Sicherheitskontrolle: Protokollierung und Überwachung
Hinweis
Der aktuelle Vergleichstest für die Azure-Sicherheit ist hier verfügbar.
Die Sicherheitsprotokollierung und -überwachung konzentriert sich auf Aktivitäten im Zusammenhang mit dem Aktivieren, Abrufen und Speichern von Überwachungsprotokollen für Azure-Dienste.
2.1: Verwenden von genehmigten Zeitsynchronisierungsquellen
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
Microsoft verwaltet Zeitquellen für Azure-Ressourcen. Sie haben jedoch die Möglichkeit, die Zeitsynchronisierungseinstellungen für Ihre Computeressourcen zu verwalten.
Konfigurieren der Zeitsynchronisierung für Azure Windows-Computeressourcen
Konfigurieren der Zeitsynchronisierung für Azure Linux-Computeressourcen
2.2: Konfigurieren der zentralen Sicherheitsprotokollverwaltung
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 2.2 | 6.5, 6.6 | Kunde |
Erfassen von Protokollen über Azure Monitor zum Aggregieren von Sicherheitsdaten, die von Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen generiert werden. Verwenden Sie Log Analytics-Arbeitsbereiche in Azure Monitor, um Analysen abzufragen und auszuführen, und verwenden Sie Azure Storage-Konten für die langfristige Speicherung/Archivierung.
Alternativ dazu können Sie auch Daten in Azure Sentinel oder einer Drittanbieter-SIEM-Lösung aktivieren und integrieren.
Sammeln von Plattformprotokollen und -metriken mit Azure Monitor
Sammeln von internen Azure Virtual Machine-Hostprotokollen mit Azure Monitor
Erste Schritte mit Azure Monitor und der Integration einer SIEM-Drittanbieterlösung
2.3: Aktivieren der Überwachungsprotokollierung für Azure-Ressourcen
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 2.3 | 6.2, 6.3 | Kunde |
Aktivieren der Diagnoseeinstellungen auf Azure-Ressourcen für den Zugriff auf Überwachungs-, Sicherheits- und Diagnoseprotokolle. Aktivitätsprotokolle, die automatisch verfügbar sind, enthalten Ereignisquelle, Datum, Benutzer, Zeitstempel, Quelladressen, Zieladressen und andere nützliche Elemente.
Sammeln von Plattformprotokollen und -metriken mit Azure Monitor
Grundlegendes zur Protokollierung und zu verschiedenen Protokolltypen in Azure
2.4: Erfassen von Sicherheitsprotokollen von Betriebssystemen
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 2.4 | 6.2, 6.3 | Kunde |
Wenn sich die Computeressource im Besitz von Microsoft befindet, ist Microsoft für die Überwachung verantwortlich. Wenn die Computeressource Ihrer Organisation gehört, liegt es in Ihrer Verantwortung, sie zu überwachen. Sie können Azure Security Center zum Überwachen des Betriebssystems verwenden. Von Azure Security Center vom Betriebssystem erfasste Daten sind z. B. Betriebssystemtyp und -version, Betriebssystem (Windows-Ereignisprotokolle), ausgeführte Prozesse, Computername, IP-Adressen und angemeldeter Benutzer. Darüber hinaus erfasst der Log Analytics Agent Absturzabbilddateien.
2.5: Konfigurieren der Sicherheitsprotokoll-Aufbewahrungsdauer im Speicher
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 2.5 | 6.4 | Kunde |
Legen Sie in Azure Monitor den Aufbewahrungszeitraum Ihres Log Analytics-Arbeitsbereichs gemäß den Compliancevorschriften Ihrer Organisation fest. Verwenden Sie Azure Storage-Konten für die langfristige/Archivierungsspeicherung.
2.6: Überwachen und Überprüfen von Protokollen
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 2.6 | 6.7 | Kunde |
Analysieren und überwachen Sie Protokolle auf anormales Verhalten, und prüfen Sie die Ergebnisse regelmäßig. Verwenden Sie den Log Analytics-Arbeitsbereich von Azure Monitor, um Protokolle zu überprüfen und Abfragen nach Protokolldaten auszuführen.
Alternativ dazu können Sie auch Daten in Azure Sentinel oder einer Drittanbieter-SIEM-Lösung aktivieren und integrieren.
2.7: Aktivieren von Warnungen bei anomalen Aktivitäten
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 2.7 | 6,8 | Kunde |
Verwenden Sie Azure Security Center mit einem Log Analytics-Arbeitsbereich für die Überwachung und Warnung bei anomalen Aktivitäten, die in Sicherheitsprotokollen und Ereignissen gefunden werden.
Alternativ dazu können Sie auch Daten in Azure Sentinel aktivieren und integrieren.
2.8: Zentralisieren der Antischadsoftwareprotokollierung
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 2.8 | 8.6 | Kunde |
Aktivieren Sie die Antischadsoftware-Ereigniserfassung für Azure Virtual Machines und Cloud Services.
2.9: Aktivieren der DNS-Abfrageprotokollierung
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 2,9 | 8,7 | Kunde |
Implementieren Sie eine Drittanbieterlösung aus Azure Marketplace für die DNS-Protokollierungslösung entsprechend den Anforderungen Ihrer Organisation.
2.10: Aktivieren der Befehlszeilen-Überwachungsprotokollierung
| Azure-ID | CIS-IDs | Verantwortlichkeit |
|---|---|---|
| 2.10 | 8,8 | Kunde |
Verwenden Sie Microsoft Monitoring Agent auf allen unterstützten Azure-VMs unter Windows, um das Prozesserstellungsereignis und das Feld „CommandLine“ zu protokollieren. Bei unterstützten virtuellen Azure Linux-Computern können Sie die Konsolenprotokollierung pro Knoten manuell konfigurieren und die Daten mithilfe von Syslog speichern. Verwenden Sie außerdem den Log Analytics-Arbeitsbereich von Azure Monitor, um Protokolle zu überprüfen und Abfragen für protokollierte Daten von Azure Virtual Machines auszuführen.
Nächste Schritte
- Weitere Informationen finden Sie in der nächsten Sicherheitskontrolle: Identität und Zugriffssteuerung