Sicherheitskontrolle V2: Protokollierung und Bedrohungserkennung
Hinweis
Der aktuelle Vergleichstest für die Azure-Sicherheit ist hier verfügbar.
Die Protokollierung und Bedrohungserkennung umfasst alle Steuerelemente zum Erkennen von Bedrohungen in Azure und zum Aktivieren, Sammeln und Speichern von Überwachungsprotokollen für Azure-Dienste. Dazu gehört das Aktivieren von Erkennungs-, Untersuchungs- und Wiederherstellungsprozessen mit Steuerelementen, um mithilfe von nativer Bedrohungserkennung hochwertige Warnungen in Azure-Diensten zu generieren. Zudem werden mit Azure Monitor Protokolle gesammelt, die Sicherheitsanalyse wird mit Azure Sentinel zentralisiert, die Zeit wird synchronisiert sowie Protokolle aufbewahrt.
Die entsprechende integrierte Azure Policy-Richtlinie finden Sie im Abschnitt „Protokollierung und Bedrohungserkennung“ des Artikels „Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen im Azure-Sicherheitsvergleichstest“.
LT-1: Aktivieren der Bedrohungserkennung für Azure-Ressourcen
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-1 | 6.7 | AU-3, AU-6, AU-12, SI-4 |
Stellen Sie sicher, dass Sie unterschiedliche Arten von Azure-Ressourcen nach potenziellen Bedrohungen und Anomalien überwachen. Das Ziel sollten möglichst hochwertige Warnungen sein. Damit verringern Sie die Anzahl falsch positiver Ergebnisse, die später von Analysten aussortiert werden müssen. Die Quellen von Warnungen können Protokolldaten, Agents oder andere Daten darstellen.
Verwenden Sie Azure Defender. Dieses Tool beruht auf der Überwachung von Azure-Diensttelemetriedaten und der Analyse von Dienstprotokollen. Die Daten werden mit dem Log Analytics-Agent gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle im System und kopiert die Daten zur Analyse in den Arbeitsbereich.
Verwenden Sie außerdem Azure Sentinel, um Analyseregeln für die Suche nach Bedrohungen mit bestimmten Kriterien in Ihrer Umgebung zu erstellen. Bei Übereinstimmung mit den Kriterien werden durch die Regeln Incidents generiert, die Sie einzeln untersuchen können. Azure Sentinel kann auch Threat Intelligence von Drittanbietern importieren, um dessen Funktion zur Bedrohungserkennung zu verbessern.
Sicherheitswarnungen von Azure Security Center (Referenzhandbuch)
Erstellen benutzerdefinierter Analyseregeln zum Erkennen von Bedrohungen
Verantwortlichkeit: Kunde
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
LT-2: Aktivieren der Bedrohungserkennung für die Identitäts- und Zugriffsverwaltung in Azure
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-2 | 6,8 | AU-3, AU-6, AU-12, SI-4 |
Azure AD stellt die folgenden Benutzerprotokolle bereit, die Sie in der Azure AD-Berichterstellung anzeigen oder mit Azure Monitor, Azure Sentinel oder anderen SIEM- und Überwachungstools integrieren können, um komplexere Anwendungsfälle für Überwachung und Analyse zu erhalten.
Anmeldungen: Der Bericht „Anmeldungen“ enthält Informationen zur Nutzung von verwalteten Anwendungen und Aktivitäten der Benutzeranmeldung.
Überwachungsprotokolle: Ermöglichen die Nachverfolgung sämtlicher Änderungen, die von verschiedenen Features in Azure AD vorgenommen wurden. Hierzu zählen unter anderem Änderungen an Ressourcen in Azure AD, z. B. das Hinzufügen oder Entfernen von Benutzern, Apps, Gruppen, Rollen und Richtlinien.
Riskante Anmeldungen: Eine riskante Anmeldung ist ein Indikator für einen Anmeldeversuch von einem Benutzer, der nicht der rechtmäßige Besitzer eines Benutzerkontos ist.
Benutzer mit Risikomarkierung: Ein Benutzer mit Risikomarkierung ist ein Indikator für ein ggf. kompromittiertes Benutzerkonto.
Auch Azure Security Center kann bestimmte verdächtige Aktivitäten melden, wie z. B. eine übermäßige Anzahl fehlgeschlagener Authentifizierungsversuche oder veraltete Konten im Abonnement. Neben der grundlegenden Überwachung der Sicherheitshygiene kann Azure Defender auch ausführlichere Sicherheitswarnungen von einzelnen Azure-Computeressourcen (z. B. VMs, Containern, App Service), Datenressourcen (z. B. SQL-Datenbank und Speicher) und Azure-Dienstebenen sammeln. So erhalten Sie Einblick in Kontoanomalien innerhalb einzelner Ressourcen.
Verantwortlichkeit: Kunde
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
LT-3: Aktivieren der Protokollierung für Azure-Netzwerkaktivitäten
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-3 | 9.3, 12.2, 12.5, 12.8 | AU-3, AU-6, AU-12, SI-4 |
Aktivieren und Sammeln Sie für die Sicherheitsanalyse NSG-Ressourcenprotokolle (Netzwerksicherheitsgruppe), NSG-Datenflussprotokolle, Azure Firewall-Protokolle sowie WAF-Protokolle (Web Application Firewall), um die Untersuchung von Incidents, die Bedrohungssuche und die Generierung von Sicherheitswarnungen zu unterstützen. Sie können die Datenflussprotokolle an einen Log Analytics-Arbeitsbereich von Azure Monitor senden und dann mithilfe von Traffic Analytics Einblicke ermöglichen.
