安全控制:日志记录和监视
注意
此处提供了最新的 Azure 安全基准。
安全日志记录和监视侧重于与为 Azure 服务启用、获取和存储审核日志相关的活动。
2.1:使用批准的时间同步源
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
Microsoft 维护 Azure 资源的时间源,但是,你可以选择管理计算资源的时间同步设置。
2.2:配置中心安全日志管理
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 2.2 | 6.5、6.6 | 客户 |
通过 Azure Monitor 引入日志,以聚合终结点设备、网络资源和其他安全系统生成的安全数据。 在 Azure Monitor 中,使用 Log Analytics 工作区来查询和执行分析,并使用 Azure 存储帐户进行长期/存档存储。
或者,可以启用将数据加入 Azure Sentinel 或第三方 SIEM 的功能。
2.3:为 Azure 资源启用审核日志记录
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 2.3 | 6.2、6.3 | 客户 |
在 Azure 资源上启用诊断设置,以访问审核、安全和诊断日志。 活动日志自动可用,包括事件源、日期、用户、时间戳、源地址、目标地址和其他有用元素。
2.4:从操作系统收集安全日志
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 2.4 | 6.2、6.3 | 客户 |
如果计算资源归 Microsoft 所有,则 Microsoft 负责监视它。 如果计算资源归你的组织所有,则由你负责监视。 可以使用 Azure 安全中心监视 OS。 安全中心从操作系统收集的数据包括 OS 类型和版本、OS(Windows 事件日志)、正在运行的进程、计算机名称、IP 地址和登录用户。 Log Analytics 代理还会收集故障转储文件。
2.5:配置安全日志存储保留期
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 2.5 | 6.4 | 客户 |
在 Azure Monitor 中,根据组织的合规性规章设置 Log Analytics 工作区保留期。 使用 Azure 存储帐户进行长期/存档存储。
2.6:监视和审查日志
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 2.6 | 6.7 | 客户 |
分析和监视日志中的异常行为,并定期查看结果。 使用 Azure Monitor 的 Log Analytics 工作区查看日志并对日志数据执行查询。
或者,可以启用数据并将其加入 Azure Sentinel 或第三方 SIEM。
2.7:针对异常活动启用警报
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 2.7 | 6.8 | 客户 |
使用 Azure 安全中心和 Log Analytics 工作区监视安全日志和事件中的异常活动并发出警报。
或者,可以启用数据并将其载入 Azure Sentinel。
2.8:集中管理反恶意软件日志记录
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 2.8 | 8.6 | 客户 |
为 Azure 虚拟机和云服务启用反恶意软件事件集合。
2.9:启用 DNS 查询日志记录
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 2.9 | 8.7 | 客户 |
根据组织的需求,从 Azure 市场实现 DNS 日志记录解决方案的第三方解决方案。
2.10:启用命令行审核日志记录
| Azure ID | CIS ID | 责任方 |
|---|---|---|
| 2.10 | 8.8 | 客户 |
在所有受支持的 Azure Windows 虚拟机上使用 Microsoft Monitoring Agent 来记录进程创建事件和命令行字段。 对于受支持的 Azure Linux 虚拟机,可以手动配置每个节点的控制台日志记录,并使用 Syslog 来存储数据。 同时,使用 Azure Monitor 的 Log Analytics 工作区查看日志并对 Azure 虚拟机中记录的数据执行查询。
后续步骤
- 请参阅下一个安全控制:标识和访问控制