Erstellen einer Baseline für Protokollierung und Überwachung

  • 5 Minuten

Protokollierung und Überwachung sind entscheidende Aspekte, wenn es darum geht, Sicherheitsbedrohungen zu identifizieren, zu erkennen und zu entschärfen. Mithilfe einer ordnungsgemäßen Protokollierungsrichtlinie lässt sich feststellen, ob es zu einer Sicherheitsverletzung gekommen ist. Die Richtlinie kann ggf. auch Aufschluss darüber geben, wer verantwortlich ist. Azure-Aktivitätsprotokolle liefern Daten zum externen Zugriff auf eine Ressource. Außerdem stellen sie Diagnoseprotokolle bereit, die Informationen zum Betrieb einer spezifischen Ressource liefern.

Hinweis

Ein Azure-Aktivitätsprotokoll ist ein Abonnementprotokoll, das Einblicke in Ereignisse auf Abonnementebene in Azure ermöglicht. Mit dem Aktivitätsprotokoll können Sie die Antworten auf die Fragen „Was“, „Wer“ und „Wann“ für alle Schreibvorgänge ermitteln, die für die Ressourcen in Ihrem Abonnement durchgeführt wurden.

Empfehlungen zu Protokollierungsrichtlinien

In den folgenden Abschnitten werden die Sicherheitsempfehlungen in CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 für das Festlegen von Protokollierungs- und Überwachungsrichtlinien für Ihre Azure-Abonnements beschrieben. Bei den Empfehlungen sind jeweils auch die grundlegenden Schritte angegeben, die im Azure-Portal ausgeführt werden müssen. Führen Sie diese Schritte für Ihr eigenes Abonnement aus, und verwenden Sie Ihre eigenen Ressourcen, um die einzelnen Sicherheitsempfehlungen zu überprüfen. Beachten Sie, dass Ebene 2-Optionen einige Funktionen oder Aktivitäten einschränken können, deshalb überlegen Sie sorgfältig, welche Sicherheitsoptionen Sie durchsetzen möchten.

Sicherstellen, dass eine Diagnoseeinstellung vorhanden ist: Ebene 1

Das Azure-Aktivitätsprotokoll liefert Erkenntnisse zu Ereignissen auf Abonnementebene in Azure. Dieses Protokoll enthält verschiedene Daten – von Azure Resource Manager-Betriebsdaten bis hin zu Aktualisierungen für Azure Service Health-Ereignissen. Das Aktivitätsprotokoll wurde in der Vergangenheit als Überwachungsprotokoll oder als Betriebsprotokoll bezeichnet. In der Verwaltungskategorie werden Ereignisse auf Steuerungsebene für Ihre Abonnements gemeldet.

Jedes Azure-Abonnement verfügt über ein einzelnes Aktivitätsprotokoll. Das Protokoll enthält Daten zu Ressourcenvorgängen, die ihren Ursprung außerhalb von Azure haben.

Diagnoseprotokolle werden von einer Ressource ausgegeben. Diagnoseprotokolle liefern Informationen zum Betrieb der Ressource. Sie müssen die Diagnoseeinstellungen für jede Ressource aktivieren.

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach Überwachen, und wählen Sie diese Option aus.

  2. Wählen Sie im linken Menü die Option Aktivitätsprotokoll aus.

  3. Wählen Sie auf der Menüleiste Aktivitätsprotokoll die Option Exportieren von Aktivitätsprotokollen aus.

  4. Sollten keine Einstellungen angezeigt werden, wählen Sie Ihr Abonnement und anschließend Diagnoseeinstellung hinzufügen aus.

