavení diagnostiky.

    Snímek obrazovky s podoknem Nastavení diagnostiky a vybranou možností Přidat nastavení diagnostiky

  5. Zadejte název nastavení diagnostiky a pak vyberte kategorie protokolů a podrobnosti o cíli.

  6. V řádku nabídek vyberte Uložit.

Tady je příklad vytvoření nastavení diagnostiky:

Snímek obrazovky znázorňující podokno pro vytvoření nastavení diagnostiky a vybrané možnosti

Vytvoření upozornění protokolu aktivit pro vytvoření přiřazení zásad – úroveň 1

Pokud monitorujete vytvořené zásady, uvidíte, kteří uživatelé můžou vytvářet zásady. Tyto informace vám můžou pomoct zjistit porušení zabezpečení nebo nesprávnou konfiguraci prostředků Nebo předplatného Azure.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Sledovat.

  2. V nabídce vlevo vyberte Výstrahy.

  3. V řádku nabídek Výstrahy vyberte rozevírací seznam Vytvořit a pak vyberte Pravidlo upozornění.

  4. V podokně Vytvořit pravidlo upozornění vyberte Vybrat obor.

  5. V podokně Vybrat prostředek vyberte v rozevíracím seznamu Filtrovat podle typu prostředku přiřazení zásad (policyAssignments).

  6. Vyberte prostředek, který chcete monitorovat.

  7. Vyberte Hotovo.

    Snímek obrazovky znázorňující přidání upozornění monitorování pro prostředek Azure

  8. Pokud chcete dokončit vytváření výstrahy, dokončete kroky popsané v tématu Vytvoření pravidla upozornění z podokna Upozornění služby Azure Monitor.

Vytvoření upozornění protokolu aktivit pro vytvoření, aktualizaci nebo odstranění skupiny zabezpečení sítě – úroveň 1

Ve výchozím nastavení se při vytváření, aktualizaci nebo odstranění skupin zabezpečení sítě nevytvořila žádná upozornění monitorování. Změna nebo odstranění skupiny zabezpečení může umožnit přístup k interním prostředkům z nesprávných zdrojů nebo k neočekávanému odchozímu síťovému provozu.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Sledovat.

  2. V nabídce vlevo vyberte Výstrahy.

  3. V řádku nabídek Výstrahy vyberte rozevírací seznam Vytvořit a pak vyberte Pravidlo upozornění.

  4. V podokně Vytvořit pravidlo upozornění vyberte Vybrat obor.

  5. V podokně Vybrat prostředek v rozevíracím seznamu Filtrovat podle typu prostředku vyberte Skupiny zabezpečení sítě.

  6. Vyberte Hotovo.

  7. Pokud chcete dokončit vytváření výstrahy, dokončete kroky popsané v tématu Vytvoření pravidla upozornění z podokna Upozornění služby Azure Monitor.

Vytvoření upozornění protokolu aktivit pro vytvoření nebo aktualizaci pravidla brány firewall SQL Serveru – úroveň 1

Monitorování událostí, které vytvářejí nebo aktualizují pravidlo brány firewall SQL Serveru, poskytuje přehled o změnách přístupu k síti a může zkrátit dobu potřebnou ke zjištění podezřelé aktivity.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Sledovat.

  2. V nabídce vlevo vyberte Výstrahy.

  3. V řádku nabídek Výstrahy vyberte rozevírací seznam Vytvořit a pak vyberte Pravidlo upozornění.

  4. V podokně Vytvořit pravidlo upozornění vyberte Vybrat obor.

  5. V podokně Vybrat prostředek vyberte v rozevíracím seznamu Filtrovat podle typu prostředku sql servery.

  6. Vyberte Hotovo.

  7. Pokud chcete dokončit vytváření výstrahy, dokončete kroky popsané v tématu Vytvoření pravidla upozornění z podokna Upozornění služby Azure Monitor.