Criar uma linha de base de registo e monitorização

  • 5 minutos

O registro em log e o monitoramento são requisitos críticos quando você tenta identificar, detetar e mitigar ameaças à segurança. Uma política de registro em log adequada pode garantir que você possa determinar quando ocorreu uma violação de segurança. A política também pode potencialmente identificar quem é responsável. Os logs de atividade do Azure fornecem dados sobre o acesso externo a um recurso e fornecem logs de diagnóstico, para que você tenha informações sobre a operação de um recurso específico.

Nota

Um log de atividades do Azure é um log de assinatura que fornece informações sobre eventos de nível de assinatura que ocorreram no Azure. Usando o log de atividades, você pode determinar o quê, quem e quando para quaisquer operações de gravação que ocorreram nos recursos em sua assinatura.

Recomendações de política de registo

As seções a seguir descrevem as recomendações de segurança no CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 para definir políticas de registro em log e monitoramento em suas assinaturas do Azure. Incluídas em cada recomendação estão as etapas básicas a serem concluídas no portal do Azure. Deve concluir estes passos para a sua própria subscrição e utilizando os seus próprios recursos para validar cada recomendação de segurança. Tenha em atenção que as opções de Nível 2 podem restringir algumas funcionalidades ou atividades, pelo que deve considerar cuidadosamente quais as opções de segurança a aplicar.

Verifique se existe uma configuração de diagnóstico - Nível 1

O log de atividades do Azure fornece informações sobre eventos de nível de assinatura que ocorreram no Azure. Esse log inclui uma variedade de dados, desde dados operacionais do Azure Resource Manager até atualizações em eventos do Azure Service Health. O log de atividades anteriormente era chamado de log de auditoria ou log operacional. A categoria Administrativo relata eventos do plano de controle para suas assinaturas.

Cada assinatura do Azure tem um único log de atividades. O log fornece dados sobre operações de recursos originadas fora do Azure.

Os logs de diagnóstico são emitidos por um recurso. Os logs de diagnóstico fornecem informações sobre a operação do recurso. Deve ativar as definições de diagnóstico para cada recurso.

  1. Inicie sessão no portal do Azure. Procure e selecione Monitor.

  2. No menu à esquerda, selecione Registro de atividades.

  3. Na barra de menu Registro de atividades, selecione Exportar logs de atividades.

  4. Se não forem apresentadas definições, selecione a sua subscrição e, em seguida, selecione Adicionar definição de diagnóstico.

    Captura de tela que mostra o painel Configurações de diagnóstico e Adicionar configuração de diagnóstico selecionado.

  5. Introduza um nome para a definição de diagnóstico e, em seguida, selecione as categorias de registo e os detalhes de destino.

  6. Na barra de menus, selecione Guardar.

Veja um exemplo de como criar uma configuração de diagnóstico:

Captura de ecrã que mostra o painel de criação de Definições de diagnóstico e as opções selecionadas.

Criar um alerta de registro de atividades para criar uma atribuição de política - Nível 1

Se você monitorar as políticas criadas, poderá ver quais usuários podem criar políticas. As informações podem ajudá-lo a detetar uma violação ou configuração incorreta de seus recursos ou assinatura do Azure.

  1. Inicie sessão no portal do Azure. Procure e selecione Monitor.

  2. No menu à esquerda, selecione Alertas.

  3. Na barra de menus Alertas , selecione a lista suspensa Criar e, em seguida, selecione Regra de alerta.

  4. No painel Criar uma regra de alerta, selecione Selecionar escopo.

  5. No painel Selecione um recurso, na lista suspensa Filtrar por tipo de recurso, selecione Atribuição de política (policyAssignments).

  6. Selecione um recurso para monitorar.

  7. Selecionar Concluído.

    Captura de tela que mostra a adição de um alerta de monitoramento para um recurso do Azure.

  8. Para concluir a criação do alerta, conclua as etapas descritas em Criar uma regra de alerta no painel Alertas do Azure Monitor.

Criar um alerta de registro de atividades para criar, atualizar ou excluir um grupo de segurança de rede - Nível 1

Por padrão, nenhum alerta de monitoramento é criado quando os NSGs são criados, atualizados ou excluídos. Alterar ou excluir um grupo de segurança pode permitir que recursos internos sejam acessados de fontes inadequadas ou para tráfego de rede de saída inesperado.

  1. Inicie sessão no portal do Azure. Procure e selecione Monitor.

  2. No menu à esquerda, selecione Alertas.

  3. Na barra de menus Alertas , selecione a lista suspensa Criar e, em seguida, selecione Regra de alerta.

  4. No painel Criar uma regra de alerta, selecione Selecionar escopo.

  5. No painel Selecione um recurso, na lista suspensa Filtrar por tipo de recurso, selecione Grupos de segurança de rede.

  6. Selecionar Concluído.

  7. Para concluir a criação do alerta, conclua as etapas descritas em Criar uma regra de alerta no painel Alertas do Azure Monitor.

Criar um alerta de log de atividades para criar ou atualizar uma regra de firewall do SQL Server - Nível 1

O monitoramento de eventos que criam ou atualizam uma regra de firewall do SQL Server fornece informações sobre alterações de acesso à rede e pode reduzir o tempo necessário para detetar atividades suspeitas.

  1. Inicie sessão no portal do Azure. Procure e selecione Monitor.

  2. No menu à esquerda, selecione Alertas.

  3. Na barra de menus Alertas , selecione a lista suspensa Criar e, em seguida, selecione Regra de alerta.

  4. No painel Criar regra de alerta, selecione Selecionar escopo.

  5. No painel Selecione um recurso, na lista suspensa Filtrar por tipo de recurso, selecione SQL servers.

  6. Selecionar Concluído.

  7. Para concluir a criação do alerta, conclua as etapas descritas em Criar uma regra de alerta no painel Alertas do Azure Monitor.