Controllo di sicurezza: registrazione e monitoraggio
Nota
Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.
La registrazione e il monitoraggio della sicurezza sono incentrati sulle attività correlate all'abilitazione, all'acquisizione e all'archiviazione dei log di controllo per i servizi di Azure.
2.1: usare origini di sincronizzazione ora approvate
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
Microsoft gestisce le origini temporali per le risorse di Azure, tuttavia, è possibile gestire le impostazioni di sincronizzazione dell'ora per le risorse di calcolo.
Come configurare la sincronizzazione dell'ora per le risorse di calcolo windows di Azure
Come configurare la sincronizzazione dell'ora per le risorse di calcolo Linux di Azure
2.2: configurare la gestione dei log di sicurezza centralizzata
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 2.2 | 6.5, 6.6 | Customer |
Inserire i log tramite Monitoraggio di Azure per aggregare i dati di sicurezza generati dai dispositivi endpoint, dalle risorse di rete e da altri sistemi di sicurezza. In Monitoraggio di Azure usare una o più aree di lavoro Log Analytics per eseguire query ed effettuare analisi, quindi usare gli account di archiviazione di Azure per l'archiviazione/memorizzazione a lungo termine.
In alternativa, è possibile abilitare ed eseguire l'onboarding dei dati in Azure Sentinel o in un SIEM di terze parti.
Come raccogliere log e metriche della piattaforma con Monitoraggio di Azure
Come raccogliere i log host interni della macchina virtuale di Azure con Monitoraggio di Azure
Come iniziare a usare Monitoraggio di Azure e l'integrazione SIEM di terze parti
2.3: abilitare la registrazione di controllo per le risorse di Azure
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 2.3 | 6.2, 6.3 | Customer |
Abilitare le impostazioni di diagnostica nelle risorse di Azure per l'accesso ai log di controllo, sicurezza e diagnostica. I log attività, che sono automaticamente disponibili, includono origine evento, data, utente, timestamp, indirizzi di origine, indirizzi di destinazione e altri elementi utili.
Come raccogliere log e metriche della piattaforma con Monitoraggio di Azure
Informazioni sulla registrazione e sui diversi tipi di log in Azure
2.4: raccogliere i log di sicurezza dai sistemi operativi
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 2,4 | 6.2, 6.3 | Customer |
Se la risorsa di calcolo è di proprietà di Microsoft, Microsoft è responsabile del monitoraggio. Se la risorsa di calcolo è di proprietà dell'organizzazione, è responsabilità dell'utente monitorarla. È possibile usare Centro sicurezza di Azure per monitorare il sistema operativo. I dati raccolti dal Centro sicurezza dal sistema operativo includono il tipo di sistema operativo e la versione, il sistema operativo (registri eventi di Windows), i processi in esecuzione, il nome del computer, gli indirizzi IP e l'utente connesso. L'agente di Log Analytics raccoglie anche i file di dump di arresto anomalo del sistema.
Come raccogliere i log host interni della macchina virtuale di Azure con Monitoraggio di Azure
Informazioni sulla raccolta dei dati Centro sicurezza di Azure
2.5: configurare la conservazione dell'archiviazione dei log di sicurezza
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 2,5 | 6.4 | Customer |
In Monitoraggio di Azure impostare il periodo di conservazione dell'area di lavoro Log Analytics in base alle normative di conformità dell'organizzazione. Usare gli account di archiviazione di Azure per l'archiviazione/memorizzazione a lungo termine.
Modificare il periodo di conservazione dei dati in Log Analytics
Come configurare i criteri di conservazione per i log dell'account di archiviazione di Azure
2.6: monitorare ed esaminare i log
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 2.6 | 6.7 | Customer |
Analizzare e monitorare i log per individuare un comportamento anomalo ed esaminare regolarmente i risultati. Usare l'area di lavoro Log Analytics di Monitoraggio di Azure per esaminare i log ed eseguire query sui dati di log.
In alternativa, è possibile abilitare ed eseguire l'onboarding dei dati in Azure Sentinel o in un SIEM di terze parti.
2.7: Abilitare gli avvisi per le attività anomale
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 2.7 | 6.8 | Customer |
Usare Centro sicurezza di Azure con l'area di lavoro Log Analytics per il monitoraggio e l'invio di avvisi sulle attività anomale rilevate nei log di sicurezza e negli eventi.
In alternativa, è possibile abilitare e caricare i dati in Azure Sentinel.
2.8: centralizzare la registrazione antimalware
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 2.8 | 8,6 | Customer |
Abilitare la raccolta di eventi antimalware per Azure Macchine virtuali e Servizi cloud.
2.9: abilitare la registrazione delle query DNS
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 2,9 | 8.7 | Customer |
Implementare una soluzione di terze parti da Azure Marketplace per la soluzione di registrazione DNS in base alle esigenze dell'organizzazione.
2.10: abilitare la registrazione di controllo da riga di comando
| ID di Azure | ID CIS | Responsabilità |
|---|---|---|
| 2.10 | 8.8 | Customer |
Usare Microsoft Monitoring Agent in tutte le macchine virtuali Windows di Azure supportate per registrare l'evento di creazione del processo e il campo CommandLine. Per le macchine virtuali Linux di Azure supportate, è possibile configurare manualmente la registrazione della console in base al nodo e usare Syslog per archiviare i dati. Usare anche l'area di lavoro Log Analytics di Monitoraggio di Azure per esaminare i log ed eseguire query sui dati registrati dalle macchine virtuali di Azure.
Passaggi successivi
- Vedere il controllo di sicurezza successivo: identità e Controllo di accesso