    Screenshot: Bereich „Diagnoseeinstellungen“ und ausgewählte Option „Diagnoseeinstellung hinzufügen“

  5. Geben Sie einen Namen für Ihre Diagnoseeinstellung ein, und wählen Sie dann Protokollkategorien und Zieldetails aus.

  6. Wählen Sie in der Menüleiste Speichern aus.

Hier sehen Sie ein Beispiel für die Erstellung einer Diagnoseeinstellung:

Screenshot: Erstellungsbereich „Diagnoseeinstellungen“ und ausgewählten Optionen

Erstellen einer Aktivitätsprotokollwarnung für die Erstellung einer Richtlinienzuweisung: Ebene 1

Wenn Sie Richtlinien überwachen, die erstellt werden, können Sie sehen, welche Benutzer Richtlinien erstellen können. Diese Information kann Ihnen dabei helfen, eine Verletzung oder Fehlkonfiguration Ihrer Azure-Ressourcen oder Ihres Abonnements zu erkennen.

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach Überwachen, und wählen Sie diese Option aus.

  2. Wählen Sie im linken Menü Warnungen aus.

  3. Wählen Sie auf der Menüleiste Warnungen das Dropdownmenü Erstellen und anschließend Warnungsregel aus.

  4. Wählen Sie im Bereich Warnungsregel erstellen die Option Bereich auswählen aus.

  5. Wählen Sie im Bereich Ressource auswählen im Dropdownmenü Nach Ressourcentyp filtern die Option Richtlinienzuweisung (policyAssignments) aus.

  6. Wählen Sie eine Ressource aus, die überwacht werden soll.

  7. Wählen Sie Fertigaus.

    Screenshot: Hinzufügen einer Überwachungswarnung für eine Azure-Ressource

  8. Führen Sie die unter Erstellen einer Warnungsregel über den Bereich „Warnungen“ in Azure Monitor beschriebenen Schritte aus, um die Warnungserstellung abzuschließen.

Erstellen einer Aktivitätsprotokollwarnung für die Erstellung, Aktualisierung oder Löschung einer Netzwerksicherheitsgruppe: Ebene 1

Standardmäßig werden keine Überwachungswarnungen erstellt, wenn NSGs erstellt, aktualisiert oder gelöscht werden. Das Ändern oder Löschen einer Sicherheitsgruppe kann den Zugriff auf interne Ressourcen von unerwünschten Quellen oder unerwarteten ausgehenden Netzwerkdatenverkehr ermöglichen.

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach Überwachen, und wählen Sie diese Option aus.

  2. Wählen Sie im linken Menü Warnungen aus.

  3. Wählen Sie auf der Menüleiste Warnungen das Dropdownmenü Erstellen und anschließend Warnungsregel aus.

  4. Wählen Sie im Bereich Warnungsregel erstellen die Option Bereich auswählen aus.

  5. Wählen Sie im Bereich Ressource auswählen im Dropdownmenü Nach Ressourcentyp filtern die Option Netzwerksicherheitsgruppen aus.

  6. Wählen Sie Fertigaus.

  7. Führen Sie die unter Erstellen einer Warnungsregel über den Bereich „Warnungen“ in Azure Monitor beschriebenen Schritte aus, um die Warnungserstellung abzuschließen.

Erstellen einer Aktivitätsprotokollwarnung für die Erstellung oder Aktualisierung einer SQL Server-Firewallregel: Ebene 1

Die Überwachung auf Ereignisse, die eine SQL Server-Firewallregel erstellen oder aktualisieren, liefert Erkenntnisse zu Netzwerkzugriffsänderungen und kann die Erkennung verdächtiger Aktivitäten beschleunigen.

  1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach Überwachen, und wählen Sie diese Option aus.

  2. Wählen Sie im linken Menü Warnungen aus.

  3. Wählen Sie auf der Menüleiste Warnungen das Dropdownmenü Erstellen und anschließend Warnungsregel aus.

  4. Wählen Sie im Bereich Warnungsregel erstellen die Option Bereich auswählen aus.

  5. Wählen Sie im Bereich Ressource auswählen im Dropdownmenü Nach Ressourcentyp filtern die Option SQL Server-Instanzen aus.

  6. Wählen Sie Fertigaus.

  7. Führen Sie die unter Erstellen einer Warnungsregel über den Bereich „Warnungen“ in Azure Monitor beschriebenen Schritte aus, um die Warnungserstellung abzuschließen.