Stellen Sie sicher, dass Sie Protokolle für DNS-Abfragen erfassen, um die Korrelation mit anderen Netzwerkdaten zu unterstützen.
Aktivieren von Datenflussprotokollen für Netzwerksicherheitsgruppen
Sammeln von Erkenntnissen zu Ihrer DNS-Infrastruktur mit der DNS Analytics-Lösung
Verantwortlichkeit: Kunde
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
LT-4: Aktivieren der Protokollierung für Azure-Ressourcen
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-4 | 6.2, 6.3, 8.8 | AU-3, AU-12 |
Aktivieren Sie die Protokollierung für Azure-Ressourcen, um die Anforderungen hinsichtlich Compliance, Bedrohungserkennung und -suche sowie Untersuchung von Incidents zu erfüllen.
Sie können mithilfe von Azure Security Center und Azure Policy Ressourcenprotokolle und die Erfassung von Protokolldaten für Azure-Ressourcen aktivieren, um Zugriff auf Überwachungs-, Sicherheits- und Ressourcenprotokolle zu erhalten. Aktivitätsprotokolle, die automatisch verfügbar sind, enthalten Ereignisquelle, Datum, Benutzer, Zeitstempel, Quelladressen, Zieladressen und andere nützliche Elemente.
Verantwortlichkeit: Shared
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
Infrastruktur- und Endpunktsicherheit
LT-5: Zentralisieren der Verwaltung und Analyse von Sicherheitsprotokollen
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-5 | 6.5, 6.6 | AU-3, SI-4 |
Zentralisieren Sie die Speicherung und Analyse von Protokollen, um eine Korrelation zu ermöglichen. Stellen Sie sicher, dass jeder Protokollquelle ein Datenbesitzer, eine Zugriffsanleitung, ein Speicherort, die für die Verarbeitung und den Zugriff verwendeten Tools sowie Anforderungen zur Datenaufbewahrung zugewiesen werden.
Stellen Sie sicher, dass Sie Azure-Aktivitätsprotokolle in die zentrale Protokollierung integrieren. Erfassen von Protokollen über Azure Monitor zum Aggregieren von Sicherheitsdaten, die von Endpunktgeräten, Netzwerkressourcen und anderen Sicherheitssystemen generiert werden. Verwenden Sie in Azure Monitor Log Analytics-Arbeitsbereiche, um Analysen abzufragen und auszuführen, und verwenden Sie Azure Storage-Konten für langfristige Speicherung und Archivierung.
Zusätzlich können Sie auch Daten in Azure Sentinel oder der SIEM-Lösung eines Drittanbieters aktivieren und integrieren.
Viele Organisationen verwenden Azure Sentinel für heiße Daten, die häufig verwendet werden, und Azure Storage für seltener verwendete, kalte Daten.
Verantwortlichkeit: Kunde
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
LT-6: Konfigurieren der Aufbewahrungsdauer von Protokollen im Speicher
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-6 | 6.4 | AU-3, AU-11 |
Konfigurieren Sie die Aufbewahrungsdauer der Protokolle entsprechend Ihrer Compliance, Vorschriften und geschäftlichen Anforderungen.
In Azure Monitor können Sie den Aufbewahrungszeitraum des Log Analytics-Arbeitsbereichs gemäß den Compliancevorschriften Ihres Unternehmens festlegen. Verwenden Sie für langfristige Speicherungen und Archivierungen Konten von Azure Storage, Data Lake oder des Log Analytics-Arbeitsbereichs.
Konfigurieren der Aufbewahrungsrichtlinie für Azure Storage-Kontoprotokolle
Exportieren von Azure Security Center-Warnungen und -Empfehlungen
Verantwortlichkeit: Kunde
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
LT-7: Verwenden von genehmigten Zeitsynchronisierungsquellen
| Azure-ID | CIS Controls v7.1 ID(s) | ID(s) von NIST SP 800-53 r4 |
|---|---|---|
| LT-7 | 6.1 | AU-8 |
Microsoft verwaltet für die meisten PaaS- und SaaS-Dienste in Azure Zeitquellen. Verwenden Sie für Ihre virtuellen Computer zur Zeitsynchronisierung den NTP-Standardserver (Network Time Protocol) von Microsoft, sofern keine spezifischen Anforderungen vorliegen. Sollten Sie einen eigenen NTP-Server einrichten müssen, schützen Sie den UDP-Dienstport 123.
Alle Protokolle, die in Azure von Ressourcen generiert werden, enthalten Zeitstempel der angegebenen Standardzeitzone.
Konfigurieren der Zeitsynchronisierung für Azure Windows-Computeressourcen
Konfigurieren der Zeitsynchronisierung für Azure Linux-Computeressourcen
Verantwortlichkeit: Shared
Sicherheitsverantwortliche beim Kunden (weitere Informationen):