Controle de Segurança: Registro em log e Monitoramento
Observação
A versão mais recente do Azure Security Benchmark está disponível aqui.
O monitoramento e o registro em log de segurança se concentram em atividades relacionadas à habilitação, à aquisição e ao armazenamento de logs de auditoria para os serviços do Azure.
2.1: usar fontes de sincronização de tempo aprovadas
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
No entanto, a Microsoft mantém fontes de data/hora para recursos do Azure. Você tem a opção de gerenciar as configurações de sincronização de data/hora para seus recursos de computação.
Como configurar a sincronização de data/hora para recursos de computação do Azure para Windows
Como configurar a sincronização de data/hora para recursos de computação do Azure para Linux
2.2: Configurar o gerenciamento central de log de segurança
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 2.2 | 6.5, 6.6 | Cliente |
Faça a ingestão dos logs por meio do Azure Monitor para agregar dados de segurança gerados por dispositivos de ponto de extremidade, recursos de rede e outros sistemas de segurança. No Azure Monitor, use o Workspace do Log Analytics para consultar e realizar análises, e use contas de Armazenamento do Microsoft Azure para armazenamento de longo prazo/arquivamento.
Como alternativa, você pode habilitar e integrar dados ao Azure Sentinel ou a um SIEM de terceiros.
Como coletar logs e métricas de plataforma com o Azure Monitor
Como coletar logs de host interno de Máquina Virtual do Azure com o Azure Monitor
Introdução à integração do Azure Monitor e ao SIEM de terceiros
2.3: habilitar o registro em log de auditoria para recursos do Azure
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 2.3 | 6.2, 6.3 | Cliente |
Habilite as Configurações de Diagnóstico nos recursos do Azure para acessar logs de auditoria, segurança e diagnóstico. Logs de atividade, que estão automaticamente disponíveis, incluem origem do evento, data, usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis.
Como coletar logs e métricas de plataforma com o Azure Monitor
Entender o registro em log e os diferentes tipos de log no Azure
2.4: Coletar logs de segurança de sistemas operacionais
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 2.4 | 6.2, 6.3 | Cliente |
A Microsoft é responsável pelo seu monitoramento se o recurso de computação pertencer à Microsoft. É sua responsabilidade monitorar o recurso de computação se ele pertencer à sua organização. Você pode usar a Central de Segurança do Azure para monitorar o sistema operacional. Os dados coletados do sistema operacional pela Central de Segurança incluem o tipo e a versão do sistema operacional (Logs de Eventos do Windows), processos em execução, nome da máquina, endereços IP e usuário conectado. O Agente do Log Analytics também coleta arquivos de despejo de memória.
2.5: Configurar a retenção de armazenamento do log de segurança
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 2.5 | 6.4 | Cliente |
No Azure Monitor, defina o período de retenção do workspace do Log Analytics de acordo com os regulamentos de conformidade da sua organização. Use contas do Armazenamento do Azure para armazenamento de longo prazo/arquivamento.
2.6: monitorar e revisar logs
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 2.6 | 6.7 | Cliente |
Analise e monitore os logs para buscar por comportamentos anormais e examine os resultados regularmente. Use o Workspace do Log Analytics do Azure Monitor para examinar os logs e realizar consultas nos dados de log.
Como alternativa, você pode habilitar e integrar dados ao Azure Sentinel ou a um SIEM de terceiros.
2.7: Habilitar alertas sobre atividades anormais
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 2.7 | 6,8 | Cliente |
Use a Central de Segurança do Azure com o Workspace do Log Analytics para monitorar e alertar sobre atividades anormais encontradas em eventos e logs de segurança.
Outra opção é habilitar e integrar dados no Azure Sentinel.
2.8: centralizar o registro em log de antimalware
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 2.8 | 8.6 | Cliente |
Habilite a coleta de eventos de antimalware para Máquinas Virtuais e Serviços de Nuvem do Azure.
2.9: habilitar o registro em log de consulta DNS
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 2,9 | 8.7 | Cliente |
Implemente uma solução de terceiros do Azure Marketplace para a solução de registro em log de DNS de acordo com as necessidades das suas organizações.
2.10: habilitar o registro em log de auditoria de linha de comando
| ID do Azure | IDs do CIS | Responsabilidade |
|---|---|---|
| 2.10 | 8.8 | Cliente |
Use o Microsoft Monitoring Agent em todas as máquinas virtuais do Azure Windows com suporte para registrar o evento de criação do processo e o campo CommandLine. Para as Máquinas Virtuais do Linux com suporte Azure, é possível configurar manualmente o log do console por nó e usar o Syslog para armazenar os dados. Além disso, use o workspace do Log Analytics do Azure Monitor para examinar os logs e realizar consultas em dados de log de Máquinas Virtuais do Azure.
Próximas etapas
- Veja o próximo Controle de Segurança: Controle de Acesso e Identidade