安全性控制:記錄和監視
注意
這裡 提供最新的Azure 安全性基準測試。
安全性記錄和監視著重于啟用、取得及儲存 Azure 服務稽核記錄的相關活動。
2.1:使用已核准的時間同步處理來源
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
不過,Microsoft 會維護 Azure 資源的時間來源,但您可以選擇管理計算資源的時間同步處理設定。
2.2:設定中央安全性記錄管理
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.2 | 6.5, 6.6 | 客戶 |
透過 Azure 監視器擷取記錄,以匯總端點裝置、網路資源和其他安全性系統所產生的安全性資料。 在 Azure 監視器中,使用 Log Analytics 工作區來查詢和執行分析,並使用 Azure 儲存體帳戶進行長期/封存儲存。
或者,您也可啟用 Azure Sentinel 或第三方 SIEM,並讓資料上線。
2.3:啟用 Azure 資源的稽核記錄
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.3 | 6.2, 6.3 | 客戶 |
在 Azure 資源上啟用診斷設定,以存取稽核、安全性和診斷記錄。 活動記錄 (自動提供) 包含事件來源、日期、使用者、時間戳記、來源位址、目的地位址,以及其他有用的項目。
2.4:從作業系統收集安全性記錄
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.4 | 6.2, 6.3 | 客戶 |
如果計算資源是由 Microsoft 所擁有,則 Microsoft 負責監視它。 如果計算資源是由貴組織所擁有,則負責監視它。 您可以使用Azure 資訊安全中心來監視作業系統。 資訊安全中心從作業系統收集的資料包括作業系統類型和版本、作業系統 (Windows 事件記錄檔) 、執行中的進程、電腦名稱稱、IP 位址,以及登入的使用者。 Log Analytics 代理程式也會收集損毀傾印檔案。
2.5:設定安全性記錄儲存體保留期
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.5 | 6.4 | 客戶 |
在 Azure 監視器內,根據組織的合規性法規設定 Log Analytics 工作區保留期限。 使用 Azure 儲存體帳戶進行長期/封存儲存。
2.6:監視和檢閱記錄
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.6 | 6.7 | 客戶 |
分析及監視記錄是否有異常行為,並定期檢閱結果。 使用 Azure 監視器的 Log Analytics 工作區來檢閱記錄,並對記錄資料執行查詢。
或者,您也可啟用 Azure Sentinel 或第三方 SIEM,並讓資料上線。
2.7:啟用異常活動的警示
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.7 | 6.8 | 客戶 |
搭配 Log Analytics 工作區使用Azure 資訊安全中心,以監視和警示安全性記錄和事件中找到的異常活動。
或者,您可以啟用 Azure Sentinel 的並上線資料。
2.8:集中化反惡意程式碼記錄
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.8 | 8.6 | 客戶 |
啟用 Azure 虛擬機器和雲端服務的反惡意程式碼事件集合。
2.9:啟用 DNS 查詢記錄
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.9 | 8.7 | 客戶 |
根據您的組織需求,從 DNS 記錄解決方案Azure Marketplace實作協力廠商解決方案。
2.10:啟用命令列稽核記錄
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 2.10 | 8.8 | 客戶 |
在所有支援的 Azure Windows 虛擬機器上使用 Microsoft Monitoring Agent 來記錄進程建立事件和 CommandLine 欄位。 針對支援的 Azure Linux 虛擬機器,您可以手動設定每個節點的主控台記錄,並使用 Syslog 來儲存資料。 此外,使用 Azure 監視器的 Log Analytics 工作區來檢閱記錄,並針對來自 Azure 虛擬機器的記錄資料執行查詢。
下一步
- 請參閱下一個安全性控制:身分識別和存取控制